Welche Arten von Penetrationstests gibt es?

Mit dem Penetrationstest (oder auch Pentest) existiert eine IT-Sicherheitsmaßnahme, die häufig unterschätzt oder einfach falsch kommuniziert wird. Dabei ist der Penetrationstest tatsächlich sehr viel mehr als nur ein Vulnerability Scan, also ein Scan nach möglichen Schwachstellen. Er findet diese nämlich nicht nur, sondern zeigt auch sehr deutlich an, ob entlarvte Sicherheitslücken bereits ausgenutzt wurden oder in Zukunft noch ausgenutzt werden könnten. Damit verbessert er die IT-Sicherheit nicht nur um ein Vielfaches, sondern sorgt auch dauerhaft dafür, dass Schwachstellen erkannt und geschlossen werden.
Sie wissen nun also, was ein Penetrationstest ist und haben auch verstanden, wie sich dieser von anderen Sicherheitsmaßnahmen unterscheidet. Auch über die Kosten haben wir bereits ausführlich gesprochen, wobei letzteres schwierig ist, da es auf den Umfang, die Art und die Tiefe des jeweiligen Pentests ankommt. Aber einen ungefähren Eindruck davon, was ein Penetrationstest der jeweiligen Art kosten wird, haben Sie sicherlich dennoch erhalten. Sie sind also bereits bestens informiert, zumindest was das Ganze drumherum angeht.
Schauen wir uns nun also den eigentlichen Penetrationstest ein wenig genauer an. Auch dieser ist nicht immer gleich, denn es gibt weitaus mehr als nur den einen Penetrationstest, der nach dem immer gleichen Schema verläuft. Vielmehr existieren unzählige Unterarten eines Pentests, die ganz bestimmte Schwerpunkte setzen und sich zum Teil auf sehr spezifische sicherheitsrelevante Aspekte fokussieren. Genau diese möchten wir uns hier einmal genauer ansehen und erläutern, welchen Schwerpunkt sie jeweils besitzen. Schließlich ist das Wissen darüber überaus wichtig, wenn es um die Auswahl der richtigen Penetrationstests für Ihr Unternehmen geht.
Bei den meisten Arten von Penetrationstest geht es tatsächlich eher um die Sichtweise des Pentesters. Denn als ethischer Hacker kann er theoretisch Zugriff auf bestimmte Informationen erhalten, die ein Hacker gegebenenfalls vorab gar nicht hätte. Doch wir möchten nichts vorwegnehmen. Schauen wir uns die unterschiedlichen Arten von Penetrationstests daher einfach mal ein wenig genauer an.

Black-Box Penetrationstest

Der Name verrät im Grunde bereits, worum es sich bei dieser Art von Penetrationstest handelt. Der Black-Box Test ist ein Pentest, bei dem absolut nichts vorab bekannt ist. Der Penetrationstester muss sich somit alle notwendigen Informationen eigenständig zusammensuchen und in den Systemen selbstständig danach forschen. Mit diesen kann er dann im weiteren Verlauf arbeiten, bekommt abseits dessen aber keine zusätzlichen Informationen zur Verfügung gestellt. Das ist ein wichtiger Punkt bei dieser Art von Penetrationstest, der geradezu essenziell ist.
Der Black-Box Test ist somit besonders authentisch, weil auch ein Hacker für gewöhnlich keine weiteren Informationen vorab bekommen würde. Vielmehr sucht er selbst danach, probiert aus und sichert sich so im Verlauf seines Hacks mehr und mehr die notwendigen Zugriffe in den IT-Systemen. Der Black-Box Test ist daher ein sehr realitätsnaher Penetrationstest, der sich für IT-Infrastrukturen aller Art eignet.

White-Box Penetrationstest

Bei dem White-Box Test handelt es sich um eine Form des Pentests, bei dem der Pentester, also der ethische Hacker, vollen Zugriff auf den Programmcode, die Dokumentationen und sämtliche Details zu den verwendeten IT-Systemen besitzt. Er weiß also vorab bereits ganz genau, welche Art von IT-System und IT-Infrastruktur er nun angreift und worauf er dabei jeweils gesondert achten muss, da er schon Kenntnisse besitzt, die ein gewöhnlicher Hacker vorab auf gar keinen Fall besitzen würde. Der Pentester kennt also das System und Netzwerk mit all seinen Eigenheiten, was das weitere Vorgehen für ihn deutlich vereinfacht und unter gewissen Voraussetzungen die Kosten senkt, den Penetrationstest selbst aber weniger authentisch erscheinen lässt.

Grey-Box Penetrationstest

Mit dem Grey-Box Test existiert auch noch eine Alternative zu den beiden oben genannten Arten von Penetrationstest. Der Grey-Box Test ist nämlich ein Penetrationstest, der genau genommen zwischen dem White-Box und dem Black-Box Test anzusiedeln ist. Er stellt damit so etwas wie das Mittelmaß der beiden Teststarten dar. Hier sind nur die notwendigsten Informationen bekannt, interne Fakten bleiben hingegen geheim. Es wird also nicht alles offengelegt (wie bei einem White-Box Test), sondern nur das offenbart, was für den Penetrationstester in diesem Augenblick wichtig und absolut notwendig ist. Es gibt also nicht zu viele, aber auch nicht gar keine Informationen.

Red Team Assessment

Bei dem Red Team Assessment wird, heruntergebrochen auf das Wesentliche, ein Angriff unter realen Bedingungen durchgeführt. Das Red Team ist dabei der Angreifer und das Blue Team der Verteidiger. Oft besteht das Red Team dabei aus ethischen Hackern und IT-Sicherheitsexperten, die während ihres Angriffs sehr realitätsnah vorgehen. Sie verschaffen sich also zunächst die benötigten Informationen, suchen nach möglichen Exploits und nutzen diese dann zielstrebig aus, verschaffen sich Zugänge und dringen so immer tiefer in die jeweiligen Systeme ein. Eben genau so, wie es Angreifer ebenfalls tun würden.

Das Blue Team stellt dabei oft die IT-Sicherheit im eigenen Unternehmen dar, welche entsprechend getestet wird. Schließlich soll diese genau solche Versuche und Angriffe von Hackern eigentlich von vornherein verhindern. Das Red Team Assessment ist also weit mehr als ein Test oder eine Übung, es ist ein tatsächlicher Angriff unter realen Bedingungen, bei dem alle Aspekte und jede Seite geprüft wird. Im Vergleich mit dem Penetrationstest ist das Red Teaming daher deutlich umfangreicher und im Grunde auch von dem klassischen Pentest abzugrenzen, der oft nur bestimmte Aspekte einer IT-Infrastruktur testen soll, jedoch nie das gesamte System umfasst.

Mini Penetrationstest

Der Mini Pentest wird gerne auch als Pentest Do It Yourself bezeichnet und umgekehrt. Im Grunde handelt es sich dabei um eine stark abgespeckte Form des Penetrationstests. Also eine Art Sicherheitstest, der nur mit einem Tool gestartet wird oder von jedem im Unternehmen relativ einfach und selbstständig absolviert werden kann. Mehr Sicherheit bringt dieser nur bedingt, weshalb der Mini Pentest auch nur eine Art Grundlagenprüfung darstellt.

Während Penetrationstests nämlich für gewöhnlich äußerst zeitaufwendig sind und IT-Sicherheitsexperten erfordern, die wie Hacker vorgehen, ist der Mini Pentest der schnelle Sicherheitscheck, der weder viel Zeit noch Expertenwissen verlangt. Dafür ist er am Ende aber eben auch weitaus weniger umfangreich, nicht so genau und somit schlichtweg nur bedingt aussagekräftig, was die Sicherheit der eigenen IT-Systeme angeht. Er taugt aber dennoch hervorragend dafür, um eine erste Sicherheitsprüfung vorzunehmen und herauszufinden, wie das eigene Unternehmen im Bereich der Cybersicherheit derzeit aufgestellt ist. Nur kann er eben nicht viel mehr als das leisten.

Sonstige Penetrationstest-Arten

Es gibt noch einige andere Arten von Penetrationstests, die etwas spezieller sind oder weniger häufig eingesetzt werden, weil sie sich auf einen dedizierten Aspekt der Sicherheit fokussieren. Social Engineering Penetrationstest zum Beispiel, die ganz gezielt nach menschlichen Schwachstellen in Unternehmen suchen. Aber auch viele andere Formen, wie Mobile Application Pentests, Supply Chain Pentests, API Penetrationstests und einige mehr. So gesehen, kann förmlich alles einem Pentest unterzogen werden. Die Frage ist dabei immer nur, ob sich der Aufwand und die Kosten dafür tatsächlich lohnen.