Information Technology Reference
In-Depth Information
3.4.2.2 Penetrations-Tests
Während bei Live-Vorführungen nur theoretisch gezeigt wird, wie leicht ein
Unternehmen angreifbar wäre, wird bei Penetrations-Tests (oder kurz: Pen-Tests)
gezielt nach Schwachstellen gesucht und am Ende der Tests müssen die
Verantwortlichen sagen: „Das lief ja gut“ , oder - was wahrscheinlicher ist - „So
geht's nicht weiter!“ Die Gefahr für das Unternehmen ist dabei weniger, dass
Schwachstellen aufgedeckt werden, sondern mehr, dass die Verantwortlichen nicht
ausreichend auf diese Missstände vorbereitet wurden und aus allen Wolken fallen.
Die Angriffe werden im Gegensatz zu Live-Vorführungen nicht in Testsystemen
vorgeführt. Die Operation wird quasi am offenen Herzen durchgeführt - mit
entsprechend hohem Risiko. Will man also Konflikte vermeiden, muss ein
Penetrations-Test umfangreich vorbereitet, begleitet und nachbereitet werden.
Aber auch hier lassen sich mit der Auswahl von passenden Methoden die
Ergebnisse in eine gewünschte Richtung lenken und verschiedene Aspekte der
Sicherheitsarchitektur ansprechen.
Die Frage, ob man Pen-Tests selbst durchführt oder extern vergibt, stellt sich
eigentlich nicht. Erstens sind verglichen mit Vorführungen viel tiefergehende
Kenntnisse nötig, um ein aussagekräftiges Ergebnis zu erzielen; Pen-Tests lassen
sich schwer einüben. Zweitens simulieren die Tests einen echten Angreifer -
Neutralität bezüglich der Sicherheitsmaßnahmen ist also nötig. Befangene Pen-
Tester würden das Ergebnis beeinflussen. Ein eigenes Team aufzustellen macht
also nur Sinn, wenn das Unternehmen oder die Behörde, für die man arbeitet, groß
genug sind, und diese Neutralität sichergestellt ist.
Ein weiterer Aspekt macht Pen-Tests schwieriger als Vorführungen: Es werden ja
im Grunde strafbare Handlungen simuliert und das erfordert eine klare
Aufgabenbeschreibung und fundierte juristische Beratung. Es reicht sicher nicht
aus, dass der IT-Sicherheitsbeauftragte einem alten Studienfreund am Telefon
beauftragt, zu probieren, wie weit er an der Firewall kommt. Es muss vorher
genau festgelegt werden, welche Testmethode angewendet wird, und was genau
getestet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat
sich in einer Studie mit dieser und anderen Fragestellungen zum Thema Pen-Tests
auseinandergesetzt. 69
Bevor wir uns die einzelnen Testmethoden genauer ansehen ist jedoch ein Blick auf
das Konfliktpotential eines Pen-Tests angebracht. Während Vorführungen
theoretisch zeigen, welche Auswirkungen schlecht konfigurierte Server und
Netzwerke haben, werden hier ganz praktische Mängel offenbar, die irgendjemand
zu verantworten hat. Möglicherweise zeigt sich sogar, dass jemand in der
Search WWH ::




Custom Search