Ziel eines Pentest ist immer, eine Informationsbasis für die Erhöhung der Sicherheit von technischen Systemen zu schaffen.
Schwachstellen werden identifiziert, bewertet und zu Entscheidungskriterien für organisatorische, fachliche oder technische Maßnahmen aufbereitet.
Die daraus abgeleiteten Maßnahmen unterstützen dabei, Unbefugten den Zugang zu ihren Systemen und/oder sensiblen Daten möglichst schwer zu machen.
Ein Pentest (Penetration Test)
Ein Pentest ergänzt und unterstützt andere und ähnliche Maßnahmen der IT Sicherheit in wesentlicher Form, kann diese jedoch nicht ersetzen. Dazu gehören
Sicherheitsexperten kategorisieren Pentests vor allem nach den Rahmenbedingungen, die die Ausgangsbedingungen und die Vorgehensweise bei der Durchführung bezeichnen. Etabliert haben sich die Begriffe „Black-Box“, „White-Box“ und „Grey-Box“ Tests. Dabei ist die häufig erste reflexhaft entstehende Einschätzung, ein Grey-Box Test ist eine Mischung oder auch ein Mittelweg zwischen Black- und White-Box Tests etwas irreführend. Natürlich ist die Kombination der Vorteile anderer Tests ein Gesichtspunkt, allerdings steckt dahinter deutlich mehr.
Soviel vorab, Vorsicht Spoiler: In der Mehrzahl der Fälle hat sich der Grey-Box Test als ideal passend zum Informationsbedarf unserer Kunden herausgestellt. Er vermeidet „Suchspiele“ mit begrenzter Aussagekraft und erlaubt es, bei vergleichbar geringen Kosten sehr gezielt vorzugehen.
Der Black-Box Test kommt einem echten Angriff am nächsten. Die internen Strukturen der Netze, die Konfigurationen, Informationen über Benutzer u.ä. werden nicht vorab bekannt gemacht. Es ist Teil und typischerweise erster Schritt des Pentest, öffentlich verfügbare Quellen zur Gewinnung dieser Informationen heranzuziehen. Auf dieser Basis erstellt der Tester dann seine eigene Sicht der Dinge. Netzwerktopographien, Architekturen und Komponenten ergeben ein Gesamtbild, so wie es sich dem Tester darstellt. Die Suche nach Schwachstellen bezieht sich auf dieses Gesamtbild. Der Ausgangspunkt des Zugriffes befindet sich typischerweise außerhalb des Netzwerk Perimeters.
Bei einem White-Box Test erhält der Tester Zugriff auf Netzwerktopologien, Konzepte, Softwarearchitekturen, Source Code u.ä. und untersucht alle Informationen aus dem Blickwinkel der IT Sicherheit. Es ist damit in weiten Strecken eine Begutachtung der Systeme und ihrer Konfigurationen. Der Ausgangspunkt des Zugriffes befindet sich typischerweise innerhalb des Netzwerk Perimeters.
Bei einem Grey-Box Test werden dem Tester die Informationen zur Verfügung gestellt, die für den Test notwendig oder relevant sind, die er in jedem Fall entdecken würde oder die speziell betrachtet werden sollen. Darüber hinaus erfolgt der Test wieder aus dem Blick eines Angreifers, diesmal aber mit etwas Insider Information. Der Ausgangspunkt des Zugriffes befindet sich typischerweise innerhalb des Netzwerk Perimeters.
Wenn eine Ausprägung in jedem Szenario die besten Ergebnisse erzielen könnte, dann gäbe es nur diese eine Ausprägung. Die Auswahl ist also eine Abwägung aus Zielen, Rahmenbedingungen und Budgetbetrachtungen. Wir unterstützen Sie gerne dabei.
Im Zweifel ist meist der Grey-Box Test das Mittel der Wahl.
Er vermeidet „Suchspiele“ mit begrenzter Aussagekraft und erlaubt es, sehr gezielt vorzugehen. Damit bietet er häufig einen sehr guten Kompromiss aus schnellem Einstieg, Kosten und Qualität der Ergebnisse. Die Kombination mit häufigeren Prüfungen bei niedrigerer Prüftiefe bietet er in sehr vielen Fällen das am besten nutzbare Ergebnis bei begrenztem Budget.
Das Ergebnis eines Pentest ist ein ausführlicher schriftlicher Bericht, der eine eindeutige Aussage zum Zustand der betrachteten Systeme aus dem Blickwinkel der IT-Sicherheit beinhaltet. Er enthält eine detaillierte Darstellung der vorgefundenen Infrastruktur und Topologie, wie sie sich für einen Angreifer darstellt.
Der Bericht beinhaltet eine Aufstellung aller
sowie eine Bewertung der Schwachstellen nach Schweregrad und Risiko.
Die Inhalte des Berichts werden dem Projektteam in Form einer Präsentation dargestellt. Diese ist idealerweise zweigeteilt in