Ein Penetration Test läuft jedes Mal nach einem ähnlichen Schema ab. Am Anfang macht man sich mit dem System vertraut, danach bereitet man den Test vor, führt ihn durch und wertet anschließend die Ergebnisse aus. Ein wichtiger Schritt, den viele dabei aber gar nicht bedenken, ist das Wiederholen des Tests, um zu überprüfen, ob die erforderlichen Maßnahmen fachgerecht umgesetzt wurden.
Der erste Schritt – die Analyse
Jedes System unterscheidet sich von anderen. Eine WordPress Installation besitzt andere Schwachstellen als ein Shopware Shop oder eine App. Ein Penetration Test auf der Android oder iOS Plattform benötigt auch eine andere Herangehensweise, als wenn das Systems auf einem Server gespeichert ist. Auch das Betriebssystem des Servers, dessen Sicherheitskonfiguration, die verwendete Datenbank und die verschiedene Drittanbietersoftware, die verwendet wird, hat einen Einfluss auf die Sicherheitslage und damit auf den Penetration Test. Es ist also wichtig, sich als Erstes ein umfassendes Bild von der IT-Infrastruktur und der Plattform zu machen. Der Plattform Penetration Test muss auf diese abgestimmt sein, da es vielleicht einige einzelne Tests unnötig macht oder andere Angriffsvektoren verstärkt getestet werden müssen.
Diese Vorbereitungen werden getroffen
Wenn man sich ein genaues Bild gemacht hat, welche Schwachstellen getestet werden müssen und welche Angriffsmöglichkeiten überhaupt infrage kommen, kann man sich auf den eigentlichen Test vorbereiten. Eine gute Vorbereitung sorgt dabei dafür, dass man keine unnötige Zeit verschwendet. Bei der Vorbereitung stellt man ein Set unterschiedlicher Programme zusammen, die man später für den eigentlichen „Angriff“ verwendet und bereitet die einzelnen Daten, die man braucht, vor. Außerdem plant man das Vorgehen, während dem Test und stellt auf diese Weise sicher, dass man alle bekannten Schwachstellen überprüft.
Der zentrale Schritt – die Durchführung
Dieser Schritt ist natürlich der wichtigste. Dabei geht man nach dem zuvor aufgestellten Plan vor und überprüft systematisch jede Möglichkeit, in ein System einzudringen. Dafür werden unterschiedliche Programme genutzt. Manche davon gehen Listen von Passwörtern durch, andere versuchen Teile des Systems über Umwege anzusprechen und wieder andere versuchen die Kommunikation zwischen Server und Client zu beeinflussen. Die Bandbreite der verschiedenen Programme ist schier grenzenlos und es hat einen guten Grund, dass man nicht einfach von heute auf morgen zu einem Experten auf diesem Gebiet wird. Die fachgerechte Benutzung dieser Programme muss gelernt werden. Dabei auf einen Experten zurückzugreifen, der Erfahrung in der Anwendung mit diesen Programmen hat, ist unerlässlich für den Erfolg.
Ergebnisauswertung und weiteres Vorgehen
Nachdem die verschiedenen Tests durchgeführt wurden, werden die Ergebnisse ausgewertet. Bei den einzelnen Tests können verschiedene Ergebnisse auftreten. Entweder ist die Sicherheitslücke geschlossen und es ist kein Eindringen möglich. Dann sind keine weiteren Schritte notwendig. Ein weiteres Ergebnis ist, dass die Schwachstelle nicht abgesichert ist und ein Eindringen möglich war. Dann besteht der nächste Schritt daraus, diese Schwachstelle mit geeigneten Maßnahmen abzusichern. Eine weitere Möglichkeit ist allerdings, dass sich beim Test herausstellt, dass zwar auf dem klassischen Angriffsweg kein Eindringen möglich ist, aber es auf Umwegen funktionieren kann. Auch in diesem Fall müssen geeignete Maßnahmen ergriffen werden, um das System abzusichern. Der Experte oder die eigene IT-Abteilung setzen nach dem Test die vorgeschlagenen Änderungen um und sichern auf diese Weise das System ab.
Wiederholung und Überprüfung der ergriffenen Schritte
Der letzte Schritt, den viele gar nicht beachten, ist aber, den Test noch einmal zu wiederholen. Auf diese Weise stellt man sicher, dass die Maßnahmen erfolgreich umgesetzt wurden und das System wirklich sicher ist. Am besten ist es sogar, Penetration Tests in regelmäßigen Abständen zu wiederholen, da sich ein System meistens weiterentwickelt und dadurch neue Sicherheitslücken entstehen können.
Kommentieren