Klassifikation von Penetrationstests

In unserem letzten Blogartikel, "Einführung in Penetrationstests nach BSI-Empfehlungen", haben wir die Grundlagen und die Bedeutung von Penetrationstests im Rahmen der IT-Sicherheit beleuchtet. Dabei wurde insbesondere auf die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eingegangen, die einen strukturierten Ansatz zur Durchführung von Penetrationstests bieten.

In diesem Beitrag möchten wir einen Schritt weiter gehen und uns mit der Klassifikation von Penetrationstests beschäftigen. Es gibt verschiedene Arten von Penetrationstests, die sich in ihren Methoden, Zielen und Anwendungsbereichen unterscheiden. Diese Unterschiede zu kennen und zu verstehen, ist entscheidend, um die richtigen Teststrategien für Ihre spezifischen Sicherheitsanforderungen zu wählen.

Penetrationstests lassen sich anhand verschiedener Kriterien klassifizieren, um die Tests den spezifischen Anforderungen und Zielen des Unternehmens anzupassen:

1. Informationsbasis: Black-Box- oder White-Box-Test

   • Black-Box-Test: Der Tester hat keinerlei Informationen über die interne Struktur des Systems, das getestet wird. Dies simuliert einen externen Angriff, bei dem der Angreifer keine internen Kenntnisse hat. Diese Art von Test ist ideal, um die Reaktion des Systems auf einen unbekannten Angreifer zu prüfen und Sicherheitslücken aufzudecken, die von außen ausgenutzt werden könnten.
   • White-Box-Test: Der Tester hat umfassende Kenntnisse über die interne Struktur des Systems, einschließlich des Quellcodes, der Architektur und der Konfigurationen. Dieser Testtyp ermöglicht eine tiefgehende Analyse und Identifikation von Schwachstellen, die nur mit detailliertem Insiderwissen entdeckt werden können.

2. Aggressivität: Von passiv scannend bis aggressiv

   • Passiv scannend: Bei dieser Methode werden die Systeme und Netzwerke auf mögliche Schwachstellen überprüft, ohne aktive Angriffe durchzuführen. Dies minimiert das Risiko von Systemausfällen oder Störungen während des Tests.
   • Aggressiv: Hierbei werden aktiv Angriffe simuliert, um die Abwehrmechanismen des Systems herauszufordern. Dies kann zu einer temporären Beeinträchtigung der Systemverfügbarkeit führen, liefert jedoch wertvolle Erkenntnisse über die Reaktionsfähigkeit und Widerstandsfähigkeit des Systems unter realen Angriffsbedingungen.

3. Umfang: Vollständig, begrenzt oder fokussiert

   • Vollständig: Der gesamte Umfang des IT-Systems oder Netzwerks wird getestet, um eine umfassende Sicherheitsbewertung zu erhalten. Dies ist oft der aufwändigste und zeitintensivste Testtyp.
   • Begrenzt: Es werden nur bestimmte Teile des Systems oder Netzwerks getestet, um spezifische Bereiche auf Schwachstellen zu überprüfen. Dies kann schneller und kosteneffizienter sein, bietet jedoch keine vollständige Sicherheitsbewertung.
   • Fokussiert: Der Test konzentriert sich auf ganz bestimmte Komponenten oder Funktionen des Systems, die als besonders kritisch oder gefährdet eingestuft werden. Dies ermöglicht eine detaillierte Analyse und gezielte Verbesserung in diesen Bereichen.

4. Vorgehensweise: Verdeckt oder offensichtlich

   • Verdeckt: Der Test wird ohne das Wissen der Systemadministratoren oder anderer Mitarbeiter durchgeführt. Dies simuliert einen echten Angriff und testet die Fähigkeit des Unternehmens, unentdeckte Angriffe zu erkennen und darauf zu reagieren.
   • Offensichtlich: Alle relevanten Parteien sind über den Test informiert. Diese Vorgehensweise kann dazu beitragen, die Zusammenarbeit und das Bewusstsein für Sicherheitsmaßnahmen innerhalb des Unternehmens zu fördern.

5. Technik: Netzwerkzugang, physischer Zugang, Social-Engineering oder sonstige Kommunikation

   • Netzwerkzugang: Angriffe werden über das Netzwerk durchgeführt, um Schwachstellen in der Netzwerkarchitektur, den Protokollen und den Endgeräten zu identifizieren.
   • Physischer Zugang: Der Test beinhaltet physische Versuche, Zugang zu den Einrichtungen oder Geräten des Unternehmens zu erhalten, um Sicherheitslücken in physischen Schutzmaßnahmen aufzudecken.
   • Social-Engineering: Es werden Techniken eingesetzt, die menschliches Verhalten ausnutzen, um vertrauliche Informationen zu erhalten oder Zugang zu Systemen zu erlangen. Dies kann Phishing, Pretexting oder Baiting umfassen.
   • Sonstige Kommunikation: Dies umfasst Tests, die sich auf andere Kommunikationswege wie Telefon, E-Mail oder mobile Geräte konzentrieren, um Sicherheitslücken in der Kommunikationsinfrastruktur zu identifizieren.

6. Ausgangspunkt: Von außen oder von innen

   • Von außen: Der Test wird aus der Perspektive eines externen Angreifers durchgeführt, der keinen legitimen Zugang zu den internen Netzwerken und Systemen des Unternehmens hat. Dies hilft, die Abwehrbereitschaft gegen externe Bedrohungen zu beurteilen.
   • Von innen: Der Test wird aus der Perspektive eines Insiders durchgeführt, der bereits Zugang zu internen Netzwerken und Systemen hat. Dies ist besonders wichtig, um das Risiko durch böswillige Insider oder durch Social-Engineering kompromittierte Benutzer zu bewerten.

Diese Klassifikationen ermöglichen es Unternehmen, ihre Penetrationstests genau auf ihre spezifischen Sicherheitsbedürfnisse und Risiken abzustimmen. Durch die gezielte Auswahl der Testparameter können sie sicherstellen, dass alle potenziellen Schwachstellen identifiziert und behoben werden, um ein robustes Sicherheitsniveau zu erreichen.