Eine Beschreibung gängiger Testtypen
Als technisches Audit wird gemeinhin die Untersuchung eines IT-Systems auf Schwachstellen und Sicherheitslücken mithilfe technischer Mittel beschrieben. Doch Penetrationstest ist nicht gleich Penetrationstest. Es gibt viele verschiedene Arten bzw. Typen von Tests, die jeweils unterschiedliche Arten von Fehlern aufdecken können. Die Testtypen unterscheiden sich insbesondere durch die Zugriffsmöglichkeiten, welche dem Testteam eingeräumt werden. So können durch Penetrationstests unterschiedliche Angriffsszenarien überprüft werden, von externen Angreifern bis hin zu Angreifern im internen Netzwerk der zu testenden Infrastruktur. Diese Übersicht soll die unterschiedlichen Typen von Penetrationstests voneinander abgrenzen sowie ihre Möglichkeiten und Einsatzbereiche beschreiben. Ziel ist dabei nicht, eine vollständige Übersicht aller existierenden Testtypen zu schaffen, sondern die gängigsten Typen vorzustellen und zu einzuordnen.
Testtypen
Externer Penetrationstest
Bei einem externen Penetrationstest versetzt sich das Testteam in die Position eines externen Angreifers. Das Team kann nur öffentlich zugängliche Bereiche eines Netzwerkes erkunden und muss in vielen Fällen interne Strukturen erraten, um Sicherheitslücken auszunutzen. Um die Testdauer zu reduzieren, werden Intrusion-Prevention-Systeme für externe Penetrationstests häufig deaktiviert.
Externe Penetrationstests eignen sich gut, um gängige Schwachstellen aufzudecken, welche über das Internet erreichbar sind und somit von einer Vielzahl potentieller Angreifer ausgenutzt werden könnten.
Interner Penetrationstest
Bei einem internen Penetrationstest wird das Testteam in die Lage eines Angreifers versetzt, der Zugang zum internen Netz der zu testenden Umgebung besitzt. Das Team verfügt daher über viele Zugangsmöglichkeiten und teilweise auch Informationen zu internen Strukturen. Durch diesen Testtyp können Probleme aufgedeckt werden, welche versehentlich durch Fehler in internen Abläufen auftreten können oder gezielt von einem Angreifer hervorgerufen werden, welcher sich bereits Zugang zu dem Netz verschafft hat.
Interne Penetrationstests eignen sich gut, um Schwachstellen in der internen Infrastruktur aufzudecken. Zwar ist die Anzahl der potentiellen Angreifer geringerer, da diese sich zunächst Zugang zur internen Infrastruktur verschaffen müssen. Die möglichen Folgen der Schwachstellen sind jedoch in vielen Fällen besonders schwerwiegend.
Web-Penetrationstest
In Web-Penetrationstests werden Webseiten und Webanwendungen aus externer Sicht getestet. Dem Testteam stehen die Möglichkeiten eines externen Angreifers zur Verfügung. Häufig sind keine internen Strukturen bekannt. Um die Testdauer zu reduzieren, werden Intrusion-Prevention-Systeme für Web-Penetrationstests wie etwa eine Web Application Firewall (WAF) teilweise deaktiviert. Web-Penetrationstests eignen sich, um gängige Schwachstellen in Webanwendungen aufzudecken, welche über das Internet von einer Vielzahl potentieller Angreifer ausgenutzt werden könnten.
Applikations- oder API-Test
In Applikations- oder API-Test werden Anwendungen und Programmierschnittstellen untersucht. Durch die Offline-Untersuchung können die Tester umfangreiche Informationen sammeln. Dieser Testtyp eignet sich besonders gut, um Schwachstellen in Architektur, Design und Implementation von Anwendungen oder Schwachstellen zu finden.
Konfigurations- oder Architekturaudit
Bei diesem Testtyp wird die Konfiguration und/oder die Architektur einer Anwendung für die individuellen Anwendungszwecke überprüft. Die Tester nehmen eine interne Rolle ein, da sie Zugang zu Konfigurationsdateien und Architekturinformationen haben. Sie können somit eine detailliertere Prüfung als über einen externen „Black-Box“-Test vornehmen und konkretere Empfehlungen aussprechen. Dieser Testtyp eignet sich gut, um Probleme in Architektur und Betrieb der internen Software-Landschaft zu finden.
Dokumentations- oder Organisationsaudit
Bei dieser Art von Test tritt das Testteam in einer internen Rolle auf. Durch die Überprüfung von Organisationsprozessen und Dokumentationen kann es bestehende Probleme identifizieren und konkrete und individuelle Verbesserungsvorschläge abgeben.
Dieser Testtyp ist gut geeignet, falls Abläufe überprüft werden sollen, die über die eigentliche Softwareentwicklung und -wartung hinausgehen.
Fazit
Welche Art von Penetrationstest sich empfiehlt, hängt stark von der Umgebung ab, welche untersucht werden soll. Darüber hinaus ist das übergeordnete Ziel des Audits zu beachten, das mit den Sicherheitszielen der Organisation im Einklang stehen sollte. Insbesondere kommt es dabei auf die Exposition des Systems und somit die zu erwartenden Angriffsvektoren an. In der von der HiSolutions AG veröffentlichten Pentest-Statistik 2020 werden die Schweregrade der Schwachstellen betrachtet, welche von unterschiedlichen Testtypen aufgedeckt werden. Allgemein lässt sich dabei aussagen, dass schwerere Befunde entdeckt werden, je mehr Zugriffsrechte dem Testteam gewährt werden. Während für die meisten Systeme lediglich externe Tests durchgeführt werden, betont der Bericht somit die Relevanz interner Systemprüfungen.
Übrigens: Hier finden Sie das Angebot der HiSolutions zu Penetrationstests.