Penetrationstest – Definition

Was ist ein Penetrationstest?

Ein Penetrationstest, kurz Pentest, beschreibt ein Verfahren, um die aktuelle Sicherheit eines IT-Landschaft oder einer (Web-)Anwendung festzustellen. Er gilt als Sicherheitscheck von IT-Systemen jeder Größenordnung und ist besonders für Unternehmen relevant. Für diese Sicherheitsüberprüfung bedient sich der Durchführende den Mitteln und Methoden, die ein Hacker anwenden würde, um in das System einzudringen – es zu penetrieren. Mithilfe des Pentest wird festgestellt, wie empfindlich das System auf derartige Angriffe reagiert. Gelegentlich wird der Begriff Penetrationstest auch für einen automatisierten Schwachstellen-Scan bzw. Security-Scan verwendet. Die Konsequenzen eines Penetrationstests können weitreichend sein und sollten nur von Personen mit sicherheitstechnischem Know-how durchgeführt werden.

Wie wird ein Penetrationstest durchgeführt?

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema für Penetrationstests entwickelt, das im Wesentlichen sechs Kriterien umfasst. Anhand dieser Kriterien wird zusammen mit dem Kunden ein individueller Pentest zusammengestellt. Die im Vorfeld zu klärenden Kriterien sind: Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik und Ausgangspunkt.

Ziel des Penetrationstests ist es, Schwachstellen und Anwenderfehler aufzudecken, die bisher und ohne simulierten Hackerangriff nicht erkannt worden sind. In der Folge soll dadurch die IT-Sicherheit erhöht oder bestätigt werden – aus technischer und organisatorischer Sicht. Dafür werden die Ergebnisse des simulierten Hackerangriff in einem Bericht niedergeschrieben, der auch Handlungsempfehlungen gibt, wie entdeckte Sicherheitslücken geschlossen werden können.

Die Durchführung eines Penetrationstest kann von einem externen IT-Dienstleister vorgenommen werden (siehe Penetrationstest).