Pentest: Wie funktioniert er?
Penetrationstest (auch Pentest genannt) sind eine gängige Methode in der Informatik, Netzwerke und IT-Systeme auf Sicherheitslücken und Schwachstellen zu testen. Dabei werden Methoden angewandt, die auch Hacker verwenden. Wie ein Pentest abläuft und wie Unternehmen diese zur IT-Sicherheit nutzen sollten, ist Inhalt dieses Artikels.
Inhalt eines Pentests
Ein sogenannter Penetrationstest, ist der Fachbegriff für einen umfangreichen Sicherheitstest in der Informatik. Bei einem Pentest können einzelne Rechner oder ganze Netzwerke und IT-Systeme einer Sicherheitsprüfung unterzogen werden, was besonders für Unternehmen interessant ist, da Netzwerke und Cloudlösungen eine zunehmend wichtige Rolle spielen. Bei einem Pentest wird auf Mittel und Methoden zurückgegriffen, die auch ein Hacker anwenden würde. So soll festgestellt werden, wie anfällig und empfindlich ein System auf einen solchen Angriff reagiert. Aufgrund des Sicherheitsrisikos, das bei einem Pentest sehr hoch sein kann, gibt es gesetzliche Vorgaben. Penentrationstests sollten auch nur von Personen mit speziellem Know-how in diesem Gebiet durchgeführt werden und die richtige Penetration Test Plattform sollte gewählt werden.
Klassifikationsschema für Pentests
Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema mit bestimmten Kriterien für Penetrationstests entwickelt. Diese sechs Kriterien dienen der Transparenz und Strukturierung von Pentests für den Kunden:
- Ausgangspunkt
- Informationsbasis
- Vorgehensweise
- Umfang
- Aggressivität
- Technik
Die Ziele eines Penetrationstests sind:
- Die Identifikation von Schwachstellen in der IT
- Die Identifikation möglicher Fehler oder Risiken durch falsche Bedienung
- Die Verbesserung der technischen und organisatorischen Sicherheit
- Die Bestätigung der IT-Sicherheit durch einen IT-Dienstleister
Mit den genannten Kriterien lässt sich in der Praxis ein individueller Pentest von einem externen IT-Dienstleister zusammenstellen.
Prozessbeschreibung eines Penetrationstests
In der Regel handelt es sich um einen fünfstufigen Prozess, welcher vom BSI definiert wurde. Die Zielsetzung sowie der Testaufbau wird in der Vorbereitungsphase gemeinsam mit dem Kunden erarbeitet. In der Informationsbeschaffungsphase werden möglichst viele relevante Informationen über das zu testende System beschafft. Anschließend werden Informationen in der Bewertungsphase analysiert und bewertet. Im Anschluss finden die sogenannten Eindringversuche statt. Alle Ergebnisse werden abschließend in einem Bericht zusammengefasst aufbereitet. Dieser Bericht sollte auch Empfehlungen enthalten, wie mit den aufgedeckten Sicherheitslücken verfahren werden soll. Zu jeder der fünf Phasen wird außerdem eine Dokumentation erstellt.
Wichtig ist dennoch zu berücksichtigen, dass Pentests eine Momentaufnahme des Systems darstellen. Ein fehlerfreier Test schließt nicht aus, dass neue Sicherheitslücken entstehen können. Der Vorteil liegt aber auch darin, dass die Ursache der gefundenen Sicherheitslücken aufgedeckt werden, welche daraufhin nachhaltig behoben werden können. Die aus den Testergebnissen abgeleiteten Maßnahmen können dabei von einer umfassenderen Betreuung bis hin zu einer Außerbetriebnahme reichen.
Legalität von Penetrationstests in Deutschland
Penetrations- und ähnliche Sicherheitstests dürfen in Deutschland und vielen anderen Ländern nur bei einer Vereinbarung zwischen Tester und zu testendem durchgeführt werden. Das liegt unter anderem daran, dass das Ausspähen von Daten eine Straftat darstellt. Daher muss von dem zu Testenden eine klare Befugnis an den externen Dienstleister erteilt werden.
Ein weiterer wichtiger Punkt bei dem Thema Legalität, stellt die Hoheit des Testobjektes dar. Penetrationstest dürfen nur an Objekten durchgeführt werden, die sich in der Hoheit des Auftraggebers befinden. Einer Organisation ist es zum Beispiel nicht gestattet, fremde Netzwerke ohne deren Einverständnis testen zu lassen.
Welche Risiken müssen bei Penetrationstests beachtet werden?
Während der einzelnen Testphasen kann es zu Störungen im IT-Betrieb kommen. Besonders aber können Störungen während der Eindringversuche auftreten. Bei DoS-Attacken wird der Versuch unternommen, einzelne Rechner, Services oder Netzsegmente zu unterbinden. Solche DoS-Attacken sollten deshalb außerhalb der normalen Nutzungszeiten des zu testenden Systems stattfinden.