Uhr

IT-Sicherheit: Was ist ein Pentest?

Der Pentest, oder auch Penetrationstest, ist eine spezielle Technik in der IT-Sicherheit. Bei einem solchen Test wird ein Netzwerk ausgiebig auf Sicherheitslücken getestet. Das Besondere an einem Pentest ist, dass Angriffe von Hackern unter realen Bedingungen simuliert werden. Es gibt eine Reihe von verschiedenen Varianten, die jeweils unterschiedliche Ziele haben.

Computerkriminalität für das Presseportal; Quelle: Adobe Stock / REDPIXEL (Foto) Suche
Computerkriminalität für das Presseportal; Quelle: Adobe Stock / REDPIXEL Bild: Adobe Stock / REDPIXEL

Welche Arten von Pentest gibt es?

Es gibt zahlreiche verschiedene Techniken für die Durchführung eines Penetrationstests. Das Ziel ist es immer, Schwachpunkte in der IT ausfindig zu machen, die als Eingangstor für einen Cyberangriff dienen können. Diese Arten von Penetrationstests zählen zu den häufigsten Varianten:

  • Pentest der IT-Infrastruktur
  • Black Box/White Box/Grey Box
  • Red Teaming
  • Social Engineering

Unternehmen haben die Möglichkeit, spezifisch einige dieser Methoden bei einem Pentest anzufragen. Alternativ werden mehrere Formen in einem umfangreichen Testablauf durchgeführt. Der konkrete Ablauf eines Pentests wird immer individuell abgesprochen. So erfährt der Eigentümer der IT-Infrastruktur genau, welche Systeme auf welche Weise getestet werden. Dies gehört zur Vorbereitung des Pentests.

Eine Ausnahme bildet das Red Teaming. Hierbei gehen die Pentester unangekündigt vor und nutzen meist die gesamte Bandbreite der zur Verfügung stehenden Angriffsmethoden. Dies ist der Pentest, der den realen Bedrohungen am nächsten ist.

Pentests der Infrastruktur beziehen sich immer auf bestimmte Systeme oder Programme. So lokalisieren die IT-Sicherheitsexperten die Systeme mit Portscans und testen, ob diese sicher sind. Getestet werden unter anderem Firewalls, Anwendungen und Serversysteme sowie die Sicherheit von Nutzerkonten. Aufgedeckt werden Schwächen, wenn Systeme Informationen liefern, die sie nicht sollten, oder es Schwachstellen gibt, die einen Einbruch in das Netzwerk ermöglichen.

Bei den Black-, White- und Grey-Box-Tests steht den Sicherheitsexperten, die als Pentester agieren, ein unterschiedliches Level an Informationen über die Systeme bereit. Beim Black Box Test stehen ihnen keinerlei Informationen zur Verfügung. Die Tester versuchen also, die Netzwerkinfrastruktur eigenständig auszukundschaften und suchen auf diesem Weg nach Schwachstellen. Hacker gehen in der Realität ähnlich vor, wenn sie Netzwerke infiltrieren und Informationen sammeln.

Der White Box Test ist das Gegenteil dazu. Hier erhalten die Tester alle Informationen über die Systeme, beispielsweise die IP-Adressen der Server und welche Anwendungen vorhanden sind. Auf diese Weise erfolgt ein tiefgreifender Test aller vorhandenen IT-Systeme, der vorhandene Schwächen klar aufdeckt.

Auch das Social Engineering ist Teil eines Pentests. Hier stehen nicht die IT-Systeme im Fokus, sondern die Mitarbeitenden. Hier kommt auch Phishing als Teil eines Pentests zum Einsatz. Getestet wird das Verhalten der Mitarbeitenden und ob diese ein Sicherheitsrisiko darstellen.

Was sind die Vorteile eines Penetrationstests?

Es gibt viele gute Gründe, die für einen Pentest sprechen. Dazu gehört vor allem, dass ein Penetrationstest eine Simulation unter realen Bedingungen ist. So deckt der Pentest Lücken in der IT-Sicherheit auf, die sonst verborgen bleiben.

Die Ergebnisse eines Penetrationstest sind wichtig und bilden die Grundlage für gezielte Verbesserungen der IT-Sicherheit. Dies betrifft zum einen die IT-Systeme direkt. Hier lassen sich die Konfigurationen optimieren, wenn es Schwachpunkte gibt. Zum anderen dienen die Ergebnisse auch zur Verbesserung der IT-Sicherheit im Bereich der Mitarbeitenden. Haben sich hier Schwächen gezeigt, beispielsweise bei der Reaktion auf Phishing-Versuche, sind gezielte Fortbildungen zu diesen Themen möglich.

Wie wird ein Pentest durchgeführt?

Ein Penetrationstest wird durch externe Dienstleister durchgeführt. Es gibt IT-Sicherheitsunternehmen, die sich auf den Penetrationstest spezialisiert haben.

Für hochwertige Ergebnisse ist es wichtig, auf zertifizierte Pentester zu setzen. Diese arbeiten nach den BSI-Standards und verfügen über das erforderliche Know-how. Pentests sind ein sehr spezieller Bereich der IT-Sicherheit, der besondere Fähigkeiten voraussetzt. Nur wenige IT-Spezialisten sind in der Lage, wie Hacker zu denken und zu arbeiten.

Professionelle IT-Sicherheitsdienstleister bieten zudem individuellen Service mit präziser Planung. Dies zeigt sich durch die enge Kommunikation und Beratung vor dem eigentlichen Pentest. In der Regel sind deshalb Pentest & Sicherheits-Audit miteinander kombiniert.

Bei einem Sicherheits-Audit geht es darum, die grundsätzlichen Risiken und Schwachstellen der IT-Infrastruktur zu bewerten. Über ein solches Audit erhalten Unternehmen einen klaren Überblick darüber, welche potenziellen Gefahren im eigenen Netzwerk bestehen.

Sicherheits-Audits und Penetrationstest sind Teil der IT-Sicherheitsstrategie. Sie sollten vor allem regelmäßig durchgeführt werden, da die IT-Infrastruktur einen permanenten Wandel durchläuft. So haben mobile Endgeräte und das Homeoffice in den letzten Jahren die Netzwerke verändert. Mit IoT steht die nächste Veränderung bereits an. Auch die Bedrohungslage wandelt sich laufend, denn Hacker passen ihre Angriffsmethoden immer wieder an.

Kompetente IT-Sicherheitsdienstleister berücksichtigen alle diese und weitere Punkte bei ihren Dienstleistungen. So gibt es bereits jetzt Pentests speziell für IoT-Infrastrukturen. Auch bei IT-Schwachstellenanalysen werden diese neuen Systeme spezifisch einbezogen. Gerade hier ist es wichtig, die Sicherheit zu prüfen, denn neue Lösungen sind oftmals anfällig oder werden von Unternehmen unsicher eingesetzt.

Penetrationstests und Sicherheits-Audit sind somit hilfreiche Maßnahmen, um das Sicherheitsniveau im eigenen Netzwerk zu gewährleisten sowie zu verbessern.

Für wen ist ein Penetrationstest sinnvoll?

Ein Pentest ist ein wichtiger Baustein, um die Sicherheit der eigenen IT-Infrastruktur zu gewährleisten. Zudem deckt ein solcher Test alle Bereiche der digitalen Technik ab und bezieht sogar die Mitarbeitenden mit ein. Aus diesem Grund ist ein Pentest grundsätzlich für alle Unternehmen sinnvoll.

Der Grundsatz ist, dass Unternehmen mit eigener IT-Infrastruktur von einem Pentest profitieren. Dies gilt sowohl für die lokalen Systeme On Premises, als auch für Cloud-Infrastrukturen. Umso größer das eigene Netzwerk, je anfälliger sind die Strukturen. Dann steigen die Chancen, dass an einem Punkt eine Sicherheitslücke übersehen wurde oder eine fehlerhafte Konfiguration ein potenzielles Einfallstor bietet.

Unternehmen, die von der eigenen digitalen Infrastruktur abhängig sind, sollten besonders über regelmäßige Pentests und Sicherheits-Audits nachdenken. Entdecken Hacker eine Sicherheitslücke in einem System, ist das gesamte Netzwerk in Gefahr. Eine Sicherheitslücke dient oftmals als Einfallspunkt für die Infiltration des gesamten Netzwerks. Moderne Hacker gehen vorsichtig und mit klarem Plan vor. Das Ziel ist es oftmals, mit einer Ransomware-Attacke möglichst die gesamte IT-Infrastruktur lahmzulegen. Dann wird ein Lösegeld gefordert, um den Unternehmen den Zugang zu den Daten zurückzugeben. Ein Versprechen, das meist nicht gehalten wird und oftmals gar nicht möglich ist.

Beispiele aus der Praxis zeigen, dass Unternehmen, die von einem solchen Angriff betroffen sind, oftmals wochenlang völlig zum Erliegen kommen. Es dauert teilweise sogar Monate und bedarf enormer Anstrengungen, um die IT sowie den täglichen Betrieb wieder vollkommen herzustellen. Dies kann Unternehmen sogar in den Ruin treiben. Hinzu kommen die Auswirkungen der Imageschädigung, was zu einem Kundenverlust führt. Alle diese Gründe sind gute Argumente dafür, präventiv in die IT-Sicherheit zu investieren und Penetrationstests in die eigene IT-Strategie zu integrieren.

lic/news.de