Zum Inhalt springen

Was prüft der Pentest?

Die Durchführung eines Penetration Tests, welcher in der Kurzform auch als Pentest bezeichnet wird, dient dazu, in einem IT-System Schwachstellen aufzudecken. Auf diese Weise lässt sich die Sicherheit der IT-Infrastruktur in Unternehmen maßgeblich verbessern.

Im Zuge des Pentests können dabei beispielsweise Webanwendungen, Netzwerke, Server und einzelne Computer hinsichtlich ihrer vorhandenen Schwächen untersucht werden. Falls es nötig ist, ist ebenfalls eine Ergänzung der Penetration Tests durch Interviews mit den IT-Verantwortlichen oder einem technischen Audit möglich – so lässt sich ein besonders guter Überblick über das aktuelle Niveau der IT-Sicherheit gewinnen.

Einen Pentest zu beauftragen führt dazu, dass in Unternehmen sowohl die organisatorischen als auch die menschlichen Schwachstellen im Zusammenhang mit den genutzten IT-Systemen offengelegt werden. Im Anschluss des Pentests erfolgt außerdem eine detaillierte Dokumentation über den Status Quo.

Was bei einem Pentest im Detail überprüft wird und auf welche Arten der Penetrationstest grundsätzlich ausgeführt werden kann, zeigt der folgende Beitrag.

Was wird durch den Pentest im Detail überprüft?

Im Rahmen eines Penetrationstests der IT-Infrastruktur eines Unternehmens lassen sich Sicherheitsrisiken in VPN-Zugängen, WLAN-Netzen, Firewall und Servern feststellen. Ihre Durchführung ist dabei nicht nur in internen Büro- und Unternehmensnetzwerken möglich, sondern ebenfalls in Systemen, die extern im Internet zu erreichen sind.

Wird ein Angriff in Form eines internen Pentests durchgeführt, können beispielsweise in der Regel äußerst essentielle Erkenntnisse hinsichtlich einer sogenannten Defense-in-Depth-Strategie für die IT-Sicherheit erlangt werden. Daneben wird durch sie eine detaillierte Analyse der Vernetzung von Konten, Systemen und Standorten sowie den Active-Directory-Strukturen  – falls Windows-Betriebssysteme verwendet werden – möglich.

Daneben existieren ebenfalls Pentests für Webanwendungen, wie zum Beispiele für Portale, die der Verwaltung von Kundendaten dienen, Webshops oder Unternehmenswebseiten. Bei dieser Art des Penetrationstest stehen oft besonders die sogenannten OWASP im Fokus, also die Schwachstellen, die bei dieser Anwendungsart sehr häufig in Erscheinung treten.

Geht es bei der Durchführung des Pentests darum, Programmierschnittstellen oder Anwendungen zu überprüfen, wird auch von API- beziehungsweise Applikationstests gesprochen. Eine Untersuchung ist nicht nur in dem Bereich der Live-Systeme möglich, sondern auch die Komponenten-Konfiguration und der Quellcode lassen sich dabei testen. So wird es möglich, Schwächen in der Anwendungs-Implementierung, dem Design oder der Architektur aufzudecken. Angewendet werden die API-Tests dabei vor allem, wenn es um mobile Apps geht.

Interne und externe Pentests

Wird ein externer Pentest gewünscht, werden die Bereiche in einem Netzwerk untersucht, die öffentlich durch das Internet erreichbar sind. Die ausführende Partei nimmt damit die Rolle eines externen Angreifers ein. Für das erfolgreiche Eindringen in die IT müssen die internen Strukturen von den Testern so zum Teil erraten werden.

Anders sieht dies bei einem internen Penetrationstest aus. Der Ausführende des Pentests erhält bei diesem einen Zugang in die interne IT-Struktur. Der Hintergrund von dieser Art von Pentests besteht darin, dass ein Nutzerkonto oder ein IT-System kompromittiert wird.

Eine derartige Kompromittierung kann etwa zustande kommen, wenn schadhafte Updates an Software-Programmen vorgenommen werden, es zu erfolgreichen Phishing-Angriffen kommt oder grundlegende Schachstellen in externen Anwendungen vorliegen. Der Fokus von internen Pentests liegt daher tendenziell eher auf den fortgeschrittenen Phasen eines Angriffs. Eine wirtschaftliche Überprüfung des vorliegenden Risikos ist damit in der Tiefe möglich.