Was ist Penetration Testing?

Beim Penetration Testing (Pentest) geht es um die manuelle Überprüfung von IT Systemen auf mögliche Lücken in der Sicherheit oder Schwachstellen. Im Vergleich zu einem IT Sicherheitsaudit werden Sicherheitslücken wie zum Beispiel Pufferüberläufe, simple Rainbow Table Angriffe auf leider oft noch verwendete NTLMv2-Authentifizierungen ausgenutzt, sodass ein gutes Bild von der Sicherheit entsteht.

Bei dem Penetrationstest werden Netzwerke oder IT-Systeme oder IT-Systeme einer umfassenden Prüfung unterzogen, welche die Empfindlichkeit gegenüber Angriffen erforschen soll. Bei dem Pentest kommen Techniken und Methoden zum Einsatz, die von Hackern oder Angreifern verwendet werden.

Durch das Penetration Testing wird erreicht, dass

• Hackerangriffen vorgebeugt wird,

• Kosten und Zeit für eine aufwendige Nachverfolgung gespart werden und,

• dass die Nutzer die Kontrolle über das System behalten.

Die Ziele eines Penetration Testings

Das Hauptziel des Penetration Testings ist es, Schwachstellen von Computern und Netzwerken auf technologischer und organisatorischer Ebene zu finden und diese in einem Bericht zu dokumentieren. Die Beseitigung der aufgefundenen Schwachstellen liegt allerdings in der Pflicht des Betreibers oder des Auftraggebers der untersuchten Systeme. Wenn die empfohlenen Maßnahmen für die Beseitigung der entdeckten Schwachstellen durchgeführt, kann die Sicherheit der untersuchten Systeme verbessert werden. Mögliche Maßnahmen zur Behebung können Personalaufstockungen, Schulungen des Personals, Abschaltung des Systems oder das Installieren von Updates und Korrekturen sein. Da das Penetration Testing keine kontinuierliche Überwachung der IT-Systeme ist, kann es als eine Art Momentaufnahme der Sicherheitssituation verstanden werden. Meistens sind Social-Engineering-Penetrationstests ein wichtiger Teil der durchgeführten Tests. Dabei wird versucht, durch das Social Engineerings interner Mitarbeiter an Zugangsmöglichkeiten oder Informationen zu gelangen. Diese Tests haben zum Ziel, 9dass interne Schwachstellen in dem System aufgedeckt werden, die sich beispielsweise durch Information und Aufklärung von Mitarbeitern beseitigen lassen.

Die rechtlichen Aspekte des Penetration Testings

Vor der Durchführung der Penetrationstests muss die jeweilige Organisation das Einverständnis der zu testenden Organisation geben. Ohne eine diese Vereinbarung sind die Tests illegal und sind daher eine Straftat. Ein solcher Test darf sich bei Vorliegen der Einverständniserklärung lediglich auf jene Objekte beziehen, welche unter der tatsächlichen Erhabenheit der zu überprüfenden Organisation stehen. Es dürfen dabei keine IT-Netze oder Systeme von Dritten getestet werden. Zugleich hat der Auftraggeber vor dem Penetrationstest zu klären, für welche IT-Komponenten dies zutreffend ist. Verschiedene beanspruchte IT-Dienstleistungen, verschiedene Cloud-Services und unterschiedliche Vertragsverhältnisse zur Nutzung von Soft- und Hardware können eine derartige Klärung behindern.

Neben den eigenen Anforderungen können zugleich regulatorische Ansprüche eine Sicherheitsüberprüfung notwendig machen. In der Automobil- und in der Finanzindustrie ist dies schon fester Bestandteil der regulatorischen Ansprüche zum Beispiel durch die BaFin. Die Gesetze zwingen die Anbieter der Systeme zu einem generellen Penetrationstest. Daher verpflichtet die DSGVO Bearbeiter von personenbezogenen Daten dazu, die Anforderungen für die Verfügbarkeit, Integrität und Vertraulichkeit zu schaffen und eine Sicherstellung der Schutzziele. Das neue IT-Sicherheitsgesetz wird dazu weitere Verpflichtungen auf dem Gebiet der Penetrationstests schaffen.