Was sind Closed-Box- und Open-Box-Tests?

Als Closed-Box-Test (früher Black-Box-Test) werden normalerweise Tests definiert, bei denen die Penetrationstester*innen nicht mehr Informationen erhalten, als Angreifer*innen ohne interne Detailkenntnisse sie auch hätten. Die Idee ist herauszufinden, wie weit potentielle Angreifer*innen ohne jegliche interne Informationen kommen können.

Demgegenüber steht der Open-Box-Test (früher White-Box-Test). Dieser bedeutet, dass Wissen über die zu testenden Systeme in vollem Umfang bereitgestellt wird (zum Beispiel Netzwerkpläne oder Quelltexte von Webapplikationen). Zusätzlich kann es auch die Bereitstellung von Berechtigungen bedeuten, zum Beispiel ein Benutzerkonto, wie es auch Mitarbeitende im Firmennetz besitzen, oder Zugangsdaten für eine Webanwendung, wie sie normale Kunden besitzen.

Werden nur Teilinformationen preisgegeben, spricht man häufig auch von einem Grey-Box-Test. Diese unterschiedlichen Formen von Pentests unterschieden sich lediglich durch den innerhalb des Pentests erbrachten Nachweis, dass Angreifer*innen eine bestimmte Information selbstständig erlangen können. Eine Erläuterung zu den von RedTeam Pentesting benötigten Informationen ist in dieser FAQ zu finden.