Tipps vom Experten

Das E-Magazin für interessierte Menschen

IT-Sicherheit: Die wichtigsten Arten von Pentests

Ein Bildschirm auf dem ein Fingerprint dargestellt ist
Bild von Ipopba auf AdobeStock

Der moderne Alltag der Menschen wird durch die fortschreitende Digitalisierung maßgeblich beeinflusst. Dies gilt vor allem für Unternehmen, die ohne das Internet ihren Geschäftsbetrieb heute wohl kaum noch aufrechterhalten könnten. Allerdings gestalten sich Unternehmen als sehr individuell, sodass jedes von ihnen unterschiedliche Voraussetzungen und Anforderungen mitbringt, vor allem, wenn es um die Sicherheit der eigenen IT geht.

BLEIBEN SIE INFORMIERT

Wenn Sie keinen neuen Artikel von uns verpassen möchten, tragen Sie bitte Ihre Mailadresse hier ein. Wir informieren Sie dann gern über jeden neuen Artikel:

Nachdem Sie auf "Newsletter abonnieren" geklickt haben, schicken wir Ihnen eine E-Mail mit einem Bestätigungslink zu ("Double Opt-In"). So stellen wir sicher, dass kein Unbefugter Sie in unseren Newsletter einträgt. Durch Bestellung des Newsletters willigen Sie ein, dass wir Ihre Daten zum Zwecke des Newsletter-Versandes verarbeiten. Sie können Ihre Einwilligung jederzeit widerrufen und den Newsletter wieder abbestellen. Datenschutzerklärung .

Ein professionell durchgeführtes Pentesting ist jedoch in der Lage, vorhandene Sicherheitslücken in den Systemen der Unternehmen aufzudecken, sodass diese im nächsten Schritt beseitigt werden können. Um tatsächlich das volle Potential von Pentests ausschöpfen zu können, ist es allerdings nötig, dass seine Durchführung in den passenden Szenarien und mit der richtigen Zielsetzung erfolgt.

Welche Formen ein Pentesting aufweisen kann und für welche Anforderungen welcher Pentest geeignet ist, erklärt der folgende Artikel.

Pentesting – Was ist darunter zu verstehen?

Generell lässt sich ein Pentest als ein Sicherheitstest bezeichnen. Im Zuge dessen versucht ein Pentester in ein Netzwerk oder ein System einzudringen, um eine Überprüfung der Sicherheit durchzuführen und eventuell vorhandene Schwachstellen zu identifizieren.

Oft lassen Unternehmen einen Pentest durchführen, um zu gewährleisten, dass ein optimaler Schutz ihrer Netzwerke und Systeme vor externen Angriffen besteht. Die Pentester greifen dafür auf unterschiedliche Werkzeuge und Techniken zurück, um die potenziellen Sicherheitsrisiken aufzudecken.

Die verschiedenen Arten des Pentestings

Damit aus den vielen verschiedenen Szenarien, die grundsätzlich möglich sind, das passende auszuwählen, ist eine klare Dimension abzugrenzen. Pentests lassen sich in unterschiedliche Kategorien einteilen, nämlich Grey Box, White Box und Black Box. Diese Klassifizierung stellt eine große Hilfe dabei dar, den richtigen Pentest für die individuellen Anforderungen auszuwählen.

Ein Mann arbeitet an einem Bildschirm, der das Wort "Penetration Test" anzeigt
Bild von Putilov_Denis auf AdobeStock

Abhängig davon, welche Form des Pentests ausgewählt wird, findet die Vorgabe von bestimmten Ergebnissen statt. Das Ergebnis und die Richtung des Pentests werden so durch das ausgewählte Szenario eingegrenzt. Die Wahl des passenden Pentests wird darüber hinaus durch weitere Faktoren eingeschränkt, wie etwa der Realitätsnähe der Szenarien oder ihr ökonomischer Nutzen bezüglich der Kosten und des Aufwands. Ideal zeigt es sich, wenn beide dieser Faktoren optimiert ausfallen.

Der Black Box Test

Sollten die Pentester über kein Vorwissen oder Insiderwissen über das Unternehmen verfügen, findet die Simulation bei einem Black Box Test einer Situation statt, in welcher durch Unbekannte versucht wird, in die IT-Infrastruktur von außen einzudringen.

Im Fokus stehen bei dieser Art des Pentests eher offensichtliche Probleme. Es besteht grundsätzlich das Risiko, einige Schwachstellen zu übersehen, beispielsweise aus dem Bereich der internen Bedrohungen.

Der White Box Test

Sind die Hacker in einer umfassenden Kenntnis bezüglich den IT-Strukturen ihres Auftraggebers, handelt es sich um einen White Box Test. Simuliert werden bei diesem eventuell auch interne Bedrohungs-Szenarien, welche etwa durch die Belegschaft entstehen. Der White Box Test eignet sich dazu, ebenfalls Schwachstellen in sämtlichen Systemen aufzuspüren.

Problematisch ist dabei, dass die Priorisierung der Schwachstellen und das allgemeine Pentest-Ergebnis oft kaum einen Bezug zu den realen Bedrohungen aufweist. Bei zukünftigen Tests kann es außerdem vorkommen, dass die Pentester ihre neutrale Sicht auf die IT-Strukturen verlieren.

Der Grey Box Test

Um einen sogenannten Grey Box Test handelt es sich, wenn die Pentester nur zum Teil über Vorwissen bezüglich der Unternehmens-IT verfügen.

Mithilfe des Grey Box Test ist das Nachstellen von Szenarien möglich, bei denen kaum abgegrenzt werden kann, ob eher externe oder interne Bedrohungen zu befürchten sind.

Redaktion:Walter Braun

Impressum
Herausgeber:  tipps-vom-experten
TvE vl. Walter Friedrich Georg Braun, Drljanovac 5,
43270 Veliki Grđevac – Croatia – Email: gl@tivex.de
UID-Nr.: HR 92880568110 – Tel. 0049-171-5282838

Wiedergabe – auch auszugsweise – nur mit schriftlicher Genehmigung des Herausgebers. Der vorliegende Tipp ist sorgfältig erarbeitet worden. Dennoch erfolgen alle Angaben ohne Gewähr. Weder Redaktion noch Herausgeber können für eventuelle Nachteile oder Schäden, die aus den hier gemachten praktischen Anleitungen resultieren, eine Haftung übernehmen

 

Weitere interessante Infos finden Sie hier:

Unternehmensprozesse mit Tools optimieren – 5 Tipps und Tricks für mehr Zeitersparnis

Die Vorteile von Digitalisierung für Unternehmen

Cyberkriminalität, böse Machenschaften im Web

Auf dem Weg in die Cloud – mit diesen 5 Tipps gelingt es problemlos

Mobbing – Psychoterror mit System

Wie die 7 Todsünden noch heute unser Leben prägen

Studie gibt Aufschluss wie Digitalisierung und Familie richtig geht

Industrie 4.0: Computer machen Angst vor der Zukunft

Geheimlogen – Tempelritter, Freimaurer, Illuminaten & Co

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Impressum | Datenschutzerklärung | Kontakt | Einstellungen