So funktioniert ein Penetrationstest

Das Zeitalter der Digitalisierung verändert alles. So auch den Arbeitsalltag und die Art und Weise, wie eine Firma funktioniert. Immer mehr Daten auf Festplatten und Servern bieten eine riesige Angriffsfläche, doch kann man auch diese verkleinern. Dies geht mithilfe eines Penetrationstests.

Darum braucht man einen Pentest

Ein Pentest oder auch Penetrationstest ist ein Test, welcher auf den betriebsinternen Systemen durchgeführt wird. Hier geht es darum, mögliche Angriffsflächen ausfindig zu machen.

Nötig ist das, weil die Menge an Daten und so auch die ganze IT-Abteilung immer schneller wächst.
Als Arbeitgeber beziehungsweise als ganze Firma ist es hier schwer, den Überblick zu behalten, da man selbst selten ein Experte auf diesem Gebiet ist. Die angestellten IT-Spezialisten sind hingegen häufig unterbesetzt, was es den Sicherheitslücken leichter macht, übersehen zu werden und wiederum Dritten umso leichter, diese auszunutzen.

So funktioniert ein Penetrationstest
Bild von Jan Alexander auf Pixabay

Hier geht es darum sensible Daten, Firmengeheimnisse und private Informationen vor “Dritten” zu schützen. Diese “Dritten” können sowohl Personen sein, die der Firma schaden wollen, sich bereichern möchten oder bloß gerne Chaos stiften. Eine gut ausgebaute Sicherheit ist also ein Muss.

So wird der Test durchgeführt

Um einen Pentest durchzuführen, wird eine externe Firma beauftragt. Diese fordert und testet das System durch eine Penetration. Test um Test wird nun Schwachstelle nach Schwachstelle aufgedeckt, welche anschließend sorgfältig protokolliert werden.

Am Ende eines jeden Pentests steht nun ein Protokoll mit einem Haufen an Sicherheitslücken und Fehlern im System, deren Kenntnis zwar von Vorteil ist, aber durch die man noch lange nicht die Fehler ausgemerzt hat. Genau dieses Ausmerzen der Fehler muss der Arbeitgeber nun selbst in die Hand nehmen. Hier haben Systemupdates ihren großen Auftritt, welche allerdings auch nur durch angemessen geschultes Personal durchgeführt werden können.

Und Personal ist ein gutes Stichwort, da dieses, um zukünftige Lücken vermeiden zu können, langfristig aufgestockt werden muss. Das kostet den Arbeitgeber Geld, doch ein Schaden durch einen Datenraub kann wiederum um einiges kostspieliger werden, wobei dieser auch noch unumkehrbar ist. Manchmal hilft auch nur das Abschalten eines Systems.

Am Anfang eines jeden Pentests steht jedoch erst einmal ein Vorgespräch. In diesem wird geklärt, worauf womöglich ein besonderes Augenmerk gerichtet werden soll und was die Firma, die den Test durchführt, darf und nicht. Dies ist vor allem bei einem Blackbox Test wichtig, doch was ist das eigentlich?

Pentest ist nicht gleich Pentest

Ein Penetrationstest kann auf verschiedene Art und Weise durchgeführt werden, damit die Wünsche und Bedürfnisse der Firma auch ideal abgedeckt sind. Hierzu kann man einen Blackbox oder Whitebox Test anfordern.

Bei dem schon angesprochenen Blackbox Test, wird mithilfe des Pentests mehr eine Simulation eines Datenraubs angestrebt. Hierzu werden dem Tester keine Informationen oder Zugangsdaten gegeben, die diesem helfen könnten. Der Tester versetzt sich also in die Lage eines Dritten oder Hackers und überprüft, was man alles ohne jegliche Informationen herausfinden kann.
Hier wird das Vorgespräch wichtig, da ein Tester, selbst wenn er sich Zutritt verschaffen könnte, nicht in alle Daten Einsicht erhalten darf.

Ein Whitebox Test funktioniert anders. Bei diesem wird dem Tester alles zur Verfügung gestellt von Passwörtern bis hin zu Plänen über den Aufbau der Server.
Hat ein Tester diese Informationen, kann er tief in die IT abtauchen und versteckte Lücken finden.
Das hat den Vorteil, dass auf den Test eine höhere Sicherheit folgen kann als durch eine Simulation.