Penetrationstest

Penetrationstest

In der heutigen Zeit sind IT-Systeme das Herzstück eines jedem Unternehmens. Hier werden alle wichtigen Informationen und Daten erfasst, bearbeitet und gespeichert. Mittlerweile sind Geschäftsprozesse weitestgehend durch Informationstechnik unterstützt, so dass Sicherheitsprobleme an dieser Stelle bereits kritisch sind und mit zunehmender Technisierung immer kritischer werden: Werden die Geschäftswerte eines Unternehmens in Bezug auf ihre Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) verletzt, ist der Geschäftszweck bis zur Lösung des Problems oft nicht mehr zu erbringen. Umso wichtiger ist es, die zugrundeliegende Infrastruktur zu schützen. Oft wissen Unternehmen allerdings gar nicht, dass ihr Netzwerk Schwachstellen aufweist oder wo danach zu suchen wäre. Mit einem Penetrationstest können diese möglichen Angriffspunkte aufgedeckt werden

Penetrationstest

Ein Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Hierzu werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System eingeschätzt und daraus notwendige ergänzende Sicherheitsmaßnahmen abgeleitet beziehungsweise die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen überprüft.

Im Detail werden dabei die installierten IT-Anwendungen (Webanwendungen, Mailserver, etc.) beziehungsweise die zugrundeliegenden Trägersysteme (Betriebssystem, Datenbank, etc.) überprüft.

Typische Ansatzpunkte für einen Penetrationstest sind:

  • Netzkoppelelemente (Router, Switche, Gateways)
  • Server (Datenbankserver, Webserver, Fileserver, Speichersysteme)
  • Sicherheitsgateways (Firewall, Paketfilter, Intrusion Detection System, Virenscanner, Loadbalancer etc.)
  • Telekommunikationsanlagen
  • Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
  • Clients
  • Drahtlose Netze (WLAN, Bluetooth)
  • Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)

Da die Anforderungen der Auftragnehmer an einem Penetrationstest von Fall zu Fall unterschiedlich sind, ist es Tatsache, dass es kein Penetrationstest gibt, der exakt einem anderen gleicht. Dafür spielen zu viele Faktoren eine wichtige Rolle die von Seiten der European IT-Security GmbH nicht beeinflusst werden können:

  • Anbindungen anderer Netze, Netzwerkstrukturen
  • Genutzte Betriebssysteme
  • Hardware & Software Patch-Stände
  • Aktive Netzkomponenten (Router, Switche, Firewalls)
  • Kritische Anwendungen, die vom Penetrationstest abgegrenzt werden müssen
  • uvm.

Aus dieser Auflistung wird klar das ein Penetrationstest individuell angepasst werden muss. Dieses Dokument kann daher nur die generelle Herangehensweise der European IT-Security GmbH beschreiben.

Blackbox-, Whitebox- und Greybox-Test

Bei der Suche nach Informationen über einen Penetrationstest, stößt man immer wieder auf die Begriffe Blackbox-, Whitebox- und Greybox-Test. Da diese Begriffe immer wieder in unterschiedlichster Art und Weise verwendet werden ist an dieser Stelle eine kurze Erklärung erforderlich.

Blackbox-Test

Im Rahmen eines Blackbox-Tests werden nur minimale Informationen von seitens des Auftraggebers übermittelt. Dieses könnte zum Beispiel bei einem externen Test eine Visitenkarte sein. Alle weiteren Informationen müssen dann von den Experten der European IT-Security GmbH beschafft werden, wie es ein Angreifer auch machen würde der Ihre Visitenkarte gefunden hat.

Ein Blackbox-Test darf aber keinesfalls als Test missverstanden werden, bei den keinerlei Informationen zwischen Auftraggeber und Auftragnehmer ausgetauscht werden, denn rechtliche Gegebenheiten erlauben das Testen von fremden Systemen ohne ausdrückliche Erlaubnis des tatsächlichen Betreibers nicht.

Whitebox-Test

Bei einem Whitebox-Test werden den Experten der European IT-Security GmbH Informationen über das Ziel zur Verfügung gestellt. Je nach Rahmenbedingungen können diese Informationen Netzwerkpläne, Betriebskonzepte oder sogar administrative Authentisierungsmerkmale sein. Ein Whitebox-Test simuliert daher eher einen Innentäter der sich bereits in einem Netzwerk befindet.

Greybox-Test

Penetrationstest der European IT-Security GmbH folgen in der Regel dieser Variante. Bei einem Greybox-Test werden vom Auftraggeber exakt die Informationen zur Verfügung gestellt, die zur effizienten Durchführung eines Penetrationstest nötig sind. Sollte ein weiterer Informationsbedarf bestehen, werden Rückfragen an den vorher bestimmten Ansprechpartner des Auftraggebers gestellt.

Mehr zum Thema

Facebook Twitter Google+ Pinterest
Telefon: +49 4609 97 99 69-0
An der Treene 20
24852 Langstedt
Germany
×

Log in