Wie sicher ein System ist, weiß wohl kein Unternehmen so ganz genau, bis es zu einem ernstzunehmenden Cyber-Angriff kommt, bei dem ein Hacker versucht in das System einzudringen und es zu manipulieren. Um auf solche Angriffe vorbereitet zu sein, mögliche Sicherheitslücken aufdecken zu können und seine Systeme zu schützen, ist es notwendig, regelmäßig sogenannte Penetrationstests durchzuführen.

SO REAL WIE MÖGLICH

Damit der Penetrationstest sinnvoll ist, muss er so realitätsnah wie möglich sein. Dazu startet ein „Ethical Hacker“, also ein Hacker, der seine Fähigkeiten nicht zum Angriff, sondern zum Schutz der Systeme einbringt, einen Cyberangriff der entsprechende Aussagen über die Sicherheit liefert. So können Handlungsempfehlungen gegeben und Sicherheitslücken geschlossen werden.

DREI TYPISCHE TESTSZENARIEN

Bei den Penetrationstests gibt es dreierlei typische Herangehensweisen:

  • 1. Der Black-Box-Test: der „Ethical Hacker“ hat keinerlei Infos über das anzugreifende System (sehr realitätsnah)
  • 2. Der Grey-Box-Test: hier bekommt der „Test-Hacker“ IP-Adressen, aber keinen Zugriff auf die Systeme selbst.
  • 3. Der White-Box-Test: der Test-Angreifer bekommt zum Beispiel Einblicke in den Quellcode. (simuliert Angriff eines Ex-Mitarbeiters)
  • VERSCHIEDENE AGGRESIVITÄTSSTUFEN

    Auch bei der Aggresivität der simulierten Angriffe unterscheidet man in verschiedene Stufen. So reicht hier das Spektrum von „passiv“, bei dem gefundene Schwachstellen nicht ausgebeutet werden, bis hin zu „aggressiv“. Bei dieser Abstufung wird versucht, jede Schwachstelle auszunutzen, wodurch auch benachbarte Systeme oder Netzkomponenten ausfallen können.

    UMFANG, VORGEHENSWEISE UND ANGRIFFSPUNKT

    Penetrationstests können sich natürlich auch was den Umfang, den Angriffspunkt oder die Vorgehensweise angeht unterscheiden. So können nur einzelne Komponenten oder ganze Systeme angegriffen werden. Die Angriffe können dabei angekündigt oder überraschend durchgeführt werden. Angriffe können typischerwiese über einen Netzwerkzugang erfolgen, können aber auch durch eine simulierte Phishing-Attacke via E-Mail durchgeführt werden.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen „Praxisleitfaden für IS-Penetrationstests“ erstellt und hält diesen zum Download bereit.

    Ähnliche Beiträge

    Richtige E-Mail...

    Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...

    Datenschutzerklärung für...

    Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...

    Datenschutz...

    Die bayerische Datenschutz-Aufsichtsbehörde hatte im September stichprobenartig...