Penetration Tests im Kontext
Ein Penetration Test wird durchgeführt, um ein Computernetzwerk auf Sicherheitslücken und Risiken zu testen. Der Fachmann, arbeitet aus der Sicht eines Angreifers und analysiert ob und wo im System Schwachstellen vorliegen. Es handelt sich hierbei um eine Präventivmaßnahme.
Große Unternehmen haben oft ein sehr komplexes IT-System, dass von einem ganzen Expertenteam betreut werden muss. Firewalls und Anti-Viren-Programme werden meist noch zusätzlich angeschafft. Trotz allem kann schnell der Überblick verloren gehen und mögliche Angriffspunkte werden übersehen. Ein Pentester kann ein solches System gezielt auf Schwachstellen analysieren.
Auch wenn bei einem Penetration Test ein Ethical Hacker sich mit moralisch besten Absichten bewegt, bleibt das Ausspähen von Daten eine Straftat. Ethical Hacker bewegen sich stets in einer Grauzone. Die Art und der Umfang des Penetration Test muss detailliert besprochen und vom Auftraggeber abgesegnet sein, da sich der Ethical Hacker sonst schnell strafbar macht.
Auf was ist bei der Pentester Wahl zu achten
Wichtig ist, dass sich bei der Vergabe des Auftrags ein gegenseitiges Vertrauen einstellt. Der Anbieter sollte ein seriöses und kundenorientiertes Auftreten haben. Im Fokus sollte ganz klar das Anliegen des Kunden liegen. Seriöse Ethical Hacker würden nicht mit der Angst des Kunden versuchen mehr Geld zu verdienen, sondern sich als Berater verstehen und nur das anbieten, was für den Auftraggeber sinnvoll erscheint. Im Endeffekt geht es darum, dem Kunden einen Sicherheitsvorteil zu verschaffen, nicht die eigenen Fähigkeiten unter Beweis zu stellen.
Zunächst steht meist ein Gespräch zwischen Auftraggeber und Auftragnehmer an. Viele Kunden kennen die Möglichkeiten und ihren Bedarf zu diesem Zeitpunkt noch gar nicht. Der Ethical Hacker kann sich hier als Berater verstehen und mit dem Kunden eine möglichst plausible und lösungsorientierte Herangehensweise besprechen. Es sollte ein klares Ziel definiert werden und das Vorgehen im Detail abgeklärt und schriftlich festgehalten werden.
Zu den wichtigsten Vereinbarungen gehören das Non-Disclosure Agreement (NDA). Dies bezeichnet einen Vertrag über die Verschwiegenheit des Beauftragten. Die Gestaltung aller Vereinbarungen liegt grundsätzlich in der Hand der beiden Geschäftspartner. Für den Auftragnehmer dient dies als Freikarte, um sämtliche Schuld von sich weisen zu können.
Der effiziente Start
Um seine ersten Tage so produktiv wie möglich gestalten zu können, benötig der Beauftragte eine funktionierende Arbeitsumgebung. Dazu gehören beispielsweise Zugriffe auf Accounts, Kontaktdaten möglicher Ansprechpartner, einen Arbeitsplatz im Unternehmen und diverse Dokumente. Diese Vorbereitung sollte im Vorfeld erfolgen, um keine Zeit zu verschwenden. Es empfiehlt sich, vorher eine Checkliste mit allem was benötigt wird zu erstellen.
Der Report
im Gegensatz zu einem echten Hacker-Angriff, liefert der Pentester dem Auftraggeber im Anschluss an seine Tätigkeit einen Report ab, in dem er Dokumentationen über seine Tätigkeiten, seine Ergebnisse und Vorschläge zur Fehlerbehebung festhält. Die Schwachstellen, die der Pentester findet, werden als Findings bezeichnet. Schwerwiegende Sicherheitslücken sind High Findings. Generell sollte sich der Report den Schwerpunkten anpassen, die der Auftraggeber zu prüfen wünscht. Die Form und Art des Berichts sollte ebenfalls im Vorfeld abgesprochen werden und die Verantwortlichen können mit dem Pentester einen Testbericht vereinbaren, um sich über die von ihnen gewünschte Form klar zu werden.
Wird das ganze Verfahren gut Vorbereitet und abgesprochen, können beide Seiten von einem befriedigenden Ergebnis profitieren.
Hinterlasse jetzt einen Kommentar