Penetrationstests

Ich schlüpfe in die Rolle eines Angreifers und simuliere einen Angriff auf Ihre IT-Systeme. Dabei gehe ich vor, wie es ein echter Angreifer auch tun würde.

Methodik

Jeder Penetrationstest (kurz: „Pentest“) ist grundsätzlich Maßarbeit. Es ist nicht möglich, einfach ein Penetrationstesting-Tool zu starten und zu warten, bis dieses Ergebnisse liefert. Das macht die Methodik sehr individuell. Hier finden Sie den grundlegenden Prozess eines Penetrationstests:

Scoping und Kick-Off

Zunächst wird besprochen, was das Ziel des Testes ist und natürlich wo die Grenzen liegen. Dabei wird beispielsweise geklärt, was besonders kritisch ist oder welche Systeme mit besonderer Vorsicht zu testen sind.

Informationsbeschaffung

Dies ist eine sehr wichtige Phase eines Penetrationstests. Öffentlich zugängliche Informationen über das Zielsystem bzw. der Zielorganisation werden ausgewertet. Jedes Detail kann wertvoll für einen Angreifer sein.

Scanning

In dieser Phase wird aus technischer Sicht ein Bild über das Zielsystem eingeholt. Offene Ports spielen hierbei genau wie die verwendete Software eine Rolle. Gibt es auf den Systemen öffentlich bekannte Schwachstellen?

Ausnutzen von Schwachstellen

In dieser Phase werden Schwachstellen tatsächlich ausgenutzt bzw. der Versuch unternommen. Abhängig von der Art des Testes und der Zielsysteme, kann dies das Beschaffen von vertraulichen Informationen sein oder das Ausführen unautorisierter Aktionen.

Bericht

Die gefundenen Schwachstellen werden detailliert und reproduzierbar dokumentiert. Dabei gibt es für jeden Befund eine Risikoeinschätzung und eine konkrete Handlungsempfehlung, wie mit diesem umzugehen ist.

Optional: Nachtest

Nachdem die Schwachstellen mit Hilfe der Handlungsempfehlungen ausgebessert wurden, kann ein Nachtest ausgeführt werden. In einem Nachtest wird geprüft, ob die Schwachstellen noch immer anwesend sind oder diese erfolgreich eliminiert wurden.