Ein Penetrationstest (kurz Pentest) ist ein simulierter Angriff auf eine IT-Infrastruktur. Das Ziel ist, vorhandene Schwachstellen aufzudecken und diese umgehend auszubessern. Die wichtigsten Aspekte eines solchen Pentest und warum ein White-Hat-Hacker nicht zwingend einen weißen Hut tragen muss, zeigt dieser Beitrag.
Ein Plädoyer: Warum Pentests wichtig sind
Penetrationstests liefern einen Überblick über die Resistenz eines Systems, Angriffe abzuwehren und zeigen, wie effektiv dessen Schutzmechanismen (Firewalls, Zugriffskontrollen oder Authentifizierungsverfahren) wirklich sind. Hast du zum Beispiel einen Online-Shop, hilft ein Pentest-Service, Risiken zu identifizieren und die geschäftlichen Auswirkungen der Sicherheitslücken abzuschätzen.
Zusätzlich ist das Testing eine empfehlenswerte Ergänzung, wenn man eine Zertifizierung nach ISO 27001 anstrebt oder das Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie fällt. In beiden Fällen ist der Test zwar nicht zwingend erforderlich, er ist jedoch zu empfehlen. Insbesondere wenn man große Mengen persönlicher oder andere sensible Daten verwaltet, ist der Test wichtig.
The Ethical Hacker: Der Hacker mit dem weißen Hut
Pentests werden von sogenannten White-Hat-Hackern ausgeführt. Dabei handelt es sich um eigenes hierfür engagierte IT-Spezialisten, die den gesamten Prozess ausführen. Der Begriff geht auf Thomas Wilhelms und Jason Andress’ Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques zurück.
In Erinnerung an die alten Western, in denen die „Guten Jungs“ weiße Cowboyhüte tragen, etablierte sich diese Bezeichnung. Ein anderer Begriff ist auch der des Ethical-Hackers. In jedem Fall ist jedoch klar: Diese Person macht das Ganze im Namen von Sicherheit und Datenschutz und darf durchaus auch eine andere Hutfarbe tragen
Wichtige Aspekte eines Penetrationstests
Ein Pentest liefert Aufschluss über das jeweilige Sicherheitsprofil. Dabei ist es wichtig, einige Aspekte zu beachten. Zwei davon erläutere ich in den folgenden Absätzen, da sie wichtig für das Verständnis der Methode sind.
Startbedingungen: The Scope
Vor dem Test definiert man die Zielsetzung. Dafür wählst du unter anderem die Vorbedingungen, unter denen der White-Hat-Hacker die jeweilige Infrastruktur prüft. Es gibt folgende Ansätze:
Black-Box: Der Tester weiß nicht viel über die vorliegende Infrastruktur. Er kennt möglicherweise das Zielsystem, doch selbst das ist nicht zwingend erforderlich. Der Nachteil dieses Ansatzes ist, dass hierdurch möglicherweise nicht alle Systemkomponenten getestet werden können. Vorteilhaft ist, dass er weniger Zeit in Anspruch nimmt.
White-Box: Bei diesem Ansatz ist der White-Hat-Hacker über die zu testende Infrastruktur unterrichtet worden. Er kennt sämtliche Umgebungen und hat so die Möglichkeit, alles zu überprüfen. Entsprechend nimmt dieser Ansatz deutlich mehr Zeit in Anspruch, liefert jedoch auch einen umfassenderen Aufschluss über den Sicherheitsstatus.
Grey-Box: Dieser Ansatz ist eine Mischung aus den beiden oben erwähnten Startbedingungen. Hier kennt der Tester einiges der Umgebung. Zum Beispiel besonders sensible Bereiche, die dringen auf den Prüfstand müssen.
Nachbereitung: Das geschieht nach dem Test
Nach Abschluss des Pentests ist nur eine strukturierte Nachbereitung sinnvoll. Du hast nun Aufschluss über den Sicherheitsstatus. Anhand des Abschlussberichtes sollte jetzt eine Priorisierung erfolgen. Hier geht es um eine risikobasierte Beurteilung: Die Zeit drängt, wenn das Nachgeben einer Schwachstelle kritische Auswirkungen haben kann. Es folgt die Umsetzung und daran knüpft sich das Retesting an, um die Maßnahmen bzw. deren Wirkung zu validieren.
Disclaimer: Diesen Gastbeitrag habe ich im Namen von Pixelrein veröffentlicht.