Für Links in diesem Beitrag erhält https://innova24.biz ggf. eine Zahlung von einem Partner. Der Inhalt bleibt unbeeinflusst.
PenTests sind Penetrationstest. Bei diesen handelt es sich im Bereich der IT-Sicherheit um eine in Auftrag gegebene – also von dem Auftraggeber erwünschte – Überprüfung eines IT-Systems auf mögliche Defizite oder Schwachstellen.
Das Penetration Testing für Websites stellt damit das Gegenstück zu einem Angriff durch kriminelle Hacker dar. Was im Detail unter einem PenTest verstanden wird, erklärt der folgende Beitrag.
PenTests – das steckt dahinter
In der IT-Fachsprache werden sämtliche Arten von unbefugten Eingriffen in ein System Penetration genannt. Somit erfüllt ein Penetrationstest die Aufgabe, einen Computer, einen Server oder ein Netzwerk des jeweiligen Auftraggebers auf eventuell vorhandene Schwachstellen zu überprüfen, indem ein unbefugter Zugriff nachgestellt wird.
Ein PenTest verfolgt das Ziel, durch die gewonnenen Erkenntnisse das Risiko eines zukünftigen Cyber-Angriffs zu minimieren. Das Ergebnis des Penetrationstests zeigt dem Auftraggeber, ob in seiner IT-Sicherheit Mängel zu finden sind. Jedoch stellt die anschließende Behebung der möglichen Mängel keinen Bestandteil des PenTests dar. Die Mängelbeseitigung muss somit in der Regel von dem auftraggebenden Unternehmen selbst vorgenommen werden.
Abhängig von dem jeweiligen Unternehmen können sich die Tiefe und der Umfang des PenTests verschieden gestalten. Zu den besonders häufig gewünschten Testbereichen zählen Sicherheitsbarrieren, wie zum Beispiel Web Application Firewalls, webbasierte Applikationen, Container und ihre jeweiligen Server und Schnittstellen. Im Zuge des Tests können Schwachstellen und Konfigurationsfehler durch intensive Angriffsversuche offengelegt werden.
Begriffsabgrenzung im Bereich der IT-Security
Abzugrenzen sind die PenTests von weiteren ähnlichen Begrifflichkeiten, die in dem IT-Sicherheitsbereich zu finden sind.
Sogenannte Vulnerability Scans stellen beispielsweise automatische Tests dar, die nicht individuell angepasst werden. Auch bei Security Scans handelt es sich um eine automatische Testung, jedoch findet eine manuelle Verifizierung der Testergebnisse statt. Ein einheitliches Schema existiert nicht.
Das wird im Rahmen des PenTests überprüft
Grundsätzlich existieren überaus viele Anwendungen aus der IT, welche mithilfe eines Penetrationstests überprüft werden können. Zu diesen zählen beispielsweise Fileserver, Mailserver, Webserver, Datenbankserver, Firewalls, Virenscanner, Paketfilter und weitere Speichersysteme.
Daneben können im Rahmen eines PenTests auch Container, Web Applications, Switches, Gateways, Router, Drahtlos-Netzwerke, Telefonanlagen, Clients, Gebäudesteuerungen und Gebäudesicherheitssysteme überprüft werden.
Die unterschiedlichsten Arten der PenTests
Bei einem internen PenTest findet eine Analyse darüber statt, was passiert, wenn ein sogenannter Inside Job ausgeführt oder Daten eines internen Mitarbeiters gestohlen werden. Im Rahmen dieses Tests wird demnach ein Angriff simuliert, der mithilfe von Daten ausgeführt wird, die im Vorfeld durch einen Mitarbeiter gewonnen wurden.
Der externe PenTests stellt dagegen die klassische Variante des Penetrationstests dar. Es wird ein Angriff durch Hacker nachgestellt, die auf die Unternehmenswebseite und die genutzten Systeme lediglich über das Internet Zugriff und nicht über die Nutzerzugänge haben. Zu diesen Angriffen zählen auch gezielte Überlastungen in Form von DDoS-Attacken.
Daneben existieren ebenfalls die sogenannten Blindtests. Bei diesem Vorgehen sind keine detaillierten Absprachen erforderlich. Der jeweilige Dienstleister erhält dabei nur den Unternehmensnamen und das Einverständnis zur Testdurchführung – auf weiteren Input wird vollständig verzichtet. Auf diese Art wird es möglich, dass die Sicherheitsexperten der internen IT auf die Zugriffsversuche in Echtzeit reagieren können. Beispielsweise ist dieses Vorgehen geeignet, um die eigene IT-Sicherheit objektiv durch einen Dritten einschätzen zu lassen.
Foto: © Funtap / adobe.com