Im IT-Bereich hört man relativ oft vom sogenannten Penetrationstest, kurz Pen Test. Hier geht es darum, ein IT-System oder ein Netzwerk zu prüfen, um zum Beispiel feststellen zu können, welche Bereiche des Systems im Falle eines Angriffs besonders schnell einbrechen und daher entsprechend stärker gesichert werden sollten. Das Besondere an diesen Tests ist, dass man es nicht auf die theoretische Ebene beschränkt. Stattdessen wird das Netzwerk mit Methoden angegriffen, wie sie auch tatsächliche Hacker und Angreifer nutzen würden. Der Pen Test ist also ein extrem wichtiges Verfahren – aber was sollte man noch darüber wissen?
Wofür werden die Tests eigentlich genutzt?
Mithilfe der Tests kann man aufdecken, an welchen Stellen das Netzwerk oder System über Schwachstellen verfügt. Dabei wird während des Penetration Tests alles ganz genau protokolliert, damit man später alles analysieren kann. Dabei wird selbstverständlich auch festgehalten, welche Maßnahmen eingesetzt wurden, um in das Netzwerk oder in das System einzudringen. Am Ende des Tests wird ein Bericht erstellt, in dem alle Schwachstellen aufgelistet werden. Zusätzlich wird Auskunft darüber gegeben, wie man diese Schwachstellen beheben kann, damit ein erneuter Angriff weniger oder gar keinen Erfolg erzielen kann.
Unterschiedliche Tests für unterschiedliche Bereiche
Je nachdem, um welche Art von System es sich handelt, kommen verschiedene Tests zum Einsatz. Hier wird vor allem im Hinblick auf das Potenzial einer Gefährdung eingegangen. Wenn es sich zum Beispiel um einen öffentlichen Webserver handelt, kommen in der Regel Penetration Tests zum Einsatz, die wesentlich umfangreicher sind. Bei internen Anwendungen kommen meist weniger ausführliche Tests zum Einsatz. Hierfür wird dann eine spezielle Penetration Test Plattform verwendet.
Was ist das Ziel der Tests?
Cyberkriminalität, also Angriffe von Hackern, finden heute Zeit leider immer häufiger statt. Bei einem Penetrationstest ist das Ziel, dass ein solcher Angriff nicht erfolgreich verläuft.
Dabei werden allerdings nur die Schwachstellen lokalisiert. Um die Behebung der Fehler muss man sich als Auftraggeber in der Regel selbst kümmern. Das ist dann allerdings auch nicht mehr wirklich problematisch, da man ja schließlich alle möglichen Fehlerquellen kennt. Es ist ausgesprochen wichtig, die empfohlenen Maßnahmen nach einem solchen Test auch wirklich umzusetzen, damit man zukünftigen Angriffen von echten Hackern nicht schutzlos ausgeliefert ist. Hierunter fallen zum Beispiel Schulungen des Personals, die Aufstockung von Personal, Updates, Korrekturen oder das vollständige Abschalten eines Systems.
Nur eine Momentaufnahme
Bei einem Penetrationstest wird die Sicherheit des Systems nicht kontinuierlich überwacht. Das bedeutet, dass es sich lediglich um eine Momentaufnahme handelt. Oft geht es bei den Tests auch nicht nur um den technischen Aspekt, sondern auch um den menschlichen – Stichwort Social Engineering. Dabei geht es um die Gewinnung von Informationen und Zugangsmöglichkeiten über die Mitarbeiter – zum Beispiel durch schädliche Links, über die entsprechende Software auf den Geräten installiert wird.
Wie steht es um die Rechtslage bei einem Penetrationstest?
Die Durchführung eines Penetrationstest ist legal. Die Voraussetzung dafür ist allerdings, dass das Einverständnis der Organisation oder des Unternehmens, das getestet werden soll, vorliegt. Ist das nicht so, handelt es sich bei dem Test um eine Straftat. Außerdem dürfen keine Systeme oder Netze von Dritten getestet werden.