Unter einem Penetration- bzw. Pen-Test versteht man einen Sicherheitstest, bei dem mit typischen Methoden und Werkzeugen eines Angreifers (Hackers) versucht wird, ein IT-System (Hard- und Software) anzugreifen und in dieses einzudringen.

Man unterscheidet zwischen folgenden Testverfahren:

Blackbox-Test: Dem Tester sind keinerlei Informationen über den Aufbau, die internen Funktionalitäten und Zusammenhänge bekannt. Dieser Test ist am aufwändigsten, hat aber den Vorteil, dass er der Vorgehensweise eines böswilligen Angreifers am nächsten kommt.

Greybox-Test: Der Tester hat einzelne Kenntnisse über Struktur und Details des anzugreifenden Systems. Hierdurch wird der Aufwand für den Pen-Test reduziert und es gibt eine höhere Wahrscheinlichkeit, in wirtschaftlich vertretbarer Zeit positive Ergebnisse zu produzieren.

Whitebox-Test: Dem Tester ist der gesamte Systemaufbau bekannt. Hierdurch wird ein Angriff durch einen Innentäter simuliert. Der Nachteil liegt darin, dass ggf. nur offensichtliche Einfallsmöglichkeiten getestet werden, nicht aber kreativ wie ein echter Angreifer vorgegangen wird. Dieser Test hat daher am wenigsten Aussagekraft und sollte nur in Kombination mit einem vorgeschalteten Blackbox- oder Greybox-Test durchgeführt werden.

Da bei einem Pen-Test i.d.R. ein fremdes System unter Umgehung von Zugangssicherungen bzw. besonders gesicherte Daten angegriffen werden, ist solch eine Maßnahme nach in Deutschland geltender Rechtslage nur dann zulässig (vgl. u.a. § 202c StGB), wenn der Auftraggeber die Verfügungsgewalt über die Daten innehat und den oder die Tester ausdrücklich mit dem testweise Angreifen seiner IT-Systeme und dem Versuch zur Überwindung der Sicherungsmaßnahmen beauftragt. Die jeweilig legitimierten Personen sind namentlich zu benennen. Nicht selbstständig arbeitende Erfüllungsgehilfen des Auftragnehmers sind seitens des Auftragnehmers zu dokumentieren und gegenüber dem Auftraggeber in der Dokumentation zu benennen. Der Auftraggeber stellt den Auftragnehmer – außer bei dessen Vorsatz zum Schaden des Auftraggebers – von Forderungen aufgrund von Schäden bzw. Dienstbeeinträchtigungen (auch Dritter / Kunden des Auftraggebers) frei.

Der oder die Tester sowie alle an den Untersuchungen beteiligten Erfüllungsgehilfen sind vor Aufnahme Ihrer Tätigkeit darüber aufzuklären, dass sie bzgl. aller ihnen im Rahmen des Pen-Tests bekannt werdende Erkenntnisse gegenüber Dritten absolutes Stillschweigen zu bewahren haben. Die Test-Ergebnisse werden ausschließlich dem legitimierten Auftraggeber zur Verfügung gestellt. Nach Abschluss der Tests sind alle Dokumente und Aufzeichnungen beim Auftragnehmer zu vernichten, es sei denn, der Auftraggeber wünscht deren sichere Aufbewahrung (z.B. für eine Test-Wiederholung nach einem gewissen Zeitraum) oder diese sind zur Dokumentation des Tests oder aufgrund gesetzlicher Aufbewahrungspflichten zu verwahren.

Sollten im Rahmen der Tests Zugangskennungen offen gelegt worden sein, so liegt es in der Verantwortung des Auftraggebers, diese umgehend durch geheime Kennungen auszutauschen. Der Auftraggeber ist angehalten, die ggf. gefundenen Schwachstellen in Eigenverantwortung umgehend zu schließen. Die Vorgehensweise für den Pen-Test wird mit dem Auftraggeber vor Aufnahme der Tätigkeit festgelegt und bei Bedarf während der Untersuchung angepasst. Der Auftraggeber stellt dem Tester die jeweilig benötigten Zugänge und Testumgebungen nach Absprache zur Verfügung. Unmittelbar nach Abschluss der Tests sind diese Zugänge wieder dauerhaft zu deaktivieren. Sollten Dienste durch die Pen-Tests zeitweise ganz oder eingeschränkt nicht zur regulären Nutzung zur Verfügung stehen, informiert der Auftraggeber seine Kunden und Nutzer vorsorglich.

Ein Pen-Test kann immer nur eine Momentaufnahme sein und ist hinsichtlich der absoluten Aussagekraft der IT-Sicherheit subjektiv (durch die Vorgehensweise der Tester). Bereits unmittelbar nach der Durchführung eines Pen-Tests kann eine neue / eine neu bekannt werdende Schwachstelle ggf. zur Kompromittierung des Systems ausgenutzt werden. Pen-Tests sind daher regelmäßig zu wiederholen.

Interesse geweckt? Lassen Sie Ihre IT "Pen-Testen"!