1995 wurde der erste, auf Unix basierende Schwachstellen-Scanner mit dem Namen „SATAN“ (Venema95) veröffentlicht. Dieses war das erste Tool, mit dem Computersysteme auf Schwachstellen überprüft werden konnten. Mittlerweile gibt es eine Vielzahl von freien und kommerziellen Pentesting-Tools, welche das Finden von Schwachstellen erleichtern sollen.
Dennoch ersetzen diese Tools keinen professionellen Pentester.
Grundsätzlich wird zwischen fünf Testverfahren unterschieden. Hier finden Sie ein umfassendes Dokument zu diesem Thema.
Technisches Sicherheitsaudit
Dies ist kein wirklicher Pentest. Der Sicherheitsprüfer versucht mit Hilfe von vorhandener Dokumentation Sicherheitslücken ausfindig zu machen. Außerdem wird die aktuelle Konfiguration beziehungsweise der Aufbau der IT-Infrastruktur überprüft.
Webcheck
Im Zeitalter von E-Business und webbasierten Anwendungen ist dies wohl eines der wichtigsten Testverfahren. Prinzipiell geht es darum, die Prozesse und die Kontrollmaßnahmen von Webanwendungen zu prüfen. Zu evaluierende Themen sind die Verschlüsselung der Benutzerdaten, die Integrität der Benutzersitzungen in Verbindung mit der Host-Anwendung und die Verwendung von Cookies. Es ist möglich, den kompletten Programmcode der Anwendung zu analysieren oder auch den Aufbau und die Aufrechterhaltung von Nutzer-Sessions. Die Hardware wird hier generell nicht mit einbezogen.
Nicht aktiver Schwachstellenscan
Der Pentester überprüft mithilfe seiner eigenen Techniken und Tools, welche Informationen er aus der IT-Infrastruktur entnehmen kann, er manipuliert sie aber nicht. Für Unternehmen die aus Kompatibilitätsgründen ältere Software einsetzen empfiehlt sich eine manuelle Methode, welche kosten -und zeitintensiver ist als ein automatisierter Pentest. Ansonsten besteht die Möglichkeit, den Scan mithilfe einer dafür konzipierten Software durchzuführen.
Aktiver Schwachstellenscan (Nutzung von Exploits)
Mithilfe von Exploit-Programmen überprüft der Pentester die eingesetzten Anwendungen auf Sicherheitslücken. Er prüft vor allem ob die Daten und Konfigurationen eingesehen werden können. Zusätzlich sollte getestet werden, ob die Daten manipulierbar sind. Dies ist einer der kritischsten Tests, da leicht unerwartete Beeinträchtigungen des IT-Betriebs entstehen können.
Social Engineering Test
Nicht nur die Hard- und Software von Unternehmen stellen ein großes Sicherheitsrisiko da, sondern auch deren Mitarbeiter. Der Sicherheitstester versucht mit falscher Identität und psychologischen Tricks an interne Daten,wie Passwörter oder Strukturinformationen zu gelangen. Computer handeln rational, während Menschen auch von ihren Emotionen geleitet werden. Deshalb ist es wichtig, regelmäßig Schulungen zu veranstalten, in denen Mitarbeiter über diese Gefahren aufgeklärt werden.
Der nächste und abschließende Teil dieser Artikelserie, behandelt einen realen Businesscase. Außerdem wird erklärt, wie ein Penetration-Test bei uns abläuft.