Wer wissen will, ob seine digitale Infrastruktur (Server, Netzwerk, PCs, Datenbanken) sicher vor Angriffen durch Hacker oder Bots muss, sollte einen „Penetration Test“ machen (kurz „Pentest“). Eine Art gezielter und koordinierter Belastungstest: Was hält die eigene Infrastruktur aus?
IT-Sicherheit war selten so wichtig wie in diesen Tagen. Es vergeht kaum eine Woche, in der nicht über einen erfolgreichen Hack-Angriff berichtet wird. Die weniger erfolgreichen und unentdeckten bleiben natürlich unerwähnt. Vor allem Unternehmen und Geschäftsbetriebe sollten daher immer die Sicherheit ihrer IT-Infrastruktur immer im Blick behalten.
Das Problem ist, dass die meisten keine Fachleute im eigenen Team haben und somit überhaupt nicht wissen, ob sie richtig geschützt oder womöglich sogar ein leichtes Ziel für Hacker sind.
Ein Sicherheits-Audit kann hier Abhilfe schaffen. Der sogenannte Pentest ist in Deutschland eine sinnvolle Methode. Doch was bedeutet dieser Begriff genau?
Was ist der Pentest?
Der Pentest – oder auch „Penetration Test as a Service“ ist ein Begriff aus der IT-Sicherheit.
Bei einem solchen Penetrationstest geht es darum zu prüfen, ob ein System vor einem potenziellen Hack-Angriff geschützt ist oder nicht.
Dabei gibt es verschiedene Möglichkeiten, die sich nach Art, Umfang und auch der Aggressivität der Prüfung unterscheiden. Je nachdem, für welche Möglichkeit man sich entscheidet, unterscheiden sich auch die Ergebnisse des Tests, was Risiken für den Betrieb mitbringen könnte.
Vor einem Pentest sollte immer ein IT-Experte befragt werden, der das potenzielle Risiko am besten einschätzen kann. Die verschiedenen Abstufungen sind umfangreich. Dabei geht es unter anderem um die Häufigkeit der Durchführung des Pentests aber auch die durchsuchten Systeme oder die gewünschten Ergebnisse.
Die Durchführung selbst ist das größte Problem, denn viele Pentests passen mit ihren Anforderungen nicht zu dem jeweiligen Unternehmen. Ein professionelles Audit ist daher unumgänglich, wenn man kein unnötig hohes Risiko generieren möchte.
Faktor Informationsbasis
Bei einem Pentest kann man grundsätzlich zwischen einem Black-Box- und einem White-Box-Test unterscheiden. Bei der ersten Variante geht es um einen Test, bei dem vorab keine Informationen über das getestete System vorliegen.
Damit simuliert man einen tatsächlichen Hacker-Angriff, denn diese müssen meist auch bei Null starten. Der Nachteil liegt darin, dass man mit relativ hohen Kosten nur begrenzte Ergebnisse erzielen kann. So wird z.B. die Gewinnung von IP-Adressen lange dauern und Geld kosten, obwohl man im Grunde sofort intern darauf zugreifen könnte.
Beim White-Box-Test beginnt man derweil mit einer Datengrundlage, anhand derer man gezielt weiterarbeiten kann. Man erzielt schneller Ergebnisse, man kann den ausbleibenden Teil der Informationsbeschaffung aber nicht auswerten. Bei der Wahl einer der beiden Varianten sollte man sich also vor Augen führen, wie viel Zeit und Geld man einsetzen und welche Art von Ergebnissen man am Ende erhalten möchte.
Aggressives Vorgehen
Bei einem Pentest ist der Grad der Aggressivität sehr wichtig. Bei einem passiven Vorgehen werden die gefundenen Fehler nicht genutzt. Mittelmäßig aktiv ist man, wenn man gefundene Schwachstellen teilweise ausnutzt, wenn sie z.B. das gesamte System beeinflussen könnten. Bei einem aggressiven Vorgehen sollen möglichst alle Schwachstellen ausgenutzt werden, selbst wenn dabei ein erhöhtes Risiko entsteht.
Man kann also sagen, dass mit steigender Aggressivität beim Pentest auch das Risiko für Schäden und Ausfälle steigt. Ob die gewonnenen Informationen das Risiko wert sind, muss individuell entschieden werden. Wichtig ist dabei, dass man neue Fehler finden möchte, die dann in der Folge ausgebessert werden können. Nur dann haben Zeit und Aufwand für den Pentest einen Sinn.
