Information Technology Reference
In-Depth Information
Der Ablauf eines Pen-Tests wird beispielsweise vom BSI in fünf Phasen eingeteilt,
von denen für die Prävention von Konflikten vor allem die Vorbereitung und
Abschlussanalyse wichtig sind
70
:
Vorbereitung
Informationsbeschaffung und -auswertung
Bewertung der Informationen / Risikoanalyse
Aktive Eindringversuche
Abschlussanalyse;
„Die Vorbereitungsphase beginnt mit der Definition des Ziels bzw. der Ziele des
Penetrationstests“
, lautet die Empfehlung der BSI-Studie. Aber reicht das aus, um
vermeidbaren Konflikten aus dem Weg zu gehen? Unter diesem Gesichtspunkt
muss die Vorbereitungsphase früher ansetzen. Zunächst müssen wieder die
Zwänge, Ziele, Prioritäten und Risiken der Betroffenen berücksichtigt werden,
bevor man über die Ziele des Penetrations-Tests sprechen kann. Wenn man
Konflikte vermeiden oder konstruktiv führen will, muss der Mensch im Zentrum
des Interesses stehen und nicht die Technik. Wenn man sich die vier Problemfelder
aller Beteiligten betrachtet, wird man schnell feststellen, dass diese - wie so oft -
nicht deckungsgleich sind. Sie sind unter Umständen sogar gegensätzlich: Der IT-
Sicherheitsbeauftragte will, dass alle Schwachstellen gefunden werden und der
Administrator will, dass möglichst keine gefunden werden. Der
Datenschutzbeauftragte macht sich Sorgen um die personenbezogenen Daten, die
während des Tests anfallen und der Chef will einfach nur hören, dass der Laden
läuft. Diese unterschiedlichen Problemfelder müssen synchronisiert werden und
erst dann kann man über die Ziele des Pen-Tests nachdenken. Bei diesem
Vorgehen erkennt man das Konfliktpotential rechtzeitig und kann rechtzeitig
darauf eingehen.
Neben den unterschiedlichen Phasen eines Tests kann man nach Black-Box und
White-Box Tests unterscheiden. Neben den technischen Aspekten, die zu dieser
Unterscheidung führen, gibt es auch einen ganz menschlichen: Black-Box Tests
sind fair, White-Box Tests sind unfair.
Einen Penetrationstest, bei dem der Tester im Voraus keine Information über das
zu testende Netz erhält, nennt man Black-Box Test. Dies entspricht der Perspektive
eines echten Angreifers, beinhaltet aber den Nachteil, dass der Tester viele Lücken
nicht findet, weil er mit ihnen nicht gerechnet hat. Anders beim White-Box Test,
wo alle Informationen zum System vorliegen, die auch dem Unternehmen oder der
