Startseite » Blog DE » Penetrationstest sind wichtig ✅

Penetrationstest sind wichtig ✅

Ein Penetrationstest, kurz Pentest, ist eine umfassende Sicherheitsanalyse von Systemen (Servern, Computern, Webanwendungen usw.), um Sicherheitslücken aufzudecken, damit der Betreiber sie schließen und Schäden verhindern kann. Man kann es sich wie einen Angriff von einem Hacker mit bösen Absichten vorstellen. Allerdings ist es kein böser Hacker, der die Angriffe durchführt, sondern ein sogenannter Pentester. Ein wichtiger Aspekt eines Pentests ist, dass er größtenteils manuell durchgeführt wird. Dies erhöht die Chance, Sicherheitslücken zu finden, die von automatisierten Tools nicht als solche erkannt werden.

Warum ist Pentesting notwendig?

Ein Pentest ist nicht einfach irgendein Test. Es ist wichtig, einen solchen Test in bestimmten Abständen durchzuführen. Software ist nicht einfach statisch. Jeden Tag werden Bibliotheken entwickelt. Insbesondere Bibliotheken, die Sie oder Ihr Unternehmen in Ihrer Software verwenden. Genau wie ein Mensch altert auch Software. Ein Grund, warum immer wieder Bugfixes oder Änderungen vorgenommen werden, ist, dass Schwachstellen gefunden werden. Und jeden Tag werden mehr gefunden. Zum Beispiel die Log4J-Schwachstelle in der Logging-Bibliothek von Java, von der Sie wahrscheinlich schon gehört haben.

Bibliotheken sind nicht der einzige Grund für das Auftreten von Sicherheitslücken. Meiner Meinung nach liegt der Hauptgrund darin, dass bei der Entwicklung eines Produkts kein Wert auf die Sicherheit gelegt wird. Oft heißt es, es sei keine Zeit für Sicherheit oder die Entwickler hätten sich nie mit dem Thema Sicherheit beschäftigt. Ich möchte niemandem einen Vorwurf machen. Aber die Unternehmen sollten sich mehr damit beschäftigen, auch wenn es Geld kostet. Es ist eine Investition. Denn einen Imageschaden kann man nicht rückgängig machen.

Alles in allem ist es notwendig, so viele kritische und unkritische Schwachstellen wie möglich zu finden, um einen großen Schaden zu vermeiden. Denn ein Schaden ist viel kostspieliger als ein Pentest. Sie sollten wissen, dass sich mehrere unkritische Schwachstellen zu einer sogenannten Killchain zusammenschließen und zusammen ebenfalls einen großen Schaden verursachen können.

An dieser Stelle möchte ich noch ein paar Gründe aufführen, warum ein Pentest notwendig ist:

  • Versteckte Schwachstellen sollten aufgedeckt werden, bevor ein böswilliger Hacker sie entdeckt und gegen Sie ausnutzt.
  • Fehlermeldungen können reduziert werden. Ein böswilliger Hacker könnte dazu führen, dass Ihre Infrastruktur für einen längeren Zeitraum komplett ausfällt. Dies würde auch bedeuten, dass Sie Umsatzeinbußen vermeiden können (Zeit ist Geld).
  • Der Schutz von Kunden- und Mitarbeiterdaten ist besonders wichtig. Der Verlust dieser Daten würde das Vertrauen in das Unternehmen mindern und kann auch rechtliche Probleme verursachen.
  • Ein weiterer Punkt ist die Einsparung von “Wiederherstellungskosten”. Ein böswilliger Hacker kann einen solchen Schaden anrichten, dass die Infrastruktur überhaupt nicht wiederhergestellt werden kann. Dann müssen die hoffentlich vorhandenen Sicherungskopien auf den einzelnen Servern wiederhergestellt werden. Das kostet Zeit und damit Geld. Und wenn keine Sicherungskopien vorhanden sind, dann ist es wahrscheinlich an der Zeit, alles von Grund auf neu aufzubauen.

Arten von Penetration Tests

Es gibt verschiedene Möglichkeiten für einen Pentest auf drei verschiedenen Ebenen. Wie Sie in der folgenden Abbildung sehen können, gibt es Black-, Grey- und White-Box-Tests.

types of penetrationtests
Source for types of penetration testing: https://www.pngfind.com/download/iowmwi_gray-box-penetration-testing-black-box-pen-test/

Ein Pentest auf Black Box Ebene stellt einen Angriff unter realen Bedingungen dar und hat natürlich einen geringen organisatorischen Aufwand. Sie beauftragen ein Unternehmen und lassen den Pentester ohne jegliche Informationen auf die externe/interne Infrastruktur los. Ihr Ziel ist es dann, kritische Schwachstellen zu finden und einen möglichst hohen simulierten Schaden zu erzeugen.

Ein Pentest auf Gray Box Ebene findet dagegen in einer definierten Testumgebung, auch Scope genannt, statt. Das bedeutet, dass der Pentester sein Ziel kennt und sich ausschließlich auf dieses konzentrieren kann. Dies ist besonders bei der Fokussierung auf ein Ziel von Vorteil, da ein Pentester seine volle Konzentration auf das Ziel richten und so tiefer in die Materie eintauchen kann. Er kann dann Schwachstellen finden, die beim “Überfliegen” übersehen worden wären.

Ein Pentest auf White Box Ebene ist die letzte Stufe. Hier erhält der Pentester vollen Zugriff auf alle internen Informationen, wie Quellcode, Dokumentation und Architekturen. All diese Informationen können dann vom Pentester genutzt werden, um sowohl programmatische als auch logische Schwachstellen zu finden. Eine logische Schwachstelle wäre z.B., dass man auf einem Marktplatz für eine andere Person einen Kauf tätigen kann, ohne als diese Person angemeldet zu sein.

Zusammenfassung

Das Thema IT-Sicherheit sollte nicht als Hürde oder nutzlos angesehen werden. Vielmehr sollte es als eine Möglichkeit gesehen werden, ernsthaften Schaden zu vermeiden. Solange man selbst nicht betroffen ist, macht man sich keine Gedanken über die Konsequenzen. Wenn aber ein bösartiger Hacker beschließt, Ihrem Unternehmen Schaden zuzufügen, kann es zu spät sein. Und wie ich gelernt habe, sollte man nicht nur hoffen, sondern reagieren und das Problem proaktiv angehen. Wenn Sie nicht über das nötige Wissen verfügen, sollten Sie einen Pentester oder ein Unternehmen beauftragen, das Sie mit seinem Wissen unterstützen kann.

Weiterführende Themen

Wenn Sie Interesse an diesem Thema gefunden haben, könnten folgende Beiträge ebensfalls für Sie in Frage kommen:

Nach oben scrollen
WordPress Cookie Plugin von Real Cookie Banner