Pentesting
Begriffsbeschreibung Pentesting
Pentesting oder auch Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest eines einzelnen informationstechnischen Systems oder einer zusammenhängenden Einheit von diesen.
Ein Pentest kann also sowohl auf einen einzelnen Computer oder Router, als auch auf ein ganzes Netzwerk erfolgen. Dabei bedient sich der Untersuchende an Mitteln und Methoden, die auch ein Angreifer benutzen würde, um Schwachstellen zu ermitteln, welche die Sicherheit des Unternehmens gefährden. Aus den Ergebnissen eines Pentests werden in der Regel Strategien und Lösungen entwickelt, wie diese Angriffsmuster effektiv abzuwehren sind.
Abgrenzung von Pentesting zum Vulnerability Scan
Die Schwachstellen Analyse (Vulnerability Scan) ist, zumindest im Wortsinn des englischen Fachbegriffs, ein i.d.R vollautomatisch ablaufender Vorgang welcher z.B. durch eine Firewall, einen Virenschutz oder durch Managed Services erfolgt. Beim Pentesting wird zunächst die Schutzhöhe bzw. der Schutzbedarf ermittelt, dann wird eine Angriffsmatrix anhand einer vorhandenen Infrastrukturanalyse oder Netzwerkdokumentation erstellt und schließlich werden die geeigneten Werkzeuge für die Durchführung ausgewählt.
Testaufbau
Wir stellen, anhand des Klassifikationsschemas des Bundesamt für Sicherheit in der Informationstechnik (BSI), ein auf den Kunden zugeschnittenes Testverfahren zusammen. Dabei werden i.d.R die Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik und Ausgangspunkt berücksichtigt. Wir bedienen uns dabei Werkzeugen aus der BSI OSS Security Suite und aus dem OpenVAS Framework.
Typische Anwendungsbereiche von Penetrationstests
In den folgenden Teilbereichen führen wir in Unternehmen am häufigsten Pentesting durch:
- WLAN Sicherheit – Netzwerkscan zur Ermittlung von IoT Geräten, Prüfung von Access-Points auf Firmware, Passwortsicherheit, parasitäre Abstrahlung
- Website-Prüfung – Sicherheitscheck des Hosting-Servers, Zugangsmöglichkeiten, DDOS-Simulation
- Social Engineering – Test der Mitarbeiter Awareness, simulierter Trojaner Angriff
- Bedarfsfeststellungen zur Durchführung eines Pentests werden oft im Rahmen einer ISO27001 Zertifizierungen getroffen, gelegentlich aber auch von Datenschutzbeauftragten angeordnet oder im Rahmen einer ISO900X Re-Zertifizierung durchgeführt.
Rechtliches
Wir führen Pentests nur nach ausdrücklicher Befugnis-Erklärung des zu prüfenden Unternehmens durch. Das Prüfungsverfahren legen wir dabei zusammen mit dem Auftraggeber fest, vor Beginn des/der Tests erhält er eine Prozessbeschreibung zur Durchführung. Die genauen rechtlichen Voraussetzungen ergeben sich durch den Prüfgegenstand den wir, in Zusammenarbeit mit dem jeweiligen Auftraggeber, abstimmen.