Informationstechnik kompakt PDF

Zur Navigation springen Zur Suche springen Penetrationstest, kurz Pentest, ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Der Penetrationstest wird oft als empirischer Informationstechnik kompakt PDF einer allgemeineren Sicherheitsanalyse durchgeführt. Bestätigung der IT-Sicherheit durch einen externen Dritten. Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest allerdings eher als Momentaufnahme zu begreifen.


Författare: Otto Mildenberger.
was sich nicht ausschließt:
Informationstechnik kompakt, exakt,aktuell

Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Da potentielle Angreifer die Rechner und Datenbanken von Unternehmen nicht ausschließlich von außen über das Netzwerk angreifen, sondern auch versuchen, durch Social Engineering über die Mitarbeiter an Informationen und Zugänge zu kommen, gibt es spezielle Penetrationstests, die sich mit diesem Thema beschäftigen. Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Anhand dieser Kriterien wird dann zusammen mit dem Kunden ein individueller Test zusammengestellt.

In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Dies ist in der Tatsache begründet, dass einzelne Tests Straftaten sein können. Dabei kann die beauftragende Organisation Penetrationstests nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden.

Konkret heißt dies, dass eine Organisation nicht Dritte beauftragen darf, wiederum fremde Netze zu testen. Sie muss daher vor Testbeginn Klarheit über den Testgegenstand schaffen und Rechtsberatung in Anspruch nehmen, falls dies nicht möglich ist. Dies betrifft auch den Test von Dienstleistungen, die sie bezieht. Gebäuden eines Unternehmens befindet, muss diesem nicht zwangsläufig gehören.

Das BSI empfiehlt beim Durchführen eines Penetrationstests einen fünfstufigen Prozess. Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnenen Informationen werden anschließend einer Bewertung unterzogen. Erst danach werden aktive Eindringversuche unternommen.

Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, sollte das außerhalb der Nutzungszeiten des Systems erfolgen. Auch bei gewöhnlichen I- oder E- Modulen kann es unter Umständen zum Absturz einzelner Systemen kommen.

Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. ARP0c ist beispielsweise ein Verbindungsinterceptor, der mit einem ARP-Spoofing- und Bridging-Modul arbeitet. ARP-Anfragen von beliebigen Quellen in einem Netzwerkverbund werden mit gefälschten ARP-Anfragen versehen, um den Host zu erreichen, der ARP0c-Pakete sendet. Ein weiteres Beispiel eines solchen Spezialwerkzeugs ist Egressor. Egressor ist ein von MITRE entwickeltes freies Tool zur Überprüfung der Konfiguration von Internet-Punkt-zu-Punkt-Routern. Zunehmend häufiger werden auch umfassende Werkzeugsammlungen für Penetrationtests angeboten, die in der Regel von erfahrenen Sicherheitsfachkräften zusammengestellt wurden und auf Basis einer stabilen Linux-Distribution arbeiten, die als Live-CD angeboten wird.