Bei einem Penetrationstest versetzt sich der Betreiber einer IT-Infrastruktur in die Sicht eines potentiellen Angreifers. Um Schwachstellen aufzudecken werden zahlreiche Mittel und Methoden eines echten Angreifers auf das eigene System angewendet.
Der Inhalt im Überblick
Wie genau funktioniert ein Penetrationstest?
Bei einem Penetrationstest prüft ein Sicherheitsfachmann alle Systembestandteile und Anwendungen eines Netzwerks mit den Mitteln, die auch von einem echten Angreifer verwendet werden um ohne Autorisierung in ein System einzudringen. Hierbei bedient sich der Prüfende einer Vielzahl von Softwareprodukten, die völlig unterschiedliche Zielrichtungen haben. Während einige Werkzeuge einzelne Schwachstellen überprüfen und aufdecken, gibt es auch Programme mit denen eine ganze Reihe von Sicherheitslücken aufgedeckt werden sollen.
Ein Angriffsmittel, das häufig bei Penetrationstests eingesetzt wird, ist die sog. DoS-Attacke. Bei dieser Methode wird ein Ziel-Rechner mit Datenanfragen „überflutet“ bis das Zielsystem diesen Anfragen nicht mehr standhält und zusammenbricht. In den letzten Jahren wurden zahlreiche große Unternehmen Opfer solcher Angriffe, weshalb DoS-Attacken nun zum Standardrepertoire bei der Durchführung von Penetrationstests gehören. Werden solche Angriffe durchgeführt, dann sollte dies wegen der Gefahr eines Zusammenbruchs stets außerhalb der regulären Nutzungszeiten des Systems erfolgen.
Ablauf eines Tests
Für die Durchführung eines Tests sieht der Leitfaden des BSI vier verschiedene Phasen vor:
- Informationsbeschaffung
- Bewertung der gewonnenen Informationen
- Durchführung der Angriffsversuche
- Zusammenfassung der gefundenen Schwachstellen in einem Bericht
In der ersten Phase trägt der durchführende Prüfer alle vorhandenen Informationen über das zu testende System zusammen. Mithilfe dieser Informationen entscheidet er welche Angriffsmethoden zweckmäßig sind. Dann erst erfolgen die aktiven Angriffsversuche. Abschließend werden in einem Bericht alle entdeckten Schwachstellen zusammengefasst und entsprechende Maßnahmen zur Behebung der Sicherheitslücken vorgeschlagen.
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat einen Praxis-Leitfaden zur Durchführung von Penetrationstests herausgegeben. Darin werden die organisatorischen und fachlichen Voraussetzungen sowie der Ablauf eines Penetrationstests ausführlich beschrieben. Außerdem enthält der Leitfaden Checklisten zur Erfüllung der Rahmenbedingungen eines Tests.
Durchführung nur nach ausdrücklicher Vereinbarung
Zu beachten ist, dass Penetrationstests nur nach vorheriger ausdrücklicher Vereinbarungen erfolgen dürfen. Unautorisierte Tests können einen Straftatbestand erfüllen. Wenn die IT-Infrastruktur von externen Dienstleistern gestellt und verwaltet wird, dann ist auch mit diesen eine vorherige Vereinbarung über den Prüfungsgegenstand zu treffen.
Penetrationstests sind als umfassende Sicherheitsanalyse ein wichtiger Teil von IT-Sicherheitslösungen. Zur Erzielung von größtmöglicher Sicherheit ist jedoch stets eine Kombination von Sicherheitslösungen zu wählen. Dabei ist eine Mischung zwischen Systemen der Analyse (z.B. Penetrationstest), der Abwehr (z.B. Virenscanner, Firewall) und Mischformen (z.B. Honeypots) zweckmäßig.