Pentest vs. Detailanalyse vs. Schwachstellenscan

Die Begriffe Pentest/Penetrationstest, Detailanalyse sowie Schwachstellenscan werden allesamt zur Beschreibung des Security-Testens für IT-Systemen und IT-Infrastruktur genutzt – meinen aber bei weitem nicht das gleiche.

Penetrationstest

Im Gegensatz zur Detailanalyse steht bei einem Penetrationstest (Pentest) das Ziel „Übernahme des Systems“ bzw. „größtmögliche missbräuchliche Nutzung des Systems“ im Vordergrund. Dazu testet der Angreifer zwar auch eine Vielzahl an Angriffsvektoren, fokussiert dann jedoch auf bzw. kombiniert die vielversprechendsten dieser Angriffe, um das System übernehmen bzw. bestmöglich missbrauchen zu können. Dadurch wird eine deutlich höhere Realitätsnähe und ein auch für nicht-ITler leicht verständliches Ergebnis erzielt, gleichzeitig werden jedoch nicht alle möglichen Angriffsvektoren getestet. Penetrationstests eignen sich daher für komplexere Systeme, Netzwerke und Prozesse, bei denen eine Detailanalyse zeitlich viel zu aufwendig wäre, für die jedoch die reale Bedrohung aufgezeigt werden soll. Zur Erreichung des vorher mit dem Kunden definierten Ziel des Pentest kann der Tester, so vereinbart, alle ihm zur Verfügung stehenden Mittel nutzen – von Social Engineering über Remote Code Execution bis hin zur dedizierten Exploit-Entwicklung, je nach vorheriger Vereinbarung.

Ein Pentest ist damit zwar die aufwendigste, aber auch eindeutig die realistischste Art des Testens – denn auch ein realer Angreifer wird kaum auf ein ihn zur Verfügung stehendes Mittel verzichten, um sein Ziel zu erreichen.

Detail- / Schwachstellenanalyse

Bei einer Detailanalyse werden alle möglichen bekannten Angriffsvektoren auf ein System oder Netzwerk analysiert (z.B. nach OWASP bei Webportalen oder nach OSSTMM bei Servern), so dass final ein Aussage zur Gesamt-Sicherheitslevel des Systems bzw. Netzwerks gegeben werden kann. Eine Schwachstellen- oder Detailanalyse deckt daher eine möglichst breite Bandbreite an möglichen Angriffen ab, und dient vor allem zur Bewertung der Gesamtsicherheit eines Systems.

Eine Detail-/Schwachstellenanalyse ist für Unternehmen, die eine Übersicht über das generelle Sicherheitslevel ihrer Systeme oder IT-Infrastruktur haben möchten, die empfohlene Testart.

Schwachstellenscan

Ein Schwachstellenscan ist ein zum größten Teil automatisch bzw. toolgestützter Test, bei dem das Zielsystem ausschließlich toolgestützt auf bekannte Schwachstellen untersucht wird. Die dafür genutzten Tools und Programme (z.B. Nessus, AppScan, OpenVAS, nmap etc.) erzeugen erfahrungsgemäß allerdings sehr viele “false positives”, die ohne manuelles verifizieren und/oder falsifizieren kaum verlässliche und real nutzbare Ergebnisse erzielen. Ebenso können diese Tools fast gar nicht die Programmlogik testen – findet auf einem System z.B. ein mehrschrittiger Prozess statt, bei dem der zweite Schritt nur bei validen Daten aus dem ersten Schritt erreicht werden kann, so werden alle Prozessschritte außer dem ersten von den automatisierten Tools vollständig exkludiert bzw. nicht getestet.

KSec-Consulting bietet solche Schwachstellenscans daher nur mit einem zusätzlichen ca. 50%igen manuellen Verifizierungs-/Falsifizierungs-Aufwand an, da die ungeprüften Ergebnisse eines solchen Scans sonst sehr schnell zu hohem kundenseitigen Arbeitsaufwand oder aber zu einer Pseudo-Sicherheit führen können.

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmen Sie dem zu. Unsere Datenschutzerklärung