Immer auf dem Laufenden bleibenSicherheitslücken in der IT eines Unternehmens werden mit voranschreitender Digitalisierung immer häufiger. Um dem entgegenzuwirken, können Penetrationstests die Unternehmen dabei unterstützen, solche Risiken zu minimieren.
Penetrationstests sind Sicherheitsaudits, die die Sicherheit von installierten IT-Anwendungen und Trägersystemen eines Unternehmens überprüfen. Es werden unter anderem Firewalls, Serversysteme, Netzwerke oder Webanwendungen auf Sicherheitslücken oder ihre Verwundbarkeit getestet.
Diese Sicherheitsaudits werden häufig von spezialisierten Dienstleistern ausgeführt, sogenannte „Penetrationstester“ oder „Pentester“, die mit Erlaubnis des beauftragenden Unternehmens wie Hacker agieren. Durch die Tests sollen ergänzende Sicherheitsmaßnahmen für die IT-Systeme abgeleitet und die Wirksamkeit bereits umgesetzter Sicherheitsmaßnahmen überprüft werden.
Es gibt verschiedene Formen von Penetrationstests, die sich durch Art, Vorgehensweise und Ausgangspunkt unterscheiden. So können beispielsweise Penetrationstests angekündigt oder unangekündigt oder von dem Ausgangspunkt einer unternehmensexternen oder -internen Person durchgeführt werden.
Bekannte Formen sind sogenannten Black-Box- und White-Box-Penetrationstests.
Bei Black-Box-Penetrationstest erhält der beauftragte Pentester zwar ein konkretes Prüfziel, es stehen aber keine Informationen zu internen Details, wie System- oder Sicherheitsstrukturen zur Verfügung. Diese Variante spiegelt noch am realistischsten die Bedingungen eines externen Angreifers auf die IT-Systeme eines Unternehmens wider. Der Nachteil dieses Verfahrens ist, dass es viel Zeit und damit auch Budget kostet, die Hintergrundinformationen auf anderen Wegen zu ermitteln oder zu ertasten. Der Erkenntnisgewinn ist häufig geringer als bei anderen Testformen.
Bei White-Box-Penetrationstests kennt der Pentester bereits die interne IT-Infrastruktur des Unternehmens. Das Unternehmen stellt im Vorfeld Informationen zu IT-Systemen, Netzwerkstrukturen und Schutzkomponenten zur Verfügung. Bei dieser Variante werden Angriffsvarianten abgedeckt, die im Rahmen eines Black-Box-Penetrationstest nicht oder nur ineffizient ermittelt werden können. Beispiel hierfür ist ein Angriff eines gut informierten unternehmensinternen Angreifers.
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat ein Praxis-Leitfaden für Penetrationstests veröffentlicht, welchen Sie hier finden.
