Pentest

Das Ziel von Penetrationstests (Pentests) bzw. Ethical Hacking ist eine Überprüfung der Sicherheit von IT-Systemen und der dort gespeicherten Daten. Durch die kontrollierte Simulation eines Angriffs werden bei Penetrationstests besonders realitätsnah Schwachstellen aufgedeckt. Die Bandbreite der getesteten Systeme erstreckt sich dabei von einfachen Online-Shops bis hin zu komplexen Unternehmensnetzwerken. Auch die Angriffe sind vielfältig und reichen von passiver Informationsgewinnung über gezielte Angriffe aus dem Internet bis hin zur Identifikation von Schwachstellen, die nur vor Ort festgestellt werden können.

Die Anpassung des Penetrationstests an die Anforderungen des Kunden gewährleistet die Praxisrelevanz für den Auftraggeber. Aus diesem Grund wird bereits vor Vertragsabschluss grundsätzlich ein individuelles Vorgespräch mit dem potentiellen Auftraggeber geführt, bei welchem mögliche Abläufe vorgestellt werden.

Der Pentest - ein unverzichtbares Werkzeug der IT-Sicherheit

In nahezu allen Bereichen, in denen komplexe Systeme betrieben oder entwickelt werden, gehören Testphasen ganz selbstverständlich in den Entwicklungszyklus. Kein seriöser Softwarehersteller liefert Software an seine Kunden aus, ohne sie vorher ausgiebig zu testen, kein Fahrzeug kommt ohne Crashtest auf die Straße. Dennoch wurden in der Vergangenheit in vielen Unternehmen Systeme, die für IT-Sicherheit kritisch sind, installiert, ohne eine abschließende Sicherheitsüberprüfung durchzuführen.

Das Firmennetzwerk - eine Entwicklung, die getestet werden muss

Das Defizit bei der Überprüfung der IT-Sicherheit in Unternehmen beruht meist auf dem Missverständnis, dass nur Unternehmen, die etwas entwickeln, auch testen müssen. Hierbei wird übersehen, dass das Unternehmensnetzwerk meist als eigenes, unternehmensinternes Produkt anzusehen ist. Die meisten großen Unternehmen führen inzwischen regelmäßig Pentests durch, um sicherzustellen, dass durch Änderungen an ihren Systemen nicht neue Sicherheitslöcher in die IT-Infrastruktur gerissen wurden. Auch kleine Unternehmen erkennen vermehrt diese Lücke in ihrem IT-Entwicklungszyklus und führen Tests ein, um dadurch ihre IT-Sicherheit zu stärken.

Doch auch über Netzwerkprüfungen hinaus bietet RedTeam Pentesting Herstellern von Produkten mit IT-Sicherheitsrelevanz an, gezielt einen Produkttest durchzuführen. Hierdurch können Hersteller ihre eigenen Tests durch kompetentes Know-How im Bereich IT-Sicherheit aufwerten. Näheres hierzu ist unter Produkttests zu finden.

Ablauf eines Pentests

Trotz der Individualität eines jeden Pentests kann der Ablauf durch die vier Phasen Reconnaissance, Enumeration, Exploitation und Documentation charakterisiert werden. Unter Reconnaissance versteht man die Informationsbeschaffung vor einem Angriff. Bei der Enumeration werden mögliche Angriffsvektoren identifiziert. Die gefundenen Schwachstellen werden in der Exploitation ausgenutzt. Bei der Documentation werden zunächst sämtliche Schritte festgehalten und schließlich auf dieser Grundlage ein ausführlicher Bericht erstellt. Während der Angriffssimulation werden diese Phasen in einem Kreislauf wiederholt durchlaufen, um so in den verschiedenen Netzwerksegmenten die relevanten Ergebnisse aufzeigen zu können. Genaue Informationen zu den einzelnen Phasen sind unter den Links der Illustration zu finden.

Weitere Informationen finden sich auch in der FAQ, welche oft gestellte Fragen zur Durchführung von Penetrationstests zusammenfasst. Sollte Ihre Frage noch unbeantwortet sein, kontaktieren Sie uns bitte.