Computer lassen sich zu Hauf in jedem Unternehmen finden. Doch sie sind ein Segen und Fluch zu gleich. Durch Computer wurden Möglichkeiten geschaffen, von welchen man vor 30 Jahren noch nicht einmal geträumt hat. Doch genau diese Möglichkeiten sind interessant für virtuelle Verbrecher, sogenannte Hacker. Diese sind permanent auf der Suche nach Sicherheitslücken in Unternehmen und Co, um relevante und vertrauliche Daten auszuspionieren. Neben dem Datenschutz, welcher höchste Priorität hat, ist die gesamte Sicherheit des IT-Netzwerkes in einem Unternehmen enorm wichtig.
Was ist ein Penetrationstest?
Ein Penetration Test (kurz: Pentest) ist ein Vorgang, welcher von IT-Experten vorgenommen wird. Diese versuchen mit Hilfe verschiedener Verfahren einen Cyberangriff zu simulieren. Dabei werden gezielt die Schwächen des Netzwerke gesucht, wodurch Schwachstellen und Gefahren sichtbar gemacht werden. Anhand des Protokolls, welche am Ende entsteht, können Maßnahmen abgeleitet werden, welche vom Unternehmen durchgeführt werden sollten.
Webanwendung vs. IT-Infrastruktur
Der Pentest kann in zwei verschiedenen Szenarien durchgeführt werden. Die erste ist die Anwendung auf der IT-Infrastruktur Ebene. Darunter fallen diverse IT Systeme, wie die Server, die Firewalls, Netzwerke und VPN Zugänge. Dabei ist es essenziell diese Tests von einem renommierten Unternehmen durchführen zu lassen und nicht privat von einem ehemaligen Hacker, da bei letzterem immer die Gefahr des Rückfalls im Hintergrund steht. Dies würde ein enormes Gefahrenpotenzial mit sich bringen.
Der zweite Anwendungsfall ist der Pentest direkt auf der Anwendungsebene. Darunter fallen Webshops, Portale zur Kundenverwaltung oder Systeme für das Monitoring. Solche Portale, speziell Webshops, sind beliebte Ziele von Hackern, da sich hier Unmengen an Kundendaten, wie Adressen und Zahlungsmethode erbeuten lassen. Gefahren können bei der User Experience auftreten, durch einen schlechten Programmcode oder logischen Fehlern im Aufbau.
Testszenario – Schwarz, weiß oder doch grau?
Bei der Art des Pentests kann zwischen drei verschiedenen Szenarien differenziert werden.
Beim Black-Box-Test erhält der „Angreifer“ keinerlei Informationen. Dieser Vorgang entspricht am ehesten der Realität. Diverse Informationen müssen sich anhand von Websites und Social-Media-Kanälen zusammengesucht werden.
Beim White-Box-Test erhält der Angreifer 100 % an Informationen über die Infrastruktur des Unternehmens. Dies simuliert zwar keinen realen Angriff, bieten aber einen entscheidenden Vorteil: Es wird nichts übersehen und die Effektivität wird drastisch gesteigert. Somit können am meisten Schwachpunkte gefunden werden.
Der Grey-Box-Test ist ein Mittelding. Hierbei erhält der Angreifer notwendige Informationen im ersten Gespräch und den Rest muss er sich zusammensuchen. Beispielsweise weiß er, wie der Programmiercode aufgebaut ist, kann ihn aber nicht zu 100 % einsehen, wie beim White-Box-Test.
Neue Kommentare