Im RAT-Labor

Was Risikoanalyse und Penetrationstests leisten

| Autor / Redakteur: Andy Green* / Stephan Augsten

Was genau tut ein Penetrationstester?

IT- und IT-Sicherheitsabteilungen sind ausreichend beschäftigt bei den veröffentlichten CVEs (Common Vulnerabilities and Exposures) auf dem Laufenden zu bleiben. Allein, das reicht nicht aus. Das sehen die Autoren von Standards mittlerweile genauso.

PCI-DSS 3.0 z.B., der jüngste der veröffentlichten Standards, hat die Anforderungen in Bezug auf Penetrationstests deutlich erhöht. Die PCI ist aber bei weitem nicht das einzige Gremium, das sich inzwischen deutlich für Penetrationstests und kontinuierlich durchgeführte Risikoanalysen ausspricht.

Was aber tun Penetrationstester eigentlich genau? Im Allgemeinen gliedert sich die Arbeit eines Penetrationstesters in die folgenden vier Phasen der Planung, der Informationsbeschaffung, des eigentlichen Angriffs und der Erstellung eines Berichts.

Penetrationstester suchen übrigens nicht nur in einer Software nach Schwachstellen. Sie betrachten ein System genauso, wie es ein Hacker tun würde. Haben sie es geschafft, ins Innere des Systems vorzudringen, ist die Arbeit nämlich noch längst nicht beendet.

Hier durchforsten sie systematisch Ordnerhierarchien und versuchen auf dieser Grundlage, neue Angriffe zu lancieren. Und genau das unterscheidet einen Penetrationstester von jemandem, der schlicht und einfach Sicherheitslücken finden soll, zum Beispiel mithilfe von Portscannern oder durch Überprüfen der Antivirensignaturen.

Angreifer sind heutzutage Spezialisten darin Schutzmaßnahmen an den Netzwerkgrenzen mittels Phishing oder anderer Social-Engineering-Praktiken auszuhebeln. Es geht also um deutlich mehr als „nur“ Softwareschwachstellen. Deshalb ist es interessant, sich genau anzusehen, was nach der eigentlichen Angriffsphase passiert.

Penetrationstester nennen das die „Post-Exploitation-Phase“. Diese betrifft alle Datenbestände, auf die ein Hacker jetzt zugreifen kann und das, was er potenziell damit tut. Das können beispielsweise Pass-the-Hash-Attacken sein, die auf Anmeldedaten abzielen, das Knacken von Passwörtern und der eigentliche Datenklau.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43804028 / Security-Testing)