Der moderne Alltag der Menschen wird durch die fortschreitende Digitalisierung maßgeblich beeinflusst. Dies gilt vor allem für Unternehmen, die ohne das Internet ihren Geschäftsbetrieb heute wohl kaum noch aufrechterhalten könnten. Allerdings gestalten sich Unternehmen als sehr individuell, sodass jedes von ihnen unterschiedliche Voraussetzungen und Anforderungen mitbringt, vor allem, wenn es um die Sicherheit der eigenen IT geht. Welche Formen ein Pentesting aufweisen kann und für welche Anforderungen welcher Pentest geeignet ist, erklärt der folgende Artikel. Generell lässt sich ein Pentest als ein Sicherheitstest bezeichnen. Im Zuge dessen versucht ein Pentester in ein Netzwerk oder ein System einzudringen, um eine Überprüfung der Sicherheit durchzuführen und eventuell vorhandene Schwachstellen zu identifizieren. Oft lassen Unternehmen einen Pentest durchführen, um zu gewährleisten, dass ein optimaler Schutz ihrer Netzwerke und Systeme vor externen Angriffen besteht. Die Pentester greifen dafür auf unterschiedliche Werkzeuge und Techniken zurück, um die potenziellen Sicherheitsrisiken aufzudecken. Damit aus den vielen verschiedenen Szenarien, die grundsätzlich möglich sind, das passende auszuwählen, ist eine klare Dimension abzugrenzen. Pentests lassen sich in unterschiedliche Kategorien einteilen, nämlich Grey Box, White Box und Black Box. Diese Klassifizierung stellt eine große Hilfe dabei dar, den richtigen Pentest für die individuellen Anforderungen auszuwählen. Abhängig davon, welche Form des Pentests ausgewählt wird, findet die Vorgabe von bestimmten Ergebnissen statt. Das Ergebnis und die Richtung des Pentests werden so durch das ausgewählte Szenario eingegrenzt. Die Wahl des passenden Pentests wird darüber hinaus durch weitere Faktoren eingeschränkt, wie etwa der Realitätsnähe der Szenarien oder ihr ökonomischer Nutzen bezüglich der Kosten und des Aufwands. Ideal zeigt es sich, wenn beide dieser Faktoren optimiert ausfallen. Sollten die Pentester über kein Vorwissen oder Insiderwissen über das Unternehmen verfügen, findet die Simulation bei einem Black Box Test einer Situation statt, in welcher durch Unbekannte versucht wird, in die IT-Infrastruktur von außen einzudringen. Im Fokus stehen bei dieser Art des Pentests eher offensichtliche Probleme. Es besteht grundsätzlich das Risiko, einige Schwachstellen zu übersehen, beispielsweise aus dem Bereich der internen Bedrohungen. Sind die Hacker in einer umfassenden Kenntnis bezüglich den IT-Strukturen ihres Auftraggebers, handelt es sich um einen White Box Test. Simuliert werden bei diesem eventuell auch interne Bedrohungs-Szenarien, welche etwa durch die Belegschaft entstehen. Der White Box Test eignet sich dazu, ebenfalls Schwachstellen in sämtlichen Systemen aufzuspüren. Problematisch ist dabei, dass die Priorisierung der Schwachstellen und das allgemeine Pentest-Ergebnis oft kaum einen Bezug zu den realen Bedrohungen aufweist. Bei zukünftigen Tests kann es außerdem vorkommen, dass die Pentester ihre neutrale Sicht auf die IT-Strukturen verlieren. Um einen sogenannten Grey Box Test handelt es sich, wenn die Pentester nur zum Teil über Vorwissen bezüglich der Unternehmens-IT verfügen. Mithilfe des Grey Box Test ist das Nachstellen von Szenarien möglich, bei denen kaum abgegrenzt werden kann, ob eher externe oder interne Bedrohungen zu befürchten sind. Redaktion:Walter Braun Impressum Wiedergabe – auch auszugsweise – nur mit schriftlicher Genehmigung des Herausgebers. Der vorliegende Tipp ist sorgfältig erarbeitet worden. Dennoch erfolgen alle Angaben ohne Gewähr. Weder Redaktion noch Herausgeber können für eventuelle Nachteile oder Schäden, die aus den hier gemachten praktischen Anleitungen resultieren, eine Haftung übernehmen Weitere interessante Infos finden Sie hier: Unternehmensprozesse mit Tools optimieren – 5 Tipps und Tricks für mehr Zeitersparnis Auf dem Weg in die Cloud – mit diesen 5 Tipps gelingt es problemlos Studie gibt Aufschluss wie Digitalisierung und Familie richtig geht
BLEIBEN SIE INFORMIERT
Nachdem Sie auf "Newsletter abonnieren" geklickt haben, schicken wir Ihnen eine E-Mail mit einem Bestätigungslink zu ("Double Opt-In"). So stellen wir sicher, dass kein Unbefugter Sie in unseren Newsletter einträgt. Durch Bestellung des Newsletters willigen Sie ein, dass wir Ihre Daten zum Zwecke des Newsletter-Versandes verarbeiten. Sie können Ihre Einwilligung jederzeit widerrufen und den Newsletter wieder abbestellen. Datenschutzerklärung .
Ein professionell durchgeführtes Pentesting ist jedoch in der Lage, vorhandene Sicherheitslücken in den Systemen der Unternehmen aufzudecken, sodass diese im nächsten Schritt beseitigt werden können. Um tatsächlich das volle Potential von Pentests ausschöpfen zu können, ist es allerdings nötig, dass seine Durchführung in den passenden Szenarien und mit der richtigen Zielsetzung erfolgt.
Pentesting – Was ist darunter zu verstehen?
Die verschiedenen Arten des Pentestings
Der Black Box Test
Der White Box Test
Der Grey Box Test
Herausgeber: tipps-vom-experten
TvE vl. Walter Friedrich Georg Braun, Drljanovac 5,
43270 Veliki Grđevac – Croatia – Email: gl@tivex.de
UID-Nr.: HR 92880568110 – Tel. 0049-171-5282838
Schreibe einen Kommentar