Was ist ein Penetrationstest?
Schwachstellen in IT-Systemen können für viele Unternehmen schwerwiegende Konsequenzen haben. Ein Penetrationstest (auch häufig als “Pentest” bezeichnet) ist dabei ein wichtiges Instrument zur Erkennung dieser Schwachstellen. Wenn durch einen erfolgreichen Angriff von Hackern beispielsweise ganze Produktionsanlagen und kritische Infrastrukturen ausfallen, kann in kürzester Zeit ein hoher wirtschaftlicher Schaden entstehen. Die Bedrohungsszenarien und Auswirkungen für ein Unternehmen sind dabei sehr individuell. Dies gilt es auch bei der Sicherheitsprüfung von IT-Umgebungen oder von einzelnen Komponenten zu berücksichtigen.
Mit einem Penetrationstest bieten wir Ihnen hierzu eine gezielte Überprüfung von IT-Umgebungen oder von einzelnen Komponenten, unter Berücksichtigung individueller Bedrohungsszenarien. Zielsetzung eines Penetrationstests ist hierbei insbesondere die Bewertung vorhandener Risiken für die spezifischen Bedrohungsszenarien. Es soll zudem eine Aussage getroffen werden, was ein Angreifer in einem begrenzten Zeitfenster im schlimmsten Falle erreichen kann.
Unsere Pentests basieren auf fundiertem Know-how und werden ausschließlich von Experten mit entsprechender Qualifikation durchgeführt. Nur so können die Ergebnisse realitätsnah und aussagekräftig sein.
Ziel
Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien durch zielgerichtete Angriffe über die Identifikation und Ausnutzung von Schwachstellen
Fragestellung
Was kann ein Angreifer im Rahmen eines definierten Zeitfensters im schlimmsten Falle erreichen?
Scope
Für Bedrohungsszenario relevante IT-Systeme und Komponenten
Ablauf eines Penetrationstests: Methodik & Vorgehen
Im Rahmen der Durchführung von Penetrationstests werden dazu, ausgehend von spezifischen Bedrohungsszenarien, gezielte Angriffsvektoren definiert. Diese werden anschließend in den Penetrationstests einbezogen und durch unsere spezialisierten Mitarbeiter simuliert.
Abhängig von Perspektive (extern, intern, privilegierte Benutzer), Szenario und Zielsetzung werden unter anderem Netzwerkkomponenten, Server, Anwendungen oder Clients in die Angriffsversuche einbezogen. Ausgehend von den vorgegebenen Bedrohungsszenarien, werden dabei zunächst einzelne IT-Systeme detailliert auf Angriffsflächen analysiert. Anschließend werden über die identifizierten Problembereiche konkrete Angriffe auf die Systeme durchgeführt, um entweder direkt oder durch die Ausnutzung verketteter Angriffsflächen die gesetzten Ziele zu erreichen. Die Durchführung erfolgt bei komplexeren IT-Umgebungen grundsätzlich durch ein Team von zwei Personen.
Kernbestandteile eines SCHUTZWERK Penetrationstests
Der Pentest umfasst üblicherweise folgende Punkte:
- Erfassung erreichbarer externer und / oder interner IT-Systeme und Dienste
- Identifikation von Angriffsflächen auf Basis der definierten Bedrohungsszenarien
- Ausnutzung bzw. manuelle Verifikation identifizierter Sicherheitslücken mittels direkter Angriffe auf Systeme
- Iteration der vorherigen Schritte bei Vordringen in weitere Bereiche der Systeme bzw. der Infrastruktur (Post Exploitation)
- Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung
Test- und Angriffsszenarien können innerhalb des Assessments gegenüber den Systemverantwortlichen erläutert und bei Bedarf angepasst werden.
Penetrationstests und relevante Regulierungen & Standards
Penetrationstests sind ein entscheidender Bestandteil zahlreicher Regulierungen und Compliance-Anforderungen, die für verschiedene Branchen relevant sind. Sie unterstützen Unternehmen nicht nur dabei, das Sicherheitsrisiko zu verringern, sondern helfen auch bei der Einhaltung gesetzlicher und branchenspezifischer Vorgaben:
ISO 27001 - Für die Zertifizierung nach diesem international anerkannten Standard für Informationssicherheit sind Penetrationstests zwar nicht explizit vorgeschrieben, werden aber zur Erfüllung bestimmter Kontrollen empfohlen. Insbesondere unterstützen Penetrationstests bei der Umsetzung der Kontrollen A.8.8 (Handhabung von technischen Schwachstellen) und A.8.29 (Sicherheitsprüfung bei Entwicklung und Abnahme) und bieten wichtige Nachweise für Ihr Informationssicherheits-Managementsystem (ISMS).
TISAX (Trusted Information Security Assessment Exchange) - Diese branchenspezifische Anforderung der Automobilindustrie empfiehlt für Unternehmen mit erhöhtem Schutzbedarf Penetrationstests, insbesondere in den Kontrollen 5.2.6 und 5.3.1. Seit April 2024 wird für kritische IT-Systeme oder Dienste sowie für eigenentwickelte oder stark angepasste Software die Durchführung manueller Penetrationstests in regelmäßigen Abständen ausdrücklich empfohlen.
DORA (Digital Operational Resilience Act) - Diese EU-Verordnung für den Finanzsektor führt mit dem Threat-Led Penetration Testing (TLPT) einen neuen Standard für fortgeschrittene Sicherheitstests ein. TLPT geht über klassische Penetrationstests hinaus und simuliert realistische Angriffe unter Verwendung aktueller Bedrohungsinformationen. Für bestimmte Finanzinstitute ist die Durchführung von TLPT verpflichtend. Bei TLPT wird ein verdeckter Test durchgeführt, bei dem das Verteidigerteam nicht weiß, dass ein Test stattfindet, um eine authentischere Bewertung der Erkennungs- und Reaktionsfähigkeiten zu ermöglichen (siehe auch Red Teaming ). Die TLPT-Methodik unter DORA basiert auf dem TIBER-EU-Rahmenwerk (Threat Intelligence-based Ethical Red Teaming), wobei in Deutschland die operative Umsetzung durch die Deutsche Bundesbank im Rahmen von TIBER-DE erfolgt, ähnlich wie bereits vor der Einführung von DORA.
PCI DSS - Der Payment Card Industry Data Security Standard verlangt regelmäßige Penetrationstests für Systeme, die Zahlungskartendaten verarbeiten. Nach Requirement 11.4 müssen jährlich sowie nach größeren Änderungen an Infrastruktur oder Anwendungen Penetrationstests durchgeführt werden.
KRITIS / NIS2 - Für Betreiber kritischer Infrastrukturen und wesentliche Dienstleister legen sowohl die deutsche KRITIS-Verordnung als auch die europäische NIS2-Richtlinie hohe Sicherheitsanforderungen fest. Regelmäßige Penetrationstests sind ein wichtiges Instrument, um die geforderten technischen Schutzmaßnahmen zu validieren und mögliche Schwachstellen zu identifizieren.
BSI IT-Grundschutz - Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz empfiehlt an mehreren Stellen die Durchführung von Sicherheitstests als Teil eines umfassenden Sicherheitskonzepts. So fordert der Baustein NET.3.2 (Firewall) in den Standard-Anforderungen (NET.3.2.A24) regelmäßige Penetrationstests. Im Baustein SYS.2.5 (Client-Virtualisierung) wird bei der Anforderung SYS.2.5.A17 “Erweitertes Monitoring der virtuellen Clients (H)” für erhöhten Schutzbedarf festgelegt, dass virtuelle Clients “automatisch und regelmäßig auf Schwachstellen überprüft werden SOLLTEN”. Der Baustein OPS.1.1.6 (Software-Tests und -Freigaben) fordert hingegen explizit ein Konzept für Penetrationstests mit dokumentierten Testmethoden und Erfolgskriterien (OPS.1.1.6.A14). Das BSI stellt hierfür auch eine Studie “Durchführungskonzept für Penetrationstests” als Orientierungshilfe zur Verfügung.
Unsere Penetrationstests werden nach anerkannten Teststandards und entsprechend der branchenspezifischen Anforderungen durchgeführt. Durch die Zusammenarbeit mit unseren Experten stellen Sie sicher, dass Ihre Penetrationstests nicht nur Ihre Sicherheitslage verbessern, sondern auch die für Ihre Organisation relevanten Compliance-Anforderungen erfüllen.
Penetrationstest Ergebnisse: Risikobewertung & Maßnahmen
Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:
- Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
- Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
- Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
- Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
- Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
- Beschreibung von Maßnahmen zur Behebung der Schwachstellen
- Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.
Unterschiede: Penetrationstest vs. Red Teaming
Im Gegensatz zu einem Red Team Assessment , das meist über einen längeren Zeitraum erfolgt und als Ziel Ihre Abwehrmechanismen testet, werden im Penetrationstest zielgerichtete Angriffe in kurzer Zeit auf einen meist eingeschränkten Umfang (zum Beispiel ein konkreter IP-Adressbereich oder ein konkretes Bedrohungsszenario) ausgeführt. Bei einem Penetrationstest wird üblicherweise kein Wert darauf gelegt, dass die Angriffe unentdeckt bleiben, da diese für alle Beteiligten möglichst transparent durchgeführt werden. Der Fokus liegt auf einer möglichst effizienten Durchführung der Tests.
Der Fokus beim Red Teaming liegt hingegen auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit ausgerichtet sind. Zielsetzung dieser Projekte ist die Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.
Penetrationstest oder Schwachstellenanalyse?
Im Gegensatz zur zielgerichteten Vorgehensweise eines Penetrationstests , liegt der Schwerpunkt der Schwachstellenanalyse auf einer möglichst breiten und umfassenden Prüfung. Die Basis des Assessments bilden automatisierte Scans, deren Ergebnisse anschließend manuellen Risikoanalysen und -bewertungen unterzogen werden.
Die Ausnutzung nachgelagerter Schwachstellen (Post Exploitation) wie sie bei einem Penetrationstest angewendet wird, um möglichst weit in eine Infrastruktur oder ein IT-System vorzudringen, ist hingegen nicht Bestandteil der Schwachstellenanalyse.
Spezialisierte Penetrationstests für verschiedene IT-Bereiche
Je nach Untersuchungsobjekt bieten wir Ihnen auch spezifische Varianten eines Penetrationstests an:
- Web Application Security Assessment
- Mobile Application Security Assessment
- Cloud Security Assessment
- Endpoint Security Assessment
- Embedded Security Assessment
- Automotive Security Assessment
SCHUTZWERK - Ihr zertifizierter Penetrationstest-Anbieter
Als erfahrener IT-Sicherheitsdienstleister und Penetrationstester bietet SCHUTZWERK professionelle Penetrationstests, um Unternehmen gezielt bei der Erhöhung ihrer Informationssicherheit und Cybersicherheit zu unterstützen.
Penetrationstests sind ein zentraler Bestandteil jeder nachhaltigen IT-Security-Strategie. Dabei kombinieren wir automatisierte Verfahren mit manuellen Analysen, um Sicherheitslücken präzise zu identifizieren.
Die Durchführung eines Penetrationstests ermöglicht es, sowohl Webanwendungen als auch komplexe IT-Infrastrukturen auf Schwachstellen zu prüfen – bevor Hacker sie für Angriffe oder Cyber-Attacken nutzen können. Gerade bei webbasierten Anwendungen ist ein fundierter Test unerlässlich: Sicherheitslücken, die von Hackern gezielt ausgenutzt werden könnten, werden systematisch aufgedeckt – und können anschließend gezielt behoben werden.
Auf Wunsch führen wir nach dem Pentesting einen Re-Test durch, um sicherzustellen, dass alle gefundenen Problemfelder erfolgreich behoben wurden. So stärken Sie Ihre IT-Security dauerhaft – mit höchsten Standards, praxisnaher Expertise und klarer Orientierung an Ihrer individuellen Bedrohungslage.