News

Pentest FAQ – #7 und #8 – Was ist ein Penetrationstest? Und was nicht?

Sep 2, 2019

Pentest FAQ - #7 und #8 - Was ist ein Penetrationstest? Und was nicht?In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte. 

Heute im Fokus: 

Frage #7: Was ist ein Penetrationstest?

Bei einem Penetrationstest nimmt der Tester die Rolle des Angreifers ein. Er greift mit allen ihm zur Verfügung stehenden Mitteln von außen – im Unterschied zu Analysetechniken, die „innen“ ansetzen, wie etwa die Codeanalyse – auf die Anwendung zu, um Schwachstellen aufzudecken. Dabei setzt er sein umfangreiches Wissen über Schwachstellen ein und wendet allerlei Tricks zum Aushebeln von Sicherheitsmechanismen an. Das Ergebnis ist ein Bericht, der die Schwachstellen in nachvollziehbarer Weise beschreibt, sie hinsichtlich ihres Gefahrenpotenzials bewertet und Gegenmaßnahmen nennt.

Weil er als gutartiger „Hacker“ agiert, wird der Pentester auch gerne White-Hat Hacker (im Unterschied zum bösartigen Black-Hat Hacker) oder Ethical Hacker genannt.

Frage #8: Und was ist ein Application Security Penetrationstest nicht?

Bei einem Penetrationstest einer Web- oder mobilen Anwendung geht es hingegen nicht darum, das Angreiferszenario möglichst realistisch nachzustellen, um daraus schließen zu können, ob ein Angreifer in die Anwendung eindringen könnte oder nicht. Und diese im ersten Fall als unsicher, im zweiten als sicher zu bewerten. Vielmehr ist der Penetrationstest als Qualitätssicherungsmaßnahme zu verstehen. Es gilt, möglichst alle, die Sicherheit einer Anwendung berührenden Auffälligkeiten zu erkennen, sie, auch im Zusammenhang, zu bewerten und, wenn sie ein tatsächliches Risiko darstellen, einer Behebung zuzuführen. Der Tester kann seine Rolle dann am wirkungsvollsten ausführen, wenn er dabei die bestmögliche Unterstützung erhält – mehr dazu in Frage 10.

Die Application Security Penetration Test FAQ für Auftraggeber enthält Antworten auf 40 weitere Fragen, die es bei der Planung, Beauftragung und Durchführung von Penetrationstests zu beachten gilt.

Recent posts