Ein zerstörtes Vorhängeschloss liegt auf einer Platine mit Leiterbahnen
Security

Pentests: Wie Sie Sicherheitslücken in der Unternehmens-IT via Penetrationstest aufdecken

Mühelos gelangen die Hacker:innen in das Firmennetz: Die schon länger nicht mehr aktualisierte Firewall ist löchrig wie ein Schweizer Käse. Und dank Insider-Informationen einer unlängst gekündigten Mitarbeiterin ist auch die Buchhaltungssoftware schnell geknackt. Staunend muss die Geschäftsführung mit ansehen, wie in Sekunden Millionenbeträge vom Firmenkonto ins Ausland überwiesen werden.

Dieses Mal war der Millionendiebstahl nur eine Übung. Die Attacke erfolgte im Auftrag des betroffenen Unternehmens selbst, um die Schwachstellen der eigenen IT von Sicherheitsspezialist:innen austesten zu lassen.

Weil die Gefahr von Hackingangriffen weltweit steigt, verlassen sich immer mehr Firmen und Organisationen nicht mehr allein auf die grüne Ampel im Anzeigefenster ihrer Firewall, sondern lassen ihre gesamten IT-Systeme auf Herz und Nieren testen.

Die Firmen beauftragen hierfür Stresstests, bei denen sogenannte Pentester:innen die Hard- und Software kreativ und mit allen ihnen zur Verfügung stehenden Hacking-Werkzeugen angreifen – ganz so, wie es auch Cyberkriminelle machen. Was genau dahinter steckt und ob solche Pentests auch bei Ihnen sinnvoll wären, erfahren Sie hier:

Inhaltsverzeichnis

Was ist ein Penetrationstest?

Beim „Penetration Testing” (Englisch für “Eindringtest” oder “Durchbruchstest”) versuchen Sicherheitsexpert:innen, in die IT-Systeme ihrer Auftraggeber:inneneinzubrechen, um dadurch Schwachstellen aufzudecken.  
Häufig wird anstelle der Begriffe Penetration Testing und Penetrationstest die Kurzform Pentest verwendet. Auch der Begriff des White-Hat-Hackings ist hier gebräuchlich. Denn White-Hat-Hacker:innen richten im Unterschied zu Black-Hat-Hacker:innen keine Schäden an oder stehlen gar Unternehmenswerte. Stattdessendecken sie Sicherheitsrisiken auf und erstatten ausführlich Bericht darüber. 
Viele Firmenbeauftragen deshalb regelmäßige Pentests für ihre IT-Systeme. Ausgebildete Sicherheitsexpert:innen führen diePentests dann durch. Ein Penetrationstest besteht aus einem ganzen Bündel von Eindringversuchen in die IT-Architektur. Jeder einzelne Versuch basiert dabei auf anderen Voraussetzungen und anderen Kenntnissen über die vorhandene Hard- und Software. Dadurch werden Eindringversuche von Außenstehenden simuliert, aber auch solche von Insidern mit strategischen Kenntnissen der jeweiligen IT-Architektur.
Das Besondere dabei: Die Expert:innen testen die Unternehmen als Ganzes. Pentests decken beispielsweise Schwachstellen in den Sicherheitsschulungen der Mitarbeitenden auf – oder Angriffspunkte im firmeneigenen Internet of Things (IoT). Am Ende wird dann Bilanz gezogen: Wo besteht dringender Nachbesserungsbedarf? Könnten schon morgen Hacker:innentatsächlich die Firmenkonten plündern? Und mit welchen Mitteln und Prozessen lassen sich Sicherheitsprobleme in Zukunft beheben, noch bevor sie das Unternehmensnetz überhaupt gefährden?
Im Unterschied zu einem einfachen automatisierten Vulnerability Scan folgt ein Pentestnicht einem immergleichen Algorithmus. Stattdessen sammeln die Sicherheitsexpert:innenim Testverlauf alle erreichbaren Daten über das anzugreifende System. Für jeden einzelnen Testschritt nutzen sie das Wissen, das sie bei vorherigen Testschritten gewonnen haben, um darauf aufbauend gezielt nach Lücken in der Sicherheitsarchitektur zu suchen. Dadurch ist ein Pentest einer typischen manuellen Hackingattacke sehr viel ähnlicher als ein simpler Vulnerability-Scan. Gleichwohl ist ein Vulnerability-Scan oft Bestandteil eines Pentests. 
Jeder Pentest ist darüber hinaus holistisch angelegt. Er betrachtet nicht nur isoliert Internetzugänge, Arbeitsplatzrecher, Speichersysteme und Server, sondern das gesamte Unternehmensnetzwerk. Dazu gehören auch die Mitarbeitenden und ihr Umgang mit Passwörtern.Ferner nehmen die Pentester:innendie Schnittstellen zu Geschäftspartner:innen und Kund:innenins Visier – sowie die gesamte Technik im Unternehmen, soweit sie für Cyberattacken in irgendeiner Form missbraucht werden könnte.  
Somit finden Pentestsmeist auch solche Sicherheitslücken, die einzeln harmlos sind, aber in Kombination mit anderen Schwachstellen das Eindringen in Firmennetze ermöglichen. Denn Nachlässigkeiten oder übersehene Schwachstellen sind meistens für erfolgreiche Attacken verantwortlich. 
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt Pentests deshalb ein „geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen.” 
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Warum Pentests für Unternehmen wichtig sind

Cyberangriffe und Datenschutzpannen gehören inzwischen zu den größten Unternehmensrisiken in Deutschland. In seinem 2024 vorgestellten Bericht „Cyberversicherung und -sicherheit“ mahnt der IT-Branchenverband Bitkom:  
„Die aktuelle Bedrohungslage im Bereich der Cybersicherheit zeigt einen stetigen Anstieg in Bezug auf die Anzahl und Schwere von Cyberangriffen. … 2023 haben Cyberattacken einen Schaden von insgesamt 148,2 Milliarden Euro verursacht.“ 
Nicht berücksichtigt sind langfristige Folgeschäden wie der Reputationsverlust gegenüber den Kund:innen, deren Daten möglicherweise bei Cyberangriffen gestohlen wurden. Hinzu kommt zudem eine steigende Anzahl von Geldbußen gegen Unternehmen, die Personendaten nicht ausreichend gegen Verlust und Cyberdiebstahl sichern. Denn damit verstoßen sie gegen die Datenschutz-Grundverordnung (DSGVO). Allein in der ersten Jahreshälfte 2023 haben deshalb die Behörden europaweit Geldbußen in einer Gesamthöhe von mehr als 1,6 Milliarden Euro verhängt.  
Längst werden auch kleine und mittelständische Unternehmen zunehmend Opfer von Cyberattacken. Doch gerade dort fehlt oft das notwendige Know-how, um IT-Systeme auf Schwachstellen zu prüfen.  
Hinzu kommt: Viele versteckte Risiken in bestehenden IT-Systemen lassen sich oft besser aus der Außensicht finden. Pentest-Expert:innen denken wie Hacker:innen und gehen bei ihren Angriffsversuchen auch genauso vor wie diese. Erst dadurch werden viele Sicherheitslücken überhaupterkennbar. Daher sind Pentestsextrem wichtig für die Cybersicherheit in Firmennetzen. 
 Eine schwarz und eine weiß gekleidete Person stehen nebeneinander, die eine hält ein Notebook
Um das Vorgehen von kriminellen Hacker:innen („Black Hat“) zu imitieren, testen IT-Sicherheitsexpert:innen als sogenannte „White-Hat“-Hacker:innen die Schwachstellen von Firmennetzen mit echter Hacking-Software und Social Engineering systematisch aus.

Penetrationstests: Diese Arten gibt es

Ein Pentest ist stets eine Kombination aus vielen unterschiedlichen Testverfahren. Er setzt sich zusammen aus Angriffen von außen über das Internet sowie Einbruchversuchen von innen, beispielsweise per Social Engineering. 
Beim Social Engineering werden gezielt Mitarbeiter:innen, Geschäftspartner:innen oder Kund:innen des betroffenen Unternehmens unter einem Vorwand angesprochen. Ziel ist es, sie dazu zu bringen, den Eindringversuch unwissentlich zu unterstützen. Weil dies erschreckend gut funktioniert, setzen Hacker:innen zunehmend auf Social Engineering. 

Black Box, White Box und Grey Box

Bei den systematischen Tests wird unterschieden zwischen Black-Box-, White-Box- und Grey-Box-Tests. So erfolgt ein Teil der Tests, ohne dass die Angreifenden den inneren Aufbau der IT-Struktur kennen. Diese Kombination aus „Black Box Pen Test”, „White Box Pen Test” und „Grey Box Pen Test” simuliert ein möglichst breites Spektrum unterschiedlicher Hacking-Strategien:
  • Black-Box-Penetrationstests entsprechen Attacken von Hacker:innen, die das anzugreifende System überhaupt nicht kennen und vielleicht nicht einmal wissen, welche Organisation sie gerade angreifen. Den Pentester:innen ist bei solchen Angriffen über das Netz daher lediglich die IP-Adresse der Firmenwebsite bekannt.
  • White-Box-Penetrationstests bilden die Attacken von Angreifer:innen nach, die bereits über umfangreiches Insiderwissen verfügen. Das könnte die Konkurrenz oder auch ein ausländischer Nachrichtendienst sein, der sich sein Ziel genau ausgesucht und zuvor längere Zeit ausgeforscht hat. Auch Attacken ehemaliger Unternehmensmitarbeiter:innen, die interne Schwachstellen kennen, fallen in diese Kategorie und werden durch solche White-Box-Pentests simuliert.
  • Grey-Box-Tests simulieren Hacker:innen, die nur Teilinformationen oder veraltete Informationen mittels Social Engineering, Sniffing oder auf anderen Wegen gewinnen konnten und trotzdem einen Angriffsversuch starten.

Social Engineering als Pentest-Werkzeug

Pentests umfassen eine breite Palette von direkten und indirekten Ansätzen, um per Social Engineering Unternehmensnetze zu penetrieren. Bei den direkten Attacken versuchen die Sicherheitsexpert:innen des Pentest-Dienstleisters, selbst an Passwörter oder freie Netzwerkzugänge zu kommen.
Dazu tarnen sie sich beispielsweise als Mitarbeitende des Unternehmens. So dringen sie in unzureichend gesicherte Serverräume ein, suchen in Mülleimern („Dumpster Diving”) nach Passwörtern und Zugangsdaten oder fangen Kurierlieferungen ab, die Zugangskarten oder -daten enthalten könnten.
Auch der mit Schadprogrammen verseuchte und auf dem Unternehmensparkplatz platzierte USB-Stick wird immer noch erschreckend häufig von Mitarbeiter:innenaufgehoben und arglos in einen Firmen-PC geöffnet - schon ist die Überwachungssoftware im Firmennetz installiert. 
Bei indirekten Attacken werden die Beschäftigten:innen selbst unwissentlich zum Werkzeug. Die Tester:innen geben sich am Telefon als Mitarbeiter:innen der Unternehmens-IT aus und fordern die Angerufenen dazu auf, angebliche Sicherheitssoftware zu installieren. Oder die Tester:innen bauen echte Webseiten nach, um Passworteingaben abzufangen. Auch die Phishing-E-Mail gehört zu den indirekten Attacken. Deren Dateianhang installiert beim Öffnen beispielsweise Spionagesoftware auf den Computern der Opfer.
 Ein USB-Stick auf einem Parkplatz zwischen Autoreifen
Bereits ein Klassiker unter den Cyberangriffen: Ein USB-Stick mit Crackingsoftware wird auf dem Firmenparkplatz abgelegt. Findet ihn jemand und öffnet ihn dann am Firmen-PC, installiert sich die gefährliche Software direkt ins Unternehmensnetz. Pentester:innen prüfen mit ähnlichen USB-Sticks, wie die Mitarbeiter:innen auf derartige Cyberattacken reagieren und ob sie die Gefahren kennen.
Mit zunehmender Unternehmensgröße sehen Sicherheitsexpert:innen ein überproportional wachsendes Risiko für Hackingattacken von innen heraus. Als Täter:innen kommen aktuelle oder ehemalige Mitarbeitende infrage; aber auch Kund:innen und Dienstleister, die auf dem Firmengelände Zugang zu Unternehmenshardware haben oder hatten. Besonders gefährdet sind hierbei Organisationen wie Krankenhäuser, Behörden, Bildungseinrichtungen und andere Institutionen mit viel Besuchsverkehr oder häufig wechselnder Belegschaft.
Der Pentest prüft auch, ob ein Netzwerk robust gegen typische Benutzungsfehler und damit verbundene Sicherheitsrisiken ist. Dazu gehören beispielsweise schwache Passwörter und ungesicherte Verbindungen oder der Verlust von Büroschlüsseln, Zugangskarten und Geräte-Dongles. So ist das unwissentliche Herunterladen von Malware wie beispielsweise Ransomware durch Mitarbeitende eine der größten Gefahren für Netzwerke überhaupt. Ist das Unternehmen erst einmal infiziert, bleibt oft nur die Zahlung von Lösegeld.
Auch das BSI warnt: „In den letzten Jahren hat sich die Bedrohungslage durch Ransomware deutlich verschärft. Weil der Leidensdruck für die Betroffenen so hoch ist, zahlen Opfer in vielen Fällen das geforderte Lösegeld. Dieser Erfolg der Täter führt dazu, dass mittlerweile Kapazitäten aus dem ‚Banking-Trojaner-Geschäft‘ abgezogen werden und die Botnetze nun Ransomware verteilen.”

Netzwerk-Pentests

Der Netzwerk-Pentest gehört zu den wichtigsten Komponenten jedesPentest-Pakets. Dabei werden zuerst alle vorhandenen Datenverbindungen im Unternehmen auf offene Ports und korrekt installierte Firewalls getestet.   
Anschließend führen die Expert:innen sowohl manuelle als auch automatisierte Schwachstellenscans durch, die auf bekannte Fehler und Schwächen in verbreiteten Netzwerkprotokollen und -anwendungen aufbauen. Gelingt es ihnen, auf diese Weise in das Firmennetz einzudringen, erarbeiten sie Empfehlungen für eine Neukonfiguration der Netzwerkarchitektur.

Pentests für Webanwendungen 

Viele Business-Applikationen, darunter die meisten gängigen Büroprogramme,laufenheute als cloudbasierte Webanwendungen. Technologietrends wie Big Data Analytics und künstliche Intelligenz beschleunigen diese Transformation hin zu web- und cloudbasierter Software. Daher ist es heute ein zentraler Bestandteil jedesumfassenden Pentests, Webanwendungen zu überprüfen.   
Denken Sie bei der Beauftragung des Pentests für Webanwendungen unbedingt auch an solche Applikationen, die ausschließlich auf den Computern oder mobilen Endgeräten Ihrer Mitarbeiter:innen im Außendienst oder im Home Office laufen. Denn diese werden daher leicht vergessen.  
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Cloud-Pentests 

Beim Cloud-Pentestanalysieren die Expert:innen alle Clouddienstleistungen, die Sie im Unternehmen nutzen – von Ihrer Datencloud über cloudbasierte KI-Funktionen bis zum Cloud-Back-up, das heute das klassische lokale Back-up bereits in vielen Bereichen komplett abgelöst hat.   
Besonderes Augenmerk legt ein solcher Test auf Ihre Cloud-Anbindung und auf alle Sicherheitsfunktionen, mit denen Sie – oder Ihr Cloud-Dienstleister – Ihre Daten in der Cloud gegen Datendiebstahl und Ransomware schützen. 

Fat-Client-Pentests 

Sogenannte „FatClients“ (auch „RichClients“ oder „Thick-Clients“ genannt) sind Computer, die bestimmte Anwendungen oder Prozesse innerhalb Ihres Netzes ausführen – weitgehend lokal und ohne größere Server- oder Cloudunterstützung. Das kann beispielsweise ein Arbeitsplatzcomputer mit eigener Grafikkarte und Festplattenspeicher sein, auf dem die Steuerung für angeschlossene Produktionsmaschinen läuft. Es kann sich dabei auch um einen Desktop-PC handeln, auf dem sich eine Branchenlösung befindet, die individuell für Sie programmiert wurde und auch bei Ausfall von Server und Netzwerk weiter stabil laufen soll.   
Fat Clients unterscheiden sich damit von sogenannten Thin Clients, die so viele Prozesse wie möglich an Netzwerk- oder Cloudspeicher auslagern.Beispiele für solche Thin Clients sind Dateneingabe-Terminalsund mobile Endgeräte, auf denen nur noch ein lokales Frontend oder eine Weboberfläche für zentrale Server- und Web-Anwendungen läuft.  
Fat Clients sind ein bevorzugtes Ziel von Cyberkriminellen. Sie sind prinzipbedingt oft schlechter geschützt als Thin Clients. Das hat gleich mehrere Gründe:  
  • Oft verwalten die jeweiligen Fachabteilungen vor Ort dieFlat Clients – nicht zentral die Firmen-IT. So kann es leicht passieren, dass unerfahrene Anwender:innenSoftware aus obskuren Internetquellen auf diesen Geräten installieren. Das können beispielsweise kostenlose Datenkompressions- und Grafikprogramme sein, die im schlimmsten Fall Trojaner und andere Malware enthalten. 
  • Viele Unternehmen nutzen teure Branchen- und Spezialanwendungenüber Jahre unverändert. Häufig sind diese Programme für alte Betriebssystemversionen geschrieben und es gibt keine aktuellen Neuauflagen. Sicherheitsexpert:innenschätzen, dass in Behörden und Unternehmen noch viele zehntausend Computer unter Windows XP laufen, auf denen derartige Branchenlösungen installiert sind. Hacker:innenkönnen diese Geräte leicht knacken – besonders dann, wenn keine sichere Firewall sie schützt.  
  • Esist vergleichsweiseschwierig, verdächtige Prozesse auf Fat Clients zentral zu überwachen: Während sich beispielsweise ein aktiver Verschlüsselungstrojaner auf einem Thin Client schnell verrät, weil er auffällig viele Systemressourcen im Netzwerk verbraucht, kann derselbe Trojaner auf einem Fat Client lange unbemerkt im Hintergrund arbeiten.  
  • Auf Fat Clients gibt es oft mehrere Nutzerkonten mit erweiterten Zugriffsrechten, beispielsweise für Spezialanwendungen, die auf Massenspeicher und Ein- und Ausgabekomponenten zugreifen müssen. Dadurch wird es auch für Angreifer:innen leichter, auf diesen Computern Malware zu installieren, sobald sie erst einmal ein Nutzerkonto gehackt haben. 
Falls Sie in Ihrem Unternehmen Fat Clients einsetzen, sollten Sie diese also unbedingt in Ihre Pentests mit einbeziehen. Denn hier könnte es gefährliche Sicherheitslücken geben.

Red Team 

Die Bezeichnung „Red Team“ (häufig auch „Red Teaming“ oder „Red Team versus Blue Team“) beschreibt ein spezielles Testverfahren mit verteilten Rollen. Eine Gruppe von Sicherheitsexpert:innen (als rotes Team bezeichnet), versucht hierbei innerhalb einer bestimmten Zeit, mit allen zur Verfügung stehenden Mitteln in Ihre Unternehmens-IT einzubringen.   
Eine andere Gruppe (blaues Team) kennt zwar den ungefähren Zeitpunkt der Attacke, aber nicht deren geplanten Ablauf und muss das Firmennetzwerk mit den vor Ort vorhandenen Mitteln schützen. Das RedTeam darf hierbei auch das Unternehmensgelände betreten und dort beispielsweise nach einem schwach geschützten WLAN suchen oder Social Engineering betreiben.    
Nicht alle Pentest-Firmen bieten ein solches „Red Teaming“ an. Einige Dienstleister betrachten es als eine eigene Art von Cybersecurity-Testund nehmen es daher nicht in ihr Pentest-Portfolio auf.  
Weil das RedTeaming ein Zeitlimit und eine Defensivkomponente beinhaltet, kann es wertvolle Informationen über Ihr Firmennetz liefern. So verrät es Ihnen beispielsweise, wie resilient Ihr Netz überhaupt ist. Die Resilienz ist ein Indikator dafür, wie schnell und effizient Sie auf laufende Cyberangriffe mit geeigneten Gegenmaßnahmen reagieren können.  
Eine lächelnde Frau trägt ein Headset

Jetzt zum Thema Cyber Security informieren

Sie haben Fragen zum Thema Cyber Security? Stellen Sie die IT-Sicherheit in Ihrem Unternehmen in den Mittelpunkt. Gerne helfen unsere Expert:innen Ihnen kostenlos weiter:

0800 5054539

Montag bis Freitag, 8 bis 18 Uhr (außer an Feiertagen)

Wie ist ein Pentesting aufgebaut?

Eine besondere Stärke des Penetrationstests ist die sorgfältige Dokumentation aller Einzelschritte. Während reale Hacker:innen bemüht sind, ihre Datenspuren bestmöglich zu verwischen, ist der Pentest im Nachhinein völlig gläsern. Jeder Schritt einer Attacke im Rahmen des Pentests ist später also genau nachvollziehbar.

Exakte Vorplanung entscheidend für den Testerfolg

Wie bei einem wissenschaftlichen Experiment oder bei der Marktforschung zu einem neuen Produkt bestimmt auch beim Penetrationstest eine sorgfältige Vorbereitung maßgeblich über den Erfolg. Am Beginn des Pentesting steht daher die gemeinsame Testplanung. Das beauftragende Unternehmen bespricht mit dem Dienstleister die Ziele und die zur Zielerreichung angewendeten Strategien für den eigentlichen Pentest.
Die einzelnen Dienstleister unterscheiden sich im Aufbau ihrer Pentests. Als allgemeinen Planungsrahmen gibt es Teststandards wie den „Penetration Testing Execution Standard“ (PTES) oder den BSI-Leitfaden „IT-Sicherheits-Penetrationstest“. Das BSI untergliedert das Pentesting in fünf aufeinander aufbauende Phasen:
  • Phase 1: Spezifikation und Vorbereitung
  • Phase 2: Passiver Penetrationstest
  • Phase 3: Feinplanung und Risikoanalyse
  • Phase 4: Aktive Eindringversuche
  • Phase 5: Abschlussanalyse

Phase 1: Zielvereinbarung und Spezifikation

In Vorbereitungsgesprächen stimmen Kunde und Anbieter Ziele und Verfahren des Pentests ab. Welche Strukturen sollen getestet werden? Sind stichprobenartige Tests gewünscht oder soll Arbeitsplatz für Arbeitsplatz überprüft werden? Wie weit sollen die Tests gehen? Gibt es beispielsweise Produktionssysteme, die aus Sicherheitsgründen von den Tests ausgenommen oder in einem separaten Test untersucht werden sollen?
Betroffen hiervon sind etwa Organisationen des Gesundheitswesens oder Unternehmen der Grundversorgung. Dort dürfen Pentests beispielsweise keine Systeme gefährden, die den laufenden Betrieb sicherstellen oder von denen Menschenleben abhängen.
Weitere Fragen zur Vorbereitung: Welche gesetzlichen oder branchenspezifischen Vorgaben und Sicherheitsstandards gelten für das zu untersuchende Unternehmen? Inwieweit soll der Pentest deren Einhaltung validieren oder mögliche Schwachstellen aufdecken, die im Widerspruch zu gesetzlichen Vorgaben stehen? Solche branchenspezifischen Sicherheitsstandards werden beispielsweise definiert durch:
  • ISO/IEC 27001 und ISO/IEC 27019 unter anderem für Unternehmen der Energiewirtschaft
  • Payment Card Industry Data Security Standard (PCI DSS)
  • BSI TR-03161 für Anforderungen an Anwendungen im Gesundheitswesen und den Health Insurance Portability and Accountability Act (HIPAA)
  • Vorschriften zur IT-Security der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Die Überprüfung auf derartige Branchenstandards sollte idealerweise Bestandteil des Pentest-Dienstleistungsvertrages sein.
Auch das Aggressivitätslevel der Tests wird im Vorfeld besprochen. Sollen die Tests hauptsächlich passiv ablaufen und lediglich vorhandene Lücken ausnutzen? Oder dürfen die Tester:innen beispielsweise gezielt Schadsoftware im Unternehmen installieren und damit Daten herunterladen, sofern sie Angriffspunkte finden? Sind nur indirekte Social-Engineering-Attacken per Mail und Telefon erlaubt? Oder soll wirklich aktiv ins Unternehmen eingedrungen werden? Dürfen die Tester:innenbeispielsweise Spionage-Hardware wie Keylogger, Minikameras oder „Rogue Access Points”einsetzen?  
 
Spezial-Technik für Pentests

Keylogger sind kleine unauffällige Geräte, die zwischen Tastatur und Computer gesteckt werden und unbemerkt jeden Tastendruck aufzeichnen, also auch bei Passworteingaben.

„Rogue Access Points” sind fingierte WLAN-Zugriffspunkte, die nicht zum Firmennetz gehören. Hacker:innen – oder in diesem Fall Pentester:innen – stellen solche falschen Zugriffspunkte auf, damit sich Mitarbeiter:innen darauf einloggen und so ihre Passwörter verraten.

Der Pentest-Dienstleister sichert sich mit dieser Vereinbarung auch selbst ab. Denn in Deutschland ist bereits die Vorbereitung eines Hacking-Angriffs grundsätzlich strafbewehrt (§ 202 STGB). Der Dienstleister benötigt also einen genau umrissenen schriftlichen Auftrag des Unternehmens, dessen Netze er angreifen soll.
Sofern sensible Unternehmensdaten oder schützenswerte persönliche Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) betroffen sind, ist auch hierfür zu klären, wie diese Daten während der Attacken bestmöglich geschützt werden.
Eine Vertraulichkeitsklausel ist ebenfalls Bestandteil eines solchen Pentest-Auftrags. Schließlich haben die Sicherheitsexpert:innen durch ihre Hackingattackeneventuell Zugriff auf alle sensiblen Daten des Unternehmens. 
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Phase 2: Passiver Penetrationstest

In Phase 2 des passiven Penetrationstests werden alle  Informationen über die zu testenden Strukturen gesammelt, die im Vorfeld erreichbar sind. Außerdem wird der organisatorische Ablauf des Pentests in einem groben Rahmen definiert.  
Umfangreiche Penetrationstests in großen Organisationen können sich über mehrere Wochen hinziehen. Daher muss bereits an dieser Stelle entschieden werden, welche Systeme wann getestet werden, inwieweit das Unternehmen für die Dauer der Tests Ersatzsysteme braucht und welche Tests überhaupt zwingend im laufenden Betrieb stattfinden müssen.  
Ein Unternehmen mit Saisongeschäft wird seine Pentests vielleicht in Zeiten mit geringem Geschäftsaufkommen legen. Oder es möchte einen Pentest bewusst unter höchster Last fahren. Denn dann ist das Risiko größer, dass Mitarbeitende und Unternehmens-IT Sicherheitsprozeduren ausfallen lassen oder Updates verschieben und so zeitweiligeSicherheitslücken entstehen. Auch Angriffe, die die Überlastung von Systemen ausnutzen, sind dann aussagekräftiger. Um derartige Risiken aufzuspüren, wird das Unternehmen seine Testung also möglicherweise gezielt in die passende Saison legen. 

Phase 3: Feinplanung und Risikoanalyse

Die Sicherheitsexpert:innen des Pentest-Dienstleisters bewerten die in Phase 2 gesammelten Informationen und erstellen auf dieser Grundlage eine Risikoanalyse. Mit Blick auf die in Phase 1 definierten Zielvorgaben planen sie im Detail ein möglichst wirtschaftliches und effizientes Vorgehen für die einzelnen Tests.  
Sollen die Expert:innen vor allem Risiken identifizieren, die den Geschäftsbetrieb oder Unternehmenswerte gefährden? Dann können sie nachrangige Systeme, die in keiner Verbindung zu vitalen Strukturen stehen, in dieser Phase von den Tests ausschließen.  
Ein solches unwichtiges System im Sinne der Pentests wäre beispielsweise im Einzelhandel ein Point-of-Sale-Informationsterminal, das keinen Internetzugang hat, keine Kundendaten oder andere sensible Informationen speichert und auch nicht mit weiteren Systemen des Unternehmens verbunden ist. 

Phase 4: Aktive Eindringversuche

In dieser Phase erfolgen die eigentlichen Eindringversuche in die zuvor ausgewählten Systeme. Die Tests laufen mehrstufig ab. Für jeden Test werden andere Herangehensweisen gewählt. Zum Schutz laufender Produktionssysteme kann es geboten sein, während der Tests erkannte Lücken beispielsweise durch entsprechende Updates und Patches schließt. Systemsicherheit geht hierbei vor Testerfolg.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Per Hackingattacke erste Schwachstellen erkennen 

Hacker:innen verfügen über einen reichhaltigen Software-Werkzeugkasten, um in fremde Netze einzudringen. Dengleichen Baukasten kennen und nutzen auch Sicherheitsexpert:innen, um Hackingattacken nachzustellen: 
  • Mit Denial-of-Service-Attacken (DoS) überlasten die Expert:innen die Unternehmenswebseite mit einer Vielzahl von Aufrufen in ganz kurzer Zeit so stark, dass die Seite nicht mehr erreichbar ist. Ähnliche Attacken fahren sie auch gegen das interne Netzwerk oder einzelne Hardware-Komponenten. Das kann etwa der VPN-Tunnel sein, über den sich Mitarbeitende von unterwegs einwählen. Bei diesen Tests geht es nicht darum, Daten mit Hackingmethoden auszuspionieren. Ziel ist es vielmehr, die Robustheit des Unternehmensnetzes zu testen. 
  • Im Rahmen sogenannter Code-Reviews testen die Expert:innen alle im Unternehmen verwendeten Programme unter Sicherheitsgesichtspunkten. Ein Beispiel: Anwendungen, Web-Oberflächen oder Makros, die intern genutzt werden, sollten beispielsweise keine Passwörter oder Personendaten im Klartext übertragen. Denn die Gefahr ist groß, dass Mitarbeitende dieselben Anmeldedaten, die sie für ein internes Schulungs-Tool oder Fußball-Tippspiel verwenden, auch für ihren Zugang zum Mailkonto oder zur Firmen-Cloud nutzen. Schon hätten Hacker:innen damit Zugriff auf das Firmennetz. Aber auch Daten von Kund:innen dürfen in Deutschland nicht unverschlüsselt weiterverarbeitet und gespeichert werden, weil dies gegen die DSGVO verstößt. 
  • Mit Sniffer-Programmen („Netzwerk-Schnüfflern”) lesen manche Kriminelle die Kommunikation im Firmennetz mit. Die Sicherheitsexpert:innen stellen auch dieses Szenario nach, sofern das zu testende Unternehmen solche aggressiven Tests genehmigt. 
  • Per Portscanning analysieren die Expert:innen die einzelnen Datenkanäle (Ports) der Kommunikation mittels Internet-Protokoll (TCP/IP), um Informationen über die im Unternehmen verwendete Software zu sammeln und möglicherweise ungeschützte Ports für direkte Angriffe zu finden. 
  • Mittels Session Hijacking, IP-Spoofing und Man-in-the-Middle-Angriffen kapern echte Kriminelle bestehende Internetverbindungen oder täuschen Mitarbeitende des Unternehmens darüber, mit wem sie im Internet kommunizieren. Expert:innen simulieren daher bei ihren Pentests auch solche Attacken und probieren aus, ob sie damit Erfolg haben. 
  • Hacker:inneninfiltrieren über das Internet gezielt Webanwendungen und Datenbanken des Unternehmens mit Schadcode, um Zugriff auf diese Systeme zu erlangen. Beispiele hierfür sind Format-String- und Buffer-Overflow-Attacken oder SQL-Injections. Mittels Software simulieren die Pentest-Expert:innen auch diese Angriffe und finden so gefährliche Lücken. 
  • Getestet werden nicht nur die IT-Strukturen des Unternehmens selbst, sondern auch die Produkte des Unternehmens, soweit diese digitale Inhaltehaben oder beispielsweise eingebettete Steuerungen vorhanden sind. Für solche Tests können auch Digital Twins dieser Produkte genutzt werden. 
Im ersten Schritt spüren die Sicherheitsexpert:innen mit diesen Werkzeugen aus der Praxis echter Hacker:innen nur die Einfallstore für Attacken auf. Erst in einem zweiten Schritt schleusen sie zu Testzwecken entsprechende Malware (Spyware, Ransomware) ein. Oft wird dieser zweite Schritt aber ausgelassen, weil die Sicherheitslücke im ersten Schritt bereits hinreichend erwiesen ist – und die Pentests keine Einfallstore für echte Hacker:innenschaffen sollen.  
Ein verbreitetes Werkzeug von Hacker:innen sind außerdem sogenannte Exploits. Das sind im Internet oder Darknet verfügbare Codes, die Schwächen verbreiteter Programme wie Webbrowser oder Bürosoftware ausnutzen. Auch hier klären die Expert:innen vorher ab, ob solche Exploits tatsächlich zu Testzwecken installiertbeziehungsweiseverwendet werden sollen. Denn viele dieser Exploits sind noch gar nicht vollständig erforscht und könnten beispielsweise unbekannten Schadcode enthalten.  
Das BSI warnt in seinem Pentest-Leitfaden: „Ist der Exploit unsicher programmiert, so kann er Schaden an der IT-Anwendung anrichten. Im einfachsten Fall kann ein Absturz die Folge sein, es können aber auch Speicherbereiche überschrieben werden, die für das Funktionieren der IT-Anwendung oder des gesamten IT-Systems erforderlich sind und damit die IT-Anwendung oder das gesamte IT-System unbrauchbar machen. Hier muss genau abgewogen werden, ob ein Exploit eingesetzt wird.“ 
Simulierte APTs für mehr Einblicke in Schwachstellen 
Einige Hackingattackensind bereits in wenigen Sekunden ausgeführt: etwa Kryptowährung stehlen,Firmenkonten leeren oder Ransomware einspielen. Andere Hackingattackendauern hingegen Monate oder Jahre. Dazu gehören:  
  • Unternehmensrechnern für Botnets kapern 
  • Schläfer-Malware einspielen, die erst zu einem festgesetzten Datum oder auf eine Aktivierung von außen hin ihre schädliche Arbeit aufnimmt 
  • Den internen Mailverkehr dauerhaft mitlesen 
  • Management-, Finanz- oder Produkt- und Forschungsdaten eines Unternehmens permanent abschöpfen 
Solche langfristigen Attacken werden auch als „Advanced Persistent Threats” (kurz: APTs)) bezeichnet, was mit „fortgeschrittene, andauernde Bedrohung” übersetzt werden kann. Integraler Bestandteil von Pentests ist die Suche nach solchen Bedrohungen, die möglicherweise schon lange in den Tiefen des Unternehmensnetzwerks schlummern. Gefährliche Schnüffel-Software kann sich beispielsweise in Freeware verstecken, die Mitarbeitende mit lokalen Administrationsrechten auf ihren Systemen installiert haben. Aber auch digitale Steuerungen sowie programmierbare Sensoren und Aktoren, die mit dem Netzwerk direkt oder indirekt verbunden sind, werden auf Lücken und möglichen Schadcode untersucht.  
Ausländische Nachrichtendienste, die für ihre heimische Industrie Wirtschaftsspionage betreiben oder gezielt deutsche Regierungsbehörden ausspionieren, können ebenfalls hinter solchen APT-Attacken stecken. Pentest-Dienstleister kennen dokumentierte Fälle von APT-Attacken und suchen daher gezielt nach Datenspuren solcher Angriffe.

Phase 5: Abschlussanalyse 

Nach dem Ende aller Einzeltests erfolgt die Abschlussanalyse. Der Auftraggeber erhält einen ausführlichen Bericht, in dem der Pentest-Anbieter alle entdeckten Lücken aufführt. Auch Gefährdungen werden hier genannt, die die Expert:innenbereits während der Testphase beseitigthaben. Denn nur so können mögliche strukturelle Schwächen identifiziert werden.  
Gab es beispielsweise Probleme dabei, unternehmensweit Updates auf Arbeitsplatzrechner auszuspielen, so hat der Pentest diesen Fehler zwar beseitigt. Er könnte beim nächsten Update aber erneut auftreten. In einem solchen Fall ist die logische Konsequenz also, dass die IT Updates zukünftig kontrollieren und für alle vorhandenen Computer dokumentieren muss.  
Social-Engineering-Attacken liefern zusätzlich wichtige Erkenntnisse: Haben Mitarbeitende erkannt, dass sie ausgeforscht wurden und haben sie diese Kontaktaufnehmen gemeldet? Hat die Unternehmens-IT, sofern sie von den Pentests nichts wusste, diese trotzdem bemerkt und ihre Schutzmaßnahmen entsprechend verstärkt?  
Ein Pentest ist immer ein Test des ganzen Unternehmens, bestehend aus den dort tätigen Menschen und der genutzten Hard- und Software. Die Bereiche mit dem geringsten Sicherheitslevel bestimmen dabei die Verwundbarkeit des Gesamtsystems. Ein Pentest ist außerdem immer nur eine Momentaufnahme. Sie sollten ihn daher in regelmäßigen Abständen wiederholen. 

Pentest-Tools: Geeignete Tools und ihre Funktionen auf einen Blick

Inzwischen gibt es eine Vielzahl von Softwarepaketen für Pentests und Vulnerability Scans. Zu den bekanntesten gehören Metasploit, Invicti, Acunetix, Qualys, Intruder und Burp Suite. Diese Pentest-Tools testen beispielsweise, ob alle Webanwendungen über die neuesten Patches verfügen, ob es offene Ports und Einfallstore für SQL-Injections gibt und wie sicher eine eventuell vorhandene Cloud-Anbindung an AWS oder Azure gelöst ist.  
Grundsätzlich eignen sich die meisten dieser Programme für regelmäßig angesetzte oder dauerhaft laufende Tests der eigenen Hardware. Sie sind aber kein Ersatz für einen professionellen Pentest, der genau auf das jeweilige Unternehmen zugeschnitten ist und nationale Branchen-Sicherheitsstandards berücksichtigt. Außerdem sollte der Test Social-Engineering-Komponenten beinhalten, die eine Software naturgemäß nur sehr eingeschränkt bieten kann. Insbesondere können solche Pentest-Programme nicht die kriminelle Kreativität echter Hacker:innen simulieren – denn diese programmieren täglich neue Exploits, mit denen sie Pentest- und Antivirenprogramme ausmanövrieren. 
Wenn Sie sich vergewissern möchten, dass Ihr Unternehmensnetzwerk wirklich sicher ist und auch die Mitarbeitenden alle Risiken kennen und abwehren, sollten Sie daher die Dienste eines professionellen Pentest-Anbieters in Anspruch nehmen und nicht allein auf ein Software-Tool vertrauen.

Häufige Fragen zu Penetrationstests

Wie hoch sind die Kosten für einen Pentest? 
Dauer und Preis eines Pentests richten sich nach Größe und Komplexität des jeweiligen Firmennetzes. Für kleinere Unternehmen liegen die Kosten üblicherweise im vierstelligen Bereich und die entsprechenden Tests sind innerhalb einer Woche absolviert. Bei größeren Netzen in Firmen mit über 100 Mitarbeiter:innen und einer komplexen IT-Struktur sollten Sie hingegen mit einem mittleren fünfstelligen Betrag rechnen.   
Ist mein Firmennetz während der Pentests weiterhin nutzbar? 
Auch während eines laufenden Pentests können Sie Ihr Firmennetz normal weiter betreiben. Je nachdem, ob Sie eine aggressive oder weniger aggressive Teststrategie einsetzen, könnte Ihr Netz allerdings langsamer werden. Denn insbesondere simulierte Brute-Force-Attacken und DDoS-Angriffe sind ein kalkulierter Belastungstest für Ihre Internetserver und Firewalls.  Falls Ihr Netz ohnehin bereits stark ausgelastet ist, können Sie mit Ihrem Dienstleister auch vereinbaren, besonders ressourcenhungrige Testschrittein die Nachtstunden oder aufs Wochenende zu verlegen.  
Wie häufig sollte Firmen Pentests in Auftrag geben? 
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, Pentestsregelmäßig alle zwei bis drei Jahre zu wiederholen. Viele größere Unternehmen lassen ihre Netze sogar jährlich testen oder betreiben ein dauerhaftes Pentesting, bei dem die einzelnen Standorte und Abteilungen abwechselndüberprüft werden.   
Bei allen größeren Umbauten in Ihrem Firmennetz sollten Sie Ihre IT mittels Pentest außerplanmäßig überprüfen, beispielsweise nach einem Umzug Ihres bisherigen On-Premises-Rechenzentrums in die Cloud.   
Beachten Sie, dass ein Pentest immer ein Individualprodukt ist, dasan Ihr Unternehmen und Ihr Firmennetz angepasst wird. Sie können also mit Ihrem Dienstleister vereinbaren, einzelne Testkomponenten häufiger zu wiederholen. 
Was ist der Unterschied zwischen einer Schwachstellenanalyse und einem Pentest? 
Eine Schwachstellenanalyse ist ein automatisiertes, softwaregestütztes Testverfahren, bei dem alle Hardware- und Software-Komponenten des Firmennetzwerkes auf fehlerhafte Konfiguration, fehlende Updates und unsichere Schlüssel oder Verschlüsselungsverfahren untersucht werden. Nach Abschluss der Analyse wird ein detaillierter Report erstellt, der alle gefundenen Risiken tabellarisch aufführt.   
Da die Schwachstellenanalyse weitgehend automatisiert erfolgt, kann sie in kurzen Zeitabständen wiederholt werden, ohne dass hierdurch hohe Kosten entstehen oder übermäßig Personal-Ressourcen gebunden werden. Viele Pentests, die günstig über das Internet angeboten werden, sind eigentlich Schwachstellenanalysen. 
Im Unterschied zum Pentestsucht eine Schwachstellenanalyse nur nach bekannten Standardrisiken. Dazu gehören beispielsweise leicht zu knackende Schlüssel oder offene Netzwerkports. Damit ist sie gut geeignet, um gängige Einfallstore für bekannte automatisierteAngriffstypen aus dem Internet zu schließen, beispielsweise für Port-Scan-Angriffe. Die Schwachstellenanalyse ist hingegen nicht geeignet, um mögliche Hackingattacken via Zero-Day-Exploits, Social Engineering oder Spear Phishing zu verhindern.   
Sowohl Schwachstellenanalyse als auch Pentest haben damit ihre jeweilige Berechtigung innerhalb eines umfassenden Cybersicherheits-Konzeptes. 

Pentests: Das Wichtigste in der Übersicht

  • Pentests bilden Hackingattacken auf das Unternehmensnetzwerk nach. 
  • Die Testverfahren umfassen eine Vielzahl sehr unterschiedlicher Angriffe, die verschiedene Formen von Hackingangriffen nachbilden. 
  • Pentests setzen sich zusammen aus Angriffen über das Netz, Angriffen aus dem eigenen Netzwerk heraus und Social-Engineering-Attacken. 
  • Für Pentests gibt es verschiedene Durchführungsstandards wie beispielsweise den BSI Leitfaden IT-Sicherheits-Penetrationstest. 
  • Pentests unterscheiden sich von automatisierten Testverfahren, weil die Tester:innen gezielt Lücken aufspüren und ausnutzen. Sie sind daher nicht mit reinen Vulnerability-Scans zu verwechseln. 
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort