03.08.2023 | Datenschutz & IT | ID: 1140719

Der Pentest: Schwachstellen finden, bevor es andere tun

Albert Scherzer

Die Sicherheit von IT-Systemen im Unternehmen sollte nicht auf die leichte Schulter genommen werden. Ein Pentest kann helfen, potenzielle Schwachstellen aufzudecken und diese dann zu beheben, bevor sie von Cyberkriminellen ausgenutzt werden können.

Pentest – was ist das eigentlich?

Als „Pentest“ bezeichnet man ein systematisches und methodisches Handeln, um die Sicherheit eines IT-Systems festzustellen bzw zu überprüfen. Es handelt sich dabei um den Versuch, Schwachstellen, sowohl in der Hardware, als auch in der Software ausfindig zu machen und dadurch einzudringen oder diese anderwärtig zu missbrauchen. Pentests sind sowohl seitens interner Mitarbeiter als auch durch externe, spezialisierte Dienstleister möglich. Solche Tests erweisen sich zusehends als bedeutendes Instrument, um die Sicherheit von IT-Systemen zu prüfen und sicherzustellen. Sie unterstützen insbesondere IT-affine Unternehmen, Sicherheitslücken rechtzeitig zu schließen, bevor dies durch eine echte Bedrohung von außen geschieht. 

Pentest und „Vulnerability Scans“

Durch einen Pentest (Penetrationstest) wird versucht, in ein Netzwerk, ein IT-System oder eine Anwendung einzudringen und unerlaubten Zugriff zu erlangen. Die Tester haben die Aufgabe, Schwachstellen aufzudecken, um Zugriff auf vertrauliche Informationen zu erlangen oder sogar die Kontrolle über das ganze System zu übernehmen. Im Gegensatz dazu ist ein Vulnerability Scan ist ein so genannter „Passivtest“, bei dem bereits bekannte Lücken und Schwächen in einem Netzwerk, einem System oder einem Programm auffindbar gemacht werden. Pentests sind darauf ausgerichtet, Schwachstellen aktiv zu finden und tatsächlich auszunutzen. Pentests sind grundsätzlich weitaus komplexer als simple Vulnerability Scans, da sie eine Unzahl verschiedener Prozesse einschließen, die es bezwecken, Lücken im System erstmalig zu erkennen. Außerdem können Pentests deutlich präzisere Ergebnisse liefern als simple Schwachstellen-Scans.

Einführung in die Arten der Pentests

Der Blackbox-Test im Überblick

Der Blackbox-Test zeichnet sich dadurch aus, dass der Tester keine Kenntnisse über das zu überprüfende System hat. Der Tester versucht somit ohne Vorkenntnisse, so viel wie möglich über das System herauszufinden und anschließend damit missbräuchlich zu verfahren. Der Blackbox-Test gehört zu den komplexesten Pentests, da der Tester nicht mit dem System vertraut ist. Der Grad an Realismus ist hierbei allerdings hoch, da es sich um einen simulierten Angriff handelt, der tatsächlich jeden Tag, ohne Vorwarnung, eintreten könnte.

Der Blackbox-Test empfiehlt sich insbesondere dann, wenn das System für externe Nutzer offen steht, wie etwa in Form einer Webseite oder Web-App. Dabei versucht der „Hacker“, die Seite zu hacken, indem er beispielsweise einen „SQL-Injection-Angriff“ einleitet. Auch Brute-Force-Attacken gehören zu diesem Testmodell, bei denen der Tester versucht, in Besitz des Passworts des Administrators zu gelangen. Hierbei wird nach dem Trial-and-Error-Prinzip vorgegangen, in der Absicht, die gezielten Informationen letztlich zu erraten. Für diese Testart ist viel Recherchearbeit erforderlich. Ein Blackbox-Test ist daher meist erst dann von Interesse, wenn bereits zuvor alle anderen Tests bereits durchgeführt wurden und man für den Ernstfall weitergehende Sicherheit herstellen möchte.

Der Whitebox-Test im Überblick

Dieser bildet quasi das Gegenstück zur Blackbox. Der Tester verfügt hierbei über profunde Kenntnisse des zu testenden Systems und kennt die internen Strukturen genau. Dies eröffnet die Möglichkeit, auf tiefgreifende Weise zu testen und potenzielle Schwachstellen rasch zu finden, die bei Blackbox-Tests leichter übersehen werden. Häufig ist es für den „Eindringling“ jedoch unmöglich, genügend Kenntnisse über das System zu erwerben, um einen wirklich gründlichen Test ablaufen zu lassen. Zum Teil kann es sogar schaden, dem Tester zu viele Informationen zur Verfügung zu stellen, da er so leicht in die Falle tappen kann, nur die offensichtlichen Schwachstellen zu prüfen und möglicherweise wichtige Sicherheitslücken ungesehen zu hinterlassen.

Der Graybox-Test im Überblick

Dabei handelt es sich um einen Penetrationstest, bei dem der Tester über ein beschränktes Maß an Wissen über das zu prüfende System verfügt, insbesondere über die Architektur, die Netzwerkinfrastruktur oder die zu prüfende Anwendung selbst. Graybox-Tests werden meist auf einen bestimmten Bestandteil oder ein bestimmtes (neues) Gadget eines Systems beschränkt. Aufgrund der Tatsache, dass dem Tester bereits bedeutende Hintergrundinformationen zur Verfügung stehen, kann er sich viel schneller im System zurechtfinden, wodurch eine konzentrierte und effektivere Überprüfung mit weniger Aufwand erfolgen kann. Die Fundrate von Schwachstellen ist im Vergleich zum Blackbox-Test damit erhöht. Andererseits sind damit aber auch gewisse Ineffizienzen zu besorgen, da der Tester meist nur bestimmte Bereiche des Systems überprüfen kann.

Pentest: Anleitung zur richtigen Planung und Durchführung

Vor bzw während des Testablaufes sind einige Fragen zu stellen und zu beantworten, um auch tatsächlich die richtige Vorgehensweise zu wählen.

• Zielvorgabe klären: Jedenfalls vor Testbeginn muss Klarheit darüber bestehen, welches Ziel mit dem Test erreicht werden soll. Sollen lediglich Schwachstellen des Systems identifiziert werden oder soll auch abgeklärt werden, ob und wie diese missbraucht werden können?
• Wahl des passenden Tests: Es existieren, wie oben dargestellt, verschiedenste Arten von Pentests, die auf verschiedene Zwecke angepasst sind. Bei Auswahl müssen folglich die Ziele mit den eigenen Anforderungen unbedingt verglichen werden, um keine unerwünschten oder überschüssigen Resultate zu erzielen.
• Absteckung des Umfangs: Besonders der Umfang des Tests muss als Vorfrage beantwortet werden, bzw welche Systeme oder Teilsysteme überhaupt einem Test unterzogen werden. Auch die Frage, ob ein Online- oder bloßer Offlinetest gewählt wird, ist zu klären.
• Zeitliche Dimension: Es muss abgeklärt werden, wann der entsprechende Test beginnt und wann dieser abgeschlossen sein muss. Je nach Umfang des Pentests und den Ressourcen, die zur Verfügung stehen, ist der Zeitaufwand höchst unterschiedlich. Auch die Anpassung an andere betriebliche Prozesse ist hierbei zu beachten, wie etwa im Falle der Zurverfügungstellung neuer Dienste, deren Sicherheit überprüft wird.
• Auswahl der Methodik: Es existieren sowohl manuelle Tests als auch automatisierte. In Absprache mit dem Tester ist hierbei eine adäquate Wahl zu treffen.

Zusammenfassung

Ein Pentest ist eine bedeutende Sicherheitsmaßnahme, die Unternehmen nicht ungenutzt lassen sollten, um zu gewährleisten, dass ihre IT-Systeme vor potenziellen Cyberangriffen sicher sind. Dies kann insbesondere auch aus datenschutzrechtlichen Gründen geboten sein. Durch die Auffindung und Elimination von Schwachstellen können Unternehmen ihre Systeme konsolidieren und etwaige spätere Angriffe erfolglos machen.