Mit einem Penetrationstest werden Sicherheitslücken in einem IT-Netz oder eine einzelne Webanwendung überprüft. Hier ist Know-How gefragt.
Wenn diese schlecht oder unzureichend konfiguriert sind, können Angreifer problemlos an die Daten und Betriebsgeheimnisse des Unternehmens heran und somit die Sicherheit gefährden.
Bei einem Penetrationstest wird das Vorgehen eines potentiellen Angreifers simuliert, um einen Zugang zum Netzwerk des Unternehmens zu bekommen, z. B. mit Hilfe der Einschleusung von Schadsoftware.
Jedes Unternehmen hat Angriffspunkte, dessen Beschädigung die Integrität in Frage stellen kann, bis hin zum fatalen Imageschaden.
Meistens werden solche Tests von externen Dienstleistern durchgeführt, die ein entsprechendes Know-How mitbringen, um solche Tests auch realistisch simulieren zu können.
Geprüft werden in der Regel die installierten IT-Anwendungen (z.B. Webanwendung, Mailserver, etc.), sowie die entsprechenden Trägersysteme (Datenbank, Betriebssystem, etc.). Über Router, Switches, Gateways, Firewall, verschiedene Server, Telekommunikationsanlagen, Internetauftritt, Shopsystem, Clients, WLAN, und noch einiges mehr wird alles genau unter die Lupe genommen. Auch die Infrastruktur des Unternehmens spielt dabei eine wichtige Rolle.
Diese Tests können in unterschiedlichen Tiefen durchgeführt werden.
Als Hilfestellung hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) einen kostenlosen Leitfaden herausgegeben. Dieser beinhaltet praktische Hilfestellungen, Checklisten und Beschreibungen.
- Download: Praxis-Leitfaden für IS-Penetrationstests (PDF)