IT-Sicherheitstests: Vom Schwachstellenscan zum automatisierten Pentesting
Immer mehr Hersteller von IT-Sicherheitsprodukten werben mit voll automatisierten Penetrationstests. Wir zeigen Ihnen, worauf Sie achten mĂĽssen.
- Oliver Dietz
- Stefan Strobel
Der Begriff Penetrationstest ist nicht normiert. Unternehmen, die einen Pentest bei einem spezialisierten Dienstleister in Auftrag geben, verfolgen damit unterschiedliche Ziele. Meistens geht es um die Erkennung technischer Schwachstellen – fehlende Patches oder unsichere Konfigurationen –, über die Angreifer dem Unternehmen Daten stehlen oder anderweitig Schaden zufügen können.
Im Rahmen eines Penetrationstests wird aber auch manchmal überprüft, wie gut ein Security Operation Center (SOC) Angriffe erkennt und darauf reagiert. Sicherlich wäre dafür Red Teaming die geeignetere Herangehensweise, aber vielen Unternehmen sind die üblichen Abgrenzungen und Details nicht bekannt und Pentesting dient als Sammelbegriff für alles, was irgendwie mit Schwachstellen und Hackertechniken zu tun hat. Pentest ist also ein Begriff, der in der Praxis unterschiedlich wahrgenommen und verwendet wird.
So ist es nicht erstaunlich, dass auch am Markt fĂĽr Softwareprodukte ganz unterschiedliche Interpretationen zu finden sind. Die Produkte variieren stark: So gibt es Werkzeuge, die einen PrĂĽfer oder ein Unternehmen bei der Suche nach Schwachstellen unterstĂĽtzen, oder auch solche, die Exploits zur Ausnutzung von Schwachstellen bereitstellen. Hinzu kommen Tools, die Angriffe simulieren, um Alarme zu provozieren. Wieder andere ermitteln lediglich die theoretische Ausnutzbarkeit von Schwachstellen.
Das war die Leseprobe unseres heise-Plus-Artikels " IT-Sicherheitstests: Vom Schwachstellenscan zum automatisierten Pentesting". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.