Wie oft sollten wir uns einem Stifttest unterziehen?

Üblicher Rhythmus: jährlich für den allgemeinen Status, nach größeren Änderungen (neue Anwendung, Überarbeitung der Architektur) und gemäß den Compliance-Anforderungen (PCI-DSS erfordert jährliche Pentests für Karteninhaberumgebungen).

Pentest vs. Red Team – was ist der Unterschied?

Pentests zielen darauf ab, möglichst viele Schwachstellen in definierten Zielen zu finden. Red-Team-Einsätze simulieren spezifische reale Angriffe durchgängig (erster Zugriff, seitliche Bewegung, Exfiltration), um die Erkennungs- und Reaktionsfähigkeit zu testen. Das rote Team ist breiter, länger und oft verstohlener. Sehen Sie sich den Artikel unseres red-Teams an.

Lohnt sich ein Pentest für ein kleines Unternehmen?

Kommt darauf an, worum es geht. KMUs, die mit Kundendaten umgehen, Zahlungen annehmen oder in regulierten Branchen tätig sind, profitieren davon. Reine Broschüren-Websites ohne Benutzerdaten erhalten weniger Wert. Die Kosten reichen von einigen Tausend für den engen Anwendungsbereich bis zu Zehntausenden für den umfassenden Umfang.

Können Pentests jede Schwachstelle finden?

Nein. Sie finden heraus, was in der Zeit, die Menschen mit den von ihnen verwendeten Werkzeugen investieren, auffindbar ist. Zeitlich begrenzte Tests übersehen Dinge; Ausreichend gründliche Tests sind zu teuer, um sie häufig durchzuführen. Kombinieren Sie es mit kontinuierlichem Scannen und Bug-Bounty für eine mehrschichtige Abdeckung.

Müssen Penetrationstester Dinge kaputt machen?

Manchmal. Um die Wirkung zu demonstrieren, bedarf es oft tatsächlicher Ausbeutung. Seriöse Tester kommunizieren vor destruktiven Aktionen, nutzen nach Möglichkeit Staging und dokumentieren alles. Im Umfangsdokument sollten im Voraus die Grenzen für destruktive Maßnahmen festgelegt werden.

Penetrationstests erklärt: Was Pen-Tester tatsächlich tun

Penetrationstests – kurz Pentests – sind die autorisierte Simulation von Angriffen auf die Systeme einer Organisation, um Schwachstellen zu finden, bevor es Angreifer tun. Die Disziplin hat sich von klugen Einzelpersonen, die in Netzwerke einbrechen, zu einer strukturierten Branche mit methodischen Rahmenwerken, Zertifizierungen und behördlicher Anerkennung entwickelt. Wenn man versteht, wie echte Pentests aussehen, werden deren Wert und Grenzen deutlich.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Penetrationstests ist die autorisierte Praxis des Versuchs, die Systeme einer Organisation zu kompromittieren, um Sicherheitslücken zu identifizieren. Penetrationstester arbeiten im Rahmen einer schriftlichen Vereinbarung, die festlegt, was erlaubt ist, was verboten ist und welche Art von Berichterstattung folgt. Unbefugte Tests – selbst mit guten Absichten – stellen in den meisten Gerichtsbarkeiten eine kriminelle Aktivität im Stil von Computerbetrug dar.

Die Phasen eines Pentests

Scoping. Definieren Sie, was in den Umfang fällt (spezifische Netzwerke, Anwendungen, Zeitfenster), was nicht (produktionskritische Systeme, Daten von Drittanbietern), welche Techniken erlaubt sind (Social Engineering ja/nein, DoS ja/nein). Schriftlich dokumentiert.
Aufklärung. Informationsbeschaffung. OSINT, Netzwerkzuordnung, Port-Scanning, Dienstidentifizierung.
Schwachstellenidentifizierung. Scannen nach bekannten Schwachstellen, Untersuchen benutzerdefinierter Anwendungslogik, Identifizieren von Fehlkonfigurationen.
Exploitation. Versuch zu zeigen, dass Schwachstellen ausgenutzt werden können. Nicht nur „das könnte schlimm sein“, sondern „das ist genau das, was ein Angreifer tun würde.“ Wird gestoppt, wenn die Testziele erreicht sind Kategorien
- Externer Penetrationstest. Greifen Sie die Organisation aus dem öffentlichen Internet an. Was kann ein Außenstehender sehen, scannen und ausnutzen?
- Interner Penetrationstest. Was kann der Angreifer von dort aus erreichen? Ausnutzung.
- API-Penetrationstest. XPLZ52 Lambda.
- XPLZ59 versucht, Mitarbeiter zu manipulieren.
XPLZ71 Realistisch, aber langsam.
Gray Box. Begrenzte Informationen bereitgestellt (Kontoanmeldeinformationen, Netzwerkdiagramme). In der Praxis am häufigsten.
White Box. Voller Zugriff einschließlich Quellcode, Architekturdokumentation, Administratoranmeldeinformationen. Am gründlichsten; Findet Probleme, die automatisierte Tools und externe Tests übersehen könnten.

XPLZ87 Leitfaden für Sicherheitstests.
OSSTMM. XPLZ100 per se, aber ein Taktik-Techniken-Verfahrens-Framework, das häufig in Red-Team-Operationen verwendet wird.
XPLZ111 Recon-ng
Webtests: Burp Suite (Industriestandard), OWASP ZAP, sqlmap
Exploitation-Frameworks: Metasploit, Cobalt Strike (Red-Team-Standard), Empire, Sliver
Wireless: Aircrack-ng, Wifite, hcxdumptool
Passwortangriffe: Hashcat, John the Ripper
Betriebssystem: Kali Linux ist die Standarddistribution, die viele Tools bündelt
Pen-Tests vs. Schwachstellen-Scanning
Oft verwirrt; Wichtiger Unterschied:
Vulnerability scan – automatisiertes Tool, das bekannte Probleme auflistet. Günstig, schnell, kann wöchentlich ausgeführt werden. Übersieht Geschäftslogikfehler, verkettete Schwachstellen und Social-Engineering-Vektoren.
Penetrationstest – menschlicher Tester mit kreativen Methoden. Teuer, zeitaufwändig, findet Probleme, die Scanner übersehen. Typischerweise jährlich oder halbjährlich. Praktische 24-Stunden-Prüfung gegen anfällige Labore.
OSCE3 – erweiterte Web-App, Exploit-Entwicklung, drahtlose Zertifizierungen von Offensive Security (Zertifizierter ethischer Hacker). Firmen.
Die rechtliche und ethische Ebene
Pentests ohne schriftliche Genehmigung sind in den meisten Gerichtsbarkeiten eine Straftat – US CFAA, UK Computer Misuse Act, ähnliche Gesetze anderswo. Selbst mit Genehmigung kann Scope Creep zu rechtlichen Problemen führen. Die schriftliche Genehmigung (manchmal auch „Get Out of Jail Free Letter“ genannt) ist der rechtliche Schutz der Tester.
XPLZ41 Enthält:
Zusammenfassung für nicht-technische Führung
Schweregrad-bewertete Ergebnisse mit CVSS-Scores
Detaillierte Reproduktionsschritte für jedes Ergebnis
Screenshots und Proof-of-Concept-Beweise
Spezifische Abhilfemaßnahmen Empfehlungen
Aggregierte Beobachtungen zur Sicherheitslage
Die Ergebnisse sollten umsetzbar sein. „Sicherheitslücke

Häufig gestellte Fragen

Wie oft sollten wir uns einem Stifttest unterziehen?: Üblicher Rhythmus: jährlich für den allgemeinen Status, nach größeren Änderungen (neue Anwendung, Überarbeitung der Architektur) und gemäß den Compliance-Anforderungen (PCI-DSS erfordert jährliche Pentests für Karteninhaberumgebungen).
Pentest vs. Red Team – was ist der Unterschied?: Pentests zielen darauf ab, möglichst viele Schwachstellen in definierten Zielen zu finden. Red-Team-Einsätze simulieren spezifische reale Angriffe durchgängig (erster Zugriff, seitliche Bewegung, Exfiltration), um die Erkennungs- und Reaktionsfähigkeit zu testen. Das rote Team ist breiter, länger und oft verstohlener. Sehen Sie sich den Artikel unseres <a href="/learning/red-team-blue-team">red-Teams </a> an.
Lohnt sich ein Pentest für ein kleines Unternehmen?: Kommt darauf an, worum es geht. KMUs, die mit Kundendaten umgehen, Zahlungen annehmen oder in regulierten Branchen tätig sind, profitieren davon. Reine Broschüren-Websites ohne Benutzerdaten erhalten weniger Wert. Die Kosten reichen von einigen Tausend für den engen Anwendungsbereich bis zu Zehntausenden für den umfassenden Umfang.
Können Pentests jede Schwachstelle finden?: Nein. Sie finden heraus, was in der Zeit, die Menschen mit den von ihnen verwendeten Werkzeugen investieren, auffindbar ist. Zeitlich begrenzte Tests übersehen Dinge; Ausreichend gründliche Tests sind zu teuer, um sie häufig durchzuführen. Kombinieren Sie es mit kontinuierlichem Scannen und Bug-Bounty für eine mehrschichtige Abdeckung.
Müssen Penetrationstester Dinge kaputt machen?: Manchmal. Um die Wirkung zu demonstrieren, bedarf es oft tatsächlicher Ausbeutung. Seriöse Tester kommunizieren vor destruktiven Aktionen, nutzen nach Möglichkeit Staging und dokumentieren alles. Im Umfangsdokument sollten im Voraus die Grenzen für destruktive Maßnahmen festgelegt werden.