Penetrationstests

Penetrationstests umfassen Sicherheitstests einzelner Rechner oder Netzwerke jeglicher Gröse. In einem Penetrationstest wird die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (ugs. „Hacker“) anwenden würde, um unautorisiert in das System einzudringen (Penetration) getestet. Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationstests sind Werkzeuge, die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.

Die Art der Sicherheitstests orientiert sich am Gefahrenpotential eines gefährdeten Systems, Netzwerks oder einer Anwendung, das heißt, dass beispielsweise ein Webserver eine höhere Gefahrenpriorität als eine einfache Textverarbeitung hat. Entsprechend zahlreich sind die Hilfswerkzeuge für Penetrationstests und entsprechend sollten derart umfassende Sicherheitstests lediglich erfahrene Sicherheitsforscher oder Systemadministratoren durchführen, die wissen, was sie machen, welche Ereignisse sie damit verursachen und welche Ergebnisse sie damit erzielen möchten.

Zielsetzungen

Ziele eines Penetrationstests sind im wesentlichen:

  • die Identifikation von Schwachstellen
  • das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben
  • die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
  • die Bestätigung der IT-Sicherheit durch einen externen Dritten.
Legalität

Sowohl Penetrations- und andere Sicherheitstests dürfen in der Schweiz nur durchgeführt werden, wenn dies zwischen uns und Ihrer Organisation vereinbart wurde. Dies ist in der Tatsache begründet, dass einzelne Tests Straftaten sein können.
Ein Beispiel:
für die Schweiz ist das Ausspähen von Daten nicht erlaubt. Um eine Strafverfolgung zu vermeiden, muss der Kunde uns eine eindeutige Befugnis erteilen. Dies gilt immer, wenn der Testende nicht die Erlaubnis hat, auf Daten, welche er im Rahmen eines Testes auslesen könnte, zuzugreifen, unabhängig von seiner Position oder Anstellungsverhältnissen.