Penetrationstest: Vor- und Nachteile des Sicherheitstests?

Was sind eigentlich Penetrationstests?

Sicherheitstests für IT-Systeme und Netzwerke gibt es unterschiedliche, am bekanntesten ist wohl jedoch der Penetrationstest oder kurz Pentest. Der Begriff entstammt dem Militär und bezieht sich auf simulierte Angriffe, deren Ziel die Penetration der feindlichen Verteidigung ist. Für ein Unternehmen, das einen Penetrationstest in Auftrag gibt, bedeutet das, dass die beauftragte Sicherheitsfirma versuchen soll die digitalen Barrieren und Schutzmaßnahmen des Ziels zu durchbrechen oder zu umgehen und sich Zugang zu den internen Systemen und Daten des Unternehmens zu verschaffen. Selbstverständlich muss dies innerhalb eines rechtlich abgesicherten Vertrags stattfinden, damit beide Seiten vor Schäden geschützt sind. Auf der einen Seite sichern sich Unternehmen damit ab, dass exfiltrierte Daten und gefundene Schwachstellen unter Verschluss bleiben und nicht für weitere Zwecke genutzt werden dürfen. Gleichzeitig ist es für die testende Sicherheitsfirma wichtig, eine schriftliche Erlaubnis vorweisen zu können, da ein Testen ohne dieser ein krimineller Akt wäre. Grundsätzlich dürfen Sicherheitstests ausschließlich mit der Genehmigung des Besitzers des zu testenden Objekts durchgeführt werden.

Wie unterscheidet sich ein Pentest von anderen Sicherheitstests?

Neben Pentests gibt es noch andere Wege, um die Sicherheit einer Infrastruktur zu überprüfen. Darunter fallen automatisierte Schwachstellenscans, manuelle Schwachstellenanalysen und interne Sicherheits- und Compliance-Audits. Schwachstellenscans bieten einen schnellen Überblick über den Sicherheitsstatus eines Zielsystems und sind vergleichsweise gering im Aufwand und daher in der Regel günstiger als andere Sicherheitstests. Schwachstellenanalysen hingegen basieren, neben automatisierten Scannern, zu großen Teilen auf manuellen Tests und bieten somit weit mehr Tiefe was die Untersuchung des Zielobjekts betrifft, sind jedoch dementsprechend aufwändiger und kostenintensiver. Beide Sicherheitstests zielen jedoch darauf ab, möglichst viele Schwachstellen aufzudecken um die Sicherheit des getesteten Systems zu verbessern. Sicherheits- und Compliance-Audits hingegen prüfen, ob ein System entsprechend einem festgelegten Regelwerk oder Standard konfiguriert ist und weisen auf Verstöße hin. Dabei ist das Ziel meist das Erreichen einer 100 prozentige Übereinstimmung mit dem gewählten Regelwerk. Penetrationstests eignen sich weniger um Regelverstöße oder möglichst viele Schwachstellen aufzudecken, sondern vielmehr, um gezielte Fragen zu beantworten. Ziel eines Pentests könnte beispielsweise sein, eine oder mehrere der folgenden Fragen zu klären.

  • Ist es möglich von Außen in das interne Firmennetzwerk einzudringen?
  • Ist es möglich interne Firmendaten zu entwenden?
  • Ist es möglich das Arbeitsgerät des Geschäftsführers zu übernehmen?
  • Ist es möglich Audio oder Video-Mitschnitte in bestimmten Besprechungsräumen aufzunehmen?

Bei diesen Zielen handelt es sich lediglich um ein paar Beispiele, die darstellen sollen wie sich die Zielsetzung eines Pentests von Schwachstellenscans, -analysen und Audits unterscheidet. Anhand der Zielsetzung kann eindeutig festgestellt werden, ob ein Penetrationstest sinnvoll ist oder ob sich ein anderer Sicherheitstest besser eignet.

Welche Vorteile bietet ein Pentest für Unternehmen?

Ein Penetrationstest dient vor allem dazu, spezifische Sicherheitsfragen zu klären und Risiken oder Szenarien zu testen. Im Gegensatz zu anderen Sicherheitstests wird hierbei nicht nur überprüft, ob eine Schwachstelle vorhanden ist, sondern auch, ob diese ausgenutzt werden kann und was ein Angreifer dadurch gewinnt. Der abschließende Bericht fasst die Testergebnisse zusammen und enthält in der Regel nicht nur eine Übersicht der Schwachstellen, sondern auch einen Ablauf des Angriffs und eine detaillierte Erklärung der ausgenutzten Schwachstellen und der verwendeten Exploits. Darüber hinaus können Penetrationstests auch um Angriffe erweitert werden, die nicht auf technischen Schwachstellen basieren. Dabei können beispielsweise Mitarbeiter über Social-Engineering Methoden in einem simulierten Angriff getestet werden, um herauszufinden wie die Angestellten sich im Falle eines Angriffs verhalten. Ebenso kann die physikalische Sicherheit des Bürogebäudes und das Verhalten der Mitarbeiter getestet werden, indem ein Penetrationstester versucht, Zugang zum Büro zu bekommen und sich somit Zugriff zu Firmendaten zu verschaffen. Tests die Mitarbeiter mit einbeziehen lassen sich auch gut mit anderen Maßnahmen, wie Sicherheitsschulungen für alle Angestellten, verbinden.

  • Klärt spezifische Fragen und ermöglicht das Testen von bestimmten Risiken oder Szenarien.
  • Stellt nachweisbar dar, ob und wie eine Schwachstelle ausgenutzt werden kann.
  • Erklärt wie Schwachstellen ausgenutzt wurden und was ein Angreifer dadurch erreichen kann.
  • Lässt sich um Social-Engineering und physikalische Tests erweitern, um die Sicherheit von Bürogebäuden und Mitarbeitern zu testen.

Welche Nachteile bieten Penetrationstests?

Natürlich haben Penetrationstests auch ihre Nachteile und sind nicht für jeden Fall geeignet. Da Pentests das Ausnutzen der entdeckten Schwachstellen mit einbeziehen, entsteht für die Penetrationstester ein höherer Aufwand gegenüber, beispielsweise, einer Schwachstellenanalyse. Aufgrund dieses erhöhten Aufwands dauern Penetrationstests meist länger und sind entsprechend teurer. Daher eignen sie sich auch nicht, um möglichst viele Schwachstellen aufzudecken. Für eine erste Untersuchung eines Servers oder einer Anwendung ist eine Schwachstellenanalyse oder ein Schwachstellenscan meist besser geeignet. Ein weiterer Nachteil ist, dass viele Anbieter andere Sicherheitsscans unter dem Begriff Penetrationstest verkaufen, was dazu führen kann, dass zwar ein Pentest beauftragt wurde, jedoch stattdessen eine Schwachstellenanalyse oder, in extremen Fällen, ein Schwachstellenscan durchgeführt wurde.

  • Sind aufwändiger und eignen sich nicht um viele Schwachstellen aufzudecken
  • Können u.U. teurer ausfallen als alternative Sicherheitstests
  • Andere Sicherheitstests werden oft als Penetrationstests verkauft

Worauf sollte man bei einem Pentest achten?

Leider unterscheiden viele Anbieter namentlich nicht mehr zwischen diesen Tests, da sich diese unter als "Penetrationstest" am besten verkaufen. Gerade deshalb wollen wir mit gutem Beispiel vorangehen und die unterschiedlichen Sicherheitstests möglichst klar darstellen. Jeder Test hat seine Vor- und Nachteile und es wäre falsch, diese alle in die gleiche Schublade zu stecken. Wer einen Pentest in Auftrag geben will, sollte auf jeden Fall die folgenden Punkte klären.

  • Macht der Anbieter einen seriösen Eindruck?
  • Hat der Anbieter erklärt, was er unter einem Pentest versteht und wie dieser Abläuft?
  • Wurde eindeutig klar gemacht, was getestet wird und unter welchen Bedingungen?
    • Umfang: Wurden die zu testende und vom Test ausgeschlossene Systeme klar definiert?
    • Zeitraum: An welchen Tagen und zu welchen Uhrzeiten darf getestet werden?
    • Quelle: Von welchen IP-Adressen werden Tests durchgeführt?
    • Kontakt: Wie können die Penetrationstester im Notfall erreicht werden?
    • Ziel: Was ist das Ziel des Sicherheitstests und stimmt dieses mit der gewählten Testtypen überein?
  • Wurde festgelegt, was im abschließenden Bericht enthalten ist?
    • Zusammenfassung der Ergebnisse
    • Detaillierte Beschreibung der Schwachstellen
    • Risikoeinschätzung der Schwachstellen
    • Ablauf des simulierten Angriffs
    • Hinweise zur Beseitigung der Schwachstellen

Sie haben Fragen zu Penetrationstests oder anderen Sicherheitstests? Kontaktieren Sie uns gerne jederzeit oder nutzen Sie die Kommentarfunktion, wir melden uns bei Ihnen so schnell wie möglich, um Ihre Fragen zu klären. Unsere Angebote rund um das Thema finden Sie unter der Seite Sicherheitstests.