Welche Pentest-Methoden existieren aktuell?

Der allseits bekannte Penetrationstest ist eine systematische Sicherheitsprüfung der bestehenden IT-Systeme. Er sucht nach Schwachstellen und möchte dafür sorgen, dass selbige entsprechend behoben werden können. Doch die Methoden, die dabei zum Einsatz kommen, unterscheiden sich mitunter stark voneinander. Denn während der klassische Penetrationstest soweit klar definiert werden kann, haben sich IT-Infrastrukturen längst gewandelt und verändert, sodass eine Unterscheidung geradezu zwingend notwendig wird. Um genau diese möchten wir uns daher an dieser Stelle kümmern. Hier geht es nun um die unterschiedlichen Arten von Penetrationstests.

Cloud Pentest

Mit dem Cloud Pentest werden, der Name verrät es natürlich bereits, Cloud-Infrastrukturen getestet. Dazu gehören auch Cloud Services, die im jeweiligen Unternehmen zum Einsatz kommen. Da viele Organisationen große Teile ihrer IT-Infrastruktur inzwischen in die Cloud verlagert haben oder entsprechende Dienste dafür in Anspruch nehmen, muss natürlich auch hier sichergestellt werden, dass diese jederzeit den aktuellen Sicherheitsstandards entsprechen. Egal, ob APIs, Konfigurationen, Compliance-Richtlinien oder aber die Datenverarbeitung der jeweiligen Services – der Cloud Pentest gibt Aufschluss darüber, ob die entsprechende Cloud als sicher betrachtet werden kann oder nicht. Er testet also Cloud-Infrastrukturen auf mögliche Schwachstellen.

Mobile Pentest

Beim Mobile Pentest geht es um mobile Anwendungen und deren Backends, die hier umfassenden Sicherheitsprüfungen unterzogen werden. Der Penetrationstest soll auch hier sicherstellen, dass mobile Anwendungen entsprechende Sicherheitsstandards erfüllen und die gelieferten Daten korrekt verarbeiten. Gerade Datenübertragung und Datenverarbeitung spielen bei mobilen Anwendungen eine entscheidende Rolle. Auch die Backend-Sicherheit wird gerne einem Pentest unterzogen, damit Server und Strukturen im Hintergrund als entsprechend vertrauenswürdig und sicher eingestuft werden können. In Zeiten, in denen vieles über mobile Anwendungen erledigt wird, spielt der Mobile Pentest eine entsprechend wichtige Rolle.

Physical Pentest

Der Physical Pentest verlässt die digitale Welt und prüft IT-Infrastrukturen und Systeme auf der physischen Ebene. Dazu gehören Social Engineering, Manipulation von tatsächlicher Hardware, Sicherheit der im Unternehmen eingesetzten Ausweise, Checks von Zugangskarten und ähnlichen Systemen sowie auch den tatsächlichen Zugriff auf die IT-Systeme selbst. Schwachstellen gibt es überall und diese warten nicht nur in der IT-Infrastruktur und in digitaler Form, sondern oft auch ganz real durch Zugriff auf Server, beispielsweise durch das Wartungspersonal oder über frei verfügbare und offen herumstehende Rechner. Auch gemeinsam genutzte Zugänge, die im Unternehmen von allen Mitarbeitern eingesetzt werden können, sind häufig ein Problem. Diese physischen und somit ganz real sichtbaren Schwachstellen soll der Physical Pentest aufzeigen.

Intern vs. Extern

Ein Penetrationstest kann zudem intern, aber auch extern durchgeführt werden. Intern meint dabei, dass davon ausgegangen wird, dass bereits ein Zugang besteht. Zum Beispiel über ein kompromittiertes System oder einen entsprechenden Mitarbeiter, der verschiedene Zugänge besitzt. Es geht also um potenzielle Schwachstellen im internen Sicherheitslayout des Unternehmens und darum, diese zu identifizieren und im Folgenden dann entsprechend zu schließen. Ist von einem externen Penetrationstest die Rede, wird der Angriff hingegen extern, also von außerhalb der IT-Netzwerke des Unternehmens durchgeführt. Real käme solch ein Angriff von Hackern, die von außen versuchen, die IT-Netzwerke anzugreifen und sich so Zugang zu den internen IT-Systemen zu verschaffen. Während sich intern immer Insider, also Mitarbeiter dafür verantwortlich zeichnen, sind es extern somit potenzielle Hacker oder Spione. Der interne Pentest wird daher innerhalb des eigenen IT-Systems gestartet und der externe Pentest simuliert den Hackerangriff von außen. Eigentlich ganz logisch. Dennoch wird beim Penetrationstest gerne und viel miteinander vermischt oder gar durcheinandergebracht. Die Definition der unterschiedlichen Methoden ist eben gar nicht so einfach.

Pentest as a Service (PaaS)

Eine weitere Methode, im eigenen Unternehmen für regelmäßige Pentests zu sorgen, ist das Konzept eines sogenannten Pentest as a Service (PaaS). Dabei handelt es sich um ein Angebot, welches immer dann interessant erscheint, wenn der Bedarf an Penetrationstests sehr hoch ist und ein dauerhafter Dienstleister gewährleisten soll, dass stets ein besonders hohes Niveau an Cybersicherheit geboten werden kann. Der Pentest as a Service ist dabei überaus flexibel und kann entweder relativ spontan oder als regelmäßiger Plan in Anspruch genommen werden. Auf diese Weise lassen sich problemlos monatliche Pentests realisieren, ohne aber eigene Ressourcen zu sehr beanspruchen oder weiteres Personal einstellen zu müssen. Dafür wird eine Grundpauschale pro Monat veranschlagt sowie ein entsprechender Testumfang besprochen. Wichtig und von Vorteil ist diese Art von Dienstleistung für das eigene Unternehmen gerade auch in Hinblick auf die Kommunikation mit den Kunden. Wenn diese nämlich wissen, dass Sie sich dauerhaft und regelmäßig um entsprechende Sicherheitsmaßnahmen kümmern und ein Pentest as a Service in Anspruch nehmen, spricht das erst einmal für Sie. Denn Sicherheit ist heutzutage, bei all den sensiblen Daten, dem Datenschutz oder den empfindlichen Strafen bei Verletzungen diesbezüglich, ein bedeutungsvolles Thema geworden. Cybersicherheit im eigenen Unternehmen zu schaffen, kann daher auch ein Wettbewerbsvorteil gegenüber der Konkurrenz sein.
Hier geht es zur Liste der Penetrationtestanbieter

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge

newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Folder - Beiträge - Icon
Podcasts
ITS-Couch: IT-Sicherheit-Podcasts
Folder - Beiträge - Icon
Videos
ITS-Couch: IT-Sicherheit-Videos

Ratgeber

Glühbirne - Ratgeber - Icon
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Buch Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”

Forum IT-Sicherheit

Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum

IT-Sicherheitstools

Selbstlernangebot IT-Sicherheit
Interaktive Awareness-Schulung
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten

Interaktive Listen

IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern

Zertifikate IT-Sicherheit

Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste

Veranstaltungen IT-Sicherheit

Anbieterverzeichnis

ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content