Ein Penetrationstest – auch kurz Pentest genannt – ist ein kontrollierter Sicherheitsangriff auf ein IT-System. Ziel ist es, Schwachstellen zu identifizieren, bevor echte Angreifer diese ausnutzen können. Der Test wird von Sicherheitsexperten durchgeführt, die die Rolle eines Hackers einnehmen.
Ziele eines Penetrationstests
- Aufdecken von technischen Schwachstellen in Netzwerken, Webanwendungen oder Geräten
- Überprüfung von Konfigurationen, Firewalls und Benutzerrechten
- Prüfung organisatorischer Sicherheitsmaßnahmen
- Bewertung des aktuellen Sicherheitsniveaus
Typische Testarten
- Extern: Angriff von außen, z. B. über das Internet
- Intern: Simulation eines Angriffs aus dem Firmennetzwerk
- Web-Pentest: Test von Webseiten und Web-Apps
- Social Engineering: Test menschlicher Schwachstellen (z. B. Phishing)
Typischer Ablauf
- Planung & Freigabe: Ziele und Umfang werden festgelegt
- Informationssammlung: Aufdecken von öffentlich sichtbaren Daten
- Schwachstellenanalyse: Automatisierte und manuelle Tests
- Angriffssimulation: Versuch, Systeme zu kompromittieren
- Bericht & Empfehlungen: Dokumentation aller Funde inkl. Maßnahmen
Rechtlicher Rahmen
Ein Penetrationstest darf nur mit ausdrücklicher Genehmigung des Systembetreibers durchgeführt werden. Ohne Erlaubnis ist ein solcher Test illegal!
Vorteile
- Früherkennung von Sicherheitslücken
- Stärkung des Sicherheitsbewusstseins
- Erfüllung von Compliance-Anforderungen
Nachteile
- Kosten- und zeitintensiv
- Ergebnis ist nur eine Momentaufnahme