Penetrationstest
Ein Penetrationstest oder kurz Pentest (abgeleitet vom Begriff Penetrieren = Eindringen / Durchdringen), beschreibt die Überprüfung eines Systems auf Sicherheitslücken bzw. Schwachstellen. Der Pentester versucht dabei gewaltsam in ein System einzudringen und die identifizierten Schwachstellen auszunutzen.
Sinn eines Pentests
Der Sinn eines Pentests besteht in der speziellen Vorgehensweise. Der Pentester versucht sich in die Lage eines Hackers zu versetzen und dessen Vorgehensweise zu imitieren, um ein realitätsnahes Szenario herzustellen. Dieses Vorgehen kommt einem echten Angriff am nächsten.
Ziel eines Pentests ist es allerdings nicht, einen tatsächlichen Schaden am System zu verursachen (außer dies wurde im Voraus abgeklärt), sondern Schwachstellen aufzuzeigen. So können diese im Nachgang behoben werden, bevor ein realer Angreifer sie ausnutzen kann.
Ansätze
Whitebox-Ansatz: Der Pentester hat Kenntnis über die innere Funktionsweise des zu testenden Systems. Dies schließt zum Beispiel Quellcode, Entwicklungsumgebung und Dokumentation ein.
Blackbox-Ansatz: Der Pentester hat keine Kenntnis über das zu testende System und kann seine Informationen nur aus öffentlichen Quellen und seiner eigenen Erfahrung beziehen. Der Blackbox-Ansatz kommt einem realen Angriff daher am nächsten.
Legalität
Die Durchführung eines Pentests muss von der Institution beauftragt werden, deren System getestet werden soll. Dabei wird dem Pentester eine “Permission to Attack” erteilt; also eine Genehmigung, die beauftragende Institution zu testen. Sind Cloud-Komponenten Bestandteil des Tests, muss zusätzlich die Genehmigung des Cloud-Anbieters eingeholt werden.
Viele Unternehmen verfügen über Intrusion Detection / Intrusion Prevention Systeme, welche einen Penetrationstest als Angriff erkennen. Um an dieser Stelle keinen unnötigen Computer Security Incident zu erzeugen, sollte ein Pentest also zuvor genehmigt und auf einen definierten Zeitraum festgelegt werden. Liegt keine Genehmigung zur Durchführung vor, muss der Pentester mit juristischen Konsequenzen rechnen, sollte er den Test dennoch durchführen.