Der Penetrationstest findet die Löcher in Ihrer IT-Sicherheit

Voraussetzung für einen wirkungsvollen Schutz Ihrer Website ist die genaue Kenntnis möglicher Sicherheitslücken. Penetrationstests sind deshalb unumgänglich für eine verantwortungsbewusste und anspruchsvolle Webpräsenz.

Ziel eines solchen Sicherheit-Checks ist es, potentielle Schwachstellen Ihrer Internetpräsenz aufzuspüren, damit diese rechtzeitig behoben werden können bevor andere sie zu Ihren Nachteil nutzen. Als Ergebnis erhalten Sie eine transparente Beschreibung der Schwachstellen Ihrer Internetpräsenz, die im Rahmen des Tests identifiziert wurden. Als Teil der Ergebnisdokumentation wird das Sicherheitsniveau Ihrer Website bewertet und Sie erhalten einen detaillierten Maßnahmenkatalog mit Empfehlungen, um die gefundenen Sicherheitslücken zu schließen.

Der Blackbox-Test

Bei einem Blackbox-Test untersucht der Penetrationstester die Website aus Sicht eines Angreifers! Er macht sich somit für die Dauer des Penetrationstests selbst zum angreifenden Hacker und simuliert dementsprechend den Ernstzustand geradezu perfekt. Anders als bei einem Whitebox-Test erhält der Penetrationstester hierbei allerdings nicht von Anfang an die Einsicht in systeminterne Strukturen oder den Programmquelltext der Website. Denn Informationen dieser Art erhält ein echter Angreifer vom Zielsystem nicht aus freien Stücken, sondern nur nach intensiver Suche.

Wie läuft so ein Blackbox-Test ab?
Um einen Blackbox-Test durchführen zu können, benötigt der Tester weitaus weniger Informationen als beim Whitebox-Test. Hier reicht es, dem Angreifer die Adresse des Ziels und die zum Test freigegebenen Stellen/Adressen zu kennen, und schon kann der Penetrationstester loslegen. Beim Blackbox-Test prüft er sein Ziel aus Sicht eines Angreifers. Dementsprechend nutzt er meistens zu allererst eine entsprechende Software, um den kompletten Inhalt/Umfang des Ziels zu ermitteln. Danach geht es wie gewohnt manuell weiter. Denn nachdem die nötigen Eckdaten in Erfahrung gebracht wurden kann er sich dem eigentlichen Suchen und Prüfen von Sicherheitslücken widmen. Nun beginnt der eigentliche Penetrationstest, bei dem der Angreifer akribisch jede nur erdenkliche (auffindbare) Stelle des Systems von außen auf Schwachstellen testet. Dieser Test ist kein stumpfes Laufenlassen von Tools oder einseitiges Durchgehen von Testangriffen sondern eine individuelle Reise ins Zielsystem. Dementsprechend wird jeder mögliche Angriffspunkt manuell und mit der größtmöglichen Sorgfalt geprüft.

Wie lange dauert so ein Blackbox-Test?
Erfahrungsgemäß dauert ein Blackbox-Test zwischen 2 und 3 Wochen. Diese Zeitangabe mag für Außenstehende als sehr lang erscheinen, ist allerdings durchaus gerechtfertigt. unnex.de prüft seine Ziele nicht mit stumpfem Durchlaufen von Hackertools, sondern begibt sich auf eine eigenständige und großteils manuelle Reise durch das System. Alle Teile des System werden per Hand sowie mehrmals geprüft. Doch dieser Vorgang liefert dem Tester immer wieder neue Erkenntnisse. So kann das eben erhaltene Ergebnis ein älteres beeinflussen und den Penetrationstester neue Angriffspunkte und Ideen liefern, das System nach Sicherheitslücken zu durchsuchen. Tools oder geradlinige Vorgehensweisen spielen beim Penetrationstest dementsprechend eine untergeordnete Rolle. Sie werden in der Regel zum Sammeln großflächiger und meist allgemeiner Informationen genutzt. Für den Penetrationstest selber sind sie allerdings nur sekundärer Natur. Durch diese intensive sowie individuelle Arbeitsweise kann der Arbeitsaufwand je nach Inhalt, Systemart, Programmierweise des Ziels usw. variieren, wobei erfahrungsgemäß ein Gesamtzeitraum (einschließlich Protokollerstellung) von ~2 Wochen geschätzt werden kann.

Der Whitebox-Test

Der Whitebox-Test wiederum untersucht die Website aus Sicht eines internen Administrators. Anders als ein echter Angreifer hat ein Systemadministrator des Zielobjektes bereits die nötigen Zugriffsrechte, um das gesamte System ohne vorherigen Einbruch einsehen zu können. Der Penetrationstester kann also beim Whitebox-Test anders als bei einem Testangriff mögliche Schwachstellen auch an Orten aufspühren, deren Existenz einem außenstehenden Angreifer möglicherweise verborgen geblieben wären.

Wie läuft so ein Whitebox-Test ab?
Um diesen Test durchführen zu können benötigt der Penetrationstester zunächst alle vereinbarten internen Systeminformationen. Hierbei entscheiden Sie im Vorfeld selbst, wie "white" der Test sein soll, also wie viele und welche Informationen Sie dem Penetrationstester geben möchten. Im Anschluss macht sich der Angreifer (Penetrationstester) an die Arbeit. Diese Arbeit geschieht in der Regel völlig unauffällig. Der Auftraggeber merkt also nichts vom Angreifer. Dementsprechend legt der Angreifer auch Wert auf die Unversehrtheit der Website sowie deren Verfügbarkeit während des Angriffes. Anders als beim Blackbox-Test hat der Penetrationstester beim Whitebox-Test die Möglichkeit, beispielsweise den Quellcode des Ziels für seine Arbeit mit zu verwenden. Diesbzüglich teilt sich die Arbeit meistens in 2 Schritte auf, wobei der erste Schritt im Analysieren und Finden von Lücken im mitgegebenen Source-Code liegt. Der zweite Schritt wiederum besteht im Abgleichen der Erfahrungen im Source-Code mit der zu prüfenden Adresse. Somit kann die eigentliche Adresse, falls gewünscht, so unberührt wie möglich gelassen werden. Doch evtl. entstehen auch hier Anomalien, welche den Angreifer zu einer tieferen Abreit an der Zieladresse zwingen können. Beispielsweise könnten Unterschiede zwischen dem Verhalten des Source-Codes und der Zieladresse auftauchen, welche nur durch den intensiven Abgleich beider Parteien geklärt werden können usw..

Wie lange dauert so ein Whitebox-Test?
Erfahrungsgemäß dauert ein Whitebox-Test zwischen 3 und 4 Wochen. Diese Zeitangabe mag für Außenstehende als sehr lang erscheinen, ist allerdings durchaus gerechtfertigt. unnex.de prüft seine Ziele nicht mit stumpfem Durchlaufen von Hackertools, sondern begibt sich auf eine eigenständige und großteils manuelle Reise durch das System. Alle Teile des System werden per Hand sowie mehrmals geprüft. Doch dieser Vorgang liefert dem Tester immer wieder neue Erkenntnisse. So kann das eben erhaltene Ergebnis ein älteres beeinflussen und den Penetrationstester neue Angriffspunkte und Ideen liefern, das System nach Sicherheitslücken zu durchsuchen. Tools oder geradlinige Vorgehensweisen spielen beim Penetrationstest dementsprechend eine untergeordnete Rolle. Sie werden in der Regel zum Sammeln großflächiger und meist allgemeiner Informationen genutzt. Für den Penetrationstest selber sind sie allerings nur sekundärer Natur. Durch diese intensive sowie individuelle Arbeitsweise kann der Arbeitsaufwand je nach Inhalt, Systemart, Programmierweise des Ziels usw. variieren, wobei erfahrungsgemäß ein Gesamtzeitraum (einschließlich Protokollerstellung) von ~3 Wochen geschätzt werden kann.

Die Herausgabe von internen Daten für den Whitebox-Test:
Wie Sie die entsprechenden Daten dem Penetrationstester übergeben möchten, bleibt Ihnen überlassen. Beispielsweise können sie dem Angreifer einen Testaccount auf Ihrem System einrichten und alle vereinbarten Zugriffsrechte selbst festlegen. Oder sie übermitteln per E-Mail den entsprechenden Source-Code, welchen es zu prüfen gilt, per Upload-Hoster als komprimierte Datei usw.. Gerne nimmt der Penetrationstester die Daten auch vollkommen verschlüsselt per USB Stick, DVD... entgegen. Die Übertragungsweg ist dabei absolut flexibel.

»   professional pen testing (unnex.de) Impressum   «