leer

Penetrationstests (ethisches Hacken) von Anwendungen und Systemen

Ziel eines Penetrationstests ist die Prüfung möglichst aller Systeme und darauf laufender Anwendungen innerhalb eines vorher festgelegten Rahmens, zum Beispiel dem Computernetzwerk eines Unternehmens. Bei den Versuchen dieses zu kompromittieren (ugs. hacken) bedient sich der Sicherheitsfachmann all jener Werkzeuge und Methoden, die auch ein echter Angreifer benutzen würde, um autorisiert Zugang zu erlangen und Schaden anzurichten.

Penetration Testing

Im Gegensatz zu rein automatisierten Vulnerability Scans bedarf es bei einem echten Penetrationstest einer manuellen Vor- und Nachbereitung, um Ziele zu definieren und Schwachstellen auch nachhaltig zu schließen.

Gerade letzteres verlangt häufig nicht nur reine technische Nachbesserung, sondern auch ein organisatorisches Umdenken, das zukünftigen Lücken bereits präventiv entgegenwirkt. Doch selbst dann sollte ein Penetrationstest eher als Momentaufnahme verstanden werden und nicht als dauerhaftes Gütesiegel, da schon kleine Änderungen an getesteten Komponenten oder eine neu entdeckte Schwachstelle (eng. zero day) ein System erneut verwundbar machen können.

Nicht umsonst wird dem renommierten Kryptographie-Experten Bruce Schneier der schon vor mehr als zehn Jahren häufig zitierte Grundsatz des modernen Sicherheitsverständnisses zugeschrieben:

Security is a process, not a product.


Weiter: Source Code Analyse