Penetrationstest Teil 4: Zielsetzung von Penetrationstest

In diesem Teil der Reihe "Penetrationstest" geht es um die Zielsetzung von Penetrationstests. Oder anders gesagt, um die Frage was man mit einem Penetratiostest erreichen will.
Weiterlesen   >>
Bild des Benutzers pentester

Veröffentlicht von:

pentester
aktualisiert am:  29.05.2015

Zielsetzung von Penetrationstests

Die Durchführung eines Penetrationstest ist meist mit hohen Kosten verbunden. Um so ärgerlicher ist es wenn das Ergebnis des Tests nicht den Erwartungen des Auftraggebers entspricht. Aus diesem Grund ist es wichtig, vor dem Penetrationstest eine klare Zielvereinbarung mit dem Auftraggeber zu treffen. Sollte in der Vorbereitungsfase festgestellt werden, dass die angestrebte Ziele nicht erreicht werden können, so sollte der Tester deutlich darauf hinweisen und alternative Vorgehensweisen empfehlen.

Die Ziele des Auftraggebers lassen sich in vier Gruppen einteilen:

  1. Identifikation von Schwachstellen
  2. Bestätigung der IT-Sicherheit durch einen externen Dritten
  3. Erhöhung der Sicherheit der technischen Systeme
  4. Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur

 

Das Ergebnis eines Penetrationstests sollte nicht nur eine Auflistung vorhandener Schwachstellen sein, sondern auch konkrete Lösungsvorschläge für die Beseitigung liefern.

1. Identifikation von Schwachstellen

Die Identifikation von Schwachstellen kann, im Gegensatz zu anderen Zielen, ein direktes Ziel des Penetrationstests sein.

Bei dieser Zielsetzung geht es darum ein bestehendes IT-System auf Schwachstellen zu prüfen. Das kann z.B. bei einem Zusammenschluss von Firmen nützlich sein. Bevor die Netzwerke der Firmen zusammen geführt werden, ist es sinnvoll zu prüfen ob man in das neue Netzwerk von außen eindringen kann. Falls dies durch ein Penentrationstest gelingt, müssen vor der Zusammenführung Maßnahmen zur Sicherung getroffen werden oder sogar von der Zusammenführung abgesehen werden.

2. Bestätigung der IT-Sicherheit durch einen Dritten

Ein Penetrationstest kann auch für eine Bestätigung, eines unabhängigen, externen Dritten durchgeführt werden. So kann die regelmäßige Durchführung von Penentrationstests dafür geeignet sein eine erhöhte Sicherheit, in Bezug auf Kundendaten, eines Internet-Shops zu demonstrieren.

Es sollte dabei jedoch beachtet werden, dass ein Penetrationstest nur eine Momentaufnahme darstellt und daher keine Aussagen über das Sicherheitsniveau für die Zukunft geben kann.

3. Erhöhung der Sicherheit der technischen Systeme

Die Erhöhung der Sicherheit ist die Zielsetzung für die meisten Penetrationstests. Diese Tests beschränken sich auf die technischen Systeme, wie Firewall, Router und Web-Server. Oft wird dabei geprüft, ob es möglich ist über das Internet auf Systeme innerhalb des LAN's des Unternehmens, unautorisiert zugreifen zu können.

4. Erhöhung der Sicherheit der organisatorischen oder personellen Infrastruktur

Ein Penetrationstest kann auch die organisatorische oder personelle Infrastruktur prüfen. Es ist beispielsweise möglich zu prüfen, wie leichtfertig die Mitarbeiter mit ihren Passwörtern umgehen. Der Umfang solcher Tests muss vorher sehr genau vereinbart werden, dabei sollten auch die ethische Überlegungen beachtet werden.
Diese Tests werden meistens mittels Social-Engineering-Techniken durchgeführt. Dabei versucht man mit telefonischen Abfragen Passwörtern oder anderen sensiblen Daten herauszufinden. Die sensibilisierung von Mitarbeitern und die Steigerung des allgemeinen Sicherheitsbewusstseins sind die Ziele solcher Penetrationstests.

Grenzen von Penetrationstests

Die Techniken der potenziellen Angreifer entwickeln sich schnell weiter. Aus diesem Grund kann aus einem einzelnen Penentrationstest keine Aussage über das Sicherheitsniveau der gepfrüften Systeme für die Zukunft abgeleitet werden. Ein erfolgreicher Angriff kann aufgrund einer neuen Sicherheitslücke, im Extremfall unmittelbar nach dem Abschluss eines Penetrationstests möglich sein.

Ein Penetrationstest kann nicht die IT-Sicherheitsprüfungen und auch keine Sicherheitsleitlinien ersetzen, er ist aber keinenfalls sinnlos!

Obwohl ein erfolgreicher Angriff nicht völlig ausgeschloßen werden kann, ist die Wahrscheinlichkeit nach einem Penetrationstest jedoch beträchlich reduziert. Je höher der Schutzbedarf der Systeme ist, desto häufiger sollten Penetrationstests durchgeführt werden.

 

Das war der vierte Teil der Reihe Penentrationstest. Im nächsten Teil geht es um die Klassifikationen von Penetrationstests. Was unterscheidet also ein Penetrationstest von einem anderen Penetrationstest?

Diskussionsfrage:
Was haltet ihr von Social-Engineering im Zusammenhang mit Penetrationstest? Gehört dazu oder findet ihr es klüger, die vorhandenen Mittel in die technische Überprüfung zu investieren?

nach oben
144 User haben sich bedankt.

Kommentare

Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.
Bild des Benutzers Martin B.
Wenn das Budget es her gibt, würde ich Social-Engineering auf jeden Fall empfehlen. Der "Aha"-Effekt bei den Mitarbeitern ist unglaublich. Wir hatten mal ein Test im Jahr 2013, die Mitarbeiter lassen seitdem keine Passwörter mehr unter der Tastatur :D
Kommentar schreiben