Sie sind hier: Home » Markt » Hinweise & Tipps

Penetrationstest ist nicht gleich Penetrationstest


Die fünf Stufen und Differenzierungsmerkmale von Penetrationstests
Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen



Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Blue Frost Security zeigt, was einen echten Penetrationstest ausmacht und was das so genannte "Redteam-Testing" bedeutet. Je nach Anwendungsfall sind entweder Teile oder der gesamte Umfang des Testszenarios erforderlich.

Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifizierung von Schwachstellen bzw. Sicherheitslücken und die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Blue Frost Security hat die fünf Stufen eines professionellen Penetrationstests zusammengefasst:

Die Aufklärungsphase
In Phase 1 werden regelmäßig automatisiert die eingesetzten Technologien gescannt. Hier geht es in erster Linie um eine Bestandsaufnahme. Es werden noch keine Schwachstellen untersucht, sondern nur offene Dienste oder Systeme eruiert.

Automatische Schwachstellenanalyse
Phase 2 umfasst verschiedene automatisierte Maßnahmen – mit dem Ziel, große und automatisch erkennbare Einfallstore zu identifizieren. Hier werden Tools zum Einsatz gebracht, die die Systeme automatisiert auf Schwachstellen überprüfen. Dabei zeigen sich viele False Positive-Ergebnisse (Fehlalarme): nicht jede scheinbare Bedrohung erweist sich auch als eine solche.

Penetrationstests
Ein klassischer Penetrationstest kombiniert automatisierte Maßnahmen mit manuellen. Denn nicht alle Sicherheitslücken werden mittels automatisierter Tools gefunden. Mit Hilfe der manuellen Analyse kann die Umgebung in der Tiefe untersucht werden. Ergebnisse, die von der automatischen Schwachstellenanalyse nicht erkannt werden, werden ermittelt und False Positive-Ergebnisse entfernt.

Penetrationstest Plus
Anders als beim klassischen Penetrationstest, bei dem der Fokus auf der umfassenden Verifizierung möglichst vieler Schwachstellen liegt, geht es beim Pentest Plus um konkrete Testziele und das weitere Eindringen. Hier wird nicht die Breite der Sicherheitslücken analysiert, sondern es wird eruiert, wie weit in bestimmte Ziele eingedrungen werden kann. Beispielsweise kompromittieren die Experten ein System, es soll ins interne Netzwerk gelangt werden und Ähnliches.

Redteam-Testing
Beim Redteam-Testing versetzen sich die Sicherheitsexperten in die Perspektive eines tatsächlichen Angreifers, der aus dem Internet versucht, an sensible Daten oder Ähnliches zu gelangen. Dabei wird ganzheitlich überprüft: z.B. welche Systeme gibt es? Wie kann ich mit Social Engineering-Maßnahmen oder Ähnlichem eindringen? Wie verhält sich der Mitarbeiter bei manipulierten Links, klickt er darauf? Diese und weitere Faktoren überprüft das Redteam. Es nimmt zudem das Blueteam – das Team, das Angriffe im Unternehmen abwehren soll – unter die Lupe. Dabei wird verifiziert, ob das Blueteam Attacken erkennt, sie abwehren kann, interne Prozesse einhält und vieles mehr.

"Das Redteam-Testing ist mehrstufig und zielorientiert aufgebaut, es werden nacheinander verschiedene Methoden angewandt. Ob Mitarbeiterverhalten, Prozesse oder Technologien überprüft werden – die hochentwickelten Tests tragen dazu bei, echte Bedrohungen zu identifizieren", erklärt Ferhat Orta, Regional Sales Manager bei der Blue Frost Security GmbH. Er fährt fort: "Exploits für die eruierten Schwachstellen werden von professionellen Testern in der Regel selbst entwickelt – das unterscheidet einen echten Penetrationstest von den automatisierten Sicherheitsscans." (Blue Frost Security: ra)

eingetragen: 15.01.18
Home & Newsletterlauf: 19.02.18

Blue Frost Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • DSGVO und andere Datenschutzvorgaben

    DSGVO hat das Bewusstsein für Datenschutz in Bevölkerung und in Wirtschaft deutlich zugenommen. Selbst die großen Internet-Konzerne aus den USA können das Thema nicht mehr ignorieren - dafür sorgen schon die empfindlichen Geldbußen, die die Datenschutzbehörden in den EU-Staaten inzwischen verhängen.

  • Menschen im Job mit Sexismus konfrontiert

    Nach #MeToo war plötzlich alles anders. In ungezählten Berichten und Debatten meldeten sich Frauen zu Wort und gaben an, dass auch sie im Job diskriminiert, diffamiert und sexuell belästigt werden. Entsprechend groß war 2017 der #Aufschrei nach gesamtgesellschaftlicher Reform, nach Parität - insbesondere am Arbeitsplatz.

  • Verkehrssicherungspflicht bei Badegewässern

    Die Badesaison stellt kommunale Verantwortungsträger vor schwierige Fragen: Wann und wo sind Warn- und Hinweisschilder an öffentlichen Badestellen aufzustellen? Ist daneben eine Aufsicht erforderlich? In den vergangenen Jahren waren viele Kommunen verunsichert, ob kostenfreie, aber beispielsweise mit Stegen, Badeinseln oder Wasserrutschen versehene Badegelegenheiten an kommunalen Gewässern weiterbetrieben werden können.

  • Compliance-Prozesse vorantreiben

    Die Menge der gesammelten Daten im modernen Business-Alltag steigt kontinuierlich an und Analysten prognostizieren bis zum Jahr 2025 eine Datenmenge von 181 Zettabyte. Diese Flut an Informationen hat auch deutliche Schattenseiten, denn die gespeicherten Informationen binden wertvolle Speicherressourcen und Energie. Die Folge: erhöhter CO2-Ausstoß.

  • Umfassender Social-Media-Leitfaden

    Ob LinkedIn, Facebook, Instagram oder TikTok: Unternehmen in Deutschland agieren bei der Nutzung sozialer Medien noch häufig zurückhaltend. Für lediglich 36 Prozent gehört Social Media zum geschäftlichen Alltag dazu - die anderen nutzen diese Kanäle zur Kommunikation höchstens gelegentlich (16 Prozent) selten (20 Prozent) oder gar nicht (26 Prozent), wie eine aktuelle repräsentative Befragung des Digitalverbands Bitkom unter mehr als 1.100 Unternehmen ab 20 Beschäftigten in Deutschland ergeben hat. Dabei sind soziale Medien ein wichtiger Kanal um potenzielle Kundinnen und Kunden, aber auch Geschäftspartner zu erreichen - im B2C und im B2B-Bereich.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen