Penetration Testing (Konzept)

Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Unter einem Penetrationstest versteht die Sicherheitsfachperson in der Informationstechnik die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (Hacker) anwenden würde, um unautorisiert in das System einzudringen (Penetration). Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationtests sind Werkzeuge, die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.

Penetrationstests sind aus folgenden Gründen nützlich für Unternehmen und Firmen:

• Die Bestimmung der Durchführbarkeit eines bestimmten Satzes von Angriffsvektoren
• Die Identifizierung von Sicherheitslücken mit hohem Risiko, die aus einer Kombination von geringerem risikobehafteten Schwachstellen in einer bestimmten Reihenfolge zur Ausnutzung führen
• Identifizierung von Schwachstellen, die schwierig oder so gut wie nicht erkannt werden, bei automatisierten Netzwerktests oder beim Einsatz von Anwendungen zum Scannen nach Sicherheitslücken
• Die Beurteilung der Größenordnung von möglichen geschäftlichen und betrieblichen Auswirkungen von erfolgreich simulierten Angriffen
• Testen der eigenen Fähigkeiten bei der Verteidigung von Netzen im Umgang mit der Erkennung und Reaktion bei Angriffen
• Der Nachweis einer erhöhten Investitionen durch Sicherheitstests oder zur Investition bei Unterstützung durch Technologie
• Zertifizierungen durch jährliche Sicherheitsprüfungen oder Penetrationstests

Bitte schauen Sie sich unsere Hauptkategorien zum Penetrationstest an um die einzelnen Unterbereiche erläutert zu bekommen.

• Reconnaissance
• Enumeration
• Exploitation
• Dokumentation

Penetrationstests sind meistens Bestandteil eines vollständigen Sicherheitstests einer Infrastruktur. Darunter fallen z.B. auch die Payment Card Industry Data Security Standards (PCI DSS) und der allgemeine Sicherheits- und Prüfungsstandard, sowohl wie die jährlichen und laufenden Penetrationstest-Statistiken (nach Systemänderungen).