Wie läuft ein Pentest ab?

Mit Pentests beziehungsweise Penetrationstests wird in erster Linie das Ziel verfolgt, IT-Systeme und die Daten, die in ihnen gespeichert sind, hinsichtlich ihrer Sicherheit zu überprüfen. 

Es werden kontrollierte Angriffe auf die Systeme ausgeführt, sodass es im Rahmen eines Pentests möglich ist, eventuelle Schwachstellen in den Strukturen besonders realitätsnah aufzudecken. Es kann dabei eine Vielzahl von verschiedenen Systemen mithilfe eines Penetrationstests überprüft werden, unabhängig davon, ob es sich um einen simplen Online-Shop, eine Web-Anwendung oder ein überaus komplexes Netzwerk eines Konzerns handelt. 

Die Art der Angriffe, die bei einem Pentests eingesetzt werden kann, zeigt sich daneben ebenfalls als sehr vielfältig. Die Bandbreite erstreckt sich dabei von einer passiven Gewinnung von Informationen über gezielte Internetangriffe bis hin zur lokalen Schwachstellen-Identifikation. 

Die Penetrationstests werden dabei selbstverständlich stets an die individuellen Anforderungen und Bedürfnisse des jeweiligen Kunden angepasst, sodass die Auftraggeber stets von einer hohen Praxisrelevanz profitieren. Sinnvoll ist es aus diesem Grund, bereits vor dem Abschluss des jeweiligen Vertrages ein individuelles und unverbindliches Vorgespräch zu führen, um mehr hilfreiche Informationen zu dem detaillierten Vorgehen zu erhalten. 

Wie ein Pentest dann im Detail abläuft und weshalb auf diesen im Sinne der IT-Sicherheit nicht verzichtet werden sollte, erklärt der folgende Artikel. 

Innovatives Werkzeug für höchstes Sicherheitsniveau

Der Entwicklungszyklus in sämtlichen Bereichen, welche mit der Entwicklung oder dem Betrieb von komplexen Systemen einhergehen, umfasst selbstverständlich immer spezielle Testphasen. Fahrzeuge werden so beispielsweise Crashtests unterzogen, bevor sie für den öffentlichen Straßenverkehr zugelassen werden und Gebäude werden hinsichtlich der Eignung der verwendeten Baumaterialien überprüft. 

Dennoch installieren heute noch zahlreiche Unternehmen geschäftskritische Software-Anwendungen und IT-Systeme, ohne dann eine Überprüfung ihrer Sicherheit durchzuführen. Dies ist jedoch vor allem in Anbetracht der kontinuierlichen Veränderungen im Zuge des digitalen Wandels nicht zu empfehlen, welche den Hackern stetig neue Möglichkeiten bieten. Das Unternehmensnetzwerk ist so als internes Produkt anzusehen, bei dem auf einen entsprechenden Test nicht verzichtet werden darf. 

Erfreulicherweise lassen sich jedoch auch einige Unternehmen finden, die heute bereits regelmäßig auf die Durchführung von Pentests setzen. Durch diese Maßnahme stellen sie unter anderem sicher, dass vorgenommene Veränderungen in der IT-Infrastruktur zu keinen neuen Sicherheitslücken geführt haben. 

Im Rahmen des Penetrationstests ist allerdings es keinesfalls nur möglich, klassische Netzwerke zu testen. Eine Überprüfung ist bei sämtlichen Produkten möglich, welche die IT-Sicherheit eines Unternehmens beeinflussen, wie beispielsweise auch Webapplikationen. 

So gestaltet sich der Ablauf eines Pentests

Grundsätzlich zeigt sich jeder Pentest als überaus individuell. Dennoch lassen sich vier grundlegende Phasen bestimmen, die sich bei jeder Überprüfung ergeben. Diese bestehen in der Reconnaissance, der Enumeration, der Exploitation sowie der Documentation. 

Die Beschaffung der benötigten Informationen im Vorfeld des Tests wird dabei als Reconnaissance bezeichnet. Die Identifizierung potenziellen Angriffsvektoren erfolgt dann im Rahmen der Enumeration. Wurden Schwachstellen gefunden, werden diese entsprechend ausgenutzt, was unter die Exploitation fällt. Im letzten Schritt folgt die Documentation. In dieser werden die durchgeführten Schritte dokumentiert, sodass im Nachgang die Erstellung eines umfassenden Berichtes erfolgen kann. 

Im Zuge eines Pentests wiederholen sich die verschiedenen Phasen in ihrem Kreislauf, sodass etwa gewonnenen Erkenntnisse aus den vorherigen Durchläufen in die Überprüfung einbezogen werden können.