Penetration Tests und Vulnerability Scans

Penetration Tests und Vulnerability Scans

5. Juni 2021 - Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Ein strukturiertes Vorgehen ist dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der eingesetzten IT-Mittel zu erhalten und diese in Vergleich zu setzen.
Artikel erschienen in IT Magazine 2021/06
Der IT-Alltag ist oft von Hektik, Stress und finanziellem Druck begleitet. Sehr schnell kann es geschehen, meist unabsichtlich, dass eine Härtungsmassnahme eines Systems nicht greift oder eine Testregel in der Firewall vergessen geht. Ebenfalls gehören ständige Änderungen, Erweiterungen und Anforderungen an Netzwerke und an IT-Systeme zum Daily-Business der Administratoren. Wenn aber ein (IT-)Mitarbeiter das Unternehmen verlässt, geschieht die Übergabe oft nicht optimal. Dass dabei die Dokumentation gerne vernachlässigt wird, zeigen diverse Studien.

Standards

Im Gegensatz zu IT-Revisionen gibt es im Bereich der Penetration Tests weder gesetzliche Vorgaben noch Richtlinien. Entsprechend sind der Ablauf, die Methodik und die Art der Dokumentation von Unternehmen zu Unternehmen sehr unterschiedlich. Seit einigen Jahren gibt es aber Versuche, diesen Missstand zu
beheben.

Zu den bekanntesten Verfahren gehört sicherlich das Open Source Security Testing Methodology Manuel (OSSTMM). Das OSSTMM ist bezüglich technischen Security Audits kompatibel zu gängigen Standards und Weisungen wie ISO/IEC 27001/27002, IT-Grundschutz-Katalogen oder SOX.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Organisation und Durchführung von Penetration Tests mit dem Titel «Durchführungskonzept für Penetrationstests» erstellt. Zusätzlich werden die rechtlichen Rahmenbedingungen dargestellt, die im Umfeld von Penetration Tests zu beachten sind. Die Studie stellt keine Anleitung zum Hacken von Netzen und Systemen dar, daher wurde bewusst auf detaillierte technische Anleitungen und Beschreibung von Werkzeugen, die in Penetration Tests verwendet werden, verzichtet. Ein Praxis-Leitfaden für IT-Sicherheits-Penetration-Tests ergänzt das Dokument.

Weiter sehr empfehlenswert ist der inoffizielle Pentest-Standard. Auch wenn das Dokument schon ziemlich in die Jahre gekommen ist, zeigt es die verschiedenen Schritte und Hintergrundinformationen.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER