Grundsätzlich gibt es verschiedene Möglichkeiten, Penetrationstests zu kategorisieren: nach der Zielsetzung und nach der vom Auftraggeber zur Verfügung gestellten Informationsbasis. Letzteres wird manchmal auch als Vorgehensweise des Penetrationstests bezeichnet, was jedoch irreführend ist. Die Vorgehensweise beschreibt nämlich, wie der Penetrationstester vorgeht – also nach welchem Standard oder mit welchem technischen Ablauf der Penetrationstest selbst durchgeführt wird.
Die zur Verfügung gestellte Informationsbasis unterscheidet sich klassisch in Black Box, Gray Box und White Box. Beim Black-Box-Pentest hat der Penetrationstester keinerlei Informationen vom Auftraggeber erhalten, außer einem groben Ziel. Beim White-Box-Pentest erhält der Penetrationstester vollen Einblick in Systeme, Architektur, Code usw. Beim Gray-Box-Pentest – und das ist der am häufigsten verwendete Ansatz – erhält der Penetrationstester teilweise mehr Informationen als öffentlich bekannt. Der Sinn dahinter ist, eine effektive und effiziente Durchführung des Penetrationstests zu ermöglichen. Beispielsweise kann der Penetrationstester bei einem Test einer Webseite raten, welche Datenbank dahintersteckt. Der Auftraggeber kann ihm dies (auch einfach auf Nachfrage) mitteilen, was Zeit spart und eine zielgerichtetere Prüfung ermöglicht.
Penetrationstests kann man natürlich auch nach dem Angriffsvektor unterscheiden. Typischerweise wird dabei zwischen externen und internen Penetrationstests unterschieden. Ein externer Penetrationstest wird von außen – also über das Internet – durchgeführt, während der interne Penetrationstest – wer hätte es jetzt erwartet – von einem Zugangspunkt innerhalb des Unternehmens bzw. des Netzwerks erfolgt. Grundsätzlich empfiehlt es sich, aufgrund der höheren Exponiertheit, zunächst einen externen Penetrationstest durchführen zu lassen und danach einen internen. In der Regel findet man jedoch bei einem internen Penetrationstest die gravierendsten Sicherheitsprobleme.
Ein Penetrationstest hingegen ist ein simulierter Angriff auf Webanwendungen, Systeme oder Netzwerke, der ebenfalls darauf abzielt, Schwachstellen zu identifizieren. Er wird jedoch manuell von einem erfahrenen Penetrationstester durchgeführt, der eine breite Palette von Tools, fortschrittliche Angriffstechniken und eine strukturierte Testmethodik einsetzt. Dieser Ansatz ermöglicht es, neue oder komplexe Schwachstellen aufzudecken und diese – je nach definiertem Testumfang – auch auszunutzen.
Penetrationstest
FAQ
Unsere FAQ liefert klare Antworten auf häufige Fragen – direkt von Pentesting-Experten und komplett werbefrei.
Einführung in Pentesting
Was ist ein Penetrationstest? Welche Arten von Penetrationstests gibt es? Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest? Mehr Informationen.
Penetrationstest für Auftraggeber
Wie oft sollte man einen Penetrationstest durchführen? Was ist beim Thema Datenschutz im Rahmen eines Penetrationstests zu berücksichtigen? Mehr Informationen.
Berufsziel: Penetration Tester
Wie wird man Penetration Tester? Mehr Informationen.
Penetrationstest
Seit 2013 führen wir professionelle Penetrationstests durch, basierend auf internationalen Industriestandards und jahrelanger Erfahrung in Penetrationstests, Red Teaming und Hacking.
Als professioneller Anbieter für Penetrationstest machen wir einiges anders als andere Firmen: Als Dienstleister für Penetration Testing verkaufen wir automatisierte Schwachstellenscans nicht als Pentest. Wir betrachten auch geschäftliche Sicherheitsrisiken. Sie suchen ein Unternehmen für einen professionell durchgeführten Penetrationstest? Nehmen Sie das Team der binsec für Ihren Pentest. Erfahren Sie mehr über unsere Pentest Dienstleistung.
Kontaktieren Sie uns
+49 692475607-0