Was ist ein Penetration Test?

Artikel von Gunter Born am 3. März 2022 um 18:02 Uhr im Forum Sicherheit & Datenschutz - Kategorie: IT & Sicherheit

Schlagworte:

Was ist ein Penetration Test?

3. März 2022     Kategorie: IT & Sicherheit
Ein Penetration Test ist eine sorgfältige und geplante Überprüfung eines Systems auf Schwachstellen und Sicherheitslücken gemäß des DevSecOps. Dabei werden bekannte Schwachstellen überprüft und etablierte Angriffsvektoren auf Durchlässigkeit überprüft. Auf diese Weise kann man die Sicherheit der IT-Infrastruktur gewährleisten und so hohe Strafen und Betriebsausfälle zu vermeiden.


coding-html.jpg
Sicherheitslücken für Angriffe finden sich auch im HTML-Code

Wie funktioniert ein Penetration Test?


Bei einem solchen Test geht man äußerst methodisch vor. Durch langjährige Erfahrung sind viele Schwachstellen heute bekannt. Außerdem werden Hackerangriffe, die neue Schwachstellen aufdecken, protokolliert und mit anderen Securityexperten geteilt, sodass das Wissen über Schwachstellen beständig wächst.

Bei einem Test geht man systematisch alle bekannten Schwachstellen eines Systems durch und greift diese, wie bei einem Hackerangriff, an und versucht das System zu "knacken". Gelingt es in das System einzudringen, so weiß man, dass diese Schwachstelle nicht sicher ist und Gegenmaßnahmen ergriffen werden müssen. Danach wird die nächste Schwachstelle getestet. Auf diese Weise findet man alle Lücken im System und kann so sicherstellen, dass das System sicher ist.

Welche Vorteile hat ein Penetration Test?


Der größte Vorteil ist, dass man nach einem Penetration Test genau weiß, wo Schwachstellen im System vorhanden sind, die man nach dem DevSecOPs-Prinzip noch schließen muss. Wenn man diese Tests regelmäßig durchführt, so kann man langfristig ein sicheres System unterhalten, das vor Angriffen gefeit ist. Im Gegensatz zum operativen Geschäft erwirtschaftet ein Penetration Test nicht direkt Geld, sondern bewahrt viel mehr vor Schaden. Es geht also vielmehr darum, wie viel Geld man gespart hat. Wenn man sich einmal vorstellt, wie viel Umsatz man verliert, wenn einmal der Betrieb stillsteht, erscheinen die Kosten für einen solchen Test nicht mehr hoch. Außerdem kann man auf diese Weise Bußgelder vermeiden, die drohen, wenn man die Daten der Nutzer oder Kunden nicht ausreichend schützt.

Internes oder externes Testing?


Viele Unternehmen stellen sich oft die Frage, ob man Penetration Tests von einer internen Abteilung oder einem externen Experten durchführen lassen soll. Dabei hat beides seine ganz eigenen Vorteile. So ist eine interne Abteilung, die sich immer wieder mit dem eigenen System beschäftigt, mit diesem bestens vertraut und weiß aus diesem Grund um jede Schwachstelle und um jeden versteckten Winkel im eigenen System. Auf der anderen Seite stellt sich dann aber oft eine gewisse Betriebsblindheit ein, sodass potenzielle Schwachstellen vielleicht übersehen werden. So etwas passiert einem externen Experten nicht, dafür verursacht dieser jedoch meist höhere Kosten.

Welcher Zusammenhang besteht zu Hackerangriffen?


Erstmal besteht kein direkter Zusammenhang. Penetration Testing dient dem Schutz vor genau diesen Angriffen. Allerdings sind viele Experten der IT-Security Branche früher einmal Hacker gewesen, die sich heute darauf spezialisiert haben, diese Angriffe zu verhindern, anstatt sie durchzuführen. Dabei verfügen gerade diese Experten über besonders tiefgehendes Expertenwissen, das sie zu geschätzten Koryphäen der Branche macht. Aber im Allgemeinen kann man sagen, dass außer dem Vorgehen und den verwendeten Mitteln keinerlei Zusammenhang besteht.

Öffentliche Penetration Tests


Es gibt auch eine Form des öffentlichen Penetration Testings. Viele Unternehmen, Organisationen und Behörden schreiben Preisgelder für gefundene Sicherheitslücken aus. Das wird "Bug Bounty" genannt und es gibt viele Menschen und ehemalige Hacker, die sich damit beschäftigen und durchaus viel Geld verdienen können. Da es hierbei meist nicht um spezielle Angriffsvektoren geht, sondern allgemein darum Schwachstellen zu finden, sind diese "Bug Bounties" auch für die Branche wichtig, da so immer wieder neue Schwachstellen gefunden werden, die anschließend geschlossen werden können.