Die IT-Sicherheit muss heutzutage hauptsächlich in Unternehmen grossgeschrieben werden. Immer wieder kursieren Meldungen von grösseren Hacker-Attacken, durch die grosse Schäden entstanden sind. Doch wie stellt man sicher, dass das eigene Unternehmen auf der sicheren Seite ist und keine grosse Angriffsfläche bietet? Ein PenTest kann hier die richtige Entscheidung sein, doch wie funktionieren solche Tests überhaupt?
Was ist ein Pentest?
Penetration Test as a Service bieten einige IT-Sicherheitsexperten an, doch worum geht es dabei? Bei einem sogenannten Penetrationstest geht es darum, dass durch verschiedene Herangehensweisen Sicherheitslücken im IT-System des Auftraggebers gefunden und ausgebessert werden. Dadurch soll das Risiko minimiert werden, dass eine Cyberattacke einen grossen Schaden anrichten kann. Dazu muss aber auch gesagt werden, dass die Mängel des Systems im Rahmen des Pentests nur ausfindig gemacht und nicht behoben werden können. Die Behebung der Fehler erfolgt dann entweder durch einen Fachmann oder durch das Unternehmen selbst.
Welche Pentests gibt es?
Es gibt verschiedene Formen von Pentests. Beim internen Pentests wird beispielsweise geprüft, was passieren könnte, wenn ein potenzieller Mitarbeiter Daten stiehlt und diese zu falschen Zwecken nutzt. Der Test geht also davon aus, dass der Hacker schon eine Grundlage an internen Daten besitzt. Bei einem externen Pentest beginnt der Test bei null. Dabei wird simuliert, dass der Hacker vorab keinerlei Informationen hat, welche nicht auch öffentlich zugänglich sind. Er muss sich also einen Zugriff verschaffen, was entsprechendes Know-how und Zeit in Anspruch nimmt. Blindtests gibt es ebenfalls. Bei diesen gibt es keine genauen Absprachen zwischen dem Unternehmen und dem Dienstleister. Dieser erhält lediglich den Namen und das Einverständnis des Unternehmens. Dadurch kann man auch prüfen, wie die internen IT-Fachleute auf einen Zugriff reagieren würden.
Wie läuft ein Pentest ab?
Zunächst wird der Test in der Planungsphase entworfen, was für jeden Kunden individuell geschieht. Es wird festgelegt, welche Art von Test durchgeführt wird und welche Daten dabei zur Verfügung stehen. Wichtig sind am Ende natürlich die Ergebnisse, die durch den Pentest geliefert werden sollen. In der Plan-Phase beginnt dann die Suche nach potenziellen Schwachstellen im System und wenn eine solche gefunden wurde, wird das System in der Testphase beschossen. Dabei gibt es verschiedene Methoden, wie man Cyberattacken durchführen und simulieren kann. Wichtig ist nur, dass bei diesem Test auch die richtigen Schwachstellen ausfindig gemacht werden. Nach einem Test kann noch festgelegt werden, ob es regelmässig zu weiteren Tests kommen soll oder ob es sich um eine einmalige Massnahme gehandelt hat.
Nach der Auswertung der Ergebnisse folgt dann unabhängig vom Pentest die Verbesserung des internen IT-Systems, sodass die gefundenen Gefahren in der Zukunft keine Gefahr mehr darstellen. Gute und ausgebildete Tester stellen nach einem Pentest einen ausführlichen Bericht zusammen, anhand dessen das Unternehmen dann weitere Schritte planen kann. Welche Variante des Pentests dabei gewählt wird, hängt von vielen verschiedenen Faktoren ab. Unter anderem ist es auch eine Zeit- und Kostenfrage. Hat der Dienstleister schon eine Reihe von Informationen, kann der Test schnell durchgeführt werden. Wenn er sich bei einem blinden oder bei einem externen Test die Grundlagen erst selbst erarbeiten muss, kann sich der Test entsprechend in die Länge ziehen.
Autor: Philipp Ochsner