Pentest FAQ – #7 und #8 – Was ist ein Penetrationstest? Und was nicht?

Sep 2, 2019

Pentest FAQ - #7 und #8 - Was ist ein Penetrationstest? Und was nicht?In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte. 

Heute im Fokus: 

Frage #7: Was ist ein Penetrationstest?

Bei einem Penetrationstest nimmt der Tester die Rolle des Angreifers ein. Er greift mit allen ihm zur Verfügung stehenden Mitteln von außen – im Unterschied zu Analysetechniken, die „innen“ ansetzen, wie etwa die Codeanalyse – auf die Anwendung zu, um Schwachstellen aufzudecken. Dabei setzt er sein umfangreiches Wissen über Schwachstellen ein und wendet allerlei Tricks zum Aushebeln von Sicherheitsmechanismen an. Das Ergebnis ist ein Bericht, der die Schwachstellen in nachvollziehbarer Weise beschreibt, sie hinsichtlich ihres Gefahrenpotenzials bewertet und Gegenmaßnahmen nennt.

Weil er als gutartiger „Hacker“ agiert, wird der Pentester auch gerne White-Hat Hacker (im Unterschied zum bösartigen Black-Hat Hacker) oder Ethical Hacker genannt.

Frage #8: Und was ist ein Application Security Penetrationstest nicht?

Bei einem Penetrationstest einer Web- oder mobilen Anwendung geht es hingegen nicht darum, das Angreiferszenario möglichst realistisch nachzustellen, um daraus schließen zu können, ob ein Angreifer in die Anwendung eindringen könnte oder nicht. Und diese im ersten Fall als unsicher, im zweiten als sicher zu bewerten. Vielmehr ist der Penetrationstest als Qualitätssicherungsmaßnahme zu verstehen. Es gilt, möglichst alle, die Sicherheit einer Anwendung berührenden Auffälligkeiten zu erkennen, sie, auch im Zusammenhang, zu bewerten und, wenn sie ein tatsächliches Risiko darstellen, einer Behebung zuzuführen. Der Tester kann seine Rolle dann am wirkungsvollsten ausführen, wenn er dabei die bestmögliche Unterstützung erhält – mehr dazu in Frage 10.

Neugierig geworden? Downloaden Sie sich hier die gesamte FAQ oder bestellen Sie noch heute einen Pentest zum attraktiven Fixpeis!  

Recent posts

Tool Tuesday – nmap

Ein Tool, das auf keinem Pentester-PC fehlen darf, ist nmap. Dieses Kommandozeilenwerkzeug ist das Schweizer Taschenmesser für Penetrationstests auf Netzwerkebene, wird aber auch von Systemadmins gerne genutzt.

mehr lesen

mgm sp @ München

In Herzen von Bayern befindet sich, bereits seit der Zeit von SecureNet, unsere Zentrale. Statten Sie unserem Standort einen Besuch ab!

mehr lesen

Awareness Training @ mgm sp

Eine der wichtigsten Grundlagen für gelebte Sicherheit ist die Herstellung des Bewusstseins für Bedrohungen in der Informationssicherheit. In unserer Awareness-Schulung zur IT-Security führen wir vor, wie Angreifer vorgehen, was sie motiviert und wie einfach es häufig ist, Schaden anzurichten.

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close