{"id":145,"date":"2020-02-06T14:46:39","date_gmt":"2020-02-06T13:46:39","guid":{"rendered":"http:\/\/ksec-consulting.de\/fresh\/?page_id=145"},"modified":"2022-11-19T23:03:48","modified_gmt":"2022-11-19T22:03:48","slug":"pentest-vs-detailanalyse-vs-schwachstellenscan","status":"publish","type":"page","link":"https:\/\/ksec-consulting.de\/?page_id=145","title":{"rendered":"Pentest vs. Detailanalyse vs. Schwachstellenscan"},"content":{"rendered":"\n

Die Begriffe Pentest\/Penetrationstest<\/a>, Detailanalyse<\/a> sowie Schwachstellenscan<\/a> werden allesamt zur Beschreibung des Security-Testens f\u00fcr IT-Systeme und IT-Infrastruktur genutzt – meinen aber bei weitem nicht das gleiche.<\/p>\n\n\n\n

Penetrationstest<\/h2>\n\n\n\n

Im Gegensatz zur Detailanalyse steht bei einem Penetrationstest (Pentest) das Ziel \u201e\u00dcbernahme des Systems\u201c bzw. \u201egr\u00f6\u00dftm\u00f6gliche missbr\u00e4uchliche Nutzung des Systems\u201c im Vordergrund. Dazu testet der Angreifer zwar auch eine Vielzahl an Angriffsvektoren, fokussiert dann jedoch auf bzw. kombiniert die vielversprechendsten dieser Angriffe, um das System \u00fcbernehmen bzw. bestm\u00f6glich missbrauchen zu k\u00f6nnen. Dadurch wird eine deutlich h\u00f6here Realit\u00e4tsn\u00e4he und ein auch f\u00fcr nicht-ITler leicht verst\u00e4ndliches Ergebnis erzielt, gleichzeitig werden jedoch nicht alle m\u00f6glichen Angriffsvektoren getestet. Penetrationstests eignen sich daher f\u00fcr komplexere Systeme, Netzwerke und Prozesse, bei denen eine Detailanalyse zeitlich viel zu aufwendig w\u00e4re, f\u00fcr die jedoch die reale Bedrohung aufgezeigt werden soll. Zur Erreichung des vorher mit dem Kunden definierten Ziel des Pentest kann der Tester, so vereinbart, alle ihm zur Verf\u00fcgung stehenden Mittel nutzen – von Social Engineering \u00fcber Remote Code Execution bis hin zur dedizierten Exploit-Entwicklung, je nach vorheriger Vereinbarung.<\/p>\n\n\n\n

\n

Ein Pentest ist damit zwar die aufwendigste, aber auch eindeutig die realistischste Art des Testens – denn auch ein realer Angreifer wird kaum auf ein ihn zur Verf\u00fcgung stehendes Mittel verzichten, um sein Ziel zu erreichen.<\/p>\n<\/blockquote>\n\n\n\n

Detail- \/ Schwachstellenanalyse<\/h2>\n\n\n\n

Bei einer Detailanalyse werden alle m\u00f6glichen bekannten Angriffsvektoren auf ein System oder Netzwerk analysiert (z.B. nach OWASP<\/a> bei Webportalen oder nach OSSTMM<\/a> bei Servern), so dass final eine Aussage zum Gesamt-Sicherheitslevel des Systems bzw. Netzwerks gegeben werden kann. Eine Schwachstellen- oder Detailanalyse deckt daher eine m\u00f6glichst breite Bandbreite an m\u00f6glichen Angriffen ab, und dient vor allem zur Bewertung der Gesamtsicherheit eines Systems.<\/p>\n\n\n\n

\n

Eine Detail-\/Schwachstellenanalyse ist f\u00fcr Unternehmen, die eine \u00dcbersicht \u00fcber das generelle Sicherheitslevel ihrer Systeme oder IT-Infrastruktur haben m\u00f6chten, die empfohlene Testart.<\/p>\n<\/blockquote>\n\n\n\n

Schwachstellenscan<\/h2>\n\n\n\n

Ein Schwachstellenscan ist ein zum gr\u00f6\u00dften Teil automatisch bzw. toolgest\u00fctzter Test, bei dem das Zielsystem ausschlie\u00dflich toolgest\u00fctzt auf bekannte Schwachstellen untersucht wird. Die daf\u00fcr genutzten Tools und Programme (z.B. Nessus, AppScan, OpenVAS, nmap etc.) erzeugen erfahrungsgem\u00e4\u00df allerdings sehr viele „false positives“, die ohne manuelles verifizieren und\/oder falsifizieren kaum verl\u00e4ssliche und real nutzbare Ergebnisse erzielen. Ebenso k\u00f6nnen diese Tools fast gar nicht die Programmlogik testen – findet auf einem System z.B. ein mehrschrittiger Prozess statt, bei dem der zweite Schritt nur bei validen Daten aus dem ersten Schritt erreicht werden kann, so werden alle Prozessschritte au\u00dfer dem ersten von den automatisierten Tools vollst\u00e4ndig exkludiert bzw. nicht getestet. <\/p>\n\n\n\n

\n

KSec-Consulting bietet solche Schwachstellenscans daher nur mit einem zus\u00e4tzlichen ca. 50%igen manuellen Verifizierungs-\/Falsifizierungs-Aufwand an, da die ungepr\u00fcften Ergebnisse eines solchen Scans sonst sehr schnell zu hohem kundenseitigen Arbeitsaufwand oder aber zu einer Pseudo-Sicherheit f\u00fchren k\u00f6nnen.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Die Begriffe Pentest\/Penetrationstest, Detailanalyse sowie Schwachstellenscan werden allesamt zur Beschreibung des Security-Testens f\u00fcr IT-Systeme und IT-Infrastruktur genutzt – meinen aber bei weitem nicht das gleiche. Penetrationstest Im Gegensatz zur Detailanalyse steht bei einem Penetrationstest (Pentest) das Ziel \u201e\u00dcbernahme des Systems\u201c bzw. \u201egr\u00f6\u00dftm\u00f6gliche missbr\u00e4uchliche Nutzung des Systems\u201c im Vordergrund. Dazu testet der Angreifer zwar auch eine […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":16,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-145","page","type-page","status-publish","czr-hentry"],"_links":{"self":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=145"}],"version-history":[{"count":8,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/145\/revisions"}],"predecessor-version":[{"id":424,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/145\/revisions\/424"}],"up":[{"embeddable":true,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/16"}],"wp:attachment":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}