Mittels unseres Penetrationstests prüfen wir die Sicherheit eines Netzwerk- oder Softwaresystems mit den Mitteln und Methoden, die ein Hacker anwenden würde, um unautorisierten Zugriff in das System zu erlangen. Der Penetrationstest ermittelt die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe.

Bei den Zielen eines Penetrationstests ist zwischen allgemeinen Zielen und spezifischen Zielen zu unterscheiden.

 

Allgemeine Ziele

Allgemeine Ziele eines Penetrationstests sind die Identifikation von Schwachstellen und die Erhöhung der Sicherheit der technischen Systeme durch Behebung der Schwachstellen. Andererseits dient ein Penetrationstest auch der Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur, sowie der Bestätigung der IT-Sicherheit durch einen externen Dritten.

 

Spezifische Ziele

Die spezifischen Ziele eines Penetrationstests können anhand der zu untersuchenden Testgegenstände abgeleitet werden. Im Falle der Untersuchung von (Web-)Applikationen sind dies beispielsweise die Detektion von unsicheren Interaktionen zwischen verschiedenen Komponenten der Applikation, Schwachstellen beim Umgang mit Ressourcen (Datei-/ Bilder-Upload, Datenbankinput), fehlerhaft implementierte Sicherheitsmechanismen und Schwachstellen in der Applikationslogik selbst.

Weiterhin werden auch die zugrundeliegenden Systeme (Webserver, Applikationsserver, Datenbankserver) auf Schwachstellen und angreifbare Services untersucht.

 

Standards für die Durchführung von Penetrationstests

Es existieren diverse Standards für die Durchführung von Penetrationstests. Die im Folgenden beschriebene Methodik eignet sich, um Prüfungen konform zu verschiedenen etablierten Prüfstandards vorzunehmen. Zu nennen sind hierbei insbesondere:

• das Vorgehensmodell des BSI lt. Studie Durchführungskonzept für Penetrationstests
• das Open Source Security Testing Methodology Manual (OSSTMM)
• der OWASP Testing Guide

 

Generell klassifizieren wir die Testdurchführung in mehrere Phasen.

mehr …

Top