Blog

mkind

Häufige Missverständnisse um Penetrationstests

Wenn man sich so im Netz über Penetrationstests beliest, trifft man auf die unterschiedlichsten Werbeversprechen. Nicht wenige davon sind Humbug. Daher wollen wir im Folgenden mal ein paar Missverständnisse aufklären. Doch bevor wir einsteigen, ein paar Sätze als Erklärung vorweg.

Was ist ein Pentest

Penetrationstests oder Pentests sind Untersuchungen, die Schwachstellen in techischen Systemen aufdecken sollen. Im Grunde handelt es sich um einen simulierten Hacker-Angriff. Pentests werden beispielsweise von Unternehmen in Auftrag gegeben, um sicherheitsrelevante Probleme in ihren Produkten zu identifizieren. Um Schwachstellen zu erkennen und auszunutzen, versuchen die Tester möglichst kreativ und zielstrebig Nutzereingaben zu manipulieren. Dabei geht es nicht nur um offensichtliche Formularfelder, sondern auch um Eingaben, die versteckter liegen. Neben dem Suchen und Finden von Schwachstellen geht es auch um das richtige Ausnutzen solcher. Das ist besonders wichtig, um mögliche Konsequenzen abschätzen zu können.

Falsche Erwartungen

Die Erwartungen an und Missverständnisse um Penetrationstests können vielfältig sein. Sie reichen von der Annahme, dass man solche Überprüfungen gut und sinnvoll an ein bis zwei Tagen erledigen kann und gehen bis zur Idee, dass man die Tests ohnehin vollständig automatisieren kann. Folglich gelten Penetrationstests oft als ein gutes und günstiges Werkzeug zum Finden von Schwachstellen. Tatsächlich gilt das nur eingeschränkt.

Wenn eine Anwendung über Wochen, Monate oder Jahre entwickelt wird, kann eine Überprüfung, die nur ein paar Tage dauert, nicht vollständig sein. Stattdessen konzentrieren sich Penetrationstester auf bestimmte, vielversprechende Bereiche. Probleme, die abseits dieser liegen, können daher unentdeckt bleiben.

Einen Angriff möglichst realitätsnah zu gestalten, kann ein falsches Ziel darstellen. Oft heißt es, ein Test sei dann besonders hilfreich, wenn er möglichst nah an einem echten Angriff orientiert wäre. In Wahrheit kann es aber helfen, von dieser Prämisse abzuweichen. Werden Pentestern Informationen über die interne Funktionsweise wie Programmierschnittstellen (APIs) oder gar Nutzerzugang zur Verfügung gestellt, können diese die Testqualität stark verbessern. Denn anders als traditionelle, böse Angriffe sind simulierte Penetrationstests oft einem Zeitrahmen unterworfen. Ein tatsächlicher Angreifer ist eher dazu bereit, seinen Test über mehrere Tage oder gar Wochen vorzubereiten und zu strecken als es einem Penetrationstester möglich ist. Ebenso werden bei einem realen Angriff gerne Angriffsvektoren miteinbezogen, die bei Penetrationstests eher außen vor gelassen werden.

Die Erfahrung ist entscheidend

Damit wären wir auch bei einer der größten Herausforderungen und Nachteile eines Penetrationstests, seine Eingeschränktheit. Das Ergebnis eines Penetrationstests erlaubt eine Aussage nur über bestimmte Aspekte und Parameter von digitalen Angriffen. So lässt sich über einen Penetrationstest sehr gut aussagen, wie weit ein möglicher Angreifer mit einer bestimmten Erfahrung innerhalb einer bestimmten Zeit kommt. Ein Beispiel, um es zu verdeutlichen: Ein Penetrationstester mit drei Jahren Berufserfahrung testet eine Web-Anwendung über fünf Tage. Daraus lässt sich am ehesten ableiten wie der Erfolg eines Angreifers mit drei oder weniger Jahren Erfahrung sein könnte, wenn er sich fünf oder weniger Tage an der Anwendung ausprobiert. Es sagt aber nicht automatisch etwas darüber aus, wie erfolgreich die Person nach sieben oder zehn Tagen wäre. Eine Person mit zehn Jahren Erfahrung oder gar eine Gruppe von Angreifern kann ebenso zu einem anderen Erfolg kommen.

Mit Pentests Schwachstellen auffinden
Mit Pentests Schwachstellen auffinden

Nicht alles kann berücksichtigt werden

Ein Angreifer, der keine Eile hat und sich an keine Regeln hält, wird seine Angriffe nicht auf eine bestimmte Programmierschnittstelle oder eine einzelne Web-Anwendung beschränken. Stattdessen werden andere Plattformen in einen Angriff einbezogen. Ein gutes Beispiel dafür sind Business-Netzwerke wie LinkedIn oder Xing. Hier lässt sich vielleicht herausbekommen, wer der Entwickler einer Anwendung sein könnte oder wer ihre Nutzer sind. Auch das Ansprechen von Personen über solche Medien kann für einen Angreifer Sinn machen, beispielsweise als Versuch, Zugangsdaten oder andere sensitive Informationen zu erlangen. Im Rahmen traditioneller Penetrationstests können diese Herangehensweisen nicht abgebildet werden. Red Team Tests sind dafür eher geeignet. Bei ihnen gibt es in der Regel keine oder nur wenige Beschränkungen in den Angriffsvektoren, ganz wie in der Realität.

Wie Penetrationstests dennoch helfen

Obwohl es nach diesen Zeilen so scheint als seien Penetrationstests eher Makulatur, können sie helfen. Erfolgreiche Penetrationstests stellen einen kontrollierten Rahmen dar, um eine Anwendung unter Stress zu setzen. Sie zeigen Schwachstellen auf, können aber auch außerhalb davon neue Perspektiven auf Anwendungen werfen.

Bevor ein Penetrationstester allerdings ans Werk gehen kann, gilt es ein paar entscheidende Fragen zu klären.

  • Was soll getestet werden?
  • Wie lange soll getestet werden?

Die erste Frage richtet sich nach dem scope. Wichtig dabei ist, über welche Anwendung eigentlich eine Aussage getroffen werden soll. Wenn ein Pentester eine Web-Anwendung testen soll, aber eine Web-Application-Firewall (WAF) oder ein CDN wie Cloudflare davor geschaltet sind, wird letztendlich nicht die Web-Anwendung getestet, sondern die WAF oder das CDN. Eine Aussage über die Sicherheit der eigenen Web-Anwendung ist also nicht getroffen.

Die zweite Fragestellung ist oft an ein Budget gekoppelt. Für Viele ist das also eine wichtige Fragestellung. Wie erwähnt, hängt hiervon ein großer Teil der Aussagekraft ab. Ein Test, der zu kurz ist, bringt das Risiko mit sich, wichtige Teile der Anwendung außer Acht zu lassen. Ist der Test länger, wird es in der Regel kostenintensiver.

Angriffe lassen sich nicht verhindern

Penetrationstests können also ein hilfreiches Werkzeug sein, um Schwierigkeiten und Probleme zu identifizieren. Anders als Marketingsprüche und Werbebotschaften aber versprechen, vermögen sie weder Hackerangriffe zu verhindern noch beugen sie ihnen vor. Diese Gedanken sind so hanebüchen wie die Idee, dass sie per se Sicherheit schaffen. Das gelingt nur, wenn sich Entwickler, Betreiber und Sicherheitsexperten ihrer Verantwortung bewusst werden, gemeinsam die entsprechenden Systeme gestalten und sie auch nachhaltig pflegen.

Unterm Strich hängt also die Testqualität und die Kundenzufriedenheit von der Erfahrung der Tester und der umstehenden Beratung ab. Seriöse Penetrationstester klären vor Risiken auf ohne Panik und Angst als Verkaufsargument einzusetzen und lassen den Kunden mit dem Abschlussreport nicht alleine.

In der Nussschale

  • Angriffe lassen sich durch Pentests nicht verhindern
  • Pentests können Lücken aufzeigen
  • Die Qualität hängt von der Erfahrung der Experten ab
  • Vollständig können Penetrationstests nie sein
  • Schwachstellen müssen auch behoben werden, sonst ist nichts gewonnen
Get more Information Contact