Unter einem Penetration-Test (kurz „Pentest“) versteht man in der IT-Sicherheit einen geplanten Versuch ein Unternehmen zu hacken. Dahinter steckt jedoch keine böse Absicht, sondern der Auftrag Sicherheitslücken gezielt zu entdecken, bevor diese von kriminell motivierten Hackern gefunden werden.
Wir erklären Ihnen heute die unterschiedlichen Arten von Penetration-Tests und gehen der Frage nach, unter welchen Umständen diese sinnvoll sind.
Welche Arten von Pentests gibt es?
Alle unterschiedlichen Arten an Penetration-Tests hier aufzulisten würde etwas den Rahmen sprengen. Wir möchten Ihnen deshalb die größeren Kategorien vorstellen, unter die die meisten Pentests fallen.
Zunächst unterscheidet man zwischen „Blackbox“, „Greybox“ und „Whitebox“ Pentests. Je nach Art bekommt der Tester* über das Unternehmen.
Blackbox Pentest
Der Pentester hat keine Informationen über sein Ziel. Durch den Kunden wird ein Zeitlimit vorgegeben und der Tester versucht innerhalb dieser Zeit in das interne Unternehmensnetzwerk zu gelangen und Informationen abzugreifen.
Vorteil: Dieser Test simuliert am ehesten einen echten Angriff.
Nachteil: Der Test ist sehr zeitaufwendig und kann damit recht kostenintensiv werden. Außerdem werden durch das Zeitlimit selten alle Lücken gefunden
Whitebox Pentest
Es werden vorab alle Informationen zur IT Infrastruktur gegeben.
Vorteil: Der Pentester kann effizienter arbeiten und den Test genau auf die Systeme zuschneiden. Dadurch werden Lücken schneller gefunden
Nachteil: Der Test ist keine realitätsnahe Simulation eines Angriffs. Je nach Informationslage kann der Test ebenfalls sehr zeitaufwändig werde. Beispielsweise wenn Source Code überprüft werden soll und diese Prüfung weiteres Expertenwissen benötigt.
Greybox Pentest
Der Pentester hat limitierte Informationen zu den IT-Systemen des Kunden.
Vorteil: Vor allem wenn nur einzelne Systeme getestet werden sollen, helfen die Informationen und die Fokussierung bei schnelleren Ergebnissen.
Nachteil: Ein Greybox Pentest bietet die Vorteile von Black- und Whitebox Pentests in einer abgeschwächten Variante. Somit wird aber auch weder ein realistischer Angriff simuliert, noch die optimale Effizienz eines Pentests erreicht. Es kann sich als schwer herausstellen, die richtige Balance aus beidem zu treffen.
Als nächstes gibt es unterschiedliche Ausgangspunkte für einen Penetration-Test. Folgende sind die gängigsten Möglichkeiten:
Externer Penetration-Test
Extern bedeutet hier, dass der Pentester versucht von außerhalb in das innere Netzwerk des Unternehmens zu gelangen. Ziele sind dabei zunächst öffentliche zugängliche Punkte wie die Webseite oder ein öffentlicher Server. Dort wird versucht eine Lücke zu finden, um auf diese Weise in das innere System zu gelangen. Je nachdem wie der Test angelegt ist, führt dieser automatisch weiter zu einem internen Penetration-Test.
Interner Penetration-Test
Hierbei wird simuliert, was geschieht, sollte der Angreifer bereits in das eigene Netzwerk gelangt sein. Dies ist zum Beispiel der Fall, wenn vielleicht ein Mitarbeiter auf einen Phishing-Versuch hereingefallen ist. Der Pentester startet entsprechend innerhalb des Firmen-Netzwerkes mit einfachen Mitarbeiter-Rechten. Nun versucht er von hier aus möglichst zeitnah und ohne aufzufallen Admin-Rechte zu erhalten.
Web Application Penetration-Test
Webanwendungen sind oft die Schnittstelle zwischen Kunden und Unternehmen und werden dabei gern von Angreifern genutzt, um Schwachstellen zu finden und sensible Kundendaten zu erbeuten. Bei einem Web Application Pentest wird versucht genau hier anzusetzen und Sicherheitslücken zu finden.
Wireless Penetration-Test
Wie der Name es vermuten lässt, geht es bei diesem Test vorrangig um die Sicherheit des eigenen WLANs. Dabei wird versucht, über ein nicht autorisiertes Gerät Zugang zum WLAN zu bekommen und von dort aus tiefer in das System vorzudringen.
Social Engineering Test
Dieser Test läuft etwas anders als die vorherigen ab. Im Gegensatz zu den anderen geht es hier nämlich nicht primär darum, die Sicherheitstechnik zu überprüfen. Stattdessen liegt die Aufmerksamkeit auf der nahezu größten Schwachstelle: dem Menschen. Der Angreifer versucht bei diesem Pentest, sich über Phishing-Mails und andere Social Engineering Methoden Zugang zum System zu verschaffen. Wie beim externen Penetration-Test ist der Test fertig, wenn der Angreifer es in einen Mitarbeiter Account geschafft hat oder geht über in einen internen Pentest.
Für wen sind Penetration-Tests sinnvoll?
Tendentiell eignen sich Pentests für jede Firma, die bereits andere Sicherheitsmaßnahmen umgesetzt hat und nun Lücken finden möchte. Wenn Ihr Unternehmen erst damit beginnt wichtige Grundlagen wie eine Firewall oder Endpointprotection zu implementieren, ist ein Penetration-Test noch nicht sinnvoll. Besser ist es sie als Überprüfung anzusehen, um offene Stellen zu identifizieren und das Risiko eines Sicherheitsvorfalles noch weiter zu minimieren.
Mittlerweile sind Penetration-Test für viele Unternehmen ein wesentlicher Bestandteil der Sicherheitsstrategie. Sie dienen dazu Sicherheitslücken in der IT-Infrastruktur möglichst frühzeitig zu entdecken und somit Cyberkriminellen zuvor zu kommen. Dadurch wird das Risiko eines Sicherheitsvorfalls deutlich minimiert und enormen finanziellen Schäden durch einen Angriff kann vorgebeugt werden.
Für manche Firmen sind Pentests sogar mittlerweile regulatorisch vorgegeben. Mit Umsetzung der NIS2 Richtlinie wird dies noch mehr Unternehmen betreffen.
Wann und wie oft sollte ein Penetration-Test durchgeführt werden?
Es ist wichtig zu erkennen, dass nur regelmäßige Pentests dabei helfen, eine solide Sicherheitsinfrastruktur aufzubauen. Die IT in Unternehmen ist in der Regel durchgehenden Änderungen und Anpassungen unterworfen. Jede davon kann zu einer neuen Sicherheitslücke führen. Wir raten deshalb dazu, mindestens einmal im Jahr einen Pentest durchzuführen. Auch nach größeren Systemänderungen und Updates kann es sinnvoll sein, einen Test durchzuführen.
Nur mit regelmäßigen Pentests schaffen Sie es Angreifern einen Schritt voraus zu sein und Sicherheitslücken frühzeitig zu erkennen.
Sie sind immer noch unsicher, ob ein Penetration-Test für Ihr Unternehmen sinnvoll ist? Kontaktieren Sie uns gern und wir beraten Sie zu Ihren Möglichkeiten.
*In diesem Beitrag wird für die einfachere Lesbarkeit der Begriff „Tester“ beziehungsweise „Pentester“ verwendet. Wir möchten jedoch betonen, dass dieser sich nicht auf ein bestimmtes Geschlecht bezieht.