Vom Schwachstellenscan zum automatisierten Pentesting
Wie von allein?
Immer mehr Hersteller von IT-Sicherheitsprodukten werben mit voll automatisierten Penetrationstests. Doch sowohl Automatisierung als auch Pentest lassen sich sehr flexibel definieren, daher ist ein genauerer Blick auf das Angebot notwendig.
Der Begriff „Penetrationstest“ ist nicht normiert. Unternehmen, die einen Pentest bei einem spezialisierten Dienstleister in Auftrag geben, verfolgen damit unterschiedliche Ziele. Meistens geht es um die Erkennung technischer Schwachstellen – fehlende Patches oder unsichere Konfigurationen –, über die Angreifer dem Unternehmen Daten stehlen oder anderweitig Schaden zufügen können.
Im Rahmen eines Penetrationstests wird aber auch manchmal überprüft, wie gut ein Security Operation Center (SOC) Angriffe erkennt und darauf reagiert. Sicherlich wäre dafür Red Teaming die geeignetere Herangehensweise, aber vielen Unternehmen sind die üblichen Abgrenzungen und Details nicht bekannt und Pentesting dient als Sammelbegriff für alles, was irgendwie mit Schwachstellen und Hackertechniken zu tun hat. Pentest ist also ein Begriff, der in der Praxis unterschiedlich wahrgenommen und verwendet wird.