SFIO CRACHO - stock.adobe.com
Wie kann man eigene und externe Pentests durchführen?
Das Patchen von Sicherheitslücken und die Installation einer Firewall reichen nicht aus, um für IT-Sicherheit zu sorgen. Mit eigenen Pentests finden Sie noch offene Schwachstellen.
Der absichtliche Versuch, das eigene Netzwerk, einen internen Server oder eine im Unternehmen genutzte Geschäftsanwendung zu hacken, mag verwirrend klingen. Aber genau darum geht es beim Durchführen von Penetrationstests oder abgekürzt beim Pentesting. Das Ausführen solcher Tests ist eine der besten Möglichkeiten, um ansonsten nur schwer zu entdeckende Sicherheitslücken aufzuspüren und zu beheben.
Es gibt mehrere gute Gründe, warum Sie einen oder besser mehrere Penetrationstests an Ihrer eigenen Infrastruktur durchführen sollten. Zur Wahl stehen Ihnen dabei mehrere mögliche Maßnahmen. Bevor Sie aber damit loslegen, sollten Sie zuerst einen umfassenden Plan für Ihre Penetrationstests erstellen. So wissen Sie genau, was Sie testen, welche Tools Sie dafür benötigen und wer die Tests für Sie erledigen wird.
Gute Gründe für Penetrationstests in Unternehmen
Das grundlegende Vorgehen bei Penetrationstests ist einfach: Entscheiden Sie sich für ein Ziel-Netzwerk, einen bestimmten Server oder eine Anwendung, die Sie angreifen und auf Sicherheitslücken überprüfen wollen. Dabei können Sie auch Methoden aus dem großen Feld des Social Engineerings sowie physische Attacken verwenden.
Das Ziel dieser Pentests ist, Bereiche mit Schwachstellen zu finden und sie zu beheben, bevor ein Angreifer ebenso vorgehen und dabei richtigen Schaden anrichten kann. Ohne sorgfältig durchgeführte Penetrationstests und dem Schließen der gefundenen Sicherheitslücken können Schwachstellen zu unerwünschten Zugriffen, dem Diebstahl von Daten oder DoS-Attacken (Denial of Service) auf Sie und andere führen.
Wer die Penetrationstests durchführen sollte
Wer die Penetrationstests letztendlich für Sie erledigt, hängt von den Bedürfnissen Ihres Unternehmens und weiteren Faktoren ab.
So können die Tests beispielsweise natürlich auch durch interne Mitarbeiter erledigt werden. Häufig werden damit jedoch externe Sicherheitsforscher beauftragt, die normalerweise mehr Erfahrungen in diesem Gebiet haben. Wenn Sie planen, selbst ein Assessment durchzuführen, dann muss Ihnen bewusst sein, dass es niemals so ausführlich sein kann, als wenn sich Pentest-Experten darum kümmern. Es kann aber oft nicht schaden, zusätzlich zu einer beauftragten Firma eigene Pentests als ergänzende Maßnahme durchzuführen.
Werkzeuge für Penetrationstests
Die Informationen, die den Testern zur Verfügung stehen, variieren in der Regel abhängig vom jeweiligen Ziel. So können auch leichter unterschiedliche Angriffsvektoren nachgebildet werden. Darüber hinaus können Tests durchgeführt werden, bei denen die potentiellen Angreifer sich bereits im Firmennetz befinden.
Dadurch kann böswilliges Verhalten von Insidern oder einem kompromittierten Gerät im LAN simuliert werden. Dazu kommen Pentests, die von außerhalb durchgeführt werden, um die Einbruchsversuche von Hackern auf exponierte Geräte nachzustellen.
Zu Penetrationstests gehören meist auch manuell oder automatisiert durchgeführte Analysen, um potentielle Schwachstellen schneller ausfindig machen zu können. Zu den dafür verwendeten Tools gehören eher allgemeine Werkzeuge wie klassische Paket-Sniffer.
Bekannt sind auch Produkte wie Nessus, Aircrack-ng und das Linux-Tool Hydra, das mehrere Möglichkeiten bietet, um gezielt Penetrationstests und Scans durchzuführen. Darüber hinaus haben einige kommerzielle Sicherheitsanbieter eigene Anwendungen und Suiten entwickelt, die für automatisierte Tests verwendet werden können, die sich dann ohne direkte Einwirkung von Menschen erledigen lassen.