imported>Derkoenig: wl

2025-12-17T16:12:45Z

Neue Seite

'''Penetrationstest''', kurz '''Pentest(ing)''', ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner [[Computer|Rechner]], [[Rechnernetz|Netzwerke]] oder [[Computerprogramm|Anwendungen]] jeglicher Größe. Ein Penetrationstest prüft die [[Informationssicherheit|Sicherheit]] von Systembestandteilen und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die tauglich sind, um unautorisiert in das System einzudringen (Penetration). Penetrationstests können [[Sicherheitslücke]]n aufdecken, aber nicht ausschließen. Werkzeuge bilden bei Penetrationstests Angriffsmuster nach, die sich aus zahlreichen bekannten Angriffsmethoden ableiten lassen.

Die Art der Sicherheitstests orientiert sich am Gefahrenpotential eines gefährdeten Systems, Netzwerks oder einer Anwendung, das heißt, dass beispielsweise ein Webserver eine höhere Gefahrenpriorität als eine einfache Textverarbeitung hat. Entsprechend zahlreich sind die Hilfswerkzeuge für Penetrationstests und entsprechend sollten derart umfassende Sicherheitstests lediglich erfahrene Sicherheitsforscher oder Systemadministratoren durchführen, die wissen, was sie machen, welche Ereignisse sie damit verursachen und welche Ergebnisse sie damit erzielen möchten.

Der Begriff Penetrationstest wird gelegentlich auch fälschlich für einen automatischen [[Vulnerability Scan]] (''vulnerability'' engl. und fachsprachlich für ''Schwachstelle'') verwendet. Während dieser weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationstest manueller Vorbereitung in Form von Sichtung des Prüflings, Planung der Testverfahren und Ziele, Auswahl der notwendigen Werkzeuge und schließlich der Durchführung. Der [[Security Scan]] wiederum unterscheidet sich vom Schwachstellenscan durch die manuelle Verifikation der Testergebnisse. Die Verwendung der jeweiligen Begriffe erfolgt im [[Semi-Professionalität|semi-professionellen]] Bereich jedoch oft uneinheitlich, während in der professionellen Welt der Sicherheitsforscher und Fachunternehmen Standards zur Durchführung von Penetrationstests akzeptiert und weltweit anerkannt werden.

Der Penetrationstest wird oft als [[Empirie|empirischer]] Teil einer allgemeineren [[Sicherheitsanalyse]] durchgeführt.

== Zielsetzung ==
Ziele eines Penetrationstests sind:
* die Identifikation von Schwachstellen
* das Aufdecken potentieller Fehler, die sich bei der (fehlerhaften) Bedienung ergeben können
* die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
* die Bestätigung der IT-Sicherheit durch einen externen Dritten.
Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Allerdings deckt ein Test in der Regel auch die Ursachen auf, welche zu den festgestellten Problemen führen (z. B. Personalmangel). Jedoch ist die Behebung der Ursachen in der Regel Sache des Betreibers der getesteten Systeme und Anwendungen. Die Behebungsmaßnahmen reichen von besserer Betreuung der Systeme und Anwendungen bis zur Abschaltung.

== Arten von Penetrationstests ==
=== Black-Box-Pentest ===
Bei dieser Durchführungsart erhält der Pentester im Vorfeld keine Informationen über das Prüfobjekt.<ref name="ncsc">{{Internetquelle |url=https://www.ncsc.gov.uk/guidance/penetration-testing |titel=Penetration testing |sprache=en |abruf=2024-04-08}}</ref> Die Informationsbeschaffung ist Teil des Auftrages, was einem echten Cyberangriff sehr nahe kommt.

=== White-Box-Pentest ===
Hierbei handelt es sich um eine sehr gründliche und damit auch teure Art des Penetrationstests.<ref name="ncsc"/> Der Auftraggeber versorgt dabei den Auftragnehmer mit umfassenden Informationen über das Prüfobjekt. Dazu können gehören: Quellcode, Domains, IP-Adressen, Angaben zu den Architekturen, Benutzeraccounts.

=== Grey-Box-Pentest ===
Der Grey-Box-Pentest ist die Kombination aus Black-Box und White-Box-Pentest.<ref>{{Internetquelle |url=https://yekta-it.de/blog/was-ist-ein-pentest-und-wie-wird-er-durchgefuehrt |titel=Was ist ein Pentest und wie wird er durchgeführt? {{!}} Yekta IT |abruf=2024-04-08}}</ref> Hierbei wird der Pentester mit grundlegenden Informationen wie bspw. IPs, Domains, Benutzeraccounts versorgt. Dies beschleunigt den Test, da der Pentester diese Informationen nicht mühsam recherchieren muss. In der Praxis ist dies die wahrscheinlich gängigste Form des Penetrationstests, weil er in vielen Fällen für die Auftraggeber die beste Balance aus Gründlichkeit und Kosten bietet.

=== Assume Breach ===
Assume Breach ist ein neues Modell im Bereich Penetrationstests bei dem davon ausgegangen wird, dass der Angreifer bereits innerhalb des Unternehmens ist bzw. einen bestimmten Zugang erlangt hat.<ref>{{Internetquelle |autor= |url=https://www.dsecured.com/it-sicherheit-glossar/assume-breach |titel=Was bedeutet Assume Breach? {{!}} Lexikon der IT-Sicherheit {{!}} DSecured |sprache=de-de |abruf=2024-11-27}}</ref> Der Penetrationstester versucht von dieser Position aus ein bestimmtes definiertes Ziel zu erreichen, ohne dabei aufzufallen. Hierbei wird die interne IT-Sicherheit eines Unternehmens für den Ernstfall vorbereitet. Assume Breach-Angriffsszenarien sind in der Regel ähnlich realitätsnah wie Red Teaming, bieten hierbei aber einen signifikanten Kostenvorteil. Assume Breach ist vergleichbar mit Red Teaming, es werden die gleichen Methoden verwendet – wenn diese in das besprochene Angriffsszenario reinpassen.

Typische Angriffsszenarien gehen von unzufriedenen Mitarbeitern, kompromittierten externen/internen Portalen oder geleakten Zugangsdaten relevanter Personen aus.

=== Red Team Assessment ===
Bei diesem Ansatz wird getestet, wie eine Organisation auf einen echten Angriff reagieren würde. Es handelt sich um eine simulierte Attacke aus der Perspektive eines realen Angreifers. Die Aufgabe wird von einem internen oder externen [[Red Team]] übernommen. Dabei kommen verschiedene Methoden und Techniken, wie Social Engineering, physische Sicherheitstests, Netzwerksniffing und Anwendungs-Penetrationstests zum Einsatz, um Schwachstellen zu identifizieren und die Reaktionsfähigkeit der Organisation auf echte Angriffe zu bewerten und zu verbessern. Dies ist ein sehr ressourcenintensives Vorgehen und umfasst mehrere Phasen, wie Informationsbeschaffung, Angriffsdurchführung/Exploits, seitliche Bewegung im Netzwerk, [[Datenexfiltration|Exfiltration]] von Daten und abschließendes Reporting.

Oft wird das Red Team Engagement von einem sogenannten 'Blue Team' auf der Seite der angegriffenen Organisation begleitet, um zu untersuchen, wie gut diese auf reale Angriffe vorbereitet ist.

=== Social-Engineering-Penetrationstest ===
Da potentielle Angreifer die Rechner und Datenbanken von Unternehmen nicht ausschließlich von außen über das Netzwerk angreifen, sondern auch versuchen, durch [[Social Engineering (Sicherheit)|Social Engineering]] über die Mitarbeiter an Informationen und Zugänge zu kommen, gibt es spezielle Penetrationstests, die sich mit diesem Thema beschäftigen. Diese Tests sind darauf ausgelegt, in Unternehmen Schwachstellen zu finden und im Nachgang durch Schulungen und Aufklärungen ernsthafte Angriffe zu erschweren.

== Testaufbau und Durchführung ==
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:
* Informationsbasis
* Aggressivität
* Umfang
* Vorgehensweise
* Technik
* Ausgangspunkt

Anhand dieser Kriterien wird zusammen mit dem Kunden ein individueller Test zusammengestellt. In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein [[Blackbox-Test]] und danach ein [[Whitebox-Test]] durchgeführt.
Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte, die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringversuche. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.

Gefundene Schwachstellen werden durch die Pentester nach Kritikalität bewertet. Dafür wird das [[CVSS|Common Vulnerability Scoring System (CVSS)]] verwendet, welches den Schwachstellen anhand von zahlreichen Faktoren einen Wert zwischen 0 und 10 zuordnet.

=== Rechtslage ===
Penetrationstests werden von verschiedenen Rechtsquellen verlangt. Beispielsweise fordert {{§|2|ITSiV-PV|buzer}} Abs. 6 der [[IT-Sicherheitsverordnung Portalverbund]], dass insbesondere IT-Komponenten, die über eine technische Schnittstelle unmittelbar mit dem Internet verbunden sind, erst einem Penetrationstest und einem Webcheck nach den Vorgaben des BSI zu unterziehen seien. Nach {{§|7|DiGAV|buzer}} Abs. 3 der [[Digitale Gesundheitsanwendungen-Verordnung]] kann das [[Bundesinstitut für Arzneimittel und Medizinprodukte]] zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit die Vorlage von Berichten über die Durchführung von Penetrationstests verlangen. Dabei berufen sich die Basisanforderungen<ref>[https://www.buzer.de/Anlage_1_DiGAV.htm Anlage 1 Fragebogen gemäß § 4 Absatz 6] der Digitalen Gesundheitsanwendungen-Verordnung, Themenfeld Datensicherheit Nr. 32a</ref> auf das vom BSI empfohlene Durchführungskonzept für Penetrationstests.<ref> Bundesamt für Sicherheit in der Informationstechnik: Studie [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Penetrationstest/penetrationstest.pdf?__blob=publicationFile&v=3 Durchführungskonzept für Penetrationstests] (PDF; 1,2 MB)</ref>

Artikel 2 des [[Übereinkommen über Computerkriminalität|Übereinkommens über Computerkriminalität]] verlangt von ihren Unterzeichnern, „den unbefugten Zugang zu einem Computersystem“ als Straftat zu umschreiben. Entsprechende strafrechtliche Regelungen finden sich in Deutschland, Österreich und der Schweiz (sowie anderen Ländern). Eine Befugnis zu Penetrationstests kann sich z. B. durch gesetzliche Regelung oder durch vertragliche Vereinbarung zwischen der zu testenden und der den Test durchführenden Organisation ergeben. Zur Umsetzung des Übereinkommens hat der deutsche Gesetzgeber den unbefugten Zugang zu Daten als [[Ausspähen von Daten]] unter Strafe gestellt. Dieses Ausspähen ist ein [[Antragsdelikt]], der Versuch bleibt straffrei.

Die beauftragende Organisation kann Penetrationstests nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden. Konkret heißt dies, dass eine Organisation ohne eigene Befugnis nicht Dritte beauftragen darf, fremde Netze zu penetrieren.

== Prozessbeschreibung ==
Das BSI empfiehlt beim Durchführen eines Penetrationstests einen fünfstufigen Prozess.
Die ''Vorbereitungsphase'' dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der ''Informationsbeschaffungsphase'' versucht der Sicherheitsanalyst, möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnenen Informationen werden anschließend einer ''Bewertung'' unterzogen. Erst danach werden aktive ''Eindringversuche'' unternommen. Anschließend werden die Ergebnisse gesammelt und in Form eines ''Berichts'' gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll. Begleitend zu allen fünf Phasen ist eine akribische Dokumentation der einzelnen Arbeitsschritte notwendig.

== Risiken ==
Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen [[Denial of Service|DoS-Attacken]] darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, sollte das außerhalb der Nutzungszeiten des Systems erfolgen.

Auch bei gewöhnlichen I- oder E-Modulen kann es unter Umständen zum Absturz einzelner Systeme kommen. In der Vorbereitungsphase muss auch eine Übereinkunft zwischen Auftraggeber und Kunden getroffen werden, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnten die Tester im Rahmen des Tests an unternehmenskritische Informationen gelangen. Nach Möglichkeit sollten Penetrationstests an Testumgebungen durchgeführt werden, die exakt wie die Live-Umgebungen konfiguriert sind, aber für den Betrieb der Organisation weniger kritisch sind.

== Software ==
Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. Dazu zählen etwa [[Portscanner]] wie [[Nmap]], [[Vulnerability Scanner]] wie [[Nessus (Software)|Nessus]], [[Sniffer]] wie [[Wireshark]], Paketgeneratoren wie [[Hping|HPing 2/3]] oder [[Mausezahn]] und Passwortcracker wie [[John the Ripper]]. Zudem stehen zunehmend mehr Werkzeuge zur Verfügung, die speziell für Sicherheitstests entwickelt wurden. Häufig stammen diese aufgrund der Überprüfbarkeit des Quellcodes aus dem Open-Source-Bereich und sind auf sehr spezielle Testbereiche zugeschnitten.

'''ARP0c''' ist beispielsweise ein Verbindungsinterceptor, der mit einem [[ARP-Spoofing]]- und Bridging-Modul arbeitet. ARP-Anfragen von beliebigen Quellen in einem Netzwerkverbund werden mit gefälschten ARP-Anfragen versehen, um den Host zu erreichen, der ARP0c-Pakete sendet. Pakete von diesem Host werden weitergeleitet zu einem internen Modul und die normale Adresse wird weitergeleitet mit dem Ziel, eine normale Netzverbindung aufrechtzuerhalten. Mit Hilfe des Tools ist entsprechend ein [[Man-in-the-Middle-Angriff|Man in the Middle]]-Monitoring möglich. Ziel des Einsatzes ist die Austestung von Firewall-Regeln, die auf einer [[Stateful Packet Inspection|Stateful-Packet-Inspection]]-Basis beruhen und ARP-Pakete mit fremden IP-Adressen verwerfen sollten.

Ein weiteres Beispiel eines solchen Spezialwerkzeugs ist '''Egressor'''. Egressor ist ein von [[Mitre Corporation|MITRE]] entwickeltes freies Tool zur Überprüfung der Konfiguration von Internet-Punkt-zu-Punkt-Routern. Egressor hilft Unternehmen dabei, [[Router]] unempfindlich gegen [[Denial of Service|Denial-of-Service-Attacken]] (DoS) zu konfigurieren. Das Egress-Filtersystem reduziert die Gefahr, ein Netzwerk zum Teil von verteilten Denial-of-Service-Attacken (DDoS) werden zu lassen.

Zunehmend häufiger werden auch umfassende Werkzeugsammlungen für Penetrationstests angeboten, die in der Regel von erfahrenen Sicherheitsfachkräften zusammengestellt wurden und auf Basis einer stabilen Linux-Distribution arbeiten, die als Live-CD angeboten wird. Der Vorteil solcher Penetrationstest-Distributionen besteht darin, sämtliche relevanten Werkzeuge unter einer gemeinsamen Oberfläche zur Verfügung zu haben. Zudem sind sie meist vorkonfiguriert und fertig zur Anwendung. Ein gutes Beispiel für solche Live-CDs ist die [[Kali Linux|Kali-Linux]]-Distribution, die aus zwei unabhängigen Projekten verschmolzen wurde und aktuell das Maß aller Dinge darstellt, weil sie wirklich komplett ist und alle Werkzeuge beinhaltet, die für ausgedehnte Sicherheitstests benötigt werden.

Die zahlreichen Werkzeuge, die für Penetrationstests herangezogen werden können, lassen sich in folgende Kategorien einteilen:

* Viele Werkzeuge überprüfen nur eine einzelne Schwachstelle.
* [[Vulnerability Scanner]] überprüfen oft automatisiert eine Reihe von applikations- oder protokollbasierten Schwachstellen. Einige lassen sich durch eigene [[Skriptsprache]]n erweitern.
* Einige Programme dienen ursprünglich oder zusätzlich zu ihrer Funktion in Penetrationstests auch dem allgemeinen [[Netzwerkmanagement]], darunter z. B. einige [[Portscanner|Scanner]] und [[Sniffer]].
* Auch normale Programme, die beim [[Betriebssystem]] mitgeliefert werden, können einem Penetrationstester bei einer Untersuchung dienen.

Das BSI stellt eine Sammlung solcher Tools unter dem Namen [[BSI OSS Security Suite]] kostenlos zur Verfügung. Diese wird allerdings nicht mehr aktualisiert. Spezialisierte [[Linux]] [[Livecd|Live-CDs]] wie [[PHLAK]], [[Pentoo]], [[S-t-d]] oder [[Kali Linux]] (ehem. [[BackTrack]], davor Auditor-LiveCD und WHAX Linux) enthalten eine Vielzahl zweckdienlicher Werkzeuge.
Weitere bekannte Tools für Penetrationstests sind [[Attack Tool Kit]] (ATK) oder [[Metasploit]].

Qualität und Aussagekraft eines Penetrationstests lassen sich aber kaum an den eingesetzten Werkzeugen festmachen; sie sind in erster Linie von der Genauigkeit der getroffenen Annahmen („Szenario“) und der strukturierten Durchführung abhängig.

== Dokumentation ==
{{Literatur |Autor=Holger Reibold |Titel=Hacking kompakt – Die Kunst des Penetration Testing – der Schnelleinstieg in die Welt der Hacker |Verlag=Brain-Media.de |Datum=2015 |ISBN=978-3-95444-160-0 |Seiten=170 |Online=https://www.brain-media.de/collections/penetration-testing/products/hacking-kompakt-die-kunst-des-penetration-testing}}

== Weblinks ==
{{Wiktionary}}
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.html Bundesamt für Sicherheit in der Informationstechnik, Praxis-Leitfaden: IT-Sicherheits-Penetrationstest]
* [http://www.kali.org/ Kali Linux Projektseite]
* [https://www.mgm-sp.com/penetration-test-faq/ Die große Application Security Penetration Test FAQ für Auftraggeber]

== Einzelnachweise ==
<references />

[[Kategorie:IT-Sicherheit]]

Penetrationstest (Informatik) - Versionsgeschichte

imported>Derkoenig: wl