Penetrationstest

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Mit einem Penetrationstest (von Penetration (deutsch: durchdringen)) ist in der Informationstechnik eine Testmethode gemeint, Software und Webseiten auf Schwachstellen, zu untersuchen. Dabei versucht der Tester an geschützte Daten oder Funktionen zu kommen.

Anwendung

Bei einem Penetrationstest werden die Methoden des Ethical Hackings angewandt. Die gefundenen Sicherheitslücken werden in einer Dokumentation zusammengetragen und bewertet. Sollte dem Pentester eine Lösung für das identifizierte Problem bekannt sein, so ist diese zu benennen.


Arten

Einen Penetrationstest kann man grob zwischen Black-Box-Test und White-Box-Test unterscheiden. Diese Varianten unterscheiden sich darin, dass ein Pentester vom Auftraggeber entweder wie beim White-Box-Test alle Informationen zu einem zu überprüfenden Objekt bekommt oder im Black-Box-Test versucht wird, die Schwachstellen ohne dieses Insider-Wissen zu identifizieren. Hier gibt es noch weitere Abstufungen wie z.B. Grey-Box, bei welcher dem Pentester nur eine bestimmte Anzahl von Informationen zur Verfügung gestellt wird.


Abgrenzung 'Vulnerability Scan'

Während ein Penetrationstest Absprachen, menschlicher Vorbereitung, Planung der Testverfahren und Ziele sowie der Auswahl der notwendigen Werkzeuge bedarf, erfolgt der 'Vulnerability' Scan (Schwachstellenscan) weitgehend automatisch. Meist ist der Vulnerability Scan fester Bestandteil größerer IT-Umgebungen.


Bedeutung in der Praxis (Beispiel)

Der Payment Card Industry Data Security Standard (PCI DSS) fordert drei Arten von Scans auf Sicherheitsrisiken:

  • interne vierteljährliche Schwachstellenscans, die von qualifizierten Mitarbeitern durchgeführt werden müssen (beispielsweise mit automatisierten Tools)
  • externe vierteljährliche Scans, die von einem zugelassenen Anbieter durchgeführt werden müssen
  • bedarfsweise nach wesentlichen Änderungen vorgenommene interne und externe Scans


Weblinks


Siehe übergeordnete Stichworte


Siehe auch




Diese Seite wurde zuletzt am 27. Oktober 2015 um 17:15 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Markus Albert, Admin und Pierrre Kroma.

Anzeigen