Penetration Testing: Fünf Tipps für verwertbare Ergebnisse

Mit einem Pentest lassen sich Schwächen und Sicherheitslücken in einem Netzwerk aufdecken. Oft bleiben sie unentdeckt und sind dann potenzielle Angriffsvektoren für Hacker. Die Pentester gehen wie Hacker vor und finden somit die Lücken, die auch Kriminelle in der Praxis ausnutzen.

Ein Pentest fokussiert sich jedoch nicht nur auf Schwachstellen in Software oder Hardware. Es geht auch um die Richtlinien in Ihrem Unternehmen. So wird im Rahmen eines solchen Tests das Identitäts- und Zugriffsmanagement überprüft. Haben Mitarbeitende zu viele Berechtigungen im Netzwerk, entstehen erhöhte Risiken.

Ein Pentest ist ein umfangreiches Projekt. Die Dienstleister führen Tests in unterschiedlichen Formaten durch. Hier ist es wichtig, vor dem Test exakt abzusprechen, wie er abläuft. Nur so ist der Abschlussreport aussagekräftig.

‍

So gilt es beispielsweise, die Angriffstechniken abzusprechen. Ein Pentest kann rein über das Internet durchgeführt werden. Es gibt auch die Möglichkeit, die physikalische Zugangssicherheit vor Ort zu testen. Das beinhaltet dann auch das WLAN. Auch die konkreten Angriffsvektoren werden abgesprochen.

Ebenso gilt es, zu klären, ob Social Engineering mit zum Test gehört. Dann prüfen die Pentester auch die Mitarbeitenden und wie diese auf Bedrohungen reagieren. Hier wird auch festgelegt, ob die Tests angekündigt sind oder ohne Vorwarnung erfolgen.

Diese Punkte gehören zu einer optimalen Vorbereitung:

• Ziele des Pentests definieren
• Umfang des Tests absprechen
• Prüfplan erstellen
• Zugangsdaten an den Pentester übermitteln
• Format des Pentest-Reports absprechen

Mit dem Start des eigentlichen Pentests beginnt die praktische Phase. Damit diese produktiv ist, müssen Sie das notwendige organisatorische Umfeld bereitstellen. Sorgen Sie dafür, dass alle Zugangsdaten rechtzeitig übermittelt wurden. Falls ein Team von Pentestern vor Ort im Unternehmen aktiv ist, benötigt es einen Arbeitsplatz. Nur so ist eine umfangreiche Überprüfung der Endpoint Protection möglich.

Falls der Dienstleister Ihnen nicht selbstständig vor Beginn eine Checkliste überreicht, fragen Sie nach, welche Informationen noch fehlen. Wichtig ist auch, eine Kontaktperson im Unternehmen zu benennen. Dann lassen sich Fragen und Probleme schnell lösen. Mit diesen Massnahmen stellen Sie sicher, dass der Pentest direkt ab dem ersten Tag produktiv verläuft.

Das beste Penetration Testing ist wirkungslos, wenn die Ergebnisse nicht richtig analysiert werden. Nur dann ist eine Verbesserung Ihrer IT-Sicherheit möglich.

Dies beginnt mit der Nachbereitung. Achten Sie darauf, dass der Dienstleister Ihnen die Ergebnisse präzise und klar verständlich übermittelt. Sinnvolle Optionen sind beispielsweise ein Workshop oder eine Präsentation. Zentraler Teil dieser Nachbereitung ist der Pentest-Report. Er informiert Sie über die gefundenen Schwachstellen. Gleichzeitig ist eine Risikobewertung der Kritikalität wichtig. Dies erlaubt eine Priorisierung der Schwachstellen sowie der Massnahmen.

Der Dienstleister sollte Ihnen weiterhin Empfehlungen geben, wie Sie Ihre IT-Sicherheit optimieren. Die Nachbereitung ist zudem der richtige Zeitpunkt für Rückfragen.

Basierend auf der Analyse entsteht dann ein Massnahmenplan. Hier wird ein Zeitplan festgelegt, in welcher Reihenfolge und wann die gefundenen Lücken beseitigt werden. Auch die konkreten Massnahmen, die implementiert werden müssen, sind im Massnahmenplan festgehalten. Kompetente Pentest-Dienstleister helfen Ihnen bei der Erstellung eines solchen Plans.

Ein Pentest ist kein einmaliges Projekt. Die Digitalisierung schreitet rasant voran. Dies führt dazu, dass ständig neue Programme, Plattformen und Hardware in Ihr Netzwerk aufgenommen werden. Denken Sie zwei Jahre zurück und rekapitulieren Sie, wie sich in dieser Zeit Ihre IT-Infrastruktur verändert hat.

Zudem ist es wichtig, zu prüfen, ob die eingeleiteten Massnahmen das gewünschte Ziel erreicht haben. Gerade im Bereich des Social Engineerings lassen sich Probleme nicht mit einer einmaligen Aktion beheben. Deshalb ist ein kontinuierliches Monitoring wichtig. Dazu gehören auch wiederkehrende Pentests. Diese können auch punktuell bestimmte Schwachstellen und Faktoren überprüfen und somit kleiner ausfallen.

Die Wahl des Partners für den Pentest ist von entscheidender Bedeutung. Ein solcher Test steht und fällt mit der Kompetenz des Dienstleisters. Vergisst der Pentester einen oder sogar mehrere Punkte, verliert der gesamte Test seine Aussagekraft.

Wir von Authentix haben uns auf den Bereich IT-Sicherheit spezialisiert. Wir führen umfangreiche Penetrationstests durch und stellen auch die notwendigen Sicherheitslösungen bereit. So verbessern wir nachhaltig die Sicherheit in Ihrem Netzwerk.

Haben Sie noch Fragen zum Thema Penetration Testing? Oder haben Sie Interesse an einem Test Ihrer Systeme? Kontaktieren Sie uns, und wir beraten Sie fachkundig und umfassend.