Was ist eigentlich der Unterschied zwischen einem Vulnerability Scan und einem Penetration Test? Darüber scheint es interessante Fehlannahmen zu geben, wie wir an folgendem Praxisbeispiel zeigen möchten.

Automatisierte Penetration Tests oft nicht verwertbar

Kürzlich wurden wir von einem Interessenten erneut angesprochen, der in einem regulierten Umfeld seitens der Aufsicht aufgefordert war, einen Penetration Test für seine Anwendung vorzulegen. Wir waren mit dem Interessenten bereits vor längerer Zeit im Gespräch und erfuhren aus der jüngsten Diskussion, dass man sich seinerzeit für ein automatisiertes Testvorgehen mittels einer “Penetration Testing Platform” entschieden habe. Solche Plattformen versprechen gegen Zahlung einer monatlichen Abo-Gebühr, vollautomatisiert Penetrationstests gegen die Zielanwendung – im besagten Fall handelt es sich dabei um eine Web-Applikation – durchzuführen.

Nun wurde das Ergebnis – der “Penetration Test Report” – bei der Aufsicht eingereicht – und kam mit dem Hinweis zurück, die Inhalte seien nicht verwertbar. Es handle sich dabei ausschließlich um automatisiert durchgeführte Schwachstellen-Scans (Vulnerability Scanning), nicht aber um den nachvollziehbar dokumentierten Versuch, die Schwachstellen auch auszunutzen.

Bei Penetration Tests ist das Know How des Testers entscheidend

Und genau das ist das Wesen eines Penetration Tests: der Versuch mit angemessenen Mitteln, identifizierte Schwachstellen tatsächlich auszunutzen – ein Vulnerability Scan hingegen fokussiert auf die Erkennung von Verwundbarkeiten. Während sich eine solche Erkennung von Verwundbarkeiten in vielen Umgebungen hochautomatisiert durchführen lässt, gilt das bei Penetration Tests nur bedingt. Penetration Testing ist eine Tätigkeit, bei der es auf das Know-How und die praktischen Kenntnisse des Testers ankommt. Denn: erhebliche Teile eines Penetration Tests sind Handarbeit. Nicht alle Tätigkeiten lassen sich automatisieren – und dort, wo Dinge automatisiert durchgeführt werden, ist meist eine individuelle Herstellung und Parametrisierung der Automatisierungswerkzeuge (z.B. Skripte) erforderlich. Ergänzend sei noch hinzugefügt, dass je nach Umgebung auch schon die Identifizierung von Verwundbarkeiten – also genau das, was klassischerweise Gegenstand eines Vulnerability Scans ist – enormes Fachwissen des Testers erfordert. Während bei IT-Infrastrukturen (z.B. virtualisierten Servern in On Premise oder Cloud-Umgebungen) ein automatisierter Scan meist ein vollständiges Bild der Verwundbarkeiten liefert, ist dies bei Anwendungen nur bedingt möglich. Hier braucht es Spezialisten und deren Erfahrung und Know-How.

Zurück zu unserem Interessenten: Dieser hat im guten Glauben, von der “Penetration Testing Platform” einen aussagekräftigen Penetration Test Report zu erhalten, dort ein Abo abgeschlossen (das – nebenbei bemerkt – doch mit einigen Euro pro Monat zubuche schlägt) und jetzt seit knapp einem Jahr bezahlt – um nun festzustellen, dass das Ergebnis nicht das hält, was es verspricht. Unsere Empfehlung: immer dort, wo Anbieter mit der vollautomatischen Lösung eines Problems werben, sollten Sie genau hinsehen und prüfen, was für das Geld geboten wird. Das beugt teuren Fehlentscheidungen vor.
Bei TEN Information Management bekommen Sie auf Ihre Bedürfnisse zugeschnittene IT-Sicherheitsuntersuchungen – preiswert, seriös und kompetent. Genau wie der im Beispiel erwähnte Interessent, für dessen Anwendung wir nun einem “echten” Penetration Test durchgeführt haben.

Interesse? Gerne stehen wir für ein kostenloses Erstgespräch zur Verfügung.

Weitere Artikel

SQL-Injection-(SQLi-)Schwachstellen sind Sicherheitslücken in (Web-)Anwendungen. Sie ermöglichen es Angreifern, Datenbank-Abfragen einer Anwendung zu manipulieren. Dadurch kann ein Angreifer an Daten gelangen, die er normalerweise nicht abrufen kann. Das können Daten von anderen Benutzern sein oder...
Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...
In den vergangenen zwei Jahren waren mehr als ein Drittel (37 Prozent) aller Cybersicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen. Hacker verantworteten lediglich rund 27 Prozent der Cybersicherheitsvorfälle. Häufig standen die Sicherheitsvorfälle in...