Was ist ein Pentest?
Definition
Ein Pentest ist die Kurzform von „Penetrationstest“ oder „Eindringtest“. Ein Pentest bewertet die Sicherheit eines IT-Systems.
Warum einen Pentest durchführen?
IT-Systeme können Schwachstellen aufweisen. Ein Pentest ermöglicht es, die Anfälligkeit gegenüber solchen Angriffen zu bewerten und bietet somit die Gelegenheit, diese im Voraus zu beheben oder das Risiko einzuschätzen, falls die Schwachstelle vom Verantwortlichen und dem Unternehmen als akzeptabel eingestuft wird. Der Pentest gehört zu den Cybersicherheitsmaßnahmen, die Sie ergreifen können, um Ihr Unternehmen zu schützen.
Welche verschiedenen Arten von Pentests gibt es?
Die drei Pentest-Ansätze erklärt
Es gibt drei Ansätze: Black Box (Blackbox-Test), White Box (Whitebox-Test) und Grey Box (Greybox-Test). Die Wahl hängt von den Szenarien und den angestrebten Zielen ab.
Die Blackbox-Methode zielt auf eine Situation ab, in der der Angreifer keine Vorabinformationen hat, um in das System einzudringen. Ziel dieses Blackbox-Ansatzes ist es, dass Pentester die Fähigkeit eines Systems bewerten, „seine wesentlichen Funktionen unter externem Druck aufrechtzuerhalten“ (z. B. Netzwerkangriffe, Ausnutzungsversuche…). Diese Art von Test entspricht realen Angriffsbedingungen, kann jedoch mehrere Wochen dauern.
Die Whitebox-Methode zielt darauf ab, möglichst viele Schwachstellen zu identifizieren, indem alle Informationen über das System zur Verfügung stehen, was nicht immer die reale Betriebsumgebung widerspiegelt.
Die Greybox-Methode betrifft ein Szenario, in dem der Angreifer über einige Informationen und ein nicht-administratives Benutzerkonto verfügt, etwa wie ein Mitarbeiter. Der Greybox-Test wird in Unternehmen häufig verwendet, da er ein plausibles Szenario widerspiegelt (z. B. ein Insider mit eingeschränktem Zugriff).
Diese Art von Pentest ist in der Regel schneller als der Blackbox-Test, kann jedoch weniger Schwachstellen aufdecken als der Whitebox-Test. Dennoch stellt er oft einen guten Kompromiss zwischen Zeitaufwand und Vollständigkeit dar.
Interne und externe Pentests
Pentests können auch nach ihrem Umfang klassifiziert werden: intern oder extern. Der Whitebox-Test gilt als interner Test, da er Informationen erfordert, die oft nur dem für das System verantwortlichen Unternehmen zugänglich sind. Der Blackbox-Test ist in der Regel ein externer Test, bei dem keine Vorabinformationen vorliegen. Zwischen diesen beiden Extremen liegt der Greybox-Test.
Ein Test kann intern oder extern sein – unabhängig von der Methode (White/Black/Grey). Zum Beispiel kann ein Whitebox-Pentest auch auf öffentlichen bzw. externen Systemen wie einer API durchgeführt werden.
Wie läuft ein Pentest ab?
Schritt 1: Vorbereitung und Rahmenbedingungen
Der erste Schritt besteht darin, die Ziele festzulegen, was die Wahl der Methode bestimmt. Anschließend müssen die Einsatzregeln definiert werden: Welche Systeme dürfen nicht berührt werden oder welche Zeitfenster sind für den Test verboten – unabhängig davon, ob es sich um einen Black-, White- oder Greybox-Test handelt.
Schritt 2: Erkundung und Analyse von Schwachstellen
Je nach Art des Pentests kann diese Phase durch vorhandene Informationen wie Quellcode oder Architekturdiagramme erleichtert werden. Beim Blackbox-Test konzentriert sich die Erkundung auf die Netzwerkkartierung, exponierte Dienste, offene Ports und Betriebssysteme, die entdeckt werden müssen – im Gegensatz zum Whitebox-Test, bei dem diese Daten bereitgestellt werden. Diese Informationen dienen dazu, Sicherheitslücken zu identifizieren.
Schritt 3: Ausnutzung der Schwachstellen und abschließende Empfehlungen
Der letzte Schritt besteht darin, die entdeckten Schwachstellen auszunutzen. Dies kann unbefugten Zugriff, das Auslesen sensibler Daten oder die Ausführung von Code aus der Ferne umfassen. Ziel ist es, die potenziellen Auswirkungen jeder Schwachstelle zu verstehen, um Empfehlungen zur Risikominderung abzugeben.
Tools und Software für einen erfolgreichen Pentest
Analysetools
Es gibt automatisierte Tools zur Erkennung von Schwachstellen, wie Nessus oder der ehemals sogenannte „Open Vulnerability Assessment Scanner“ (OpenVAS), heute bekannt als Greenbone Vulnerability Management (GVM). Diese Tools können veraltete Software, offene Ports oder falsch konfigurierte Dienste erkennen. Sie sind darauf ausgelegt, einen Überblick über bekannte Schwachstellen zu geben – derzeit etwa 95.000 – und können je nach Konfiguration Zehntausende bis Hunderttausende von Tests durchführen. Sie sind in der Lage, Umgebungen wie Amazon Web Services (AWS), Azure und Google Cloud Platform (GCP) zu analysieren.
Tools zur Ausnutzung von Schwachstellen
Zur Ausnutzung von Schwachstellen werden häufig Tools wie Kali Linux, Burp Suite oder Metasploit verwendet, um reale Angriffe zu simulieren. Die Ausnutzung von Schwachstellen – wie sie auch von böswilligen Akteuren durchgeführt wird – kann eine ganze Tool-Suite erfordern. Kali Linux ist beispielsweise eine Linux-Distribution, die eine große Auswahl an Tools zur Ausnutzung solcher Schwachstellen bietet, um die damit verbundenen Risiken besser zu veranschaulichen. Metasploit ist sogar standardmäßig in Kali Linux vorinstalliert und gilt als grundlegendes Werkzeug für Exploitation-Tests.
Es ist unbedingt zu betonen, dass die Nutzung dieser Tools – sei es zur Erkennung oder zur Ausnutzung von Schwachstellen – strikt im Rahmen gesetzlicher Vorschriften erfolgen muss. Ihre Verwendung ohne ausdrückliche Genehmigung kann eine strafbare Handlung darstellen. Jeder Test- oder Sicherheitsaudit muss durch klare vertragliche Vereinbarungen, formelle Genehmigungen und die Einhaltung geltender Vorschriften (wie der DSGVO oder lokaler Cybersicherheitsgesetze) geregelt sein.
Pentester werden: Kompetenzen, Ausbildung und Gehalt
Technische Kompetenzen und Soft Skills
Zunächst ist es unerlässlich, über technische Kenntnisse in Betriebssystemen, Programmierung sowie ein gutes Verständnis von Netzwerken und Kommunikationsprotokollen zu verfügen. Konkret bedeutet das: Beherrschung der Kommandozeile unter Linux und Windows, Verständnis der Protokolle TCP/IP, HTTP, SMTP, FTP und DNS sowie die Fähigkeit, Skripte in Sprachen wie Python, Bash oder C++ zu schreiben.
Doch technisches Können allein reicht nicht aus: Ethik, kritisches Denken und die Fähigkeit, schnell zu lernen, sind ebenfalls entscheidend.
Schulungen
Ein üblicher Weg zum Pentester führt über ein Informatikstudium an einer Hochschule, das zu einem Abschluss auf Bachelor-Niveau führt. Heutzutage gilt ein Bachelor in Cybersicherheit als guter Einstieg. Anschließend bieten private Institutionen intensive und spezialisierte Schulungen an, insbesondere zur Ausbildung als Pentester.
Zertifizierungen
Es gibt mehrere Zertifizierungen, wie OSCP (Offensive Security Certified Professional), CEH (EC-Council Certified Ethical Hacker) oder CPT (Certified Penetration Tester). Die Auswahl sollte dem Erfahrungsstand und den Fähigkeiten entsprechen. Zum Beispiel gilt der CEH als Zertifizierung auf mittlerem Niveau, während der OSCP allgemein als fortgeschritten gilt.
Zur Veranschaulichung: Der CEH ist eine Prüfung mit 125 Fragen, die etwa vier Stunden dauert. Der OSCP hingegen ist ein praktischer Test, der ein echtes Netzwerk simuliert, bis zu 23 Stunden und 45 Minuten dauern kann und oft ein bis zwei Monate Lab-Vorbereitung erfordert.
Gehalt und Karriereaussichten eines Pentesters in der Schweiz
Der Lohn variiert je nach Erfahrung, Standort, Fähigkeiten und Art des Unternehmens, in dem Sie arbeiten.
Warum einen Pentest-Experten beauftragen?
Ein Pentest ist eine echte Simulation einer realen Situation. Um Sicherheits- und Reputationsrisiken wirksam zu managen, ist es ratsam, diese Aufgabe einem Fachmann zu überlassen, der über die besten Tools, fundiertes Wissen und umfassende Erfahrung verfügt. Die schnelle Entwicklung von Schwachstellen erfordert tägliche Expertise, um die Analyse gut vorzubereiten, Schwachstellen auszunutzen und gleichzeitig präzise Empfehlungen zur Risikominderung zu liefern.
Auch wenn es empfehlenswert ist, den Pentest einem Profi zu überlassen, können einige gute Cybersicherheitspraktiken direkt von Ihnen selbst angewendet werden.
Qim info, Ihr Cybersicherheitspartner in der Schweiz
Mit der Digitalisierung entstehen neue Chancen, aber auch neue Risiken. Unsere Aufgabe ist es, diese zu managen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.
Ein professioneller Pentest muss dokumentiert und dem Kunden in Form eines Berichts übergeben werden, der Beweise und Empfehlungen zur Behebung enthält.
Dank eines proaktiven und integrierten Ansatzes kombinieren wir Technologie, Prozesse und menschliche Expertise, um Bedrohungen frühzeitig zu erkennen, Ihre Daten zu schützen und Ihre Kosten im Griff zu behalten.
