Penetrationstest: Was ist ein Penetrationstest?
Ein Penetrationstest (kurz: Pentest) ist eine kontrollierte Sicherheitsüberprüfung von IT-Systemen, Netzwerken, Webanwendungen oder Infrastrukturen. Ziel ist es, Schwachstellen zu identifizieren, bevor Angreifer sie ausnutzen können. Dabei simulieren Sicherheitsexperten reale Angriffe mit den gleichen Methoden und Werkzeugen, die auch von Cyberkriminellen verwendet werden – jedoch unter legalen und vereinbarten Bedingungen.
Arten von Penetrationstests
| Testtyp |
Beschreibung |
Typisches Ziel |
| Blackbox |
Tester hat keinerlei Vorwissen |
Realistische Angriffssimulation |
| Whitebox |
Tester erhält vollständige Systeminformationen |
Tiefgehende Code- und Konfigurationsanalyse |
| Greybox |
Teilweises Vorwissen vorhanden |
Kompromiss zwischen Realismus und Effizienz |
Typische Anwendungsbereiche für Penetrationstests
- Webanwendungen (z. B. CMS, Portale, Onlineshops)
-
Server und Netzwerkinfrastruktur (z. B. Firewalls, Router, VPNs)
- Mobile Apps (iOS, Android)
- Cloud-Umgebungen und SaaS-Dienste
- WLAN- und IoT-Infrastrukturen
Ablauf eines Penetrationstests (vereinfacht)
-
Planung: Festlegung von Zielen, Umfang, Regeln und Testzeitraum
-
Aufklärung (Reconnaissance): Sammeln von Informationen über Ziele
-
Analyse: Erkennung potenzieller Schwachstellen
-
Angriffssimulation: Versuch der Ausnutzung gefundener Schwachstellen
-
Dokumentation: Bericht mit Schwachstellen, Risikoanalyse und Handlungsempfehlungen
Unterschied zum Vulnerability Scan
| Merkmal |
Vulnerability Scan |
Penetrationstest |
| Ziel |
Automatisierte Schwachstellenerkennung |
Manuelle Ausnutzung und Risikoanalyse |
| Tiefe |
Oberflächlich |
Intensiv und praxisnah |
| Umfang |
Technisch begrenzt |
Individuell definierbar |
| Falschmeldungen |
Häufig |
Gering – durch Verifikation |
Beispiele für getestete Schwachstellen
- SQL-Injection, XSS (Cross-Site Scripting), CSRF
- Ungepatchte Software oder veraltete CMS-Versionen
- Fehlkonfigurationen von Serverdiensten (z. B. Directory Listing, Default Credentials)
- Unsichere Passwörter oder Authentifizierungsmechanismen
- Offene Ports und unnötige Dienste
Tools und Techniken im Penetrationstest
-
Nmap: Portscanner und Netzwerkerkennung
-
Burp Suite: Webanwendungstest
-
Metasploit: Exploitsammlung und Automatisierung
-
Nikto: Webserver-Schwachstellenanalyse
-
John the Ripper / Hydra: Passwort-Cracking
Rechtliche Aspekte
- Ein Penetrationstest darf nur mit schriftlicher Zustimmung des Eigentümers durchgeführt werden.
- Tests dürfen keine unkontrollierten Systemausfälle oder Datenverluste verursachen (bzw. müssen vorher abgestimmt werden).
- Die Ergebnisse unterliegen der Vertraulichkeit und dürfen nicht ohne Freigabe weitergegeben werden.
Empfehlungen zur Durchführung von Penetrationstests
- Regelmäßig durchführen – z. B. jährlich oder nach Systemänderungen
- Externe Tests mit interner Revisionsprüfung kombinieren
- Ergebnisse strukturiert dokumentieren und priorisierte Maßnahmen ableiten
- Tests durch qualifizierte und zertifizierte Experten durchführen lassen (z. B. OSCP, CEH)
Fazit zum Penetrationstest
Ein Penetrationstest ist ein unverzichtbares Werkzeug der IT-Sicherheit, um reale Risiken in Systemen frühzeitig zu erkennen und gezielt zu beheben. Er simuliert Angreiferverhalten unter kontrollierten Bedingungen und bietet fundierte Entscheidungsgrundlagen zur Verbesserung der Sicherheitslage. Professionelle Pentests sind ein wichtiger Bestandteil jeder modernen Sicherheitsstrategie – insbesondere bei webbasierten Anwendungen, Hosting-Umgebungen oder kritischer Infrastruktur.
Alle Angaben ohne Gewähr.
