Pen­test­ing erklärt: Der Security-Check für dein Web

Mit Pe­ne­tra­ti­ons­tests, kurz Pentests, lässt sich bei­spiel­wei­se das An­griffs­po­ten­zi­al deines Netzwerks, einzelner Systeme oder einer spe­zi­fi­schen Anwendung ermitteln. Wie läuft so ein Check genau ab und welche Aus­wir­kun­gen hat er auf deine be­stehen­de In­fra­struk­tur?

Was ist Pen Testing?

In der IT versteht man unter einem Pe­ne­tra­ti­ons­test den si­mu­lier­ten Angriff auf ein Netzwerk oder einzelne Rechner. Ziel ist es, die Schwach­stel­len des Test­ob­jekts auf­zu­de­cken. Dabei werden mit ver­schie­de­nen Tools An­griffs­mus­ter nach­ge­stellt, die echten Be­dro­hun­gen nach­emp­fun­den sind. Typische Kom­po­nen­ten für einen Pentest sind:

• Netzwerk-Kopp­lungs­ele­men­te wie Router, Switches oder Gateways
• Si­cher­heits-Gateways wie Software- und Hardware-Firewalls, Vi­ren­scan­ner, Load Balancer oder IPS
• Server wie Webserver, Da­ten­ban­ken oder File­ser­ver
• Te­le­kom­mu­ni­ka­ti­ons­an­la­gen
• Sämtliche Arten von Web­an­wen­dun­gen
• In­fra­struk­tur wie Zu­tritts­kon­troll­sys­te­me
• Drahtlose Netzwerke wie WLAN oder Bluetooth

Man un­ter­schei­det meist zwischen Blackbox-, Whitebox- und Greybox-Tests: Bei der Blackbox-Variante haben die Tester:innen nur die Adres­s­in­fo des Ziels. Beim Whitebox Pe­n­a­tra­ti­on Testing liegt um­fas­sen­des Wissen über IPs sowie Software- und Hardware-Kom­po­nen­ten vor. Greybox-Tests sind der Gold­stan­dard und kom­bi­nie­ren beide Welten: Grund­kennt­nis­se über die IT-In­fra­struk­tur und deren Zweck sind bereits vorhanden.

So führst du einen Pe­ne­tra­ti­ons­test durch

Wie nutzt du Pe­ne­tra­ti­on Testing für deine Zwecke? Wir haben die wich­tigs­ten Punkte für deinen in­di­vi­du­el­len Si­cher­heits­check zu­sam­men­ge­fasst.

Pentest-Vor­aus­set­zun­gen

Für einen er­folg­rei­chen Check benötigst du zuerst ein klares Konzept. Definiere, welche Teile getestet werden, wie viel Zeit die Über­prü­fung be­an­spru­chen darf und ob das nötige Werkzeug be­reit­steht.

Diese Planung ist besonders wichtig, wenn du externe Profis be­auf­tragst und ein Whitebox-Test geplant ist. Hier musst du alle Details über dein Netzwerk und die Do­ku­men­ta­tio­nen of­fen­le­gen. Bei einem Blackbox-Test reichst du hingegen nur die Ziel­adres­sen der Objekte weiter.

Die besten Pen Testing Tools

Da es unzählige An­griffs­for­men gibt, steht den Profis auch eine breite Palette an Werk­zeu­gen zur Verfügung. Zu den Klas­si­kern gehören:

• Port-Scanner: Hiermit werden offene Ports eines Systems mit Tools wie Port-Scanning auf­ge­spürt.
• Schwach­stel­len-Scanner: Diese Vul­nerabi­li­ty Scanner prüfen Systeme auf Lücken, Fehl­kon­fi­gu­ra­tio­nen oder schwache Pass­wör­ter.
• Sniffer: Damit lässt sich der Da­ten­ver­kehr ana­ly­sie­ren. Eine starke Ver­schlüs­se­lung sorgt hier für Sor­gen­frei­heit.
• Paket-Ge­ne­ra­to­ren: Diese si­mu­lie­ren Netz­werk­ver­kehr, um reale Be­din­gun­gen während des Tests nach­zu­stel­len.
• Passwort-Cracker: Damit wird versucht, unsichere Kenn­wör­ter zu knacken.

Viele dieser Tools stammen aus dem Open-Source-Bereich. Es gibt jedoch auch kom­mer­zi­el­le Lösungen, die oft besser do­ku­men­tiert sind und Support bieten.

Ablauf eines Pe­ne­tra­ti­ons­tests

Der Prozess beim Pe­ne­tra­ti­on Testing gliedert sich im We­sent­li­chen in vier Phasen:

Über­prü­fung des Netz­werk­kon­zepts

Schon in der Vor­be­rei­tung können logische Fehler im Netz­werk­de­sign auffallen. Wenn etwa Be­rech­ti­gun­gen falsch kon­fi­gu­riert sind, kann das ein Risiko für das ganze System sein – selbst wenn die Programme selbst sicher sind. Solche Themen lassen sich oft schon im Vor­ge­spräch klären.

Test der Här­tungs­maß­nah­men

Ein sicheres Netz basiert auf gut „ge­här­te­ten“ Systemen. Der Pentest prüft, ob Be­triebs­sys­te­me und Dienste am neuesten Stand sind. Falls veraltete Software nötig ist, müssen al­ter­na­ti­ve Schutz­maß­nah­men greifen. Auch die Au­then­ti­sie­rung steht im Fokus. Themen dabei sind:

• Rech­te­ver­wal­tung
• Ver­schlüs­se­lung von Pass­wör­tern
• Nutzung offener Ports und Schnitt­stel­len
• Re­gel­wer­ke der Firewall

Suche nach bekannten Schwach­stel­len

Bekannte Si­cher­heits­lü­cken ver­brei­ten sich schnell. Da Tester:innen die aktuellen Patch­stän­de prüfen, finden sie rasch heraus, welche Apps ein Risiko dar­stel­len. Bei vielen Systemen helfen Scanner, auch wenn diese nicht immer zu 100 % feh­ler­frei arbeiten.

Gezielter Einsatz von Exploits

Ob eine Lücke wirklich ge­fähr­lich ist, zeigt erst der Einsatz eines Exploits. Das sind meist Skripte, die direkt angreifen. Vorsicht: Ein feh­ler­haf­tes Skript kann das System zum Absturz bringen oder Daten über­schrei­ben. Profis nutzen daher nur ve­ri­fi­zier­te Quellen oder ver­zich­ten im Zweifel auf den Test dieser spe­zi­el­len Lücke.

Die Vor- und Nachteile von Pentests

Moderne IT-Struk­tu­ren sind komplex und anfällig für Fehl­funk­tio­nen. Hier punkten Pe­ne­tra­ti­ons­tests mit klaren Vorteilen:

• Sie gehen tiefer ins Detail als stan­dard­mä­ßi­ge Si­cher­heits­checks.
• Das Zu­sam­men­spiel aller Kom­po­nen­ten wird rea­li­täts­nah geprüft.
• Externe Profis bringen einen frischen Blick auf dein Si­cher­heits­kon­zept ein.
• Die Tester:innen agieren mit dem Wissen und den Methoden echter Cyber-Kri­mi­nel­ler.

Al­ler­dings gibt es auch Punkte, die du beachten solltest:

• Das Testteam erhält Einblick in interne Abläufe.
• Es besteht ein Rest­ri­si­ko für Sys­tem­schä­den während des Tests.
• Ein Pentest ist immer nur eine Mo­ment­auf­nah­me und ersetzt keine dau­er­haf­ten Ab­wehr­maß­nah­men.

Wichtig: Das so­ge­nann­te Social En­gi­nee­ring (der Faktor Mensch) ist im klas­si­schen Pentest meist nicht enthalten, kann aber oft optional dazu gebucht werden.