Beitrag aktualisiert am 15. März 2020
Unternehmen, die Dienstleistungen anbieten oder einen Onlineshop besitzen hantieren mit Kundendaten. Es wäre ein Fauxpas, wenn diese in falsche Hände geraten. Doch die IT Sicherheit ist in vielen Unternehmen mangelhaft, auch wenn sie auf den ersten Blick gut aussieht.
Bei einem Penetration Test wird ein externes Unternehmen engagiert, welches mittels üblicher Angriffe die eigene IT Sicherheitsstruktur testet. Der Grund für einen Penetration Test kann sowohl präventiv als auch reaktiv erfolgen. Eventuell wurde der eigene Shop oder ähnliches bereits einmal gehackt oder man möchte sich darauf vorbereiten.
Werbung
Penetration Test Methoden
Bei der Durchführung eines Penetration Tests kann zwischen drei verschiedenen Methoden differenziert werden.
Bei der Black Box Methode erhält der „Hacker“ absolut keine Informationen über das Unternehmen sowie deren Infrastruktur. Dieser Test entspricht einem realen Angriff und der Angreifer muss sich diverse Informationen über die Webseite und Social-Media-Kanäle selbst beschaffen.
Die Whitebox Methode zeigt das genaue Gegenteil. Hierbei erhält der Angreifer 100 %ige Transparenz über das Unternehmen, die Infrastruktur, den Programmcode und Co. Der Vorteil dieser Methode: Durch die Offenlegung des Codes und der Systeme kann der Angreifer gezielt nach Schwachstellen suchen.
Die Grey Box Methode stellt einen Mittelwert zwischen der Black Box und der White Box Methode dar. Hierbei werden lediglich ein paar relevante Informationen preisgegeben und beim Erstgespräch mitgeteilt.
Arten von Penetrationstests
Ein Pentest kann sowohl auf der Server- als auch auf der Anwendungseben durchgeführt werden.
Zu erster Kategorie gehört das Testen von diversen Server Systemen, der Firewalls, und anderen Zugängen. Bei letzterer Kategorie werden primär Onlineshops auf ihre Sicherheit getestet. Der Knackpunkt hierbei ist natürlich der Login. Aber auch im Webdesign können Schwachstellen liegen.
Rechtliche Aspekte beim Penetration Test
Selbstverständlich muss einen Vertrag zwischen beiden Parteien geben. Andernfalls wäre die Durchführung eines solchen Tests illegal und würde strafrechtlich verfolgt. Dabei dürfen lediglich Objekte getestet werden, die in direktem Bezug zum Unternehmen stehen. Sämtliche Server und Systeme, die dritten angehören dürfen nicht in den Test hineingeraten. Bei Auftragserteilung muss detailliert festgehalten werden, welche Objekte getestet werden dürfen.
Abschließend sollte geschaut werden, dass das Unternehmen mit professionell ausgebildeten Fachkräften arbeitet und nicht mit ehemaligen Hackern. Letztere kennen natürlich viele Sicherheitslücken, welche kaum bekannt sind, bei diesen ist jedoch die Gefahr des Rückfalls sehr große und das Risiko für das Unternehmen zu hoch.
Weitere Beiträge
Wer schreibt hier: Torsten Seidel
Gambio Shop-Einrichtung und Pflege
Mehr über den Autor...