Penetrationstest
Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt,
eingesperrt in einem Safe aus Titan, vergraben in einem Betonbunker und ist umgeben von Nervengas und hochbezahlten, bewaffneten Wachen. Und nicht einmal dann, würde ich mein Leben darauf setzen.
(Gene Spafford)
Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Unter einem Penetrationstest versteht der Sicherheitsfachmann in der Informationstechnik die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (ugs. "Hacker") anwenden würde, um unautorisiert in das System einzudringen (Penetration).
Die Kernfrage
Wie sicher sind Sie, dass auf Ihr IT-Netzwerk nur berechtigte Nutzer zugreifen und auch nur das tun, wozu sie befugt sind?
Das Problem
Es wird immer wichtiger, dass die IT-Netzwerke einen angemessenen Schutzschild gegen mögliche Attacken haben, denn die Konsequenzen eines erfolgreichen Angriffs werden immer fataler. Es gilt also, das ständige Wettrennen zwischen Verteidigung und potenziellen Tätern zu gewinnen. Dabei ist dieses Wettrennen durchaus unfair, denn die für die Netzwerksicherheit Verantwortlichen müssen rechtzeitig alle Lücken finden und schließen. Dem Angreifer reicht eine Einzige, um erfolgreich einzubrechen.
Die Konsequenz
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt.
Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:
- Informationsbasis
- Aggressivität
- Umfang
- Vorgehensweise
- Technik
- Ausgangspunkt
Anhand dieser Kriterien wird dann zusammen mit dem Kunden ein individueller Test zusammengestellt. In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringungsversuche.
Sie benötigen Weitere Informationen? Kontaktieren Sie uns.
Informationssicherheit
- 1: ISO 27001 auf der Basis von Grundschutz.
- 2: Sicherheitschecks nach BSI.
- 3: Team IT-Grundschutz.
- 4: Schulungen.
- 5: Penetrationstests.