Der Penetrationstest ist ein umfassender Sicherheitstest für Ihren Rechner oder Ihr Netzwerk. Der Penetrationstest überprüft die Sicherheit möglichst aller Systembestandteile Ihres Rechners und der Anwendungen Ihres Softwaresystems. Der Pentest bedient sich aller Methoden und Mittel, die ein Hacker (Angreifer) verwenden würde, um in Ihr System einzudringen (penetrieren). Durch den Test wird die Empfindlichkeit Ihres Systems geprüft. Der Penetrationstest ist ein legales Mittel, um herauszufinden, welche Methoden illegale Angreifer anwenden. Der Hauptteil des Tests besteht aus Werkzeugen, die nahezu alle potentiellen Angriffsmuster nachbilden, die sich aus den mannigfaltigen Angriffsmethoden summieren. Der simulierte Angriff orientiert sich an dem Gefahrenpotential Ihres Systems, einer Anwendung oder eines Netzwerkes. So besitzt eine einfache Textverarbeitung weniger Gefahrenpotential als ein Webserver. Der Penetrationstest verfügt über Hilfswerkzeuge, die die Sicherheit überprüfen. Sie müssen also nicht selbst zum IT-Fachmann werden. Nicht verwechselt werden darf der Penetrationstest mit dem „Schwachstellentest“ (Vulnerability Scan). Dieser läuft in der Regel automatisch ab und bedarf keiner manuellen Vorbereitung in Form von Testverfahren, Zielnennung oder der Auswahl der nötigen Werkzeuge.
Penetrationstest: Einsatz und Zielsetzung
Zunächst sollten Sie wissen, was die Zielsetzung vom Penetrationstest ist, damit Sie die einzelnen Schritte leichter nachvollziehen können. Die Ziele des Penetrationstest sind vielfältig und umfassen:
– das Identifizieren von Schwachstellen Ihres Systems
– Erkennen der Ursachen der Schwachstellen
– das Erkennen möglicher Fehler, die durch eine fehlerhafte Bedienung entstehen können
– die maximale Erhöhung der Systemsicherheit auf organisatorischer und technischer Ebene
– die Bestätigung der Sicherheit Ihrer IT
[sc name=“adsense_InText_ad“]
Der Penetrationstest deckt auch die Ursachen auf, die zu den Schwachstellen führen. Dadurch sind Sie in der Lage, die Systeme effektiver zu betreuen und Maßnahmen zu ergreifen. Der Penetrationstest bedient sich auf legaler Weise den Mitteln krimineller Computerhacker und dient der Erkenntnis und der Prävention. Um den Test durchzuführen, müssen Sie kein IT-Spezialist sein und Computerbegriffe beherrschen. Mit dem Metasploit Framework Penetrationstest erhalten Sie ein einfaches Mittel mit effektiver Wirkung.
Penetrationstest: Vorgehensweise
Zunächst ist es wichtig, sich Informationen zu beschaffen und zu wissen, über welche IP-Adressen das Ziel erreichbar ist. Im nächsten Schritt ist zu ermitteln, welche Programme und Dienste sich von der Seite des Hackers aus ansprechen lassen (so genannter „Portscan“). Im dritten Schritt folgt die System- und Anwendungserkennung. Dabei erfolgt eine Analyse der Systemdienste mit dem Ziel, zu erfahren, welche Programmversionen von Hackern ermittelbar sind oder erraten werden können. Der vierte Schritt des Penetrationstests befasst sich mit der Recherche nach potentiellen Schwachstellen des Systems. Da bekannt ist, welche Systeme und Programme zu erreichen sind, kann jetzt mit der Suche nach Sicherheitslücken begonnen werden. Im letzten Schritt kommt die Wahrheit ans Licht und es findet der Angriff auf das System statt. Im schlimmsten Fall führt dieser dazu, dass der Angreifer auf das komplette System zugreifen kann. Mit einem Penetrationstest versetzen Sie sich in einen Hacker und führen einen Angriff durch. So ist es möglich, Schwachstellen aufzudecken und Sicherheitslücken zu schließen.
Der Penetrationstest ist real und findet tatsächlich statt. Es ist zwar ein selbstständig durchgeführter Angriff auf das eigene System, zeigt aber deutlich, wie gefährdet Ihr System tatsächlich ist. Im Rahmen von Netzwerken kann der Pentest feststellen, wie weit Hacker im Ernstfall wirklich in das System eindringen könnten. Sie müssen keine Befürchtungen haben. Der Pentest zeigt Ihnen lediglich, wie angreifbar Ihr Computer oder System ist und richtet keinen Schaden an. Die Prävention liegt bei dem Pentest in der Vorführung der Realität, die im Ergebnis schützt.
Rechtlicher Rahmen? Was ist zu beachten?
In Deutschland, der Schweiz und Österreich sind Penetrationstest nur erlaubt, wenn diese zwischen der durchführenden Organisation und dem zu testenden System vereinbart wurden. Das ist dadurch begründet, dass einzelne Tests Straftaten beinhalten können. Hintergrund bildet das Ausspähen von Daten, wenn der Test unautorisiert gemacht wird. Der Testende muss eine eindeutige Befugnis erhalten, um die Penetrationstests legal und ohne rechtliche Konsequenzen durchzuführen. Eine Organisation darf zudem keine Aufgaben an Dritte delegieren und nur Objekte testen, für die eine Authorisierung besteht. Der Gesetzgeber sowie Gerichte haben in Entscheidungen sowie Stellungsnahmen herausgestellt, dass der gutwillige Einsatz von Penetrationstests wie das Metasploit Framework durch Fachpersonal oder Inhaber der Systeme nicht unter den Straftatbestand des § 202c StGB (Hackerparagraph) fällt.
Dieser Artikel ist Teil unseres kostenlosen Workshops “Eigene IT-Systeme hacken” – Geeignet für fortgeschrittene & professionelle PC-Anwender. Machen auch Sie mit und lernen Sie in 5 Artikeln, wie Sie Ihre eigenen IT-Systeme auf Sicherheitslücken prüfen!
Artikelbild: Tomasz Zajda / Fotolia
