Suchen

Definition Pentest Was ist ein Penetrationstest?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden.

Firma zum Thema

Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen.
Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen.
(Bild: Pixabay / CC0 )

Mit Hilfe eines Penetrationstests, oft Pentest genannt, versuchen IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Sie verwenden hierfür ähnliche Methoden und Techniken, wie sie Hacker oder Cracker einsetzen, um unautorisiert in ein System einzudringen.

Es lassen sich durch einen Pentest Schwachstellen aufdecken und Gefährdungspotenziale besser einschätzen. Während des kompletten Penetrationstests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. In einem abschließenden Bericht sind die erkannten Schwachstellen und Lösungsansätze zur Verbesserung des IT-Sicherheitsniveaus aufgeführt. Das Beseitigen der Schwachstellen und die Durchführung von Härtungsmaßnahmen der IT ist nicht Bestandteil des Penetrationstests. Der Umfang der durchgeführten Tests orientiert sich am jeweiligen Gefährdungspotenzial eines Systems, einer Anwendung oder eines Netzwerks. Systeme, die hohen Gefahren ausgesetzt sind wie öffentlich erreichbare Webserver, werden meist ausführlicheren Tests unterzogen als interne Anwendungen ohne große Systemrelevanz.

Die Ziele eines Penetrationstests

Das Hauptziel des Pentests ist es, Schwachstellen von Netzwerken und Computern auf technischer und organisatorischer Ebene zu identifizieren und sie in einem ausführlichen Bericht zu dokumentieren. Die Behebung der gefundenen Schwachstellen liegt jedoch in der Verantwortung des Auftraggebers oder des Betreibers der untersuchten IT-Systeme. Werden die empfohlenen Maßnahmen zur Beseitigung der aufgedeckten Schwachstellen durchgeführt, lässt sich die Sicherheit der untersuchten Systeme verbessern. Mögliche Behebungsmaßnahmen können Schulungen des Personals, Personalaufstockung, Abschaltung eines Systems oder das Einspielen von Korrekturen und Updates sein. Da ein Penetrationstest keine kontinuierliche Überwachung der IT darstellt, kann er als eine Art Momentaufnahme des Sicherheitsstatus verstanden werden. Oft sind Social-Engineering-Penetrationstests Teil der durchgeführten Tests. Hierbei wird versucht, mit Hilfe des Social Engineerings interner Mitarbeiter an Informationen oder Zugangsmöglichkeiten zu gelangen. Die Tests haben zum Ziel, interne Schwachstellen innerhalb des Unternehmens aufzudecken, die sich zum Beispiel durch Aufklärung und Information von Mitarbeitern beheben lassen.

Rechtliche Aspekte von Penetrationstests

Vor der Durchführung von Penetrationstests muss der den Test durchführenden Organisation das Einverständnis der zu testenden Organisation vorliegen. Ohne eine solche Vereinbarung sind Pentests illegal und können eine Straftat darstellen. Der Test darf sich bei Vorliegen einer Einverständniserklärung nur auf Objekte beziehen, die unter der tatsächlichen Hoheit der zu testenden Organisation stehen. Es dürfen keine IT-Systeme oder Netze von Dritten getestet werden. Der Auftraggeber hat vor dem Penetrationstest eindeutig zu klären, für welche Komponenten dies zutrifft. Diverse in Anspruch genommene IT-Dienstleistungen, unterschiedliche Cloud-Services und verschiedene Vertragsverhältnisse zur Nutzung von Hard- und Software können eine solche Klärung erschweren.

Abgrenzung der Begriffe Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Die Schwachstellenanalyse stellt einen Oberbegriff dar und kann Vulnerability- oder Security Scans sowie Penetrationstests beinhalten. Im Gegensatz zu einem Penetrationstest erfolgt die Durchführung von Vulnerability- oder Security Scans automatisiert. Systeme werden durch automatisch ablaufende Programme gegen bekannte Probleme und Sicherheitslücken geprüft.

Ein Penetrationstest hingegen ist kaum automatisiert und erfolgt nach ausführlicher, oft manueller Informationssammlung. Er ist individuell auf das zu testende System zugeschnitten und abgestimmt. Die Planung, Durchführung und die Auswahl der einzusetzenden Tools ist bei einem Pentest wesentlich aufwendiger. Dadurch lassen sich mit einem Penetrationstest bisher unbekannte Sicherheitslücken identifizieren. Es kommen spezielle Hacking-Tools und manuell ausgeführte Angriffsmethoden zum Einsatz. Ein Penetrationstest ist quasi als empirischer Teil einer allgemeinen Schwachstellenanalyse zu verstehen.

(ID:45035505)

Über den Autor