Pentest vs. Schwachstellenscans: Menschliche Stärke siegt gegen Open Tools

Ob privat oder geschäftlich, Schwachstellen in der IT-Infrastruktur sind immer gefährlich, denn sie öffnen Hackern ein Einfallstor, um Daten zu stehlen oder Schadprograme zu platzieren. Zum Aufspüren solcher Schwachstellen eignen sich Schwachstellenscans und Pentests. Wie unterscheiden sich beide Methoden?

Schwachstellenscans werden normalerweise von automatisierten Tools durchgeführt, bekannte Scanprogramme gibt es z. B. von Nessus, Nmap oder Open VAS. Diese Scanner-Software, die man auch als Open Tool bezeichnet, untersucht die IT-Umgebung mit dem Ziel, Schwachstellen aufzudecken, sie mit einer Kennung (etwa eine CVE-Kennung) zu versehen, die Schwachstelle mithilfe eines CVSS-Risiko-Scores, der von 1 = Low bis 10 = Critical reicht, zu bewerten und einen Abschlussbericht zu erstellen.

„Ein Schwachstellenscan zeigt allerdings normalerweise unbekannte Schwachstellen und viele Fehler in der Konfiguration nicht an. Bei Web-Anwendungen können zudem logische Sicherheitsfehler nicht ausgemacht werden. Außerdem bleibt beim Schwachstellenscan offen, ob und wie weit die ausfindig gemachten Schwachstellen ausgenutzt werden kann, um noch weiter in die IT-Umgebung einzudringen“, sagt Dr. Ewan Fleischmann, Gründer der Redlings GmbH.

Der vollkommen automatisiert ablaufende Schwachstellenscan zeigt zwar vorhandene Sicherheitslücken auf, gibt aber keinen Hinweis darauf, wie die Lücken eventuell von Hackern genutzt werden können, um sich Zugangs zum System zu verschaffen. Diese Informationen erhält man durch einen Penetrationstest.

Der Penetrationstest beinhaltet eine umfassende IT-Sicherheitsbewertung und bildet sozusagen das „Fleisch“ um den Knochen des Schwachstellenscans. Ein solcher Pentest wird von ausgewiesenen IT-Sicherheitsexperten durchgeführt. Die Besonderheit besteht vor allem darin, dass sie auf das Wissen der Hacker zurückgreifen, um Schwachstellen aufzuspüren. Darüber hinaus nutzen sie in enger Absprache mit dem Auftraggeber hinsichtlich der zu testenden Bereich und der erlaubten Methoden die gefundenen Sicherheitslücken aus und testen, wie tief sie in die IT-Infrastruktur eindringen können.

Der Penetrationstest richtet sich aus an den Vereinbarungen zwischen dem Auftraggeber und dem durchführenden IT-Sicherheitsexperten. Zwingend sind detaillierte Vereinbarungen, weil das Testen von Systemen oder Systemdiensten unzulässig ist, die nicht dem Auftraggeber gehören. Zudem darf der Pentest nicht einfach die gesamte IT-Infrastruktur „durchtesten“, sondern nur die vorher festgelegten Bereiche, etwa Web-Anwendungen oder die Cloud. Am häufigsten finden sich Schwachstellen in den Bereichen Konfiguration, Programmierung, Verschlüsselung oder Session-Management.

Man kann den Pentest in sechs einzelne Prozess-Abschnitte einteilen, die der ausführende Pentester absolviert:

1. Planung, Vorbereitung und Scoping (Definieren von Testzielen)
2. Enumeration (Sammeln von Informationen zum Testgegenstand)
3. Identifikation und Ausnutzen von IT-Sicherheitsschwachstellen (danach erneute Enumeration)
4. Analyse & Abschlussbericht (Darstellung der Schwachstellen und ihrer Gefahrenpotenzials, Verbesserungsvorschläge)
5. Aufräumarbeiten (Systemsäuberung von allen testrelevanten Artefakte) & Schließen der Sicherheitslücken durch den Auftraggeber
6. Durchführung eines Nachtests (zur Kontrolle der Wirksamkeit ergriffener Maßnahmen)

Was für jeden Pentest zwingend ist, ist eine Vertraulichkeitsvereinbarung. Diese ist notwendig, weil auch die als „ethische Hacker“ tätigen IT-Sicherheitsexperten während eines Pentests auf sensible, vertrauliche Daten stoßen können.

Auch das explizite Einverständnis des Auftraggebers ist zwingend notwendig und sollte vertraglich festgehalten werden. Wer nämlich einen Pentest ohne Zustimmung und klare Absprachen durchführt, begeht eine unzulässige und strafbare Handlung. Daher ist im Vorfeld immer ein detaillierter Vertrag auszuarbeiten, in dem alle Eventualitäten festgehalten sind. So haben beide Parteien größtmögliche Rechtssicherheit.

Falls es Unklarheiten hinsichtlich des Besitzes von bzw. der Rechte an Systemen oder Systemdiensten auf Seiten des Auftraggebers gibt, sollte der Rat eines Fachanwalts eingeholt werden.

Vergleicht man Schwachstellenscans mit Pentests, so ist es im Grunde ein Schlagabtausch zwischen automatisierten Softwareprogrammen (Open Tools) und menschlicher Kompetenz. Man sollte beide allerdings nicht gegeneinander ausspielen, sondern sie als gemeinsam aktive „Spielgefährten“ zum Wohle der IT-Sicherheit und der zu schützenden Daten ansehen und verwenden.

„Es ist von nicht zu unterschätzendem Wert, einen IT-Security-Partner zu haben, der Ihr Unternehmen fachlich begleiten kann, und Ihnen nicht nur einen Bericht übergibt“, meint Redlings-CEO Fleischmann. Diesen Vorteil bieten Pentests, denn sie werden von Fachleuten durchgeführt, die den Auftraggeber nicht nur durch den Test-Prozess führen, sondern ihm mit ihrer Expertise das gesamte Projekt über, auf Wunsch auch darüber hinaus, zur Verfügung stehen.

bildungsdoc® Podcast: High School Year & Work & Travel
bildungsdoc®-Buchshop: ‚Vorbereitung Arbeitsmarkt Zukunft‘ & ‚Schulbesuch im Ausland – aus der Sicht einer Schülerin‘
bildungsdoc® beantwortet Fragen zu: Au Pair, Auslandsjahr, Auslandspraktikum, Work & Travel, Freiwilligenarbeit und Schulbesuch im Ausland.