Methodik und Durchführung von Penetrationstests

In den vorangegangenen Blogartikeln "Einführung in Penetrationstests nach BSI-Empfehlungen" und "Klassifikation von Penetrationstests" haben wir die Grundlagen und verschiedenen Arten von Penetrationstests detailliert besprochen. Während der erste Artikel die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorstellte, haben wir im zweiten Beitrag die verschiedenen Klassifikationen und Kriterien beleuchtet, um Penetrationstests den spezifischen Anforderungen anzupassen.

In diesem Blogbeitrag möchten wir einen Schritt weiter gehen und uns auf die Methodik und Durchführung von Penetrationstests konzentrieren. Wir werden die einzelnen Phasen eines Penetrationstests durchlaufen – von der Planung und Vorbereitung über die eigentliche Durchführung bis hin zur Auswertung und Berichterstellung.

Methodik und Durchführung von Penetrationstests

Die Methodik zur Durchführung von Penetrationstests lässt sich in fünf klar definierte Phasen unterteilen. Jede Phase spielt eine entscheidende Rolle dabei, die Sicherheit der IT-Infrastruktur effektiv zu überprüfen und zu verbessern.

Die Vorbereitungsphase beginnt mit der Definition der genauen Ziele des Penetrationstests. Hier wird festgelegt, welche Systeme oder Anwendungen getestet werden sollen und welche Ergebnisse angestrebt werden. Es ist wichtig, mögliche Risiken und Auswirkungen des Tests zu besprechen, um unvorhergesehene Ausfälle oder Störungen zu vermeiden. Der Test wird basierend auf den spezifischen Anforderungen und Zielen typisiert, z.B. als Black-Box- oder White-Box-Test. Rechtliche Rahmenbedingungen müssen geklärt und entsprechende Genehmigungen eingeholt werden, um sicherzustellen, dass der Test legal und ethisch vertretbar ist. Schließlich werden die Testmodule und -tools ausgewählt, die für den jeweiligen Test am besten geeignet sind.

In der Phase der Informationsbeschaffung werden alle verfügbaren Informationen über das Zielsystem gesammelt. Dies kann durch öffentliche Quellen (OSINT), Netzwerkscans und andere Methoden erfolgen. Die gesammelten Informationen werden analysiert, um ein klares Bild der Zielumgebung zu erhalten.

Die Bewertung der Informationen und Risikoanalyse folgt als nächster Schritt. Die gesammelten Informationen werden genutzt, um mögliche Schwachstellen zu identifizieren. Dies kann durch manuelle Analyse oder automatisierte Tools geschehen. Die identifizierten Schwachstellen werden bewertet, um das Risiko und die potenziellen Auswirkungen eines Angriffs zu bestimmen.

Die aktive Eindringversuche-Phase ist besonders kritisch. Hier werden gezielte Angriffe auf die identifizierten Schwachstellen durchgeführt, um deren Ausnutzbarkeit zu testen. Dies kann das Eindringen in Systeme, das Umgehen von Sicherheitsmechanismen oder das Erlangen von vertraulichen Informationen umfassen. Alle Aktivitäten werden genau überwacht und protokolliert, um später eine detaillierte Analyse und Berichterstattung zu ermöglichen.

In der letzten Phase, der Abschlussanalyse, Nacharbeiten und Clean-up, werden die Ergebnisse der aktiven Eindringversuche dokumentiert. Dies umfasst eine detaillierte Beschreibung der durchgeführten Tests, der gefundenen Schwachstellen und der genutzten Exploits. Basierend auf den Testergebnissen werden Empfehlungen zur Behebung der identifizierten Schwachstellen und zur Verbesserung der Sicherheit gegeben. Schließlich werden alle durch den Test verursachten Änderungen oder Installationen entfernt, um den ursprünglichen Zustand der Umgebung wiederherzustellen.

Durch diese strukturierte Vorgehensweise wird sichergestellt, dass Penetrationstests effektiv und effizient durchgeführt werden, um die Sicherheit der IT-Infrastruktur zu gewährleisten und kontinuierlich zu verbessern. Die Berichterstellung ist ein wesentlicher Bestandteil, da sie die Testergebnisse dokumentiert und konkrete Handlungsempfehlungen zur Verbesserung der Sicherheit bietet.