Pentest: Lücken finden, bevor es Kriminelle tun

Pentest

Datum:
  • 15.10.2018
Kaum ein Tag vergeht, an dem Cyber-Kriminelle nicht in Server, Endgeräte und Netzwerke eindringen. Selbst Konzerne wie Facebook sind nicht sicher - wie jüngste Beispiele belegen. Offensichtlich reichen Maßnahmen wie Zertifizierungen, Security Development Lifecycle und klassische Security-Audits nicht aus, um vollständige IT-Sicherheit zu gewährleisten. Ein Pentest kann dazu beitragen, sowohl übliche als auch schwer auffindbare Sicherheitslücken zu identifizieren.

Pentest mit steigender Akzeptanz

In den vergangenen 15 Jahren findet der Pentest zur Absicherung von IT-Infrastrukturen zunehmend Akzeptanz in Unternehmen. Vereinfacht dargestellt handelt es sich bei Penetrationstests um simulierte Hackerangriffe. Das Verfahren kann verschiedene Ausprägungen besitzen, die vor Beginn spezifiziert werden müssen. Zunächst ist festzulegen, aus welcher Situation heraus der Angriff stattfinden soll. Im zweiten Schritt wird das Angriffsziel definiert. Zudem sollten die Testtiefe (Testdauer), die Testmittel, der Wissensstand des Angreifers sowie dessen Motivation konkretisiert werden. Insbesondere große Unternehmen testen nicht ihr gesamtes internes Netzwerk oder die vollständige externe Angriffsfläche, sondern begrenzen sich auf bestimmte Teilbereiche. Grundsätzlich kann ein Pentest aufgrund individueller Szenarien niemals standardisiert ablaufen. Vielmehr ist eine flexible Ausgestaltung erforderlich. Wie eine geeignete Herangehensweise aussehen kann, zeigt das Beispiel der SySS GmbH. Der spezialisierte Dienstleister führt bereits seit 1998 Sicherheitstests für Unternehmen durch.
ZUM THEMA:

Ablauf von Penetrationstests

Die Tübinger SySS GmbH folgt bei Pentests einem modularen Schema. Zunächst findet ein Kick-Off-Gespräch mit dem Kunden statt, in dessen Rahmen der Projektablauf geplant wird. Es erfolgt zudem die Auswahl des Testgegenstands. Nur einige Beispiele sind die IP-Range, Web-Apps, Webservices, mobile Apps und Geräte, Webservices oder Systeme aus dem lokalen Netzwerk. Auch individuelle Labortests, etwa zu IoT-Produkten, sind möglich. Nach der Analyse werden die Ergebnisse dokumentiert und präsentiert. Erarbeitete Maßnahmen werden durch den Kunden umgesetzt. Ein Nachtest klärt, ob die Sicherheitslücken geschlossen wurden. Da ein Pentest immer nur eine Momentaufnahme darstellt, empfehlen die Experten von SySS, den skizzierten Prozess regelmäßig zu durchlaufen.

Know-how auf Hacker-Niveau erforderlich

Pentests sind nur dann effektiv, wenn die Tester mit aktuellen Angriffsmethoden vertraut sind. Im Falle von SySS wird dies durch regelmäßige Fortbildungen und durch Forschung gewährleistet. Ständig identifizieren die Security-Experten in Eigenregie neue Mittel und Wege, in IT-Infrastrukturen einzudringen. Dieses Know-how wird angewandt, um gängige und unübliche Schwachstellen in IT-Landschaften zu identifizieren. Es werden Lücken gefunden und geschlossen, bevor diese durch "echte" Angreifer genutzt werden können.
Die SySS GmbH ist in puncto Pentests der Markt- und Technologieführer in Deutschland und Europa. Ihre professionelle Vorgehensweise beugt Angriffen gezielt vor, schützt wertvolle Daten und sichert die Kontrollierbarkeit von Systemen. Zudem lassen sich die Kosten einer aufwendigen Nachverfolgung erfolgreicher Hackerangriffe einsparen.