Penetrationstests und das BSI: Anforderungen an Tests und zertifizierte Tester

Die Sicherheit eigener Anwendungen oder der IT-Infrastruktur lässt sich mit verschiedenen Ansätzen prüfen. Die Maßnahmen sollten jedoch gut geplant sein.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Lesezeit: 14 Min.
Von
  • Inés Atug
Inhaltsverzeichnis

Sicherheitsprüfungen eigener Systeme gibt es unter vielerlei Namen, zum Beispiel Schwachstellenanalyse und -bewertung oder Ethical Hacking, Tiger Teaming, Red Teaming oder eben Penetrationstest, kurz Pentest.

Die unterschiedlichen Bezeichnungen haben zum Teil schlicht kulturelle Hintergründe. "Penetrationstest" etwa ist in Europa eine gängige Bezeichnung, aber in den Vereinigten Staaten weniger beliebt. Umgekehrt hat "Ethical Hacking" in Europa nicht Fuß gefasst.

In diesem Artikel geht es darum, Penetrationstests anhand von Kriterien des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu definieren und ihre Möglichkeiten und Grenzen aufzuzeigen. Grundsätzlich lassen sich vier Methoden unterscheiden, die Angreiferperspektive einzunehmen: