kras99 - Fotolia

Netzwerk-Penetrationstests: Eine Einführung

Diese Übersicht zeigt, was Penetrationstests leisten und wie sich Tools dafür nutzen lassen. Außerdem stellen wir Best Practices für Pentests vor.

Die Risikobewertung ist ein entscheidender erster Schritt im Information Security Lifecycle. Netzwerk-Penetrationstests sind für eine grundlegende Einschätzung der Sicherheit, so wie sie sich von außerhalb des Unternehmensnetzwerks darstellt, von unschätzbarem Wert.

Zusätzlich gehen Social-Engineering-Penetrationstests den Gefahren nach, die entstehen, wenn externe Angreifer die Mitarbeiter im Unternehmen so geschickt manipulieren, dass sie sensible Daten preisgeben. Zu einem Penetrationstest, kurz Pentest, gehört das Sammeln von Informationen über die Informationssysteme und Sicherheitsinfrastruktur einer Organisation. Anschließend werden diese Informationen dazu genutzt, bekannte oder potenzielle Sicherheitsschwachstellen zu identifizieren und wenn möglich auszunutzen.

Warum werden Penetrationstests durchgeführt?

Penetrationstests sind eine der ältesten Methoden, um die Sicherheit eines Computersystems zu bewerten. Zu Beginn der 1970er Jahre verwendete das US-Verteidigungsministerium diese Methode, um die Sicherheitsschwachstellen in Computersystemen zu demonstrieren und die Entwicklung von Programmen zu initiieren, die diese Systeme besser schützen sollten.

Penetrationstests werden zunehmend von Organisationen eingesetzt, um die Sicherheit von Informationssystemen und -diensten sicherzustellen, so dass sich Sicherheitslücken schließen lassen, bevor sie ausgenutzt werden können. Die Häufigkeit und der Schweregrad von Netzwerkeinbrüchen, Datendiebstahl und Angriffen, die durch schädlichen Code, Hacker und verärgerte Mitarbeiter verursacht werden, nehmen immer weiter zu.

Die Risiken und Kosten im Zusammenhang mit Sicherheitslücken im Netzwerk und Datendiebstahl sind astronomisch hoch. Gleichzeitig wächst mit jeder E-Business-Initiative auch der Bedarf nach einem sicheren Remote-Zugriff auf Unternehmensnetzwerke. Die Wahrheit sieht so aus, dass selbst gut verwaltete Implementierungen, die aktuelle Hardware und Software nutzen, aufgrund von Fehlkonfigurationen oder Schwachstellen in der Software gefährdet sein können. Auf diese Weise erhält ein Eindringling letztlich womöglich Zugang zu sensiblen Informationen. Dieses Risiko lässt sich erheblich verringern, indem man spezielle Tools für Penetrationstests einsetzt.

Obwohl das Hauptziel von Penetrationstests darin besteht, Sicherheitslücken in der Netzwerkinfrastruktur einer Organisation zu ermitteln, können dadurch auch weitere Schwachstellen aufgedeckt werden. Zum Beispiel kann man das Sicherheitsbewusstsein der Mitarbeiter und die Compliance der Sicherheitsrichtlinien testen oder herausfinden, inwiefern ein Unternehmen in der Lage ist, Sicherheitsvorfälle zu identifizieren und angemessen darauf zu reagieren.

Gründe für die Durchführung eines Netzwerk-Penetrationstests

  • Ein Penetrationstest hilft Organisationen einzuschätzen, wie sie in puncto Sicherheit aktuell aufgestellt sind, indem er Sicherheitsschwachstellen ermittelt. Dadurch können die Organisationen einen Aktionsplan entwickeln, um die Bedrohung durch Angriffe oder missbräuchliche Verwendung zu minimieren.
  • Auf Basis der Ergebnisse eines gut dokumentierten Penetrationstests können Manager einen fundierten Business Case erstellen, um eine benötigte Erhöhung des Sicherheitsbudgets zu begründen oder um der Wichtigkeit des Themas auf Führungsebene Gehör zu verschaffen.
  • Sicherheit ist keine einmalige Lösung, sondern ein Prozess, der eine angemessene Sorgfalt erfordert. Die Sicherheitsmaßnahmen müssen regelmäßig überprüft werden, um neue Bedrohungen zu erkennen. Ein Penetrationstest und eine neutrale Sicherheitsanalyse erlauben es Organisationen, die internen Sicherheitsressourcen dort zu konzentrieren, wo sie am dringendsten gebraucht werden. Darüber hinaus werden die unabhängigen Sicherheits-Audits immer mehr zur Voraussetzung, um sich gegen Cyberangriffe versichern zu können.
  • Die Erfüllung von regulatorischen und gesetzlichen Vorgaben ist heutzutage zwingend erforderlich, um Geschäfte zu betreiben. Tools für Penetrationstests unterstützen Organisationen dabei, diesen Compliance-Bestimmungen nachzukommen.
  • Eines der Hauptziele einer E-Business-Initiative besteht darin, eine enge Zusammenarbeit mit strategischen Partnern, Anbietern, Kunden und anderen, von denen das E-Business abhängt, zu ermöglichen. Um dieses Ziel zu erreichen, erlauben Organisationen manchmal ihren Partnern, Anbietern, B2B-Exchanges, Kunden und anderen vertrauenswürdigen Kontakten den Zugang zu ihren Netzwerken. Durch einen gut ausgeführten Penetrationstest und Sicherheits-Audits sind Organisationen in der Lage, das schwächste Glied in dieser komplexen Struktur zu finden und sicherzustellen, dass alle verbundenen Entitäten über grundlegende Sicherheitsstandards verfügen.
  • Sobald die Sicherheitsverfahren und -infrastruktur etabliert sind, liefert ein Penetrationstest wichtiges Validierungs-Feedback zwischen den Business-Initiativen und einem Sicherheits-Framework, so dass eine erfolgreiche Implementierung mit minimalem Risiko möglich wird.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud Penetration Testing: Was Prüfer wissen sollten

Penetration Tester, kein normaler IT-Job

IT-Sicherheit: Wann und wie Sie Penetrationstests vornehmen sollten

Kostenloses E-Handbook: Ratgeber Penetrationstests

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Security-Monitoring

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close