2028824

Vergleich: Schwachstellenanalyse vs. Penetrationstest

02.10.2016 | 09:10 Uhr |

Die eigene IT auf Sicherheitslücken testen. Das geht sowohl mit Schwachstellenanalysen als auch mit Penetrationstests. Was ist der Unterschied?

Technische Sicherheitsanalysen und Penetrationstests sind Schlüsselkomponenten einer nachhaltigen IT-Sicherheitsstrategie: Es geht darum, Schwachstellen zu finden, bevor ein Angreifer sie ausnutzen kann. Häufig werden die Begriffe synonym verwendet, allerdings gibt es einige wichtige Unterschiede in Strategie und Methodik.

Sicherheitsanalyse und Penetrationstests sind für alle Organisationen sinnvoll, die mit Schnittstellen zum Internet arbeiten, beispielsweise durch das Betreiben eines Webshops oder die Einbindung externer Partner, die sich für die Wartung per VPN einwählen.

Im Mittelpunkt der Analysen und Tests stehen folgende Fragen:

  1. Welche technischen Schwachstellen haben IT-Systeme, Infrastruktur oder Anwendungen der untersuchten Organisation?

  2. Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen?

  3. Welchen Schaden kann ein Angreifer anrichten, der Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht?

Vorgenommen werden Sicherheitsanalysen und Penetrationstests durch so genannte Security Analysts: Für die Simulation eines Angriffs nutzen sie die gleichen Strategien, Taktiken und Tools wie echte Hacker.

Sicherheitsanalyse - für Pragmatiker

Die Sicherheitsanalyse ist eine pragmatische Methode, mit der Security Analysts prüfen, wie widerstandsfähig die interne IT-Infrastruktur gegenüber externen oder internen Angriffen ist. Sie bietet einen guten Überblick darüber, ob der äußerste Verteidigungsring der Organisation eine Angriffsfläche bietet und wie viele mögliche Einfallstore ein Angreifer hier finden kann. Die Sicherheitsanalyse kann als Ausgangspunkt für tiefergehende Prüfungen dienen, wie etwa einen Penetrationstest.

Penetrationstest - der Weg zu den Kronjuwelen

Der Penetrationstest legt offen, inwieweit der Angreifer in die Infrastruktur vordringen und in welchem Ausmaß er die Organisation schädigen kann. Dazu kann zunächst schon ein einziges Einfallstor reichen, über das der Angreifer anschließend weitere, tiefergehende Schwachstellen suchen und finden kann, um schließlich die eigentlichen "Kronjuwelen" des Unternehmens zu erreichen. Letzteres entspricht eher dem Vorgehen eines realen Hackers. Meist handelt es sich jedoch um ein zeitaufwändigeres Unterfangen als bei einer Sicherheitsanalyse.

Penetrationstests sind deshalb auch das Mittel der Wahl, wenn es darum geht, das Sicherheitsbewusstsein innerhalb der Organisation zu steigern oder dem Management einen tieferen Einblick in die tatsächlichen Risiken eines Unternehmens zu geben.

Informationen sammeln, Schwachstellen finden und ausnutzen - so läuft ein Penetrationstest in der Regel ab - analog zu einem "realen" Angriff. Anwendern hilft er, die eigene IT-Security zu optimieren.
Vergrößern Informationen sammeln, Schwachstellen finden und ausnutzen - so läuft ein Penetrationstest in der Regel ab - analog zu einem "realen" Angriff. Anwendern hilft er, die eigene IT-Security zu optimieren.
© TÜV Rheinland 2014

Kein Vulnerability Scan

Sicherheitsanalysen und Penetrationstests werden immer von Menschen vorgenommen, - im Gegensatz zu Vulnerability Scans, bei denen Anwendungen oder Systeme software-gestützt und vollautomatisiert auf bereits bekannte Sicherheitslücken geprüft werden.

Die geschulten und erfahrenen Security Analysts setzen bei Sicherheitsanalysen und Penetrationstests durchaus auch Tools ein, können jedoch aufgrund ihrer Erfahrung auch unbekannte Sicherheitslücken identifizieren, um ein realistisches und wirklichkeitsnahes Bild des Angriffspotentials wiederzugeben. Der Prozess verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:

  1. Informationen sammeln

  2. Sicherheitslücken identifizieren

  3. Sicherheitslücken auswerten

Insbesondere in Punkt 3 besteht der eigentliche Mehrwert von Sicherheitsanalysen und Penetrationstests: Denn dieser ermöglicht im Anschluss die Ableitung realistischer Gegenmaßnahmen mit dem Ziel, Sicherheitslücken zu eliminieren oder auf ein für die Organisation akzeptables Maß zu reduzieren, bevor ein echter Angreifer sie ausnutzen kann. (sh)

0 Kommentare zu diesem Artikel
2028824