Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Penetration Testing: Einführung und Status Quo

Dr. Matteo Große-Kampmann

Penetration Testing ist die manuelle Überprüfung von Schwachstellen in IT-Systemen. Bei einem Audit werden Sicherheitslücken gemeldet und damit ist der Test beendet. Bei einem Penetration Test werden gefundene Schwachstellen auch ausgenutzt, um ein realistisches Bild der Sicherheit des Unternehmens zu generieren.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


Moderne Gefahren

Durch die zunehmende Digitalisierung und Vernetzung von verschiedensten Menschen, Geräten und Netzwerken entstehen immer neue, digitale Angriffsvektoren. Durch die zunehmende Inwertsetzung von digitalen Produkten und Informationen steigt dementsprechend auch die Schadenssumme in die Höhe.

Unternehmen und Organisationen haben zudem häufig mit Reputationsschäden nach einem erfolgreichen Angriff zu kämpfen. Und die Angreifer attackieren heute verschiedenste Systeme und Unternehmen. Microsoft wurde beispielsweise kürzlich angegriffen, ebenso wie ein Medienhaus oder auch Krankenhäuser und medizinische Unternehmen. Neben den realen Gefahren können aber auch Anforderungen aus Standards oder Regulatoren eine Motivation für einen Penetration Test sein, zum Beispiel im Rahmen eines ISMS.

Schutzniveaus beim Penetration Testing

Bei einem Penetration Testing geht es vor allem darum, ihr individuelles Schutzniveau zu ermitteln und daraus einen SOLL-Zustand abzuleiten. IT-Sicherheit ist kein Projekt, sondern ein Prozess und die durch Sie eingeführten Schutzmaßnahmen gilt es zu überprüfen. Penetration Testing ist ein fester Bestandteil im PDCA-Cycle (Plan-Do-Check-Act) der Informationssicherheit. Dieser PDCA-Zyklus beschreibt einen iterativen, vierphasigen Prozess für Lernen und Verbesserung. Das Penetration Testing ist hierbei eindeutig im C-Bereich angesiedelt 

Der PDCA Zyklus - Plan, Do, Check, Act in Wiederholung! Ein zentraler Punkt beim Pentesting
Der PDCA Zyklus – Plan, Do, Check, Act in Wiederholung!

Es ist leicht ein für einen selbst sicheres System zu planen und umzusetzen, allerdings kann ein unabhängiger Blick durch einen Dritten dafür sorgen, dass das System doch nicht so sicher ist wie gedacht. Je früher dies im Product-Lifecycle geschieht, desto besser ist es. Daher gilt für moderne Anwendungen auch das „Security-by-design“-Prinzip. Dabei werden Sicherheitsprozesse von Anfang an mitgedacht und implementiert.

Wer führt einen Penetrationstest durch?

Penetrationstests werden durch. Unternehmen wie beispielsweise die AWARE7 durchgeführt. Lernen Sie den Anbieter des Penetrationstests kennen. Haben die Mitarbeiter:innen eine entsprechende Qualifizierung (Uniabschluss, Zertifikate, Erfahrung)? Gibt es Referenzprojekte? Versteht der Anbieter Ihren Business-Case? Security darf kein Selbstzweck sein, sondern muss immer innerhalb des unternehmerischen Interesses eine Funktion erfüllen.

Bespricht der Anbieter die Ergebnisse des Tests mit Ihnen? Oder sind Sie nach dem Test auf sich allein gestellt? Gibt es darüber hinaus Beratungs- oder Hilfsangebote? Es gibt darüber hinaus noch weitere Punkte, die Sie beachten können bei der Auswahl eines Dienstleisters, diese haben wir in diesem Artikel zusammengestellt.

Effizienz von Pentests

Die Durchführung eines Penetration Testings ist nicht trivial. Während die Methodik sich an Standards orientiert, sind die umgesetzten Penetration Tests hochgradig individuell. Automatisierte Werkzeuge kommen mit manuellen Tools in Kontakt und müssen nahtlos ineinander greifen.

Die Ergebnisse eines Penetration Test hängt vor allem vom definierten Umfang des Projektes ab. Es können definitiv auch kleinere Projekte umgesetz werden, jedoch sollte dies dann in regelmäßigen Abständen geschehen, um eine kontinuierliche Verbesserung gemäß des PDCA-Zyklus zu gewährleisten.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Risiken des Penetration Testing

Ein Penetration Testing sorgt bei vielen Entscheidern für Bedenken. Am Ende des Tages ist die Aufgabe eines Pentesting Teams nunmal das Eindringen in Systeme und dies fühlt sich „riskant“ an. „Was, wenn der Pentest unsere Systeme lahmlegt und wir nicht erreichbar sind?“

Die Gründe dafür sind in den meisten Fällen entweder Rücksichtslosigkeit des Pentesters oder unerwartete Umstände. Rücksichtslose Pentester sind meist unerfahren. Fragen Sie nach Zertifikaten der Tester und wer konkret Ihre Systeme testen wird oder lassen Sie sich eine Auswahl an Profilen schicken. Bei den unerwarteten Umständen ist es etwas schwieriger, da diese – wie der Name schon sagt, meist unerwartet sind.

Sie sollten nach Möglichkeit eine Test- oder Staging-Umgebung für den Test bereitstellen, damit der Schaden minimiert wird. Sollte dies nicht möglich sein, sollten Sie die getesteten Systeme während des Tests genau beobachten und die Pentester benachrichtigen, falls Sie etwas ungewöhnliches feststellen.

Eine weitere, häufig vorgebrachte Angst ist die „Unbeabsichtigte Exposition“ durch einen ungesicherten Systemzugang. Um dies zu vermeiden, sollten Sie sicherstellen, dass Sie ein kompetentes Penetration Testing-Team engagieren und immer ein erfahrener Ansprechpartner im Team ist.

Zweitens sollten Sie mit dem Pentesting-Team kommunizieren, um ausgenutzte Schwachstellen nach dem Penetration Testing wieder zu beseitigen und kein ungewolltes Einfallstor zu hinterlassen.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

Dr. Matteo Große-Kampmann

Mein Name ist Matteo Große-Kampmann. Gemeinsam mit Chris Wojzechowski habe ich die AWARE7 GmbH in Gelsenkirchen gegründet. Ich habe meine Promotion zum Thema "Towards Understanding Attack Surfaces of Analog and Digital Threats" abgeschlossen und bin ausgebildeter ISO 27001 Lead Auditor.