Penetrationstests

Ein Pentest ist eine schnelle, gut planbare und vor allem günstige Überprüfung, um die Sicherheit von Systemen zu einem bestimmten Zeitpunkt zu bestimmen.

Er bietet eine hohe Transparenz und dient daher oft auch in Datenschutzfragen als objektiver Nachweis über den sorgfältigen Umgang mit vertrauenswürdigen Daten im Unternehmen.

Typischerweise werden Pentests auf einzelnen Systeme im Zuge von Abnahmetests unmittelbar vor Produktivsetzung vorgenommen.

Danach sollten Pentests im Rahmen eines Informationssicherheits-Management in regelmäßigen Abständen wiederholt werden, idealerweise aufeinander aufbauen und vom Releasezyklus entkoppelt durchgeführt werden.

Kurz vor der Inbetriebnahme eines Systems, nur um der Legal Compliance zu entsprechen, bringt ein Pentest oft mehr Stress und Probleme ins Projekt als an einem früheren Zeitpunkt im Projekt. Insbesondere wenn es vorher noch keine Sicherheitsüberprüfungen gab und die letzten Projektphasen üblicherweise auch ohne ein Pentesting schon sehr hektisch verlaufen.

Außerdem können gefundene Schwachstellen mitunter so kritisch sein, dass diese umgehend behoben werden müssen. Bei Sicherheitsrisiken in der Architektur kann das im schlimmsten Fall eine Neuentwicklung bedeuten.

Pentetrationstests verursachen Aufwände im Bereich von ein- bis dreistelligen Personentagen. Dabei gibt es im wesentlichen zwei Faktoren, die dafür verantwortlich sind. Die Kritikalität der Systeme und die Komplexität der Systeme im jeweiligen Scope. Je komplexer und kritischer die Anwendung durch deren Daten ist, z.B. digitaler Menüplan der Kantine versus Finanztransaktionsdaten, desto höher sollte das (Zeit-)Budget für ein einzelnes oder wiederholtes Pentesting im Projekt eingeplant werden.

SEC Consult führt jährlich über 600 Pentests weltweit durch. Als besonders heikle aber wiederkehrende Fehlerquellen gelten zum Beispiel Datenbankanbindungen, Login-Prozeduren, Einbindung von externen Quellen, zentrale Input- und Output-Validierung.

Bei einem Penetrationstest stehen dem Pentester eine gewisse Menge an Informationen über die Systeme zur Verfügung. Dabei geht die Bandbreite von keiner Information – einem sogenannten Blackbox Test – bis zur kompletten Dokumentation inklusive Adminstrator-Accounts mit entsprechenden Zugriffsrechten – einem sogenannten Whitebox-Test. Alle Ausprägungen des Detailliertheitsgrades dazwischen bezeichnet man als Greybox-Test.

SEC Consult bietet noch eine weitere Überprüfungsmethode, den Glassbox-Test. Dabei steht den Auditoren komplette Information über die Anwendung und sogar der Source Code von den relevanten Teilen des Scopes zur Verfügung.

Es gibt immer etwas zu finden.

Vereinbaren Sie einen individuellen Termin, um Ihre Fragen mit einem unserer Spezialisten zu besprechen und das beste Set-Up für Ihr Pentest-Projekts zu finden.