Arten von Penetrationstests | EasyDMARC

Arten von Penetrationstests

6 Min Lesezeit
EasyDMARC logo and

In der Welt der Cybersicherheit gibt es verschiedene Arten von Penetrationstests, aber bevor wir uns mit den verschiedenen Arten beschäftigen, sollten wir wissen, was Penetrationstests sind. Ein Penetrationstest zielt darauf ab, Schwachstellen in Netzwerken, Systemen oder Anwendungen einer Organisation zu identifizieren. Diese Lücken werden dann den Entscheidungsträgern mitgeteilt, die dann entscheiden, ob sie sie beheben wollen oder nicht.

Ein Penetrationstester legt einen Bericht vor, der detaillierte Informationen über den Vorgang enthält und Abhilfemaßnahmen vorschlägt. Diese Empfehlungen werden in der Regel in absteigender Reihenfolge ihrer Wichtigkeit aufgeführt. So können die Führungskräfte entscheiden, wie sie diese angemessen angehen.

Bei so vielen Penetrationstests kann es etwas verwirrend sein zu wissen, welches die richtige Option für Ihr Unternehmen ist.

In diesem Artikel erörtern wir die verschiedenen Arten von Penetrationstests auf der Grundlage von Stilen, Bereichen, Methoden und Techniken.

Bereiche für Penetrationstests

Im Folgenden finden Sie einen kurzen Überblick über sechs wichtige Bereiche mit unterschiedlichen Zielen von Penetrationstests.

  • Netzwerk: Hier konzentrieren sich die Experten für Penetrationstests auf Cloud-basierte und Vor-Ort-Netzwerksicherheitstests. Dabei werden interne und externe Schwachstellen auf verschiedenen Servern, Routern, Switches und Netzwerk-Hosts identifiziert.
  • Web-App: Hier versucht der Penetrationstester, Einstiegspunkte und Sicherheitslücken in Datenbanken, Quellcode, Backend-Netzwerken usw. zu finden, die das sichere Funktionieren der Web-App beeinträchtigen können.
  • Mobile App: Sowohl automatisierte als auch erweiterte manuelle Tests werden eingesetzt, um Probleme im Zusammenhang mit der Sitzungsverwaltung, Kryptografie, Authentifizierung und Autorisierung zu ermitteln.
  • Client-Seite: Als „Client-Seite“ wird in der Regel alles bezeichnet, was auf der Benutzerseite der Anwendung geschieht (unabhängig davon, ob es sich bei dem „Client“ um einen zahlenden Kunden oder einen Mitarbeiter handelt, der eine firmeneigene Web App verwendet). In diesem Bereich der Penetrationstests werden Schwachstellen aufgespürt.
  • Drahtlos: Die Untersuchung von Aspekten wie Konfiguration, APIs, Verschlüsselung, Speicherung und Sicherheitskontrollen sind Teil dieses Penetrationstests.
  • Social Engineering: Penetrationstester geben sich hier als Hacker aus, um über einen Social-Engineering-Angriff in das System eines Unternehmens einzubrechen. Dabei wird die Erkennungs- und Reaktionsfähigkeit der Mitarbeiter überprüft. Die Tests werden in der Regel zusätzlich zur Überprüfung von Sicherheitsmaßnahmen durchgeführt, die geändert oder verbessert werden müssen.

Stile von Penetrationstests

Wie man Penetrationstests Schritt für Schritt durchführt, hängt weitgehend davon ab, welcher Pen-Test-Stil für Ihr Unternehmen geeignet ist. Einige Überlegungen beziehen sich auf Ihre Ziele, Risiken, Toleranz, Ihr Budget und andere Faktoren.

Im Allgemeinen gibt es drei Ansätze für Penetrationstests: Blackbox, Whitebox und Graybox.

  • Blackbox: Dem Tester werden keine hilfreichen Informationen zur Verfügung gestellt. Er befindet sich also in einer unprivilegierten Situation, ähnlich wie bösartige Akteure, die versuchen, in Ihre Systeme einzudringen. Es ist hilfreich zu wissen, wie ein Angreifer ohne vorherige Informationen in Ihre IT-Infrastruktur eindringen kann.
  • Whitebox: Beim Whitebox-Penetrationstest stellt das Unternehmen alle notwendigen Informationen über sein Netzwerk und System zur Verfügung. Da die Durchführung dieses Tests sehr zeitaufwendig ist, konzentrieren sich die Unternehmen in der Regel auf eine bestimmte Komponente, anstatt das gesamte System zu testen.
  • Graybox: Graybox-Tests werden auch als transluzente Box-Tests bezeichnet. Dabei wird nur ein begrenzter Teil der Informationen, z. B. die Anmeldedaten, an den Tester weitergegeben. Dies geschieht, um die Handlungen eines privilegierten Angreifers zu imitieren und eine Insider-Bedrohung aufzuspüren. Ein Graybox-Penetrationstest wird auch eingesetzt, um Schwachstellen innerhalb eines Netzwerks aufzuspüren.

Techniken der Penetrationstests

Für Unternehmen besteht das Ziel von Penetrationstests darin, etwas über die Sicherheit ihrer Systeme zu erfahren und Maßnahmen zu ergreifen, um diese zu verbessern. Je nachdem, wer den Test durchführt, wie die Struktur, das Budget und die Risikobewertung aussehen, gibt es folgende Arten von Penetrationstests: manuell, automatisiert oder in Kombination.

Manuell

Dies ist eine zuverlässige Methode, mit der der Tester die Gesamtleistung der Systemstruktur validiert. Der manuelle Prozess beginnt mit dem Sammeln von Daten wie Tabellennamen, Datenbankversionen, Gerätekonfiguration und Plugins von Drittanbietern (falls vorhanden).

Nach einer gründlichen Suche nach Schlupflöchern wird ein simulierter Angriff gestartet. Dadurch wird deutlich, wie stark das System im Falle eines tatsächlichen Angriffs beeinträchtigt werden kann.

Automatisiert

Manuelle Tests decken grundsätzlichere Probleme auf. Sie können jedoch nicht alle Schwachstellen aufdecken. Unternehmen setzen automatisierte Techniken ein, um die Lücken zu schließen, die ein manueller Penetrationstest offen lässt.

Automatisierte Penetrationstests helfen bei der Ausmerzung von Bedrohungen, indem sie regelmäßig alle anfälligen Elemente scannen. Ein weiterer Pluspunkt dieser Technik ist, dass sie keine zusätzliche Software erfordert. Ein einziges Tool für automatisierte Penetrationstests übernimmt den gesamten Prozess.

Automatisierte Penetrationstests sind schnell, gründlich und kostengünstig.

Kombination

Die Kombination von manuellen und automatisierten Penetrationstests ist ein umfassender und reaktionsschneller Ansatz für die Sicherheit Ihrer Unternehmenswerte.

Obwohl sie unterschiedlich funktionieren, füllen manuelle und automatische Penetrationstests verschiedene Lücken, die die jeweils anderen hinterlassen haben. Auch wenn diese Art von Tests teurer ist als die separaten, lohnt es sich, in sie zu investieren.

Methoden der Penetrationstests

Penetrationstester verwenden in der Regel eine oder mehrere der fünf Angriffsmethoden für ein System, um Schwachstellen zu ermitteln.

Extern

Bei externen Penetrationstests lokalisiert und bewertet ein Tester Schwachstellen, um die Wahrscheinlichkeit zu prüfen, dass ein Krimineller von außen Ihr System angreift. Er tut dies, indem er Informationen findet, die für einen Außenstehenden verfügbar und zugänglich sind.

Intern

Ein interner Penetrationstest wird im Anschluss an den externen Penetrationstest durchgeführt. Hier finden Experten heraus, was von einem internen Mitarbeiter oder einem Drittanbieter, der Zugang zu Ihrem System hat, gestohlen, verändert, gelöscht oder modifiziert werden könnte. Zu den Phasen des Penetrationstests gehören die Überprüfung offener Ports und das Aufspüren aktiver Hosts.

Blind

Bei der Methode der blinden Penetrationstests werden den ethischen Hackern keine Informationen für den Einbruch in ein System gegeben. In den meisten Fällen ist ihnen nur der Name des Unternehmens bekannt. Damit soll ermittelt werden, wie tief ein nicht privilegierter Angreifer in Ihr System eindringen kann.

Doppelblind

Bei doppelblinden Penetrationstests wissen die Mitarbeiter nichts von einem laufenden Übungstest. Dies geschieht, um die Reaktionen der Mitarbeiter zu überprüfen und ihren Vorbereitungsgrad zu bewerten. Wenn die Reaktion nicht den Erwartungen entspricht, erhalten die Mitarbeiter eine Schulung zum Umgang mit solchen Situationen und zur Reaktion darauf.

Gezielt

Bei der letzten Methode der Penetrationstests überprüfen White-Hat-Hacker und Sicherheitsteams gemeinsam die Fähigkeiten, die Aufmerksamkeit und die Verbesserungsmöglichkeiten des jeweils anderen. Gezielte Penetrationstests geben in Echtzeit Aufschluss über die potenziellen Schwachstellen, die ein Hacker ausnutzen kann.

Fazit

Wie Sie sehen können, gibt es viele Arten von Penetrationstests. Die Wahl der einen oder anderen Methode hängt von den Bedürfnissen und Ressourcen Ihres Unternehmens ab. Wählen Sie zunächst den Bereich aus, den Sie testen möchten, und gehen Sie dann unsere Liste durch, um festzustellen, welche Art, Technik und Methode für Ihr Unternehmen am besten geeignet ist. Berücksichtigen Sie dabei auch die Vorteile und Risiken von Penetrationstests.

In diesem Artikel

Artikel teilen
Mehr in Cybersicherheit
Was sind Apple Passkeys und wie verwendet man sie?
6 Min Lesezeit

Domain-Scanner

Überprüfen Sie Phishing-Schwachstellen und mögliche Probleme mit DMARC-, SPF-, DKIM- und BIMI-Einträgen.