{"id":15638,"date":"2020-02-11T11:34:00","date_gmt":"2020-02-11T10:34:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15638"},"modified":"2020-02-04T10:40:52","modified_gmt":"2020-02-04T09:40:52","slug":"pentesting-nutzen-kosten-und-der-beste-zeitpunkt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15638","title":{"rendered":"Pentesting: Nutzen, Kosten und der beste Zeitpunkt"},"content":{"rendered":"\n

Autor\/Redakteur: Markus Robin, Gesch\u00e4ftsf\u00fchrer bei SEC Consult<\/a>\/gg<\/p>\n\n\n\n

Sicherheitsl\u00fccken in IT-Systemen, Netzwerken und Ger\u00e4ten zu beheben, bevor sie missbraucht werden, und Hackern damit immer einen Schritt voraus zu sein, ist die beste Pr\u00e4vention gegen Cyberangriffe und Datendiebstahl. Eine von vielen effizienten Methoden, um der teils gut versteckten Schwachstellen im eigenen Unternehmen Herr zu werden, ist der Penetrationstest.<\/p>\n\n\n\n

\"\"
Bild: SEC Consult<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Was\nist Pentesting?<\/strong><\/p>\n\n\n\n

Bei einem Penetrationstest, kurz auch Pentest oder Pentesting genannt, werden Informations- oder IT-Systeme einer umfangreichen \u00dcberpr\u00fcfung unterzogen mit dem Ziel, Schwachstellen in Applikationen, Softwarekomponenten und der Infrastruktur zu identifizieren. Der Pentest ermittelt somit die Anf\u00e4lligkeit der Systeme f\u00fcr Cyberangriffe und deckt auf, wie und \u00fcber welche Einfallstore Hacker diese penetrieren k\u00f6nnen. Dabei muss man jedoch bedenken, dass die Ergebnisse eines jeden Pentests nur eine Momentaufnahme des aktuellen Sicherheitszustandes darstellen und es daher unerl\u00e4sslich ist, diesen in regelm\u00e4\u00dfigen Abst\u00e4nden zu wiederholen.<\/p>\n\n\n\n

Im Fokus der Pentester stehen dabei sowohl klassische Sicherheitsanf\u00e4lligkeiten wie Konfigurationsprobleme oder fehlende Patches, als auch bis dato unbekannte undokumentierte Sicherheitsl\u00fccken, sogenannte Zero-Day-Schwachstellen. Anders als Softwareentwickler verfolgen Pentester eine \u00e4hnliche Denkweise wie Hacker und greifen bei ihrer Sicherheits\u00fcberpr\u00fcfung auf Methoden und Techniken zur\u00fcck, die auch professionelle Cyberkriminelle einsetzen, um unautorisiert in ein System einzudringen.<\/p>\n\n\n\n

\"\"
Bild: SEC Consult<\/figcaption><\/figure>\n\n\n\n

Welche\nArten von Pentests gibt es und sind alle gleich effektiv?<\/strong><\/p>\n\n\n\n

Obwohl die Absicht hinter einem Penetrationstest stets die gleiche ist, n\u00e4mlich ein Informationssystem in einem bestimmten Umfang auf Sicherheitsl\u00fccken hin zu untersuchen, so h\u00e4ngt das zu erwartende Ergebnis von der Methodik und Vorgehensweise des Pentesters ab und f\u00e4llt dementsprechend immer unterschiedlich aus. Bei einem Black-Box-Ansatz hat das Pentesting-Team kein Vorwissen \u00fcber interne Systeme und simuliert, was ein externer Hacker aus \u00f6ffentlich verf\u00fcgbaren Daten wissen w\u00fcrde.\u00a0Beim \u201eWhite Box\u201c-Test hingegen hat\u00a0der Tester bereits detaillierte Vorkenntnisse \u00fcber Systeminterna und kann deutlich effizienter arbeiten, weil Informationen nicht m\u00fchsam selbst gesucht werden m\u00fcssen.\u00a0Der Mittelweg ist der sogenannte \u201eGray Box\u201c -Test, bei welchem dem Experten nicht alle Informationen, sondern nur ein Subset bekannt ist.<\/p>\n\n\n\n

Die h\u00f6chste Ergebnisqualit\u00e4t liefert indes der Glass-Box-Sicherheitsaudit. Hierunter versteht man einen Pentest mit einer (manuellen) Bewertung der unternehmenskritischen Teile des zugeh\u00f6rigen Quellcodes. Zu den besonders sensiblen Bereichen z\u00e4hlen etwa Datenbankverbindungen, Anmeldeverfahren, die Integration externer Quellen oder eine zentrale Eingabe- und Ausgabevalidierung. <\/p>\n\n\n\n\n\n\n\n

Wann\nist der beste Zeitpunkt f\u00fcr einen Pentest?<\/strong><\/p>\n\n\n\n

Grunds\u00e4tzlich\nk\u00f6nnen Penetrationstests in allen Phasen der Entwicklung oder Bereitstellung\nvon Softwareprogrammen durchgef\u00fchrt werden und doch gibt es bessere und\nschlechtere Zeitpunkte f\u00fcr eine solche \u00dcberpr\u00fcfung. In vielen Unternehmen\npassieren Pentests w\u00e4hrend der funktionellen Endabnahme der in der Entwicklung\nbefindlichen Software, das hei\u00dft kurz vor der Live-Produktion. Dies ist strategisch\ngesehen jedoch kein guter Moment, da die letzten Wochen eines\nSoftwareentwicklungsprojekts \u2013 auch ohne eine zus\u00e4tzlicheSicherheits\u00fcberpr\u00fcfung\n\u2013 in der Regel schon hektisch genug sind. Dar\u00fcber hinaus k\u00f6nnte die Behebung\nder beim Test identifizierter Schwachstellen zu einer unerwarteten Verz\u00f6gerung\nf\u00fchren. Bei architektonischen Problemen kann es im schlimmsten Fall zu\nerheblichen Nacharbeiten kommen, die kostspielig, zeitaufwendig und mit\nUmsatzeinbu\u00dfen verbunden sein k\u00f6nnen. <\/p>\n\n\n\n

Sinnvoller\nist es, den ersten Pentest bereits nach Entwicklung des Prototypen oder dem\nMinimum Viable Product (MVP) anzusetzen. Nach Fertigstellung des\nRelease-Kandidaten und bevor der Produktivbetrieb aufgenommen wird, w\u00fcrde dann\neine zweite \u00dcberpr\u00fcfung durchgef\u00fchrt werden. Dieser schrittweise Ansatz hat\nsich als Best Practice in der Branche etabliert und ist die kosteng\u00fcnstigste\nMethode zur Minimierung der mit der Anwendungsentwicklung verbundenen Risiken.<\/p>\n\n\n\n

Was\nkostet ein Pentesting?<\/strong><\/p>\n\n\n\n

Je komplexer und kritischer das zu \u00fcberpr\u00fcfende System oder die zu \u00fcberpr\u00fcfende Anwendung ist, desto h\u00f6her sollte das Zeit- und Finanzierungsbudget f\u00fcr den Pentest ausfallen. Bei der Festlegung des Budgets sollte man dabei auch den Konfigurations- und Koordinationsaufwand im Blick haben, den ein solches Projekt erfordert, bevor der eigentliche Test beginnen kann. <\/p>\n\n\n\n

\"\"
Bild: SEC Consult<\/figcaption><\/figure>\n\n\n\n

Die\nDauer der Test-Durchf\u00fchrung h\u00e4ngt letztlich vom Unternehmen und dem Projekt ab:\nSo kann der Pentest einer Web-Applikation in der Regel in ein paar Tagen\ndurchgef\u00fchrt werden, w\u00e4hrend zum Beispiel das Testing eines\nKundendienst-Helpdesks eines gro\u00dfen Telekommunikationsunternehmens mehrere Wochen\ndauern kann. Ein 360 Grad-Pentest f\u00fcr ein DAX-Unternehmen kann wiederum leicht\nbis zu einer dreistelligen Anzahl von Tagen in Anspruch nehmen. Ber\u00fccksichtigen\nSie dabei immer die Kritikalit\u00e4t Ihrer Anwendung und rechnen Sie mit den in der\nIT-Branche lokal \u00fcblichen Tagess\u00e4tzen. Auf diese Weise l\u00e4sst sich grob\neinsch\u00e4tzen, was einen finanziell erwartet.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Ein Pentest ist eine effektive und relativ kosteng\u00fcnstige Ma\u00dfnahme, um den Sicherheitsstatus von Anwendungen zu bewerten. Er liefert Unternehmen die Transparenz und Objektivit\u00e4t, die sie brauchen, um bestehende Sicherheitsl\u00fccken zu identifizieren, und ist damit eine wichtige Ma\u00dfnahme f\u00fcr die Einhaltung gesetzlicher Vorschriften. Wie eingangs bereits erw\u00e4hnt, stellen die Ergebnisse nur eine Momentaufnahme dar und machen eine kontinuierliche \u00dcberpr\u00fcfung und Optimierung der Unternehmenssicherheit und angemessene Risikomanagementprozesse nicht hinf\u00e4llig.<\/p>\n\n\n\n

Denken\nSie daran: je l\u00fcckenloser die Sicherheit Ihrer Systeme, umso frustrierenderist\nder Angriff f\u00fcr den Hacker. Im besten Fall verl\u00e4sst ihn die Motivation und er\nst\u00fcrzt sich auf ein einfacheres Ziel.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsl\u00fccken in IT-Systemen, Netzwerken und Ger\u00e4ten zu beheben, bevor sie missbraucht werden, und Hackern damit immer einen Schritt voraus zu sein, ist die beste Pr\u00e4vention gegen Cyberangriffe und Datendiebstahl. Eine von vielen effizienten Methoden, um der teils gut versteckten Schwachstellen im eigenen Unternehmen Herr zu werden, ist der Penetrationstest.<\/p>\n","protected":false},"author":3,"featured_media":15639,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[4925,3458,7768,13358,13357,36],"class_list":["post-15638","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cyberangriff","tag-datendiebstahl","tag-penetrationstest","tag-pentest","tag-sec-consult","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15638"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15638\/revisions"}],"predecessor-version":[{"id":15642,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15638\/revisions\/15642"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15639"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15638"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15638"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}