Ein Penetrationstest hat in der Regel das Ziel, Sicherheitslücken in IT-Systemen aufzudecken. Dabei werden die Systeme mit Zustimmung ihrer Betreiber gezielt Angriffen ausgesetzt. Im Gegensatz zu realen Angriffsszenarien werden die identifizierten Sicherheitslücken ausführlich dokumentiert, um sie nach dem Test möglichst effizient beheben zu können.

Penetrationstests werden bei einer Vielzahl von IT-Systemen durchgeführt – von Online-Shops über physische Geräte bis hin zu komplexen Firmennetzwerken. Wir arbeiten eng mit unseren Kunden zusammen, um die Tests gemäß ihren individuellen Anforderungen und Gegebenheiten durchzuführen. Dabei passen wir die Testbedingungen bei Bedarf an, um eine ganzheitliche Betrachtung der Systeme aus verschiedenen Perspektiven zu ermöglichen.

Bei der Vorbereitung eines Pentests fragen Kunden häufig, wie viele Informationen sie preisgeben sollten – eine entscheidende Frage, da umfassendere Informationen in der Regel zu umfangreicheren Ergebnissen führen. Dennoch existiert häufig die Annahme, dass ein Penetrationstest mit begrenzten Informationen realistischere Ergebnisse liefert, was als Closed-Box- oder früher als Black-Box-Testing bekannt ist. In der Praxis wird die Effizienz des Penetrationstests durch ein solches Vorgehen beeinträchtigt und eine Schwachstelle wird auch nicht einfach verschwinden, wenn keine Informationen bereitgestellt werden.

Aber auch das andere Extrem, ein sogenannter Open-Box- oder früher White-Box-Ansatz, birgt seine Herausforderungen. Das Durchforsten der umfangreichen Informationen beansprucht Zeit und kostet potenziell Effizienz. Gleichzeitig besteht die Gefahr, dass dabei unbedarft interne Unternehmensperspektiven anstelle der gewünschten Angreiferperspektive angenommen werden.

Daher beraten wir Sie schon vor einem Pentest, um gemeinsam einen individuellen und ausgewogenen Ansatz zu finden, der das Beste aus beiden Welten vereint. Dabei entsteht ein Grey-Box-Test, der realistische Angriffsszenarien ermöglicht, ohne jedoch das Testverfahren mit zu vielen internen Details zu belasten. Auf diese Weise kann der Penetrationstest präzise und effizient durchgeführt werden, um potenzielle Schwachstellen im System optimal zu identifizieren und zu beheben.