zur Startseite zur Hauptnavigation zum Hauptinhalt zum Kontaktformular zum Suchformular
Titelbild Pentesting
3 Fragen - 3 Antworten
Den Cyberangriff simulieren

Hannes König: Den Cyberangriff simulieren

16. Juni 2022 |  Allgeier CyRis

Den Cyberangriff auf das eigene Unternehmen simulieren, das leistet ein Penetrationstest, kurz Pentest. Hannes König erklärt in unserem Interviewformat „3 Fragen – 3 Antworten“ wie Pentests funktionieren und wie Unternehmen sie nutzen können.

Interviewpartner Hannes

Hannes, was ist unter einem Pentest zu verstehen und welche besonderen Vorteile er bietet?

Ein Pentest ist – vereinfach gesagt – ein umfassender, simulierte Angriff auf für IT-Systeme und Netzwerke, um die Angreifbarkeit von außen und auch intern zu überprüfen. Dabei nehmen zertifizierte Penetrationstester die Perspektive eines Hackers ein und versuchen mit verschiedenen Mitteln und Tools, die Sicherheit des IT-Systems auszuhebeln. Dieser Perspektivwechsel erlaubt es dem Tester, andere Sicherheitsaspekte zu überprüfen als dem internen IT-Sicherheitspersonal. Pentests sind daher ein wichtiger Teil im IT-Sicherheitsprozess und sollten regelmäßig durchgeführt werden.

 

Und was können Unternehmen mit einem Pentest konkret erreichen?

Das Ziel dieses kontrolliert durchgeführten Angriffs ist es, möglichst viele Daten über das IT-Sicherheitsniveau zu sammeln und konkrete Schwachstellen in der Sicherheit aufzudecken. Der gesamte Test wird genau protokolliert, alle Maßnahmen sind am Ende nachvollziehbar. Ein abschließender Bericht führt sämtliche Schwachstellen auf und bietet Lösungsansätze, um die IT-Sicherheit zu verbessern.

Welche verschiedenen Formen von Penetrationstest gibt es?

Für die Durchführung eines Penetrationstests benötigt ein IT-Sicherheitsanalytiker den ausdrücklichen Auftrag des Kunden. Erhält er keine weiteren Informationen über Beschaffenheit beziehungsweise Zustand der IT-Systeme, handelt es sich um einen sogenannten Black-Box-Pentest. Ein Black-Box Pentest kommt der Realität am nächsten, da einem potenziellen Hacker ebenfalls keine Informationen zur Verfügung stehen und er diese erst einholen oder herausfinden muss. Demgegenüber steht der White-Box-Test, bei dem der IT-Experte grundlegende Informationen über das System oder auch Credentials von Mitarbeitern, das er penetrieren soll, sowie auch das IT-Sicherheitskonzept mit der Dokumentation der zugehörigen IT-Infrastruktur erhält. Wird nur ein gewisser Teil der möglichen Informationen vorab zur Verfügung gestellt, wird von einem Grey-Box-Test gesprochen. Daneben existieren noch weitere Formen wie Social Engineering Pentest oder Innentäter Audit. Welche Methode zum Einsatz kommen soll, das hängt wesentlich von den Zielen des Auftraggebers und vom gewünschten Erkenntnisgewinn ab.

 

Informationen zum Penetrationstest von Allgeier CyRis finden Sie hier

Artikel teilen: