"Unser Netz ist sicher!", ist eine mutige Aussage, die oft etwas leichtfertig getroffen wird. Wie es tatsächlich um die Sicherheit einer Online-Anwendung steht, wird allerdings erst dann klar, wenn ein versierter Hacker versucht, ins System einzudringen und es zu manipulieren. Mit Penetrationstests simulieren Security-Experten solche Attacken, um Sicherheitslücken zu identifizieren. In unserer Online-Beratung via Web-TV zum Thema IT-Sicherheit haben wir uns mit der Notwendigkeit und dem Ablauf von Penetration Tests befasst.
Realitätsnahe Angriffsszenarien
Bei einem Penetrationstest geht der Experte wie ein potenzieller Hacker vor und nutzt alle Mittel und Vorgehensweisen, die auch ein echter Angreifer anwenden würde. Solche realitätsnahen Tests liefern belastbare Aussagen über den Sicherheitszustand eines Systems und generieren konkrete Handlungsempfehlungen, um Lücken zu schließen, die sich ein tatsächlicher Angreifer zunutze machen könnte.
Planung und Durchführung erfolgen natürlich in enger Abstimmung mit dem Kunden. In der Vorbereitungsphase werden zunächst die Ziele und die Angriffsflächen bestimmt. Im Gegensatz zu einem echten Hackerangriff kann man im Vorfeld Backups erstellen und somit Schaden vermeiden. Zudem kann der Kunde entscheiden, ob nur ein Testsystem oder die Produktivinstanz angegriffen werden soll.
Drei Herangehensweisen an Software-Tests
Wie viel der Kunde dem "Test-Hacker" nun im Vorfeld preisgeben möchte, kann er ebenfalls selbst entscheiden. Hier unterscheidet man zwischen Black-Box-Test, White-Box-Test und Grey-Box-Test. Bei einem Black-Box-Test liegen dem IT-Experten keinerlei Informationen über die innere Funktionsweise des zu testenden Systems vor, weshalb dieser Test auch am ehesten einem echten Angriff entspricht. Bei White-Box-Test ist der Kunde dagegen tief integriert und gewährt dem Experten z.B. Einblicke in den Quellcode der Anwendung. Aus dem agilen Umfeld stammt das Vorgehen bei Grey-Box-Tests, bei denen Methoden der testgetriebenen Entwicklung zum Einsatz kommen.
Regelmäßige Penetrationstests für eine erhöhte Sicherheit
Penetrationstest sind mächtige Werkzeuge, die vor allem von Unternehmen mit einem sehr hohen Sicherheitsbedürfnis regelmäßig eingesetzt werden sollten. Gewiss deckt ein einmaliger Test Risiken und Lücken auf, durch die Hacker im Angriffsfall Schaden anrichten können. Er bietet allerdings keinen dauerhaften Schutz, da häufig nicht sämtliche Aspekte und Systemkomponenten in einen einzelnen Test integriert werden und vor allem weil immer wieder neue Sicherheitslücken auftreten können und neue Angriffsmethoden auf der Bildfläche erscheinen. Nochmals sei in diesem Kontext auf die berühmte Aussage von Bruce Schneier hingewiesen: "Security is a process, not a product."
Live-Session: Notwendigkeit und Ablauf von Penetrationstests
Mit den gerade angesprochenen und weiteren Sicherheitsaspekten haben wir uns in einer unserer Live-Sessions zur Online-Beratung beschäftigt: Warum sind Penetrationstests im Rahmen des IT-Sicherheitsprozesses sinnvoll und nötig? Welche Vorbereitungen und Abstimmungen sind erforderlich? Wie laufen Tests ab und wie gehen IT-Experten dabei vor? Antworten gibt die Aufzeichnung der etwa zwanzigminütigen Sendung, die Sie unten auch im MP4-Format zum Offline-Ansehen herunterladen können. Weitere Infos bietet außerdem die Agenda zur Live-Session in unserer Infothek.
Dieses Video downloaden (MP4, 156 MB)
Weiterführende Informationen
Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne – bitte sprechen Sie uns unverbindlich an! Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.
IT-Sicherheit und Penetrationstests Teil 1: Informationen sammeln und bewerten
IT-Sicherheit und Penetrationstests Teil 2: Schwachstellen in Servern aufdecken
IT-Sicherheit und Penetrationstests Teil 3: Lücken in Web-Anwendungen aufdecken
IT-Sicherheit als kontinuierlichen Prozess verstehen
Mehr über die Creative-Commons-Lizenz erfahren
