IT-Security einfach erklärt: Penetration-Testing

IT-Security einfach erklärt: Penetration-Testing

Penetration-Testing (Pen-Testing) ist ein wichtiges Mittel in der IT-Security. Pen-Tests werden durchgeführt, um Webseiten und andere Softwarelösungen sicher zu machen. Professionelles Penetration-Testing geht weiter als ein gewöhnlicher Schwachstellen-Scan und deckt entsprechend mehr Angriffspunkte und Gefahren auf.

Im Rahmen eines Pen-Tests kommen möglichst viele – am besten alle – Systembestandteile einer Software oder eines Netzwerks auf den Prüfstand. Ein Pen-Tester simuliert wirklichkeitsgetreu die Angriffe von echten Cyberkriminellen. Die im Test aufgedeckten Probleme werden entweder direkt gelöst oder durch eine Zwischenlösung (Virtual Patching) abgesichert.

Wer führt Pen-Tests durch?

Penetration-Testing ist eine Königsdisziplin im Bereich der IT-Sicherheit. Nur erfahrene Profis bringen die notwendige Expertise, Kreativität und Härte für wirkungsvolle Testangriffe mit. Auf folgende Eigenschaften sollte man bei der Auswahl des Pen-Testers achten:
  • hochqualifizierte IT-Experten, die stets up-to-date sind
  • IT-Security-Profis mit Hintergrund in Theoriewissen aus der Forschung und Praxiswissen zum konkreten Vorgehen der Cyberkriminellen
  • IT-Querdenker, die sich in die Köpfe des Gegners hineinversetzen können, um so kreative und neue Angriffswege zu antizipieren

Mit welchen Methoden arbeiten professionelle Pen-Tester?

Das Ziel jedes Pen-Tests besteht darin, möglichst viele Schwachstellen aufzudecken, diese zu priorisieren und zeitnah zu beheben.
Nach Projektabschluss erhält der Auftraggeber des Tests deswegen eine nach Risiko priorisierte Mängelliste. Parallel dazu werden alle Schritte und Ergebnisse des Penetration-Testing dokumentiert. Diesen umfangreichen Report erhält der Auftraggeber ebenfalls und kann ihn beispielsweise an seine IT-Abteilung weitergeben. Um alle relevanten Sicherheitslücken und Schwachstellen zu identifizieren, agieren Pen-Tester während des Tests aus der Perspektive eines echten Angreifers. Idealerweise wird im Rahmen eines Tests nicht das Live-System (z.B. Webseite, Intranet, Shop) attackiert, sondern ein Referenzsystem mit identischem Setup.


Penetration-Test


Für wen ist Penetration-Testing empfehlenswert?

Letztlich braucht jedes Unternehmen Penetration-Testing. Je größer die Firma, je höher die Sichtbarkeit im Internet und je höher die Abhängigkeit von sicherer Software, desto wichtiger ist regelmäßiges Pen-Testing. Deswegen greifen sowohl Start-ups, Konzerne als auch Mittelständler auf die Dienste von Pen-Testing-Profis zurück. Besonders exponiert und gefährdet sind folgende Softwarelösungen:
  • Alle Webprojekte, die Umsatz generieren
  • Online-Shops
  • Webanwendungen, die sensible Daten enthalten (z.B. an die Webseite angebundenes ERP-System)
  • Webanwendungen, die für Cyberkriminelle besonders lukrativ sind (z.B. Zahlungsdienstleister)

Wie schnell löst ein Pen-Test bestehende Probleme?

In Kombination mit der Technik des „Virtual Patching“ hilft ein Pen-Test umgehend bei der Lösung bestehender Probleme. Virtual Patching ist eine bewährte und wirksame Sofortmaßnahme. Erkannte Schwachstellen können größtenteils durch eine Web-Firewall geschützt werden, zum Beispiel in die Web Applikation Firewall von NET WÄCHTER. So werden akute Gefahren abgewendet und die Software ist an der „gepatchten“ Stelle wieder sicher.
Gleichzeitig gewinnen die IT-Abteilung – oder ein externer IT-Security-Spezialist – Zeit, um sich in Ruhe mit den gefundenen Sicherheitslücken zu beschäftigen und sie konsequent mit einem echten Fix zu beheben.

Warum soll ich Pen-Tests durchführen?

Der Verzicht auf einen Penetrationstest durch IT-Security-Experten erhöht in jedem Fall das Risiko eines Erfolgreichen Hacker-Angriffs.
Eine Software (z.B. Webseite-CMS, Online-Shop-Software), die auf mögliche Schwachstellen nicht regelmäßig getestet wird, ist nicht sicher. Pen-Tests sind für sichere Webanwendungen also wichtig und notwendig. Denn die Gegenseite, zum Beispiel Cyberkriminelle, macht Penetrationstests. Jeden Tag, jede Nacht und vor allem: vollautomatisiert. Immer auf der Suche nach Schwachstellen, die sich ausnutzen lassen. Eine unsichere Webanwendung hat in der Regel empfindliche Folgen:

  • Umsatz- und Gewinnausfall (z.B. durch Downtime der Webseite)
  • Webseitensperrung (z.B. durch den eigenen Webhoster)
  • Blacklisting (z.B. durch Suchmaschinen wie Google oder Bing)
  • Datenlecks und Datenskandale (z.B. durch Verlust von Kunden-, Personal- oder Kontodaten)
  • Vertrauensverlust bei Bestandskunden
  • Verunsicherte Neukunden
  • Wegklickende Potentialkunden

NET WÄCHTER: Pen-Test vom Profi durchführen lassen

Sie haben Fragen zu Penetrationstests, zur nachhaltigen Beseitigung von Schwachstellen oder brauchen anderweitige Hilfe zur Optimierung Ihrer IT-Security? Wir beraten Sie gerne und erstellen ein Angebot.

informationen.JPG



In unserer Artikel-Serie „IT-Security einfach erklärt“ finden Sie verständliche und hilfreiche Informationen zu IT-Bedrohungen und Gegenmaßnahmen durch IT-Security. Sie möchten immer auf dem neuesten Stand zu Technologien und Abwehrmaßnahmen sein? Abonnieren Sie unsere RSS Feed und Newsletter und verpassen Sie keine neuen Artikel rund um IT und Web-Security

Zurück zur Liste

Bitte geben Sie Ihre E-Mail Adresse ein um
NET WÄCHTER 14 Tage kostenlos zu testen.

  Ich bestätige die AGB's und Datenschutzerklärung


   Ja, ich möchte den NET WÄCHTER Newsletter abbonnieren. Mir ist bekannt, dass ich den Newsletter jederzeit abbestellen kann.


Bitte füllen Sie das Formular aus.

  Ich bestätige die AGB's, Partnervereinbarung's und Datenschutzerklärung



Vielen Dank für ihre Interesse an NET WÄCHTER Partnerprogramm und ihre Registrierung.

Ihre Anfrage wird bearbeitet und unser Channel Manager nimmt bald Kontakt mit Ihnen auf.

Hier können Sie unsere Partnerpräsentation herunterladen:
Partnerpräsentation