Penetration Testing – Ein simulierter Cyberangriff

Definition, Phasen & Vorteile
Penetration Test, Cybersecurity

Juni 2023

Penetration Testing – Ein simulierter Cyberangriff

Posted at 10:00h Software Delivery by
Viele Unternehmen überprüfen ihre Softwaresicherheit durch sogenannte Penetration Tests. Aber nicht jedes Unternehmen weiß, was das genau ist und welche Vorteile dieser Test bietet. Im Folgenden werde ich Ihnen „Penetration Testing“ genauer erklären.

Was ist ein Penetration Test?

Ein Penetration Test oder auch „Pen Test“ genannt ist ein simulierter Cyberangriff auf z.B. Software oder Infrastruktur innerhalb eines Unternehmens, um Sicherheitslücken zu finden oder Schutzmaßnahmen zu umgehen. Dabei werden die gleichen Tools eingesetzt, die ein Black-Hat-Hacker auch verwendet. Der Unterschied ist, dass Pen Tester dem Unternehmen helfen Sicherheitslücken zu finden und diese nicht ausnutzen. Am Ende eines Pen Tests gibt das Pen Testing Team dem Unternehmen eine Liste mit allen gefundenen Sicherheitsrisiken. Um die Behebung der Lücken kümmert sich anschließend das Unternehmen selbst.

Welche Typen von Penetration Tests gibt es?

Insgesamt gibt es 10 unterschiedliche Arten von Penetration Tests, die zwei übergreifenden Kategorien zugeordnet werden: Hardware-/Software-Tests und die Social Engineering Tests.

Bei den Hardware-/Software-Tests wird versucht, Sicherheitslücken in Systemen (zum Beispiel Webanwendungen oder IoT-Geräten) zu finden, während bei Social Engineering Tests die Mitarbeitenden des Unternehmens im Mittelpunkt stehen, denen sensible Informationen wie zum Beispiel Passwörter oder geheime Dokumente entlockt werden sollen.

Welche Phasen gibt es bei einem Penetration Test?

Bei einem Penetration Test gibt es insgesamt 5 Phasen: Reconnaissance, Scanning, Vulnerability
Assessment, Exploitation und Reporting.

1. Reconnaissance (Aufklärung):

In dieser Phase werden Informationen über das anzugreifende Ziel gesammelt. Dabei werden Daten über das Netzwerk, das Betriebssystem, die Anwendungen und die Nutzeraccounts gesammelt.
Man unterscheidet zwischen der aktiven und passiven Reconnaissance. Passiv bedeutet, dass die gewonnenen Informationen aus öffentlich zugänglichen Quellen geholt werden., aktiv hingegen, dass das Zielsystem vom Pen Tester direkt angesprochen wird.

2. Scanning:

Beim Scannen eines Zielsystems wird der Network Traffic durchsucht und alle offenen Ports identifiziert. Hacker können über diese Ports bestimmte Angriffe auf ein System ausführen.

3. Vulnerability (Schwachstellen) Assessment:

In Phase drei werden die Informationen aus Phase eins und zwei genutzt, um Schwachstellen im getesteten System zu finden.

4. Exploitation:

Nun wird versucht, die gefundenen Schwachstellen auszunutzen, um Zugang zum Zielsystem zu bekommen.

5. Reporting:

Die letzte Phase ist das Erstellen eines Dokumentes, indem alle gefundenen Probleme und Schwachstellen aufgelistet werden. Mit diesem Dokument kann das Unternehmen im Anschluss an den Penetration Test die gefundenen Schwachstellen beheben.

Vorteile eines Penetration Tests

Sicherheitslücken in Anwendungen oder Infrastruktur können sehr gefährlich und teuer sein. Durch das Durchführen eines Penetration Tests können Fehler erkannt und schnell behoben werden. Dadurch ist es Hackern weniger leicht möglich, Nutzerdaten vom Unternehmen zu entwenden. Außerdem können dadurch Developer und Administrator:innen auf bestimmte Szenarien aufmerksam gemacht werden.

Fazit

Alles in allem ist es immer von Vorteil, wenn in regelmäßigen Abständen ein System auf Sicherheitslücken überprüft wird, um die Sicherheit und Verfügbarkeit vom System auf lange Sicht zu gewährleisten.
Sven Hilsmann

Autor

Sven Kirchner
Advanced Software Developer & Security Experte

Tags: