Wie funk­tio­nie­ren Pen Tests?

mit Keine Kommentare

Die IT-Sicherheit muss heut­zu­tage vor allem in Unternehmen gross­ge­schrie­ben werden. Immer wieder kur­sie­ren Mel­dun­gen von grös­se­ren Hacker-Attacken, durch die grosse Schäden entstanden sind. Doch wie stellt man sicher, dass das eigene Unternehmen auf der sicheren Seite ist und keine grosse Angriffsfläche bie­tet? Ein Pen Test kann hier die rich­tige Entscheidung sein, doch wie funktionieren solche Tests über­haupt?

Penetrationstest

Was ist ein Pen­test?

Penetration Test as a Service bieten einige IT-Sicher­heits­ex­per­ten an, doch um was geht es dabei? Bei einem so­ge­nann­ten Penetrationstest geht es darum, dass durch verschie­dene Heran­gehens­weisen Sicherheits­lücken im IT-System des Auftraggebers gefunden und ausgebessert wer­den. Dadurch soll das Risiko mini­miert werden, dass eine Cyber­attacke einen grossen Schaden anrichten kann. Dazu muss aber auch gesagt werden, dass die Mängel des Systems im Rahmen des Pentests nur ausfindig gemacht und nicht behoben werden können. Die Behebung der Feh­ler erfolgt dann entweder durch einen Fach­mann oder durch das Unter­nehmen selbst.

Welche Pen­tests gibt es?

Es gibt verschiedene Formen von Pentests. Beim internen Pen­tests wird beispielsweise ge­prüft, was passieren könn­te, wenn ein potenzieller Mitarbeiter Daten stiehlt und diese zu falschen Zwecken nutzt. Der Test geht also davon aus, dass der Hacker schon eine Grund­lage an internen Daten besitzt. Bei einem externen Pentest beginnt der Test bei null. Dabei wird simuliert, dass der Hacker vorab keinerlei Informa­tionen hat, welche nicht auch öffentlich zu­gäng­lich sind. Er muss sich also einen Zugriff verschaffen, was entsprech­en­des Knowhow und Zeit in An­spruch nimmt. Blind­tests gibt es eben­falls. Bei diesen gibt es keine genauen Absprachen zwischen dem Unternehmen und dem Dienst­leis­ter. Dieser erhält lediglich den Namen und das Ein­ver­ständnis des Unter­neh­mens. Dadurch kann man auch prü­fen, wie die in­ternen IT-Fachleute auf einen Zugriff reagieren würden.

Wie läuft ein Pentest ab?

Zunächst wird der Test in der Planungsphase entworfen, was für jeden Kunden individuell geschieht. Es wird fest­ge­legt, welche Art von Test durch­ge­führt wird und welche Daten dabei zur Verfügung ste­hen. Wichtig sind am Ende na­türlich die Ergebnisse, die durch den Pentest geliefert werden sollen. In der San-Phase beginnt dann die Suche nach poten­ziellen Schwach­stellen im System und wenn eine solche gefunden wurde, wird das System in der Test­pha­se be­schossen. Dabei gibt es ver­schie­dene Methoden, wie man Cyberattacken durch­führen und simulieren kann. Wichtig ist nur, dass bei die­sem Test auch die richtigen Schwach­stellen ausfindig ge­macht werden. Nach einem Test kann noch fest­gelegt werden, ob es regel­mässig zu weiteren Tests kom­men soll oder ob es sich um eine einma­li­ge Mass­nahme ge­handelt hat.

Nach der Auswertung der Ergeb­nisse folgt dann unab­hängig vom Pentest die Ver­besserung des internen IT-Systems, so­dass die gefundenen Gefahren in der Zukunft keine Gefahr mehr dar­stellen. Gute und ausge­bildete Tester stellen nach einem Pentest einen aus­führ­lichen Bericht zusammen, an­hand dessen das Unternehmen dann weitere Schritte planen kann. Welche Variante des Pentests dabei gewählt wird, hängt von vielen verschiedenen Faktoren ab. Unter anderem ist es auch eine Zeit- und Kosten­frage. Hat der Dienst­leister schon eine Reihe von Informa­tionen, kann der Test schnell durch­geführt werden. Wenn er sich bei einem blinden oder bei einem externen Test die Grundlagen erst selbst erarbeiten muss, kann sich der Test entsprechend in die Länge ziehen.

Autor: Philipp Ochsner