Planung und Vorbereitung eines Pentests

Planung und Vorbereitung eines Pentests
Penetrationstests können vergleichsweise klein durchgeführt werden, doch für sich genommen sind sie dennoch immer eine große Sache. Immerhin handelt es sich um Angriffe, die Schwachstellen aufdecken sollen. Es sind Hacks, die zwar kontrolliert stattfinden, jedoch immer auch unangenehme Konsequenzen nach sich ziehen können. Um Letzteres zu verhindern, gilt es, Penetrationstests genauestens zu planen und durchzuführen, um jedwede unangenehme und unvorhergesehene Konsequenzen zu vermeiden.

Zielsetzung

Für einen Penetrationstest ist die Zielsetzung enorm wichtig. Da Penetrationstests nicht immer im gleichen Umfang stattfinden, ist es wichtig vorab festzulegen, welche Ziele mit dem Pentest überhaupt erreicht werden sollen. Schwachstellen finden, ist dabei übrigens nicht sehr spezifisch, denn wo genau wird getestet und welche Schwachstellen können im Unternehmen von entsprechend großer Bedeutung sein? Aus der Zielsetzung ergibt sich schlussendlich auch der Umfang. Welche Systeme, APIs, Anwendungen oder Netzwerke werden überhaupt getestet und wie tief und zeitaufwendig wird der darauffolgende Penetrationstest sein? Fragen, die vorab natürlich entsprechend geklärt sein müssen.

Vertragsabwicklung

Ein Penetrationstest ist am Ende nichts anderes als ein kontrollierter Angriff auf ein IT-System. Dementsprechend bedarf es der Genehmigung und der rechtlichen Absicherung, in Form eines schriftlich festgehaltenen Vertrags. Darin muss vom Datenschutz bis zu Genehmigungen alles enthalten sein. Pentester müssen sich dabei ebenso absichern wie die getesteten Unternehmen, die durch den Penetrationstest keine unangenehmen Konsequenzen erleben möchten. Denn falsch durchgeführt, kann ein Pentest immer auch schiefgehen oder IT-Systeme nachhaltig schädigen. Das ist einer der Gründe dafür, warum nicht zwangsläufig der günstigste Anbieter, sondern vielmehr ein erfahrener Dienstleister gewählt werden sollte. IT-Sicherheit ist nichts, bei dem Sie als Unternehmen sparen sollten

Vorbereitung

In der Vorbereitung des Penetrationstests werden wichtige Informationen eingeholt. Hier geht es darum, möglichst alle Details zu den Zielsystemen zur Verfügung zu stellen, damit der Pentest umfangreich und intensiv durchgeführt werden kann. Je nach Art und Umfang des Penetrationstests, versteht sich. Auch Tools und Techniken werden in der Vorbereitung besprochen und angepasst. Hier wird somit alles geplant, um den Pentest im Anschluss dann möglichst problemlos, zielstrebig und zeitoptimiert durchführen zu können.

Durchführung

Die Durchführung des Penetrationstests ist die entscheidende Phase. Mit einer speziell dafür eingerichteten Testumgebung, meist eine isolierte Basis, kann sichergestellt werden, dass der Pentest keinen Einfluss auf die laufenden Geschäfte des jeweiligen Unternehmens nimmt. Dieser Aspekt ist, je nach Unternehmensart und Größe, sowie der allgemeinen Aktivität, besonders wichtig. Die Durchführung selbst wird von IT-Sicherheitsexperten und somit ethischen Hackern durchgeführt. Diese greifen das System nun gezielt an und stellen fest, ob es bedrohliche Schwachstellen gibt. Diese Schwachstellen werden protokolliert und im Anschluss noch einmal detailliert besprochen. Je nach Umfang und Unternehmen dauert ein Penetrationstest meist nur wenige Tage und nur selten länger als eine Woche.

Analyse

In der abschließenden Analyse zeigt sich nun, welche Schwachstellen ein IT-System aufweist. Der Penetrationstest hat dabei die Aufgabe, möglichst alle Sicherheitslücken aufzuzeigen. Entsprechend umfangreich sollte die Analyse und Protokollierung auch ausfallen. Aus dem Abschlussbericht muss daher klar und deutlich hervorgehen, welche Schwachstellen genau gefunden wurden und warum sie so gefährlich sind. Auch detaillierte Hinweise zur Behebung dieser Sicherheitslücken sind Teil des abschließenden Berichts. Für gewöhnlich werden zusätzlich also noch einige Handlungsempfehlungen getätigt, die die allgemeine Sicherheit innerhalb der getesteten IT-Infrastruktur entsprechend verbessern können. Manchmal übernimmt der Dienstleister, der den Pentest durchgeführt hat, dann aber auch gleich die Aufgabe, die gefundenen Schwachstellen zu schließen.

Penetrationstest Checkliste

Ein Penetrationstest ist eine perfekt strukturierte und gut durchdachte Maßnahme für mehr Cybersicherheit. Umso wichtiger erscheint es da, eine Checkliste mit notwendigen Punkten zu erstellen, die aufzeigt, welche Maßnahmen genau umgesetzt werden. Die Checkliste hilft also ganz konkret dabei, die wesentlichen Punkte eines Pentests genau im Blick zu behalten und nichts davon versehentlich zu übersehen. – Zielsetzung: Definieren Sie die Ziele, den Umfang und die Testmethode des geplanten Penetrationstests. – Verträge: Schließen Sie die notwendigen Verträge ab, lassen Sie wichtige Genehmigungen unterzeichnen und informieren Sie die IT-Schlüsselfiguren im jeweiligen Unternehmen in Bezug auf die geplanten Maßnahmen. – Vorbereitung: Stellen Sie das notwendige Team zusammen, sammeln Sie Informationen zu den eingesetzten Systemen und konfigurieren Sie die verwendeten Pentest-Tools entsprechend den Ansprüchen des geplanten Pentests. – Pentesting: Nun beginnt der eigentliche Penetrationstest. Kombinieren Sie verschiedene Pentest-Tools für automatische und manuelle Scans nach Schwachstellen, um möglichst viele davon zu entlarven. Planen Sie die notwendige Zeit ein, denn mitunter benötigen Pentests mehrere Arbeitstage, bevor sie erfolgreich abgeschlossen werden können. – Berichterstattung: Im Anschluss an den Penetrationstest gilt es, die Ergebnisse noch einmal sehr genau zu analysieren, sorgfältig aufzubereiten und so einen umfangreichen Bericht über potenzielle Schwachstellen und Verbesserungsmaßnahmen für den Kunden anzufertigen.

Penetrationstest Frameworks

Als Penetrationstest Frameworks werden Tools oder Tool-Sammlungen bezeichnet, die den Vorgang eines Pentests entsprechend automatisieren oder vielmehr systematisieren. Die Frameworks zielen also darauf ab, den Prozess des Penetrationstests entsprechend stark zu vereinfachen und zu standardisieren, damit nicht mehr so viele manuelle Vorgänge für eine ordnungsgemäße Durchführung notwendig sind. Die braucht es im Falle eines Pentests zwar immer, ihr Aufwand lässt sich jedoch drastisch reduzieren. Ein Pentest Framework ist somit auch immer so etwas wie eine Art Leitfaden für die Durchführung. Bekannt unter IT-Sicherheitsexperten sind hier unter anderem das Metasploit Framework, die Burp Suite sowie einige andere. Wichtig ist, dass eine Tool-Suite noch keinen umfangreichen Pentests ergibt. Außerdem kommt es dabei auch immer auf die Art des Penetrationstests an. Und natürlich darauf, welche Ergebnisse sich das getestete Unternehmen von dem Pentest überhaupt erhofft. Einfach nur ein Tool starten oder einem Framework folgen, macht jedenfalls noch niemanden zum Pentester. Frameworks dienen also als Rahmen für Penetrationstests. Sie bilden eine Art Checkliste für das weitere Vorgehen oder bestehen aus verschiedenen Tools, die für das jeweilige Einsatzgebiet bestmöglich geeignet sind. Weil Tools bei einem Penetrationstest aber ohnehin eine wichtige Rolle spielen, möchten wir Ihnen einige davon noch einmal etwas genauer vorstellen.
Hier geht es zur Liste der Penetrationtestanbieter

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit

newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Folder - Beiträge - Icon
Podcasts
ITS-Couch: IT-Sicherheit-Podcasts
Folder - Beiträge - Icon
Videos
ITS-Couch: IT-Sicherheit-Videos

Ratgeber IT-Sicherheit

Glühbirne - Ratgeber - Icon
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Buch Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”

Forum IT-Sicherheit

Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum

IT-Sicherheitstools

Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten

Interaktive Listen

IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern

Zertifikate IT-Sicherheit

Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste

Veranstaltungen IT-Sicherheit

Anbieterverzeichnis

ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content