Master
Pentesting

Penetrationstests oder Pentesting kennzeichnet die Methode, absichtlich von außen in ein System einzudringen, um seine Schwachstellen aufzudecken.

Pentesting wird oft auch als ethisches oder White-Hat-Hacking bezeichnet. Um Sicherheitsschwachstellen in Ihren Systemen und Diensten zu ermitteln, kommen dieselben Tools und Techniken zum Einsatz, die auch Cyberkriminelle verwenden würden.

Beschreibung

Ein Mittel zur Verbesserung Ihrer Sicherheit, bei dem aktiv nach Möglichkeiten gesucht wird, in Systeme einzubrechen.

Vorteile

Pentesting reduziert Ihre Risiken in Bezug auf Datenlecks und Reputationsschäden.

Trade-offs

Penetrationstests können zeitaufwendig und kostspielig sein. Sie müssen die richtige Balance für das Management von Risiken finden.

Anwendung

Pentesting dient dem Schutz interner Systeme, indem mögliche Sicherheitslücken durch beabsichtigte Eindringversuche im Voraus erkannt und offengelegt werden.

Beschreibung


Mithilfe eines Penetrationstests lässt sich feststellen, ob das System anfällig für Angriffe ist, ob die Verteidigungsmaßnahmen ausreichen und welche Verteidigungsmaßnahmen der Test (gegebenenfalls) überwunden hat.


Bei einem Pentest wird versucht, in ein System einzudringen und eine vordefinierte Reihe von Zielen oder Szenarien zu erreichen. Diese organisierten Angriffe werden als White-Box-Test (bei dem bestimmte Systemkenntnisse bekannt sind, die Informationen eines Informanten innerhalb der Organisation simulieren könnten) oder als Black-Box-Test (bei dem keine Annahmen über die Interna gemacht werden, sondern nach bekannten Schwachstellen gesucht wird) bezeichnet. Ein Gray-Box-Penetrationstest ist eine Kombination aus beidem (bei dem einige notwendige Informationen bekannt sind oder aufgrund der Art des Unternehmens und der Art des Einsatzes angenommen werden können). 


Sicherheitsprobleme, die der Penetrationstest aufdeckt, werden dem Systembesitzer gemeldet. Historisch betrachtet werden Tests dieser Art während einer Abnahmetestphase vor dem Go-live eines Systems oder Upgrades durchgeführt. Wir empfehlen allerdings dringend, diese Praxis während des gesamten Entwicklungszyklus durchzuführen, sowohl im Near-Live- als auch im voll betriebsfähigen Zustand.

Vorteile


Ein Unternehmen kann nicht mehr auf „Hoffnung als Strategie" setzen, um Cyberkriminalität zu verhindern. Es geht auch nicht mehr nur um den Einsatz eines Virenscanners und einer Firewall. Durch den regelmäßigen Einsatz von Penetrationstests während der gesamten Lebensdauer Ihrer Systeme und die kontinuierliche Aktualisierung Ihrer Strategie bilden Pentests einen wichtigen Bestandteil Ihres Risikomanagement-Toolkits.


Pentests können das Risiko von Unterbrechungen oder Schlimmerem für Ihre geschäftskritischen Systeme und solche, die mit sensiblen Kundendaten arbeiten, verringern.

Trade-offs


Penetrationstests können zeitaufwendig und kostspielig sein. Sie müssen die richtige Balance zwischen den Kosten und dem Geschäftswert dieser Systeme finden.


Viele Pentester:innen und Praktiker:innen sind mit dem ‚Sandwich‘-Ansatz in der IT-Sicherheit vertraut, bei dem zu Beginn eines Projekts Anforderungen festgelegt werden, und das Projekt bei Abschluss getestet wird. Aus unserer Sicht ist das ein Fehler. 


Indem Sie Pen-Tests zu einem Teil des Entwicklungs- und Bereitstellungsprozesses sowie des gesamten Lebenszyklus machen, können Sie das Risiko von Sicherheitsverletzungen reduzieren. Dies erfordert jedoch eine Änderung des Beauftragungsmodells von Pentest-Spezialist:innen, die viel näher an den Systemen arbeiten und deren Sicherheitsgrad nachweisen müssen.

Anwendung


Pentesting dient dem Schutz interner Systeme, indem mögliche Sicherheitslücken durch beabsichtigte Eindringversuche im Voraus erkannt und abgemildert werden können. Wir empfehlen, Pentests fortlaufend und flexibel durchzuführen und alle erkannten Fehler ins Backlog des jeweiligen Teams einzuspeisen.

Sie wollen mehr erfahren?

Welches Thema sollen wir für Sie entschlüsseln?

Hinterlassen Sie Ihre E-Mail-Adresse und wir melden uns, wenn der Begriff decodiert wurde.