Wer die eigene IT auf Sicherheitslücken testen möchte, kann das sowohl mit Schwachstellenanalysen als auch mit Penetrationstests durchführen.
Hier klären wir die Unterschiede der beiden Methoden: Technische Sicherheitsanalysen und Penetrationstests sind Schlüsselkomponenten einer nachhaltigen IT-Sicherheitsstrategie: Es geht darum, Schwachstellen zu finden, bevor ein Angreifer sie ausnutzen kann.
Häufig werden die Begriffe synonym verwendet, allerdings gibt es einige wichtige Unterschiede in Strategie und Methodik. Sicherheitsanalyse und Penetrationstests sind für alle sinnvoll, die mit Schnittstellen zum Internet arbeiten, beispielsweise durch das Betreiben eines Webshops oder die Einbindung externer Partner, die sich für die Wartung per VPN einwählen. Im Mittelpunkt der Analysen und der Tests stehen folgende Fragen:
Welche technischen Schwachstellen haben IT-Systeme, Infrastruktur oder Anwendungen der untersuchten Organisation?
Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen?
Welchen Schaden kann ein Angreifer anrichten, der aufgespürte Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht?
Die Sicherheitsanalysen und Penetrationstests werden in der Regel durch sogenannte Security Analysts durchgeführt. Diese nutzen für die Simulation eines Angriffs die gleichen Strategien, Taktiken und Tools wie echte Hacker.
Die Sicherheitsanalyse ist eine pragmatische Methode, mit der Security Analysts prüfen, wie widerstandsfähig die interne IT-Infrastruktur gegenüber externen oder internen Angriffen ist. Sie bietet einen guten Überblick darüber, ob der äußerste Verteidigungsring der Organisation eine Angriffsfläche bietet und wie viele mögliche Einfallstore ein Angreifer hier finden kann. Die Sicherheitsanalyse kann als Ausgangspunkt für tiefer gehende Prüfungen dienen, wie etwa einen Penetrationstest.
Ein Penetrationstest legt offen, inwieweit der Angreifer in die Infrastruktur vordringen und in welchem Ausmaß er die Organisation schädigen kann. Dazu kann schon ein einziges Einfallstor reichen, über das der Angreifer anschließend weitere, tiefer gehende Schwachstellen suchen und finden kann, um schließlich zu den eigentlichen „Kronjuwelen“ des Unternehmens vorzustoßen. Letzteres entspricht eher dem Vorgehen eines realen Hackers. Meist handelt es sich jedoch um ein zeitaufwendigeres Unterfangen als bei einer Sicherheitsanalyse. Penetrationstests sind deshalb auch das Mittel der Wahl, wenn es darum geht, das Sicherheitsbewusstsein innerhalb der Organisation zu steigern oder dem Management einen tieferen Einblick in die tatsächlich vorhandenen Risiken eines Unternehmens zu geben.
Kein Vulnerability Scan: Sicherheitsanalysen und Penetrationstests werden immer von Menschen vorgenommen – im Gegensatz zu Vulnerability Scans, bei denen Anwendungen oder Systeme softwaregestützt und vollautomatisiert auf bereits bekannte Sicherheitslücken geprüft werden.
Die geschulten und erfahrenen Security Analysts setzen bei Sicherheitsanalysen und Penetrationstests durchaus auch Tools ein, können jedoch aufgrund ihrer Erfahrung auch unbekannte Sicherheitslücken identifizieren, um ein wirklichkeitsnahes Bild des Angriffspotenzials wiederzugeben.
Der Prozess verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:
Informationen sammeln.
Alle Sicherheitslücken identifizieren.
Daten auswerten.
Insbesondere in Punkt 3 besteht der eigentliche Mehrwert von Sicherheitsanalysen und Penetrationstests: Denn dieser ermöglicht im Anschluss die Ableitung realistischer Gegenmaßnahmen mit dem Ziel, Sicherheitslücken zu eliminieren oder auf ein für die Firma akzeptables Maß zu reduzieren, bevor ein echter Angreifer sie ausnutzen kann.