Ein Sicherheitstest, auch als Penetrationstest oder Pen-Test bezeichnet, ist eine Methode zur Bewertung der Sicherheit eines Computersystems, Netzwerks oder einer Anwendung. Ziel des Sicherheitstests ist es, potenzielle Schwachstellen im System aufzudecken und mögliche Angriffsvektoren zu identifizieren, die von einem Angreifer ausgenutzt werden könnten.
Ein Sicherheitstest wird normalerweise von speziell ausgebildeten IT-Sicherheitsexperten oder 'Ethical Hackern' durchgeführt, die versuchen, das System von außen zu hacken oder Schwachstellen durch gezielte Angriffe auf das System aufzudecken. Die Tests können sowohl manuell als auch automatisiert durchgeführt werden.
Die Ergebnisse des Sicherheitstests werden in einem Bericht zusammengefasst, der die Schwachstellen, Angriffsvektoren und mögliche Auswirkungen von Angriffen auf das System beschreibt. Auf der Grundlage dieser Ergebnisse können dann Maßnahmen ergriffen werden, um das System zu verbessern und Schwachstellen zu beseitigen.
Ein Sicherheitstest ist ein wichtiger Teil des IT-Sicherheitsmanagements und hilft Unternehmen und Organisationen dabei, potenzielle Schwachstellen in ihren Systemen aufzudecken, bevor diese von Angreifern ausgenutzt werden können.
Ein großes Problem ist, dass bei der Mehrzahl der Penetrationstests schon ein schwerer systematischer Fehler in der Art vorliegt, wie an diese Aufgabe herangegangen wird! Kein Hacker der Welt wird sich vorher mit Ihnen absprechen, was denn 'erlaubt' und was 'nicht erlaubt' ist, bzw. was getestet und was nicht getestet werden soll!
Es hat sich eine ganze Industrie an sogeannten 'Penetrations-Testern' heraus kristallisiert, die mit automatisierten Tools eine mehr oder weniger oberflächliche Schwachpunktanalyse in Absprache mit dem Auftraggeber anfertigen.
Um einen 'echten' Penetrationstest durchzuführen, und damit aussagekräftige Zustandsbereichte über die aktuelle Sicherheitslage abzuliefern, darf - und MUSS - die Information an den Auftraggeber während des Testens so unauffällig ( gering ) wie möglich sein. Der Sicherheitstest muss unter realen Bedingungen stattfinden. Es bringt keinen Nutzen, wenn die 'Testumgebung' dem Tester, oder dem 'Zielobjekt' angepasst wird. Ein echter Hacker passt sich immer der Umgebung an, und vor allem wird er sich nur selten vorher anmelden!
Der Ablauf eines Sicherheitstests hängt von verschiedenen Faktoren ab, wie z.B. dem Umfang des zu testenden Systems, den Zielen des Tests und der Art des Tests (manuell oder automatisiert). Im Allgemeinen umfasst der Ablauf eines Sicherheitstests jedoch folgende Schritte:
Planung: In der Planungsphase werden die Ziele des Tests festgelegt und ein Testplan erstellt. Dabei wird auch festgelegt, welche Arten von Tests (z.B. Netzwerk-Scans, Webanwendungs-Tests oder Social-Engineering-Tests) durchgeführt werden sollen und welche Werkzeuge und Techniken verwendet werden.
Vorbereitung: In der Vorbereitungsphase werden alle notwendigen Ressourcen (z.B. Testsysteme, Tools, Testdaten) bereitgestellt und das Testteam wird geschult. Auch die Zustimmung und Genehmigung des Eigentümers des Systems, das getestet werden soll, werden in dieser Phase eingeholt.
Durchführung: In der Durchführungsphase führt das Testteam die Tests gemäß dem Testplan durch. Dabei werden potenzielle Schwachstellen und Angriffsvektoren im System aufgedeckt. Bei manuellen Tests werden Angriffsszenarien erstellt und getestet, während bei automatisierten Tests spezielle Tools und Skripte eingesetzt werden, um Schwachstellen zu finden.
Berichterstellung: In der Berichterstellungsphase werden die Ergebnisse des Tests in einem Bericht zusammengefasst. Der Bericht enthält eine detaillierte Beschreibung der gefundenen Schwachstellen und Angriffsvektoren, eine Risikobewertung und Empfehlungen zur Behebung der Schwachstellen. Der Bericht wird in der Regel dem Eigentümer des Systems oder der Organisation vorgelegt.
Nachbereitung: In der Nachbereitungsphase werden die Ergebnisse des Tests gemeinsam mit dem Eigentümer des Systems oder der Organisation besprochen und Maßnahmen zur Behebung der gefundenen Schwachstellen festgelegt. Auch eine Überprüfung der Maßnahmen und gegebenenfalls weitere Tests können in dieser Phase durchgeführt werden.
Ein Sicherheitstest sollte regelmäßig durchgeführt werden, um sicherzustellen, dass das System immer auf dem neuesten Stand der Sicherheitstechnologie ist
Zum Abschluss des Tests ist ein vollständiger, leicht verständlicher und ehrlicher Bericht über die vorgefundene Sicherheitslage notwendig. Hierbei sind alle Aktionen, Ergebnisse und Schlussfolgerungen detailliert, mit Datum und Beschreibung aufzuführen. Der Bericht sollte exklusiv an den Auftraggeber persönlich übergeben werden. Anhand dieses Berichts soll eine Bewertung des Sicherheitstest erfolgen. Haben die bestehenden Sicherheitsmaßnahmen dem Angriff erfolgreich stand gehalten, oder war der Versuch des Testers in das System manipulativ einzudringen erfolgreich?
Ein Beispiel für einen solchen Bericht finden Sie hier
Der Bericht eines Sicherheitstests sollte detailliert und aussagekräftig sein, um dem Eigentümer des Systems oder der Organisation einen klaren Überblick über die gefundenen Schwachstellen und möglichen Angriffsszenarien zu geben. In der Regel enthält ein solcher Bericht die folgenden Elemente:
Einleitung: Eine kurze Zusammenfassung des Tests, seiner Ziele und seiner Durchführung.
Zusammenfassung: Eine Zusammenfassung der wichtigsten Ergebnisse des Tests, einschließlich der gefundenen Schwachstellen und Angriffsvektoren sowie einer Risikobewertung.
Methoden: Eine Beschreibung der Methoden und Techniken, die im Rahmen des Tests verwendet wurden, z.B. Netzwerk-Scans, Penetrationstests, Social Engineering oder Webanwendungs-Tests.
Schwachstellen: Eine detaillierte Beschreibung der gefundenen Schwachstellen, einschließlich einer Einschätzung ihrer Schwere und der möglichen Auswirkungen auf das System.
Angriffsszenarien: Eine Beschreibung möglicher Angriffsszenarien, die auf Basis der gefundenen Schwachstellen erstellt wurden, um dem Eigentümer des Systems zu zeigen, wie diese Schwachstellen ausgenutzt werden können.
Empfehlungen: Empfehlungen zur Behebung der gefundenen Schwachstellen, einschließlich einer Einschätzung der Priorität jeder Empfehlung.
Fazit: Eine Zusammenfassung der wichtigsten Erkenntnisse des Tests und der Empfehlungen zur Verbesserung der Sicherheit des Systems.
Der Bericht sollte klare und prägnante Informationen enthalten, die für den Eigentümer des Systems leicht verständlich sind. Darüber hinaus sollte der Bericht auch eine klare Darstellung der Ergebnisse in tabellarischer oder grafischer Form enthalten, um dem Eigentümer des Systems eine schnelle Übersicht zu geben.
