Definition Was ist ein Pen Test?

Von andi_dd

Bei einem Penetration Test ahmen IT-Experten das Vorgehen von Hackern nach und identifizieren auf diese Weise Schwachstellen in Netzwerken und Anwendungen. Pen Tests erfordern eine gründliche Vorbereitung und kluge Auswahl der Testmethoden.

Anbieter zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Der Begriff Pen Test ist die Abkürzung für Penetration Test und bezeichnet eine Methode, mit der sich Rechnersysteme, Webanwendungen und Netzwerke umfassend auf Sicherheitslücken überprüfen lassen. Das Pen Testing lässt sich in externe und interne Pen Tests untergliedern. Bei der externen Kontrolle als häufig angewandtes Verfahren agieren IT-Experten als Hacker: Sie kopieren deren Vorgehensweise, um Schwachstellen zu finden und anschließend zu beheben. Bei einem internen Pen Test stehen dagegen die Sicherheitsgefahren aus dem Inneren der jeweiligen Organisation im Fokus.

Mehrstufiges Verfahren: Ablauf des Penetration Tests

Das Bundesamt für Sicherheit in der Informationstechnik und mehrere internationale Organisationen empfehlen in Richtlinien zum Pen Test ein strukturiertes Vorgehen. Ein effektives Pen Testing zeichnet sich durch folgende schrittweise Herangehensweise aus:

  • Analyse des Untersuchungsobjekts,
  • Planung des Testverfahrens,
  • Auswahl der Werkzeuge,
  • Durchführung des Tests nach Plan,
  • Auswertung der Überprüfung und Beheben der Mängel.

Die individuelle Analyse und die maßgeschneiderte Testmethode sind entscheidende Erfolgsfaktoren. Große Unterschiede bei der IT-Infrastruktur sowie Softwareprogrammen erfordern einen Pen Test, der exakt zum jeweiligen Untersuchungsgegenstand passt. Wichtig ist, dass ein Penetration Test nur die aktuellen IT-Sicherheitsmängel aufdeckt. Die Gefahren wandeln sich rasant: Das Pen Testing ist deshalb eine dauerhafte Aufgabe.

Software und Werkzeuge für den Pen Test

Bei einem Penetration Test erleichtern vielfältige Programme und Tools die Durchführung. Zum Einsatz kommen zum Beispiel Portscanner, Paketgeneratoren, Passwortcracker und zahlreiche Spezialwerkzeuge. Diese Hilfsmittel erhöhen die Effizienz des Testverfahrens, die Qualität entscheidet sich aber wesentlich an den getroffenen Annahmen. IT-Verantwortliche müssen realistische Angriffsszenarien entwerfen, um die Softwareprogramme und Werkzeuge sinnvoll einzusetzen.

Externes Pen Testing: Betreiber muss den Test erlauben

Die meisten Angriffe auf Netzwerke und Webanwendungen erfolgen von außerhalb. Externe Pen Tests spielen deshalb eine herausragende Rolle. Hierbei verdienen die gesetzlichen Rahmenbedingungen in Deutschland Beachtung: Das Pen Testing setzt das Einverständnis des jeweiligen Anbieters voraus, ansonsten droht ein Strafverfahren. Vor allem der Paragraf 202 des Strafgesetzbuchs ist relevant: Dieser verbietet das Ausspähen und das Abfangen von Daten sowie die Vorbereitung dieser Handlungen. Experten, IT-Branchenverbände und Organisationen wie der Chaos Computer Club kritisieren das als Kriminalisierung, welche das Pen Testing mit guter Absicht verhindert. Den Hackern des Chaos Computer Clubs geht es zum Beispiel um das Aufdecken gefährlicher IT-Schwachstellen, sie warnen die entsprechenden Betreiber. Laut Gesetz ist das jedoch verboten, wenn sie im Vorfeld keine Erlaubnis einholen.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47846397)