Penetrationstest - Teil 3: Einordnung von Penetrationstest

Der dritte Teil der Reihe "Penetrationstest" geht auf die IT-Sicherheits- und Schutzmaßnahmen, die bei einem Penetrationstest geprüft werden, ein. Außerdem werden die Unterschiede zur einer IT-Sicherheitsprüfung bzw. IT-Revision erläutert.
Weiterlesen   >>
Einordnung des Penetrationstests
Bild des Benutzers pentester

Veröffentlicht von:

pentester
aktualisiert am:  28.05.2015

1. Einordnung des Penetrationstests in der IT-Sicherheit

Das Testen von IT-Systemen sollte in einem mehrstufigen Verfahren durchgeführt werden. Ein Penetrationstest betrachtet nicht die funktionale Aspekte eines IT-Systems. Deshalb ist es sinnvoll vor dem Penetrationstest eine interne Qualitätssicherung durchzuführen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, vor einem Penetrationstest zunächst eine IS-Kurzrevision  durchzuführen.
Die IS-Kurzrevision ist ein Verfahren zur Einschätzung des Informationssicherheitsstatus in einer Institution. Ziel der IS-Kurzrevision ist es, mit wenig Aufwand einen Überblick über den Sicherheitsstatus und die bestehenden sicherheitskritischen Bereiche zu verschaffen. Dabei werden Maßnahmen aus dem IT-Grundschutz betrachtet, die eine wesentliche Grundlage für Informationssicherheit bilden.

Sollte ein Webauftritt untersucht werden, so wird von BSI empfohlen vor dem Penetrationstest einen IS-Webcheck durchzuführen. Hierbei wird geprüft ob die gängigen Sicherheitslücken in der Webanwendung geschlossen sind. Im letzten Schritt wird das Sicherheitsgateway sowie weitere Schnittstellen zu dem Webauftritt durch einen Penentrationstest bzw. IS-Penetrationstest (Penetrationstest von IT-Systemen durch das BSI) überprüft.

Die folgende Grafik veranschaulicht nochmal die einzelne Schritte:

Einordnung des Penetrationstests

2. Prüfbare IT-Sicherheitsmaßnahmen

Der Penetrationstest sollte sowohl logische IT-Sicherheitsmaßnahmen sowie auch physische Maßnahmen prüfen.

Zur physischen Maßnahmen gehören z.B. Zutrittskontrollsysteme.

Als logische Maßnahmen gelten Passwörter oder Vergabe von Benutzerrechten. Häufig wer-
den nur logische Sicherheitsmaßnahmen geprüft, da diese erstens größtenteils aus der Ferne über das Netzwerk getestet werden können und somit weniger Aufwand erforderlich ist und zweitens die Wahrscheinlichkeit für Angriffe auf logische IT-Sicherheitsmaßnahmen als ungleich größer angesehen wird.
 

3. Abgrenzung Penetrationstest zu IT-Revisionen und Sicherheits-Audits

Bei Sicherheits-Audits und IT-Revisionen werden im Gegensatz zu Penetrationstests die IT-Infrastruktur hinsichtlich Effizienz und Ordnungsmäßigkeit überprüft. Diese Überprüfungen sind nicht zwingend auf die Aufdeckung von Schwachstellen des IT-Systems fokussiert. Bei Penetrationstests hingegen geht es nicht darum, ob das Datensicherungskonzept des Unternehmens funktioniert, sondern ob ein Zugriff auf die Daten erlangt werden kann.

Der nächste Artikel befasst sich mit der Zielsetzung von Penetrationstests. Wenn ihr die veröffentlichung nicht verpassen wollt, abonniert euch den RSS-Feed.

nach oben
140 User haben sich bedankt.
Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.
Kommentar schreiben