Penetrationstest werden häufig auch als Pentest bezeichnet. Sie werden von IT-Experten dazu genutzt, um die Empfindlichkeit von IT-Systemen oder Netzwerken gegenüber Manipulations- und Einbruchsversuchen durch gezielt durchgeführte Angriffe zu überprüfen. Bedient wird sich dafür ähnlichen Techniken und Methoden, wie sie auch Cracker oder Hacker nuten, um das unautorisierte Eindringen in ein System zu bewältigen.
Ein Penetration Testing von allen digitalen Systemen hilft Unternehmen dabei, Gefährdungspotentiale besser einschätzen zu können und vorhandene Schwachstellen in ihren IT-Strukturen aufzudecken. Alle durchgeführten Maßnahmen werden während des Pentests dabei exakt protokolliert. Die gefundenen Probleme werden mitsamt entsprechender Lösungsansätze in einem Abschlussbericht zusammengefasst, um das Sicherheitsniveau der IT in Zukunft zu optimieren. Jedoch gehören die Durchführung der Härtungsmaßnahmen der IT und das Eliminieren ihrer Schwachstellen nicht mehr zu dem Penetrationstest an sich.
Welchen Umfang der Penetrationstest aufweist ist von dem individuellen Gefährdungspotential des jeweiligen Systems, Netzwerks oder der Anwendung abhängig. Handelt es sich um ein System, welches äußerst großen Gefahren ausgesetzt ist, wie beispielsweise ein öffentlich erreichbarer Webserver, gestalten sich die Tests so in der Regel wesentlich ausführlicher, als bei internen Anwendungen, von denen keine allzu hohe Systemrelevanz ausgeht.
Schwachstellen aufdecken und dokumentieren
Der Penetrationstest verfolgt hauptsächlich das Ziel, auf Computern und in Netzwerken organisatorische und technische Schwachstellen aufzudecken und diese im Anschluss in Form eines umfangreichen Berichtes zu dokumentieren. Die anschließend nötige Beseitigung der Schwachstellen gehört jedoch zu den Aufgaben des Betreibers der IT-Systeme beziehungsweise dem Auftraggeber des Penetrationstests. Falls die identifizierten Schwachstellen mithilfe der empfohlenen Maßnahmen beseitigt werden, verbessert sich so besonders die Sicherheit der getesteten IT-Systeme.
Es stehen dabei unterschiedliche Möglichkeiten zur Verfügung, wie die Sicherheitslücken zu beseitigen sind. Zum Beispiel bestehen Behebungsmaßnahmen in einer Aufstockung des vorhandenen Personals der IT, Schulungen der Mitarbeiter, dem Einspielen von Updates und Korrekturen oder auch der kompletten Abschaltung eines Systems.
Generell darf ein Penetrationstest nicht mit einer fortlaufenden Überwachung der IT-Systeme verwechselt werden. Daher stellt er stets nur eine Momentaufnahme des aktuellen Sicherheitsstatus dar.
Einen Bestandteil der durchgeführten Tests bilden häufig sogenannte Social-Engineering-Penetrationstests. Durch das Social Engineering mit internem Personal wird versucht, Zugangsmöglichkeiten oder Informationen zu erhalten. Mit diesem Vorgehen wird das Ziel verfolgt, auch unternehmensinterne Schwachstellen aufzuzeigen, welche sich beispielsweise durch eine umfangreiche Information und Aufklärung der Mitarbeiter zukünftig eliminieren lassen.
Die rechtlichen Voraussetzungen
Bevor ein Penetrationstest durchgeführt wird, ist es nötig, dass die zu testende Organisation ihr explizites Einverständnis an die durchführende Organisation erteilt. Liegt eine derartige Vereinbarung zwischen den beteiligten Parteien nicht vor, sind die Penetrationstests grundsätzlich als illegal zu bewerten und stellen demnach eine Straftat dar.
Doch auch, wenn eine entsprechende Einverständniserklärung vorhanden ist, darf sich der Pentest stets nur auf die Objekte beziehen, die sich tatsächlich unter dem Einfluss der zu testenden Organisation befinden. Das bedeutet, dass ein Test von IT-Netzen oder Systemen von Dritten nicht zulässig ist. Somit muss der jeweilige Auftraggeber vor der Durchführung des Penetrationstest klar definieren, welche Komponenten der Test umfassen darf. Diese Klärung kann jedoch maßgeblich durch verschiedene Vertragsverhältnisse zur Nutzung von Hard- und Software, verschiedene Cloud-Services und unterschiedliche IT-Dienstleistungen, erschwert werden.
