KontaktRufen Sie uns an +49 89 993412-0

Penetration-Test - Grundlagen und Vorbereitung

27. Feb 2019 LCZ

Ein Hacker ist nicht immer der Böse. Beim sogenannten Penetration-Testing beziehungsweise Pentest, versuchen Sicherheitsexperten sich Zugriff auf das Intranet zu verschaffen. Daten und Infrastruktur können damit genauestens auf Sicherheitslücken überprüft werden.

Firmen investieren eine Menge Geld um durch Angreifer verschlüsselte und entwendete Daten wiederherzustellen. Durch mangelhafte Sicherheitsvorkehrungen wie beispielsweise unzureichende Firewall und falsche Benutzerberichtigungen, sind Firmen aller Größe davon betroffen. Selbst Betriebe mit einer vermeintlich starken IT-Security, können sich nicht einfach blind auf deren Zuverlässigkeit verlassen. Genau hier hilft ein Pentest.

Penetration-Testing


Mit Hilfe eines simulierten Netzwerkangriffs können Unternehmen die internen und externen Schwachstellen ihrer Infrastruktur feststellen und  daraufhin beseitigen. Hierbei gibt es eine Reihe von Tools und Ansätzen aus denen man wählen kann. Jedoch bedarf ein Pentest einer genauen Anforderungsanalyse und Planung. Vorab sollte sich jedes Unternehmen deshalb mit einem Sicherheitsexperten folgende Frage stellen:

Welche Angriffs-Perspektive wähle ich für meinen Pentest?


Der Black-Box-Ansatz dient dazu, einen realistischen Angriff eines Hackers zu simulieren. Hierbei wird dem Pentrationstester zum Beispiel nur die URL der Webanwendung oder die IP-Adresse des anzugreifenden Systems offengelegt. Alle anderen technischen Details müssen aus frei zugänglichen Informationsquellen stammen.
Um einen Angriff eines (EX-)Mitarbeiters zu simulieren, wird auf den White-Box-Ansatz gesetzt. Der Sicherheitsexperte erhält dabei alle Informationen des zu testenden Netzwerks.
Beim Grey-Box-Ansatz arbeitet der Pentester mit einem internen Mitarbeiter zusammen. Die Informationen mit denen er sich Zugriff zum System verschaffen kann, bekommt er von dem jeweiligen Angestellten.

Experten sind gefragt


Zusammen mit dem Sicherheitsexperten sollte als erstes ein genauer Projektrahmen festgelegt werden. Dieser sollte Punkte wie unter anderem Grenzen, Ziele und Verfahrensart enthalten. Es versteht sich von selbst, ein erfahrenes und professionelles Unternehmen zu engagieren. Trennen Sie die Experten von den Amateuren. Ein strikter  Plan und eine feste Methodik sind beim Penetration-Testing essenziell. Schließlich geht es um die Sicherheit der Unternehmensdaten. Alle Ergebnisse sollten klar und deutlich dokumentiert werden. Anschließende Lösungsvorschläge sind auf jeden Fall zu berücksichtigen. Bei einem Review nach Projektabschluss, sollten alle offenen Fragen besprochen werden.

In der nächsten Ausgabe


Im nächsten Teil geht es um die verschiedenen Arten von Penetration-Tests. Auch für mittelständische Unternehmen ist dieses Thema essenziell. Durch interne und externe Consultants sind wir in der Lage, Sie umfassend zu diesem zu Thema beraten. Sollten wir Ihr Interesse geweckt haben, können Sie sich gerne jederzeit bei uns melden.

sales@linux-ag.com