Penetrationstest – Was ist das eigentlich?

Was ist ein Penetrationstest?

PenTest, Penetrationstest, Penetrationtest, Vulnerability Assessment, Schwachstellenanalyse – viele Begriffe, die alle unterschiedlich klingen. Sie meinen aber oftmals etwas ähnliches: die professionelle Untersuchung von IT-Systemen auf Schwachstellen.

Ein Penetrationstest zielt darauf ab, ein IT-System, beispielsweise eine neuentwickelte Software, strukturiert auf Schwachstellen zu untersuchen und diese den Systemverantwortlichen zu melden.

Die Systemverantwortlichen nutzen diese Informationen anschließend, um die erkannten Schwachstellen zu beheben. Auf diese Weise können IT-Systeme vor Hackerangriffen geschützt werden.

Welche Arten von Penetrationstest gibt es?

Es gibt mindestens so viele Arten von Penetrationstests, wie es unterschiedliche Arten von IT-Systemen gibt. Andersherum wird ein Schuh drauß: Jedes IT-System kann Schwachstellen besitzen. Dementsprechend sollte auch jedes IT-System auf diese Schwachstellen im Rahmen eines Pentests untersucht werden.

So gibt es unterschiedlichste Ausprägungen und Spezialisierungen, die ein Penetrationstester vorweisen muss.

Arten von Pentests

• Web-Applikations Penetrationstest, kurz: WebApp Pentest. Hiermit ist die Untersuchung einzelner Applikationen gemeint, die über HTTP(S) angesprochen werden und im Netzwerk verfügbar sind. Beispiele hierfür können Online-Shops und Plattformen sein.
• API-Pentest: Viele Anwendungen und Smartphone-Apps nutzen API-Schnittstellen, die gesonderte Anforderungen mit sich bringen.
• Netzwerk-Penetrationstest: Interne Netzwerke im Unternehmen, DMZs, aber auch externe Netzwerk-Zugänge müssen regelmäßig überprüft werden. Hierbei wird nicht nur untersucht, ob die Prinzipien der Netztrennung sicher umgesetzt wurden, sondern oftmals auch, ob sich Angreifer innerhalb des Netzwerkes ausbreiten können.
• ActiveDirectory-Pentest: Das ActiveDirectory spielt in Unternehmen aller Größen eine wichtige Rolle bei der Autorisierung und  Authentifizierung. Fehlkonfigurationen können schwere Folgen nach sich ziehen.
• Desktop und Server-Anwendungen: Lokale Anwendungen können durch Fehlkonfigurationen oftmals dazu genutzt werden, Angreifern mit wenigen Nutzerrechten zu erhöhten Privilegien zu verhelfen.
• IoT: IoT-Geräte und deren Anwendungen bedürfen einer besonderen Härtung, um keine Gefahr darzustellen. Die Versorgung mit Updates ist häufig lückenhaft – die Geräte dürfen auch nach langer Zeit ohne Updates kein Sicherheitsrisiko darstellen.
• Cloud und Container: Ob Kubernetes, LXC oder Docker – ob AWS, GoogleCloud oder Azure: Wir testen Ihre Cloud-Umgebungen, Ihre Container-Lösungen und Orchestrierungen auf Schwachstellen. Mit unserem Spezialwissen für die Cloud und unserer Expertise im Härten von Container-Anwendungen in der Cloud unterstützen wir Sie beim sicheren Betrieb.

Klassifizierung eines Penetrationstest

Wir unterscheiden auf Empfehlung des BSI Penetrationstests in folgenden Klassifizierungen:

Informationsbasis

Durchführung

1. ohne Vorwissen (Black-Box)
2. mit teilweisem Vorwissen (Grey-Box)
3. mit umfänglichem Vorwissen (White-Box)

Scope

Handelt es sich bei dem Penetrationstest um den Test

1. einer Applikation
2. eines Netzwerks
3. eines physischen Zugangs

Aggresivität

Soll der Penetrationstest eher

1. aggressiv (damit ggf. zeitsparender)
2. vorsichtig
3. passiv
4. oder abwägend

durchgeführt werden?

Umfang

Soll der Penetrationstest vollständig, durch Faktoren wie Budget, begrenzt erfolgen oder sich auf bestimmte Schwachstellen fokussieren?

Vorgehensweise

Soll bei der Durchführung des Penetrationstests offensichtlich (umfangreiche Log-Einträge stellen hier kein Problem dar, die Verteidiger sind eingeweiht) oder verdeckt vorgegangen werden?

Ausgangspunkt

Soll der Test von außerhalb, aus der DMZ oder von innen durchgeführt werden? Wird ein gesondertes Testnetzwerk zur Verfügung gestellt?

Techniken

Welche Techniken sollen bei der Durchführung des Penetrationstests eingesetzt werden? Sind Social Engineering oder physischer Zugang im Scope mitenthalten?

Besonders bei Penetrationstests von Applikationen spielen diese Techniken keine Rolle. In der Regel fokussieren wir uns bei Penetrationstests auf den Netzwerkzugang. Physischer Zugang und Social Engineering werden insbesondere bei unseren Attack Simulationen eingesetzt.

Was ist der Unterschied zwischen automatisiertem Schwachstellenscan und Penetrationstest?

Automatisierte Schwachstellenscans werden mit sogenannten Schwachstellenscannern, auch Vulnerability Scannern genannt, durchgeführt.

Dabei werden vordefinierte Netzwerk-Abschnitte auf bekannte Schwachstellen und Fehlkonfigurationen untersucht. Wird im Unternehmen bekannte Software, beispielsweise von Microsoft, eingesetzt, erkennen Schwachstellenscanner häufig anhand der Versionsnummer, ob die Software von Schwachstellen betroffen ist. Als Empfehlung wird in diesem Falle oftmals ein Update empfohlen.

Die Erkennung basiert auf sogenannten Proof-of-Concept-Skripten, die regelmäßig vom Hersteller des jeweiligen Schwachstellenscanner zur Verfügung gestellt werden.

Im Gegensatz dazu kann ein Schwachstellenscanner mit individuell angepasster und selbstentwickelter Software in der Regel nicht sonderlich viel anfangen. Hier können zwar einzelne Fehlkonfigurationen erkannt, jedoch kaum grundlegendere Untersuchungen angestellt werden.

In diesem Fall ist es notwendig, einen professionellen Penetrationstester mit der Untersuchung zu beauftragen. Dieser findet oftmals Schwachstellen, die ein Scanner so nicht erkannt hätte.

Es ist also wichtig, dass Sie den Mehrwert von manuellen Penetrationstest von dem Output unterscheiden können, den automatisierte Schwachstellenscanner mit sich bringen.

Wir empfehlen, dass Sie regelmäßig Ihre Systeme mit automatisierten Schwachstellenscannern untersuchen, beispielsweise wöchentlich. Immer, wenn Sie ein neues IT-System in Ihr Unternehmen einführen, sollten Sie es mit einem manuellen Penetrationstest auf Schwachstellen untersuchen lassen.

Unsere PenTest-
Spezialisierungen​

Penetrationstests erfordern Spezialwissen. Es gibt nicht die eine Art von PenTest. Jede Art von Penetrationstest erfordert gesonderte Expertise.

ActiveDirectory

Mit unserem Expertenwissen für ActiveDirectory-Umgebungen spüren wir gefährliche Fehlkonfigurationen und Designfehler auf. Wir zeigen Ihnen, wie sich Angreifer mit Zugriff auf ein internes Netzwerk durch Manipulation und Ausnutzen von ActiveDirectory-Schwachstellen bis auf Ihren Domaincontroller vorarbeiten können, damit diese Schwachstellen beseitigt werden können, bevor sie von Angreifern ausgenutzt werden.

Web-Applikationen

Web-Anwendungen können ein Einfallstor in Ihre DMZ darstellen. Wir finden Schwachstellen und wenden dabei nicht nur die OWASP TOP 10 an, sondern schauen auch über den Tellerrand hinaus.

APIs

APIs sind heutzutage fast überall zu finden – sei es bei Web-Anwendungen oder auch im Zusammenspiel mit Applikationen auf dem Smartphone. Das Testen von APIs erfordert besondere Spezialkenntnisse, die unsere Hacker liefern können.

Desktop- und Server-Applikationen

Klassische Desktop- und Server-Anwendungen, ob in Java, Go oder .NET geschrieben – wir analysieren und testen Ihre Anwendungen auf Herz und Nieren, damit weder Sie noch Ihre Kunden einer Gefahr ausgesetzt werden.

Cloud, Cluster und Container

Ob Kubernetes, LXC oder Docker, ob AWS, GoogleCloud oder Azure: Wir testen Ihre Cloud-Umgebungen, ihre Container-Lösungen und Orchestrierungen auf Schwachstellen. Mit unserem Spezialwissen für die Cloud und unserer Expertise im Härten von Container-Anwendungen in der Cloud unterstützen wir Sie beim sicheren Betrieb.

Netzwerke

Die Welt ist vernetzt – und damit gehen Sicherheitsrisiken einher. Wir untersuchen Netzwerk-Infrastrukturen auf Schwachstellen. Könnten Angreifer aus Ihrer DMZ ausbrechen? Gibt es Schwachstellen in der Netztrennung? Wir finden die Einfallstore!

IoT

IoT-Geräte und deren Anwendungen bedürfen einer besonderen Härtung, um keine Gefahr darzustellen. Die Versorgung mit Updates ist häufig lückenhaft – die Geräte dürfen auch nach langer Zeit ohne Updates kein Sicherheitsrisiko darstellen.

Unsere Offensiven Services zeigen die Schwachstellen auf:

Cyber Security Assessment (CSA)

Cyber Security Assessment: Unser Kerngeschäft und unsere Leidenschaft! Wir prüfen bedarfsorientiert Ihre Systeme und Anwendungen, dokumentieren den Ist-Stand und zeigen Ihnen, wo Sie sich besser aufstellen können.

Read More

Penetrationstests

Penetrationstest – wir finden die Schwachstellen in Ihren Systemen. Bei einem Penetrationstest überprüfen wir Ihre technischen und organisatorischen Sicherheitsmaßnahmen.

Read More

Attack Simulation

Anders als bei einem Penetrationstest liegt der Fokus bei unseren Attack Simulations nicht ausschließlich auf technischen Maßnahmen, sondern primär auf den Prozessen zur Incident- und Notfallbewältigung sowie der Detektion (Angriffserkennung, Analyse der Sensorik) und Reaktion.

Read More