Penetrationstests
Bei einem Penetrationstest wird das Vorgehen eines echten Angreifers simuliert (Ethical Hacking), mit dem Ziel, Zugriff auf Systeme oder Applikationen bzw. sensitive Daten zu erlangen. Im Gegensatz zu klassischen Audits, bei welchen nur Schwachstellen identifiziert und dokumentiert werden, steht bei einem Penetrationstest das Ausnutzen der gefundenen Schwachstellen im Vordergrund (Proof of Vulnerability).
Dies hat den Vorteil, dass Schwachstellen sofort verifiziert und somit „False Positives“ eliminiert werden können.
Ein Penetrationstest umfasst sowohl den Einsatz automatisierter Werkzeuge sowie manuelle Prüfmethoden um das Sicherheitsniveau von externen als auch internen Blickwinkeln zu bewerten.
Penetrationstests besitzen sehr viele Facetten, wie beispielsweise:
- Web-Applikationen
- Client- und Server-Systeme
- Netzwerkkomponenten
- WLAN, Bluetooth, RFID
Social Engineering
Eine Besonderheit bei Penetrationstests ist das sogenannte Social Engineering. Hierbei werden Schwachstellen menschlicher Komponenten ausgenutzt, um Zugriff auf Systeme oder vertrauliche Daten zu bekommen.
Vor allem in Kombination mit technischen Angriffen ist diese Art des Penetrationstests sehr effizient.
Beispiele:
- Einschleusen von Trojanern per eMail oder „verlorener“ USB-Sticks
- Umgehung von Zutrittskontrollen
- Sammeln von vertraulichen Dokumenten aus Druckern oder Containern (Dumpster-Diving)
- ...
„Social Engineering“-Tests werden gerne auch im Zusammenhang mit Awareness-Maßnahmen durchgeführt.