Penetrationstest

Ein Penetrationstest penetriert (lat. penetrare = eindringen, durchdringen) eine Applikation oder z.B. auch einen Basisdienst, ohne Schäden verursachen zu wollen. Mit den Erkenntnissen hieraus sollen bestehende Sicherheitslöcher in Applikationen oder Diensten geschlossen werden.

Szenario

Besonders die als Dienste (für Dritte oder eigene Mitarbeiter) bereitgestellten Applikationen (z.B. Webportale für Kunden und Partner, Datenbanken für den Außendienst und Lieferanten, ...) stellen häufig hohe Sicherheitsrisken dar. Oft werden sie von Programmierern erstellt, die nur sehr unzureichend über Sicherheitsrisiken informiert sind. Und so reichen oft schon allgemein bekannte Methoden aus, um Dritten den Zugriff auf interne Datenbestände, die von den Applikationen genutzt werden, zuzugreifen oder die Kommunikation mit diesen Applikationen auszuspionieren oder zu manipulieren.

Dass solche Szenarien sogar für besonders sicher konzipierte Systeme keine Seltenheit sind, zeigt die stetige Diskussion über die Sicherheit des Online-Banking, bei dem die Banken im Internet Portale bereitstellen. Es liegt auf der Hand, dass individuell konfigurierte oder gar im eigenen Hause entwickelte Applikationen hier für Angreifer deutlich bessere Voraussetzungen und Möglichkeiten bieten.


Ablauf

Es finden nach initialen Scans echte mit dem Kunden abgestimmte Angriffe auf die Applikation statt, die jedoch dann abgebrochen werden, wenn durch die Fortsetzung des Angriffs Schäden zu befürchten sind. Aufgrund der Ergebnisse können die Einbruchstellen recht detailliert beschrieben werden, so dass die Administratoren oder ggf. die Entwickler der Applikation Maßnahmen zur Beseitigung der Einbruchstelle ergreifen können. Ein abschließende Wiederholung des Tests soll den Erfolg der veranlassten Maßnahmen dokumentieren.

zurück zur vorhergehenden Seite Seite drucken



Informationen
Freecall: 0800 ESC 0800