Datensicherheit ist heute ein so großes Thema, dass sich kaum ein Unternehmen diesem überhaupt noch entziehen kann. Überall dort, wo sensible Dokumente in digitaler Form oder Netzwerke der verschiedensten Art vor Unbefugten geschützt werden müssen, kann ein Penetrationstest Klarheit bringen, ob die Schutzmaßnahmen bereits ausreichen.
Mit diesem Test lassen sich Schwachstellen aufdecken und die digitale Sicherheit noch weiter verbessern. Was ein Penetrationstest ist, welche Möglichkeiten er bietet und wo Unternehmen solch eine Testung beauftragen können, zeigt dieser Beitrag.
Welche Möglichkeiten gibt es für den Penetrationstest?
In aller Regel werden vier verschiedene Möglichkeiten für den Penetrationstest in Betracht gezogen. Das erste betrifft den unkompliziertesten Zugang zu den Daten, nämlich über die User selbst. Hierbei wird davon ausgegangen, dass ein Nutzer selbst Daten aus dem Unternehmen entwenden möchte. Für diesen Schwachstellenscan werden in erster Linie die Optionen und Wege zusammengestellt, über welche ein Nutzer den Datendiebstahl umsetzen kann.
Als klassischer Penetrationstest gilt der versuchte Diebstahl von außen. Es wird ein Hacker-Angriff von Extern simuliert, der auf verschiedene Arten ablaufen kann. Zu dieser Testvariante zählt auch die bekannte DDOS-Attacke, bei welcher das Netzwerk durch das Senden massiver Datenmengen zum Stillstand gebracht werden kann.
Blindtests sind eine weitere interessante Variante, bei der einem Dienstleister vom Unternehmen das Einverständnis zur Testung gegeben wird, in der die genauen Gegebenheiten aber nicht erörtert werden. Der Dienstleister hat keine Informationen vom Zielnetzwerk, was die Testung der eigenen IT durchaus realistisch macht.
Die wohl spannendste Testvariante ist der Doppelblindtest. Dabei wird der Dienstleister ebenfalls nicht eingeweiht, aber auch die eigene IT-Abteilung im Unklaren über den Test gelassen. Dies schafft ein sehr realistisches Setting, denn im Ernstfall ist die IT-Abteilung ebenfalls nicht vorgewarnt. Sie wird also hinsichtlich ihrer Reaktionszeit auf Hack-Versuche geprüft.
Welche Strukturen werden beim Penetrationstest überprüft?
Penetrationstests sind simulierte Hackerangriffe, die allerdings von einem vertrauenswürdigen Dienstleister ausgeführt werden, um die unternehmenseigene IT zu testen. Die Ziele können dabei je nach Test und Absprache unterschiedlich sein, jedoch steht meist der Diebstahl von Daten als Szenario im Fokus. Aber auch hier gibt es Unterschiede, die beim Entwerfen der Teststellung bei Bedarf mit dem auftraggebenden Unternehmen besprochen werden müssen. Penetrationstests sind stets maßgeschneiderte Dienstleistungen. Unternehmen verfügen üblicherweise über mehrere IT-Systeme, die zum Teil auch nach außen kommunizieren und daher potenzielle Einfallstore für echte Attacken darstellen. Im Penetrationstest werden beispielsweise Zeiterfassungs-Tools für Homeoffice-Mitarbeiter geprüft, aber auch IT-Infrastruktur, wie Firewalls auf ihre Tauglichkeit, echte Angriffe zu verhindern. Auch Virenscanner sind beliebte Angriffsstellen, ebenso wie selbstverständlich alle Netzwerkzugänge. Dies betrifft nicht nur WLANs, sondern auch Bluetooth und andere Konnektivitäten. Ebenfalls in den Bereich von Penetrationstests fallen Telefonanlagen, aber auch rein physische Angriffspunkte. Zu diesen können unter anderem technische Geräte wie Router zählen, aber auch Sicherheitssysteme des Unternehmens Gebäudes, wie beispielsweise elektronische Schließanlagen.
Wo können Unternehmen Penetrationstests beauftragen?
Ausgeführt werden Penetrationstests üblicherweise von externen Dienstleistern, die sich auf diese Aufgabe spezialisiert haben. Hier sitzen hochspezialisierte Netzwerk-Experten, die sich mit dem Unternehmensnetzwerk der Aufgabenstellung gemäß auseinandersetzen und zunächst eine Methodik und ein individualisiertes Test-Design entwerfen. Mit einem Scan des zu prüfenden Netzwerks werden erste Daten zu diesem erhoben, dann erfolgen tatsächliche Zugriffsversuche sowie weitere Datenmessungen zur Reaktionszeit des vorhandenen Systems. Keine Testung ist komplett ohne die entsprechende Berichterstattung. Sie fasst alle kritischen Punkte für den Auftraggeber zusammen und liefert eine gründliche Analyse zu gefundenen Schwachstellen. Im Rahmen der Ergebnis-Aufbereitung können auch Lösungsansätze zur Verbesserung der Resistenz gegen externe Attacken entwickelt und schließlich implementiert werden.
Bildquelle:
- Internet-Sicherheit-Hacker: © Maksim Kabakou/stock.adobe.com
