Phase 1 – Vorbereitungsphase

In der Testvorbereitungsphase wird festgelegt, was und in welchem Umfang getestet wird. In der Testdurchführungsphase werden die einzelnen Tests, wie zuvor spezifiziert, nach dem erstellten Testplan und anhand der festgehaltenen Vorgehensweise im Testkonzept durchgeführt. Weitere wichtige Punkte innerhalb dieser Phase sind:

  • Definition der Testziele
  • Klärung der rechtlichen Rahmenbedingungen
  • Erstellung des Testkonzepts
  • Erstellung des Projektmeilensteinplans und der Planung
  • Bestimmung der Testauswertungsregeln
  • Klärung offener Fragen und Wünsche des Kunden zum Testablauf

 

Phase 2 – Informationssammlung

Bevor ein Angreifer einen Angriff auf eine IT-Infrastruktur ausführt, wird er versuchen, so viele Informationen (IP-Adressen, Server, offene Ports, usw.) wie möglich über das Ziel mittels spezieller Tools zu sammeln. Ein Test-Team muss auch in gleicher Weise vorgehen, um einen Penetrationstest erfolgreich durchführen zu können. Erfolgreich heißt, dass das Test-Team diese Wege kennt, ausprobiert und letztendlich Hinweise gibt, wie die Angriffe zukünftig verhindert werden können.

Fehlt im ersten Schritt z.B. ein Zugang zum Netzwerk der anzugreifenden Server, so versucht das Test-Team Informationen über die öffentlich verfügbaren Rechner (Internet, RAS-Server, etc.) und über die interne Netzstruktur zu erlangen. Es steht hier eine große Anzahl von Möglichkeiten und Tools zur Informationsbeschaffung zur Verfügung. Dies ermöglicht einerseits eine umfangreiche Untersuchung, verlangt im Gegenzug allerdings ein genaues und diszipliniertes Vorgehen, um sich wichtige strategische Vorteile zu verschaffen.

 

Phase 3 – Informationsbewertung

Gemäß den Ergebnissen der vorherigen Phase wird nun die IT-Landschaft für mögliche Angriffe ausgewählt. Das Test-Team wählt die entsprechenden Systeme nach Anzahl der gefundenen Schwachstellen oder potenziellen Gefährdungen/Risiken aus und nimmt dazu die Hilfe von sogenannten Vulnerability Scannern, als auch die Modellierung der Angriffe mittels Angriffsbäumen (Attack Trees) in Anspruch.

Hinweis: Die bereits identifizierten kritischen Bereiche können sich im Laufe des Penetrationstests nach Ergebnis der Informationsbeschaffung teilweise noch deutlich ändern.

 

Phase 4 – Aktive Angriffsversuche

Ziel dieser Phase ist die erfolgreiche Durchführung von aktiven Angriffsversuchen aus Sicht eines Angreifers, um potentielle Schwachstellen aufzuzeigen. Dies wird mittels der folgenden Maßnahmen erreicht:

  • Planung der Angriffe (mittels Attack Tree)
  • Durchführung der Angriffe
  • Individuelle Entwicklung von Exploits zur Ausnutzung von detektierten Schwachstellen

Hier werden die ausgewählten Systeme aktiv angegriffen, Ziel ist dabei das Erlangen von administrativen Systemrechten. Solche Angriffe sollten mit besonderer Vorsicht durchgeführt werden, um potentiellen Schaden beim Auftraggeber auszuschließen. Dies bedeutet, daß Angriffe nur nach Absprache durchgeführt werden und die zuständigen Systembetreuer informiert sind, falls die Möglichkeit besteht, dass wichtige Systeme von Systemabstürzen aufgrund der Angriffe betroffen sind. Die Ergebnisse der Eindringversuche (erfolgreich oder nicht erfolgreich) werden nach Ausführung detailliert protokolliert und beschrieben.

 

Phase 5 – Dokumentation/ Reporting

Nach der Durchführung der Testtätigkeiten wird der Abschlussbericht des Penetrationstests erstellt.

Hierbei werden die folgenden Schritte durchgeführt:

  • Sammlung der Testergebnisse
  • Bewertung der Testergebnisse durch das Test-Team
  • Darstellung der Risiken
  • Empfehlung von Maßnahmen zur Problembeseitigung sowie von Gegenmaßnahmen
  • Entwicklung eines Aktionsplans zur Beseitigung der gefundenen Schwachstellen

In dieser abschließenden Phase werden die Testergebnisse in einem Bericht zusammengefasst und bewertet. Das Test-Team achtet hierbei darauf, dass alle durchgeführten Tests nachvollziehbar und ausreichend dokumentiert worden sind. Zudem informiert das Test-Team nach dem zuvor festgelegten Turnus (täglich, wöchentlich) den Kunden mittels eines Berichts. Informationen zu gefundenen Schwachstellen werden dem Kunden nach der Detektion mittels eines Defekt-Reports zur Verfügung gestellt.

Top