Einführung in Pentesting (FAQ)

Grundsätzlich gibt es verschiedene Möglichkeiten, Penetrationstests zu kategorisieren: nach der Zielsetzung und nach der vom Auftraggeber zur Verfügung gestellten Informationsbasis. Letzteres wird manchmal auch als Vorgehensweise des Penetrationstests bezeichnet, was jedoch irreführend ist. Die Vorgehensweise beschreibt nämlich, wie der Penetrationstester vorgeht – also nach welchem Standard oder mit welchem technischen Ablauf der Penetrationstest selbst durchgeführt wird.

Die zur Verfügung gestellte Informationsbasis unterscheidet sich klassisch in Black Box, Gray Box und White Box. Beim Black-Box-Pentest hat der Penetrationstester keinerlei Informationen vom Auftraggeber erhalten, außer einem groben Ziel. Beim White-Box-Pentest erhält der Penetrationstester vollen Einblick in Systeme, Architektur, Code usw. Beim Gray-Box-Pentest – und das ist der am häufigsten verwendete Ansatz – erhält der Penetrationstester teilweise mehr Informationen als öffentlich bekannt. Der Sinn dahinter ist, eine effektive und effiziente Durchführung des Penetrationstests zu ermöglichen. Beispielsweise kann der Penetrationstester bei einem Test einer Webseite raten, welche Datenbank dahintersteckt. Der Auftraggeber kann ihm dies (auch einfach auf Nachfrage) mitteilen, was Zeit spart und eine zielgerichtetere Prüfung ermöglicht.

Penetrationstests kann man natürlich auch nach dem Angriffsvektor unterscheiden. Typischerweise wird dabei zwischen externen und internen Penetrationstests unterschieden. Ein externer Penetrationstest wird von außen – also über das Internet – durchgeführt, während der interne Penetrationstest – wer hätte es jetzt erwartet – von einem Zugangspunkt innerhalb des Unternehmens bzw. des Netzwerks erfolgt. Grundsätzlich empfiehlt es sich, aufgrund der höheren Exponiertheit, zunächst einen externen Penetrationstest durchführen zu lassen und danach einen internen. In der Regel findet man jedoch bei einem internen Penetrationstest die gravierendsten Sicherheitsprobleme.

Die meisten Unternehmen, die regelmäßig Penetrationstests durchführen, setzen auf einen jährlichen Rhythmus. Einerseits verlangen verschiedene Standards eine jährliche Durchführung, andererseits lässt sich ein jährlicher Penetrationstest gut in die Budgetplanung integrieren. Einen Pentest alle neun Monate durchzuführen, wäre beispielsweise schwer in die Finanzplanung zu intregieren. Ein halbjährlicher Rhythmus – also zwei Tests pro Jahr – ist oft aus finanzieller Sicht nicht möglich.

Es gibt jedoch Unternehmen, die zweimal jährlich einen Penetrationstest durchführen und dabei unterschiedliche Schwerpunkte setzen. Aus Sicherheits- und Risikoperspektive wäre es ideal, nach jeder signifikanten Änderung im System einen neuen Penetrationstest durchzuführen. In der Praxis scheitert dies jedoch häufig an begrenzten personellen und finanziellen Ressourcen.

Ein Schwachstellenscan ist ein automatisiertes Tool, das Webanwendungen, Systeme oder Netzwerke auf bekannte Schwachstellen wie veraltete Software, fehlende Patches oder Fehlkonfigurationen überprüft. In der Praxis geben Sie Zielinformationen (wie IP-Adressen oder Domänennamen) ein, klicken auf „SCAN“ und erhalten einen Bericht mit den identifizierten Schwachstellen. Diese Scans sind vollständig automatisiert und beschränken sich in der Regel auf die Erkennung bereits bekannter Probleme in Softwarekomponenten.

Ein Penetrationstest hingegen ist ein simulierter Angriff auf Webanwendungen, Systeme oder Netzwerke, der ebenfalls darauf abzielt, Schwachstellen zu identifizieren. Er wird jedoch manuell von einem erfahrenen Penetrationstester durchgeführt, der eine breite Palette von Tools, fortschrittliche Angriffstechniken und eine strukturierte Testmethodik einsetzt. Dieser Ansatz ermöglicht es, neue oder komplexe Schwachstellen aufzudecken und diese – je nach definiertem Testumfang – auch auszunutzen.