Pentesting: Nutzen, Kosten und der beste Zeitpunkt
Autor/Redakteur: Markus Robin, Geschäftsführer bei SEC Consult/gg
Sicherheitslücken in IT-Systemen, Netzwerken und Geräten zu beheben, bevor sie missbraucht werden, und Hackern damit immer einen Schritt voraus zu sein, ist die beste Prävention gegen Cyberangriffe und Datendiebstahl. Eine von vielen effizienten Methoden, um der teils gut versteckten Schwachstellen im eigenen Unternehmen Herr zu werden, ist der Penetrationstest.
Was ist Pentesting?
Bei einem Penetrationstest, kurz auch Pentest oder Pentesting genannt, werden Informations- oder IT-Systeme einer umfangreichen Überprüfung unterzogen mit dem Ziel, Schwachstellen in Applikationen, Softwarekomponenten und der Infrastruktur zu identifizieren. Der Pentest ermittelt somit die Anfälligkeit der Systeme für Cyberangriffe und deckt auf, wie und über welche Einfallstore Hacker diese penetrieren können. Dabei muss man jedoch bedenken, dass die Ergebnisse eines jeden Pentests nur eine Momentaufnahme des aktuellen Sicherheitszustandes darstellen und es daher unerlässlich ist, diesen in regelmäßigen Abständen zu wiederholen.
Im Fokus der Pentester stehen dabei sowohl klassische Sicherheitsanfälligkeiten wie Konfigurationsprobleme oder fehlende Patches, als auch bis dato unbekannte undokumentierte Sicherheitslücken, sogenannte Zero-Day-Schwachstellen. Anders als Softwareentwickler verfolgen Pentester eine ähnliche Denkweise wie Hacker und greifen bei ihrer Sicherheitsüberprüfung auf Methoden und Techniken zurück, die auch professionelle Cyberkriminelle einsetzen, um unautorisiert in ein System einzudringen.
Welche Arten von Pentests gibt es und sind alle gleich effektiv?
Obwohl die Absicht hinter einem Penetrationstest stets die gleiche ist, nämlich ein Informationssystem in einem bestimmten Umfang auf Sicherheitslücken hin zu untersuchen, so hängt das zu erwartende Ergebnis von der Methodik und Vorgehensweise des Pentesters ab und fällt dementsprechend immer unterschiedlich aus. Bei einem Black-Box-Ansatz hat das Pentesting-Team kein Vorwissen über interne Systeme und simuliert, was ein externer Hacker aus öffentlich verfügbaren Daten wissen würde. Beim „White Box“-Test hingegen hat der Tester bereits detaillierte Vorkenntnisse über Systeminterna und kann deutlich effizienter arbeiten, weil Informationen nicht mühsam selbst gesucht werden müssen. Der Mittelweg ist der sogenannte „Gray Box“ -Test, bei welchem dem Experten nicht alle Informationen, sondern nur ein Subset bekannt ist.
Die höchste Ergebnisqualität liefert indes der Glass-Box-Sicherheitsaudit. Hierunter versteht man einen Pentest mit einer (manuellen) Bewertung der unternehmenskritischen Teile des zugehörigen Quellcodes. Zu den besonders sensiblen Bereichen zählen etwa Datenbankverbindungen, Anmeldeverfahren, die Integration externer Quellen oder eine zentrale Eingabe- und Ausgabevalidierung.
