> Pentest vertical divider

Pentest

Das Ziel von Penetrationstests (Pentests) bzw. Ethical Hacking ist eine Überprüfung der Sicherheit von IT-Systemen und der dort gespeicherten Daten. Durch kontrolliert durchgeführte Angriffe werden bei Penetrationstests besonders realitätsnah Schwachstellen aufgedeckt. Die Bandbreite der getesteten Systeme erstreckt sich dabei von einfachen Online-Shops bis hin zu komplexen Unternehmensnetzwerken. Auch die Angriffe sind vielfältig und reichen von passiver Informationsgewinnung über gezielte Angriffe aus dem Internet bis hin zur Identifikation von Schwachstellen, die nur vor Ort festgestellt werden können.

Die Anpassung des Penetrationstests an die Anforderungen des Kunden gewährleistet die Praxisrelevanz für den Auftraggeber. Aus diesem Grund wird bereits vor Vertragsabschluss grundsätzlich ein individuelles Vorgespräch mit dem potentiellen Auftraggeber geführt, bei welchem mögliche Abläufe vorgestellt werden.

Der Pentest - ein unverzichtbares Werkzeug der IT-Sicherheit

Entwicklungszyklus In nahezu allen Bereichen, in denen komplexe Systeme betrieben oder entwickelt werden, gehören Testphasen ganz selbstverständlich in den Entwicklungszyklus. Kein Fahrzeug kommt ohne Crashtest auf die Straße, kein Gebäude errichtet, ohne die genutzten Baumaterialien auf ihre Eignung zu prüfen. Geschäftskritische IT-Systeme und -Software jedoch werden in vielen Unternehmen installiert, ohne Sicherheitsüberprüfungen durchzuführen.

Das Firmennetzwerk - eine Entwicklung, die getestet werden muss

Das Defizit bei der Überprüfung der Netzwerk-Sicherheit in Unternehmen beruht häufig auf dem Missverständnis, dass nur Unternehmen, die etwas entwickeln, auch testen müssen. Hierbei wird übersehen, dass das Unternehmensnetzwerk meist als eigenes, unternehmensinternes Produkt anzusehen ist. Die meisten großen Unternehmen führen inzwischen regelmäßig Pentests durch, um sicherzustellen, dass durch Änderungen an ihren Systemen keine neuen Sicherheitslöcher in ihrer IT-Infrastruktur geöffnet werden. Auch kleine Unternehmen erkennen vermehrt diese Lücke in ihrem IT-Entwicklungszyklus und führen Tests ein, um dadurch ihre IT-Sicherheit zu stärken.

RedTeam Pentesting führt nicht nur klassische Netzwerk-Penetrationstests durch. Jegliche Produkte für die IT-Sicherheit relevant ist können getestet werden. So werden zum Beispiel häufig Webapplikationen untersucht, welche einer großen Anzahl von Benutzern über das Internet zur Verfügung gestellt werden, etwa Online-Shops. Hierdurch können Hersteller ihre eigenen Tests durch kompetentes Know-How im Bereich IT-Sicherheit aufwerten. Näheres hierzu ist unter Produkttests zu finden.

Reconnaissance Enumeration Documentation Exploitation Phasen eines Pentests

Ablauf eines Pentests

Trotz der Individualität eines jeden Pentests kann der Ablauf durch die vier Phasen Reconnaissance, Enumeration, Exploitation und Documentation charakterisiert werden. Unter Reconnaissance versteht man die Informationsbeschaffung vor einem Angriff. Bei der Enumeration werden mögliche Angriffsvektoren identifiziert. Die gefundenen Schwachstellen werden in der Exploitation ausgenutzt. Bei der Documentation werden zunächst sämtliche Schritte festgehalten und schließlich auf dieser Grundlage ein ausführlicher Bericht erstellt. Während des Penetrationstests werden diese Phasen in einem Kreislauf wiederholt durchlaufen, um unter anderem Erkenntnisse aus vorigen Durchläufen in die weitere Untersuchung mit einzubeziehen. Genaue Informationen zu den einzelnen Phasen sind auf den oben verlinkten Seiten zu finden.

Weitere Informationen finden sich auch in der FAQ, welche oft gestellte Fragen zur Durchführung von Penetrationstests zusammenfasst. Sollte eine Ihrer Fragen noch unbeantwortet sein, laden wir Sie gerne ein, Kontakt mit uns aufzunehmen.