Penetrationstests sind eine Technik, mit der Sicherheitsschwachstellen in einem System, Netzwerk oder einer Anwendung aufgespürt werden, die von Angreifern ausgenutzt werden könnten. Solche Tests können von manuellen Testern durchgeführt werden, die eine Vielzahl von Techniken und Strategien anwenden, oder mit Hilfe von Penetrationstest-Tools und hochentwickelten, automatisierten Einbruchs- und Angriffssimulationen.
Definition von Penetrationstests:
Penetrationstests sind eine Technik, mit der Sicherheitsschwachstellen in einem System, Netzwerk oder einer Anwendung aufgespürt werden, die von Angreifern ausgenutzt werden könnten. Solche Tests können von manuellen Testern durchgeführt werden, die eine Vielzahl von Techniken und Strategien anwenden, oder mit Hilfe von Penetrationstest-Tools und hochentwickelten, automatisierten Einbruchs- und Angriffssimulationen.
Um eine Umgebung vor gezielt vorgehenden Angreifern zu schützen, müssen Computersicherheitsexperten die Stärken und Schwächen der vorhandenen Sicherheitskontrollen und der Umgebung kennen. Penetrationstests sind eine Technik, die Unternehmen dabei hilft, durch einen simulierten Angriff unter kontrollierten Bedingungen die Stärke ihrer derzeitigen Verteidigungsmaßnahmen zu beurteilen
An manuellen Tests sind Teams für Penetrationstests beteiligt, die manchmal auch als „ethische Hacker“ oder „rote Teams“ bezeichnet werden. Diese bestehen aus geschultem Sicherheitspersonal, das dann versucht, durch verschiedene Angriffe in ein Netzwerk, ein System oder eine Anwendung einzudringen. Bevor sie Angriffe starten, bewerten die roten Teams das Ziel und identifizieren mögliche Schwachstellen oder Eintrittspunkte. Diese Schwachstellen können digital sein oder sich in der realen Welt befinden. So könnten z.B. laxe Sicherheitsvorkehrungen rund um eine Einrichtung ausgenutzt werden.
Bei Penetrationstests mit roten Teams wird in der Regel ein blaues Team eingesetzt, um die Sicherheitsumgebung vor diesen Angriffen zu schützen. Die blauen Teams bewerten den bestehenden Stand der Sicherheitsbereitschaft und versuchen dann, Angriffe der roten Teams abzuwehren. Beide Teams arbeiten letztendlich aber doch zusammen, um den wahren Zustand der organisatorischen Sicherheit aufzudecken und in ihren Berichten detailliert darzustellen, was der Penetrationstest aufgedeckt hat.
Diese Empfehlungen werden in der Regel in Form von Berichten zusammengestellt und den IT- und Systemmanagern vorgelegt, die anhand dieser Informationen strategische Entscheidungen über die Priorisierung eventuell erforderlicher Maßnahmen treffen können. Wenn die Ergebnisse eines Penetrationstests im gesamten Unternehmen bekannt werden, können Anpassungen vorgenommen werden, um zu verhindern, dass die gleichen Schwachstellen oder Probleme erneut auftreten.
Penetrationstest-Teams können eine beliebige Anzahl verschiedener Teststrategien verfolgen. Dazu gehören Tests, die auf externe Server oder Geräte abzielen, Tests, die hinter einer Firewall einen Angriff durch einen autorisierten Benutzer imitieren (das Szenario des „verärgerten Mitarbeiters“), sogenannte „blinde“ Tests, bei denen die Menge an Informationen, die dem Testteam zur Verfügung gestellt werden, begrenzt wird, oder gezielte Teststrategien, bei denen alle Beteiligten während des Testzeitraums mit maximaler Transparenz zusammenarbeiten.
Neben der Identifizierung von Sicherheitsschwachstellen können Penetrationstests auch dazu verwendet werden, die Einhaltung von Compliance-Vorschriften, die Sicherheitsrichtlinien eines Unternehmens, das Sicherheitsbewusstsein der Mitarbeiter oder die Fähigkeit eines Unternehmens, schnell und effizient auf identifizierte Schwachstellen oder Probleme zu reagieren, zu bewerten.
Tools für automatisierte Penetrationstests
Manuelle Tests mit roten und blauen Teams sind zwar wirksam, aber sie haben auch Nachteile: Sie basieren in hohem Maße auf manuellen Prozessen, hängen von menschlichen Fähigkeiten ab und sind ressourcenintensiv. Das bedeutet, dass manuelle Penetrationstests nicht sehr häufig durchgeführt werden. In der Regel vergehen Wochen oder Monate zwischen den Übungen mit roten und blauen Teams. Einige Unternehmen führen sie nur jährlich oder bei größeren Änderungen durch (z.B. bei der Einführung einer neuen Infrastruktur oder bei umfangreichen Upgrades oder Modifikationen). Das bedeutet, dass die Unternehmen nicht permanent einen Überblick über den Zustand der Unternehmensverteidigung haben.
Um dieses Problem zu lösen, wird ein Tool für Penetrationstests benötigt. Viele dieser Softwarelösungen basieren auf denselben Methoden, die auch Black Hat Hacker einsetzen: Passwort-Cracker, Netzwerk-Sniffer oder Protokoll-Analysatoren etc. Darüber hinaus setzen viele Unternehmen neuere Tools ein, die der Standardmethodik für Penetrationstests folgen, diese aber automatisiert und kontinuierlich anwenden. Ein Beispiel dafür sind Simulationsplattformen für Einbrüche und Angriffe. Diese Lösungen führen rund um die Uhr Angriffe im Stil von roten Teams durch, um Schwachstellen zu identifizieren, und geben nachdem diese aufgedeckt wurden, nach Prioritäten geordnete Empfehlungen zur Behebung der Schwachstellen ab.
Da sie automatisiert erfolgen, können diese simulierten Angriffe eine Sicherheitsumgebung kontinuierlich schützen und verhindern, dass sich in den Intervallen zwischen manuellen Penetrationstests Informationslücken bilden.
