Als Penetrationstest wird die Durchführung kontrollierter Hackerangriffe auf die eigenen
Computersysteme bezeichnet. Es kommen dabei die selben Methoden zum Einsatz, die auch ein fremder Angreifer benutzen würde, um sich
unberechtigten Zugriff auf Ihr Computernetzwerk zu verschaffen.
Das Ziel eines Penetrationstests ist es, die Wirksamkeit der Abwehrmaßnahmen (z. B. Firewall, System Logging, Intrusion Detection,
Anti-Virus und Content-Filter) zu testen und mögliche Schwachstellen zu finden.
Kein Unternehmen kann sich Schwächen der eigenen Infrastruktur leisten. Jeder Ausfall oder an die Öffentlichkeit gelangte interne Informationen bedeuten einen Wettbewerbsnachteil und damit direkt oder indirekt entgangene Gewinne. In Zeiten der totalen Vernetzung, etwa durch explosionsartige Verbreitung der günstigen DSL-Standleitungen, kombiniert mit fernadministrierbaren Netzwerken bei akutem Mangel des qualifizierten Personals ist die Gefahr besonders hoch. Hier helfen IT-Consulting-Unternehmen, die durch Penetrationstests die Schwächen der Systeme ausfindig machen.
Im Vorfeld eines Penetrationstests wird eine Untersuchung der Netzwerktopologie durchgeführt und mögliche Angriffsszenarien aufgestellt. Ausgehend von der gegebenen Situation können strategisch besonders wichtige oder am wenigsten geschützte Komponenten als Angriffsziele ausgesucht werden. Dabei kann mit verschiedenen Ausgangssituationen des möglichen Angreifers gearbeitet werden, etwa vorhandenes Wissen über die internen Systeme oder die Namen der Mitarbeiter (Social Engineering).
Nach definierten Anforderungen wird jede zu testende Komponente oder Schnittstelle Ihres Netzwerks individuell einem Penetrationstest unterzogen. Dabei wird besonders wichtigen zentralen Systemen die gebührende Aufmerksamkeit gewidmet. Natürlich kann festgelegt werden, ob der Test die laufenden Systeme stören darf.
Sie erhalten einen umfassenden Bericht zu gefundenen Schwachstellen, Erklärungen der jeweils von einer Schwachstelle ausgehenden Gefahren, sowie die zu ergreifenden Gegenmaßnahmen zur Beseitigung der Schwachstelle. Die Schwachstellen sind nach ihrem Gefahrenpotenzial sortiert und erlauben eine Steigerung der Systemsicherheit durch konsequentes Abarbeiten der Gegenmaßnahmen. Dieser Bericht dient somit als Maßnahmenkatalog für Ihre Administratoren.
In den meisten Fällen ist nach der Umsetzung des Maßnahmenkatalogs eine abschließende Kontrolle durch einen vereinfachten Security-Scan sinnvoll.
Die Umsetzung erfolgt nach den Vorgaben und Kriterien für Penetrationstests des Bundesamtes für Sicherheit in der Informationstechnik.
