Penetrationstests – Bewusste Angriffe auf das eigene System

Fachbeitrag

Bei einem Penetrationstest versetzt sich der Betreiber einer IT-Infrastruktur in die Sicht eines potentiellen Angreifers. Um Schwachstellen aufzudecken werden zahlreiche Mittel und Methoden eines echten Angreifers auf das eigene System angewendet.

Wie genau funktioniert ein Penetrationstest?

Bei einem Penetrationstest prüft ein Sicherheitsfachmann alle Systembestandteile und Anwendungen eines Netzwerks mit den Mitteln, die auch von einem echten Angreifer verwendet werden um ohne Autorisierung in ein System einzudringen. Hierbei bedient sich der Prüfende einer Vielzahl von Softwareprodukten, die völlig unterschiedliche Zielrichtungen haben. Während einige Werkzeuge einzelne Schwachstellen überprüfen und aufdecken, gibt es auch Programme mit denen eine ganze Reihe von Sicherheitslücken aufgedeckt werden sollen.

Ein Angriffsmittel, das häufig bei Penetrationstests eingesetzt wird, ist die sog. DoS-Attacke. Bei dieser Methode wird ein Ziel-Rechner mit Datenanfragen „überflutet“ bis das Zielsystem diesen Anfragen nicht mehr standhält und zusammenbricht. In den letzten Jahren wurden zahlreiche große Unternehmen Opfer solcher Angriffe, weshalb DoS-Attacken nun zum Standardrepertoire bei der Durchführung von Penetrationstests gehören. Werden solche Angriffe durchgeführt, dann sollte dies wegen der Gefahr eines Zusammenbruchs stets außerhalb der regulären Nutzungszeiten des Systems erfolgen.

Ablauf eines Tests

Für die Durchführung eines Tests sieht der Leitfaden des BSI vier verschiedene Phasen vor:

  1. Informationsbeschaffung
  2. Bewertung der gewonnenen Informationen
  3. Durchführung der Angriffsversuche
  4. Zusammenfassung der gefundenen Schwachstellen in einem Bericht

In der ersten Phase trägt der durchführende Prüfer alle vorhandenen Informationen über das zu testende System zusammen. Mithilfe dieser Informationen entscheidet er welche Angriffsmethoden zweckmäßig sind. Dann erst erfolgen die aktiven Angriffsversuche. Abschließend werden in einem Bericht alle entdeckten Schwachstellen zusammengefasst und entsprechende Maßnahmen zur Behebung der Sicherheitslücken vorgeschlagen.

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat einen Praxis-Leitfaden zur Durchführung von Penetrationstests herausgegeben. Darin werden die organisatorischen und fachlichen Voraussetzungen sowie der Ablauf eines Penetrationstests ausführlich beschrieben. Außerdem enthält der Leitfaden Checklisten zur Erfüllung der Rahmenbedingungen eines Tests.

Durchführung nur nach ausdrücklicher Vereinbarung

Zu beachten ist, dass Penetrationstests nur nach vorheriger ausdrücklicher Vereinbarungen erfolgen dürfen. Unautorisierte Tests können einen Straftatbestand erfüllen. Wenn die IT-Infrastruktur von externen Dienstleistern gestellt und verwaltet wird, dann ist auch mit diesen eine vorherige Vereinbarung über den Prüfungsgegenstand zu treffen.

Penetrationstests sind als umfassende Sicherheitsanalyse ein wichtiger Teil von IT-Sicherheitslösungen. Zur Erzielung von größtmöglicher Sicherheit ist jedoch stets eine Kombination von Sicherheitslösungen zu wählen. Dabei ist eine Mischung zwischen Systemen der Analyse (z.B. Penetrationstest), der Abwehr (z.B. Virenscanner, Firewall) und Mischformen (z.B. Honeypots) zweckmäßig.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.