Penetrationtest 

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: P wie Penetrationtest.

Bei einem Penetrationtest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Mit Hilfe eines Penetrationtest, oft Pentest genannt, werden durch gezielte Angriffe die Empfindlichkeit von Netzwerken geprüft.  

Warum wird überprüft?

Damit kann man Sicherheitslücken aufdecken, die zu Einbruchs- und Manipulationsversuchen führen könnten. Während des kompletten Penetrationtests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. In einem abschließenden Bericht sind die erkannten Schwachstellen und Lösungsansätze zur Verbesserung notiert. Zu beachten ist, dass das Beheben der Schwachstellen nicht Bestandteil des Pentests ist. 

Wie wird ein Penetrationtest umgesetzt?

In den meisten Fällen wird die Linux-Distribution Kali Linux verwendet. Diese ist auf die Durchführung von Penetration- und Sicherheitstest spezialisiert. Dafür enthält die Distribution mehrere hundert Werkzeuge und Anwendungen sowie zahlreiche Dokumentationen, mit denen sich die Sicherheit von IT-Systemen und Netzwerken testen und bewerten lassen. 

Jedes Testsystem ist anders, aber der Ablauf des Tests wird in vier unterschiedlichen Phasen unterteilt. Die Unterteilung sieht wie folgt aus:

• Reconnaissance
• Enumeration
• Exploitation
• Dokumentation.

Unter Reconnaissance versteht man die Informationsbeschaffung vor einem Angriff. Bei der Enumeration werden mögliche Angriffsvektoren identifiziert. Die gefundenen Schwachstellen werden in der Exploitation ausgenutzt. Bei der Dokumentation werden zunächst sämtliche Schritte festgehalten und schließlich auf dieser Grundlage ein ausführlicher Bericht erstellt. Diese Phasen werden beim Pentest immer wiederholt und bilden so einen Kreislauf, der immer wieder durchlaufen wird. Durch die Wiederholungen der Tests werden die Erkenntnisse gesammelt und können so mit den vorherigen Tests verglichen werden. 

Welche Arten von Penetrationtests gibt es?

Allgemein wird zwischen Blackbox und Whitebox-Penetrationtests unterschieden. Bei einem Blackbox Penetrationtest erhalten die Tester nicht mehr Informationen, als ein Angreifer erhalten würde. Das heißt, er hat keine Kenntnisse über die IT-Infrastruktur. Dabei versucht man herauszufinden, wie weit ein Angreifer ohne interne Informationen kommen kann. Der Whitebox Penetrationtest ist das Gegenteil von dem Blackbox-Penetrationtest. Bei dieser Methode weiß der Tester alles über die IT-Infrastruktur. Zu den Informationen gehören z.B. Netzwerkpläne, Informationen über Dienste und Anwendungen und welche Betriebssysteme auf dem System laufen. Die Effektivität bei dem Blackbox-Verfahren ist viel höher als bei einem Blackbox-Penetrationtest, da genau auf die bekannten Systeme getestet werden kann.  

Zudem sollte man die rechtliche Lage beachten. Die Firma, die den Pentest durchführt, benötigt das eindrückliche Einverständnis des Unternehmens, bei dem der Test stattfindet. Ohne eine solche Vereinbarung sind Penetrationtests nicht rechtens. Aus diesem Grund werden sich seriöse Testanbieter zuvor die ausdrückliche Zustimmung einholen. Der Test darf sich bei Vorliegen einer Einverständniserklärung nur auf die Objekte beziehen, die tatsächliche zur testenden Firma gehören. Es dürfen keine IT-Systeme oder Netze von Dritten getestet werden. Der Auftraggeber hat vor dem Penetrationtest eindeutig zu klären, für welche Komponenten dies zutrifft.