Wie sicher ein System ist, weiß wohl kein Unternehmen so ganz genau, bis es zu einem ernstzunehmenden Cyber-Angriff kommt, bei dem ein Hacker versucht in das System einzudringen und es zu manipulieren. Um auf solche Angriffe vorbereitet zu sein, mögliche Sicherheitslücken aufdecken zu können und seine Systeme zu schützen, ist es notwendig, regelmäßig sogenannte Penetrationstests durchzuführen.

SO REAL WIE MÖGLICH

Damit der Penetrationstest sinnvoll ist, muss er so realitätsnah wie möglich sein. Dazu startet ein „Ethical Hacker“, also ein Hacker, der seine Fähigkeiten nicht zum Angriff, sondern zum Schutz der Systeme einbringt, einen Cyberangriff der entsprechende Aussagen über die Sicherheit liefert. So können Handlungsempfehlungen gegeben und Sicherheitslücken geschlossen werden.

DREI TYPISCHE TESTSZENARIEN

Bei den Penetrationstests gibt es dreierlei typische Herangehensweisen:

VERSCHIEDENE AGGRESIVITÄTSSTUFEN

Auch bei der Aggresivität der simulierten Angriffe unterscheidet man in verschiedene Stufen. So reicht hier das Spektrum von „passiv“, bei dem gefundene Schwachstellen nicht ausgebeutet werden, bis hin zu „aggressiv“. Bei dieser Abstufung wird versucht, jede Schwachstelle auszunutzen, wodurch auch benachbarte Systeme oder Netzkomponenten ausfallen können.

UMFANG, VORGEHENSWEISE UND ANGRIFFSPUNKT

Penetrationstests können sich natürlich auch was den Umfang, den Angriffspunkt oder die Vorgehensweise angeht unterscheiden. So können nur einzelne Komponenten oder ganze Systeme angegriffen werden. Die Angriffe können dabei angekündigt oder überraschend durchgeführt werden. Angriffe können typischerwiese über einen Netzwerkzugang erfolgen, können aber auch durch eine simulierte Phishing-Attacke via E-Mail durchgeführt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen „Praxisleitfaden für IS-Penetrationstests“ erstellt und hält diesen zum Download bereit.