Fotolia

Durchführung von Penetrationstests (Pentests): Planung

Bei Penetrationstests wird per Ethical Hacking die IT-Sicherheit geprüft. In Teil zwei unserer Serie zeigen wir, was es vorab zu berücksichtigen gilt.

Es gibt klare Vorteile, die für die Durchführung eines Penetrationstests sprechen. Doch was am Ende wirklich zählt, ist das Ergebnis, sonst war der ganze Aufwand umsonst. Die Ergebnisse müssen für den Auftraggeber hilfreich und einfach verständlich sein.

Viele Menschen nehmen fälschlicherweise an, dass es bei Penetrationstests lediglich darum geht, ausgefallene automatische Sicherheits-Tools zu nutzen und als Endergebnis die erzeugten Berichte auszuhändigen. Es kommt jedoch auf mehr als nur den Einsatz von Sicherheits-Tools an, um einen Penetrationstest erfolgreich durchzuführen.

Zwar spielen diese automatischen Tools zum Testen der Sicherheit eine wichtige Rolle bei dieser Aufgabe, aber sie unterliegen Einschränkungen. Fakt ist, dass diese Tools nie eine Situation simulieren können, wie sie durch einen erfahrenen Angreifer zustande kommt. Unabhängig davon, wie umfangreich das Reporting durch die Sicherheits-Tools ausfällt, es sind immer zusätzliche Erläuterungen notwendig.

Was macht einen guten Penetrationstest aus?

Werfen wir einen Blick auf einige der wichtigsten Faktoren, die einen guten Pentest ausmachen:

  • Rahmen festlegen: Den Umfang der Untersuchung zu definieren, ist der erste und wichtigste Schritt, um einen Penetrationstest erfolgreich durchzuführen. Auf diese Weise bestimmen Sie die Grenzen, Ziele und die Verfahrensprüfung (die Erfolgskriterien).
  • Trau, schau, wem: Beauftragen Sie für die Durchführung des Tests qualifizierte und erfahrene Berater, die genau wissen, was sie tun. Mit anderen Worten: Trennen Sie die Experten von den Amateuren. Stellen Sie sicher, dass diese Personen:
    • rechtsfähig sind;
    • erfahren sind; und
    • die Geheimhaltungsvereinbarung einhalten.
  • Passende Testverfahren wählen: Manuelle und automatische Tests führen zu einem optimalen Kosten-Nutzen-Verhältnis.
  • Methodik befolgen: Dies ist kein Rätselraten. Alles muss geplant, dokumentiert und befolgt werden.
  • Endnutzen: Die Ergebnisse sollten sorgfältig dokumentiert und für den Auftraggeber in verständlicher Form aufbereitet werden. Egal, ob es sich um einen technischen Bericht oder ein Executive Summary handelt: Es sind immer zusätzliche Erklärungen erforderlich. Der Sicherheitsberater oder -tester sollte zur Verfügung stehen, um Rückfragen zu beantworten oder Ergebnisse zu erläutern.
  • Untersuchungsbefunde und Empfehlungen: Dieser Teil eines Pentests ist von äußerster Wichtigkeit. Der Abschlussbericht muss die Befunde klar darlegen und die damit verbundenen potenziellen Risiken benennen. Das Ganze sollte von einer Roadmap zur Risikoentschärfung flankiert werden, die auf den BESTEN SICHERHEITSVERFAHREN basiert.

Szenarien für Penetrationstests

Bevor wir uns mit den näheren Details der Teststrategien und -verfahren beschäftigen, die bei einem Penetrationstest angewendet werden, sehen wir uns einige Szenarien an, in denen ein Pentest hilfreich sein kann:

  • Anbindung alter und neuer Büros
    Ob bei einer Firmenneugründung oder zusätzlichen neuen Standorten – ein Penetrationstest hilft, potenzielle Schwachstellen in der Netzwerkinfrastruktur zu ermitteln. Zum Beispiel ist ein interner Test wichtig, wenn neue Standorte hinzukommen, denn er untersucht, welche Netzwerkressourcen verfügbar sind, und verrät, welche Art von Traffic zwischen den Standorten fließt.
  • Bereitstellung einer neuen Netzwerkinfrastruktur
    Jede neue Netzwerkinfrastruktur sollte ausgiebig getestet werden, um die Aktionen eines Hackers zu simulieren. Während ein externer Test im Allgemeinen durchgeführt wird (mit geringem Vorwissen über die Infrastruktur), um die Perimetersicherheit zu gewährleisten, sollte ebenfalls ein interner Test durchgeführt werden. Damit sorgen Sie im Falle einer Beeinträchtigung der Perimetersicherheit dafür, dass Netzwerkressourcen wie Server, Storage, Routing- und Zugangsgeräte ausreichend gehärtet sind und dass die Infrastruktur vor Attacken geschützt ist.
  • Änderungen/Erweiterungen der vorhandenen Infrastruktur
    Änderungen sind unvermeidlich. Sei es Software, Hardware oder das Netzwerkdesign: Änderungen/Erweiterungen werden vorgenommen, um die Funktionen zu verbessern, kritische Bugs zu beheben und/oder neuen Anforderungen gerecht zu werden. Wann immer die vorhandene Infrastruktur geändert wird, sollte sie erneut getestet werden, um sicherzustellen, dass keine neuen Schwachstellen entstanden sind. Der Umfang der notwendigen Tests hängt ab von der Art und dem Grad der Änderungen, die an der Infrastruktur vorgenommen wurden. Während kleinere Anpassungen, etwa Konfigurationsänderungen einer bestimmten Regel, nur einen Port Scan notwendig machen, um das erwartete Verhalten der Firewall zu garantieren, erfordern alle größeren Änderungen, wie Upgrades von kritischem Equipment oder der Betriebssystemversion möglicherweise einen vollständigen Wiederholungstest.
  • Rollout einer neuen Anwendung
    Nachdem die Infrastruktur genau überprüft worden ist, müssen auch die neuen Anwendungen (ob offen für Internetzugriffe oder im Intranet gehostet) auf ihre Sicherheitsfähigkeit getestet werden, bevor sie für die produktive Nutzung freigegeben werden. Dieser Test muss auf einer echten Plattform stattfinden, so dass sichergestellt ist, dass die Anwendung nur die festgelegten Ports nutzt und dass der Code selbst sicher ist.
  • Ändern/Erweitern einer vorhandenen Anwendung
    Wie Änderungen der Infrastruktur variieren auch Änderungen einer Anwendung. Sehr geringe Anpassungen, beispielsweise Änderungen des Benutzerkontos, erfordern keine Tests. Größere Änderungen allerdings, die sich auf die Funktionalität der Anwendung auswirken, sollten sehr genau erneut getestet werden.
  • Periodische Wiederholungstests
    Das Sicherheits-Management ist nicht einfach, und Unternehmen sollten einen Penetrationstest nicht als Allheilmittel für ihre gesamten Sicherheitsprobleme begreifen. Falls doch, wiegen sie sich in falscher Sicherheit. Es empfiehlt sich immer, sensible Systeme in periodischen Abständen erneut zu testen, um sicherzustellen, dass keine unvorhergesehenen Änderungen vorgenommen worden sind.

Dies ist der zweite Artikel in unserer Reihe zu Netzwerk-Penetrationstests. Den Ersten Beitrag mit einführenden Informationen zum Thema finden Sie hier.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud Penetration Testing: Was Prüfer wissen sollten

PCI-Compliance: Penetrations-Tests und Security-Scans größte Schwachstellen

Automatisierte Penetrationstests unterstützen beim Sicherheits-Management

Kostenloses E-Handbook: Ratgeber Penetrationstests

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close