Penetrationstest ist die Bezeichnung für eine Sicherheitsüberprüfung eines Netzwerk- oder Softwaresystems aus Sicht eines Hackers.

Innerhalb der Einordnung von Sicherheitstests bezeichnet ein Penetrationtest einen Test, bei dem ein Sicherheitsexperte versucht, mit entsprechenden Programmen in ein System einzudringen. Oftmals wird der Begriff Penetrationtest auch für einen automatischen Vulnerability Scan verwendet, was jedoch verwirrend und falsch ist. Während der Vulnerability Scan weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationtest menschlichen Zutuns. Der Security Scan unterscheidet sich vom Vulnerability Scan durch eine manuelle Verifikation der Testergebnisse.

Ziele eines Penetrationtests sind:

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der IT ist ein Penetrationtest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System durch eine neue Sicherheitslücke sofort nach dem Test wieder verwundbar sein.

Das Bundesamt für Sicherheit in der Informationstechnik Deutschland (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:

Anhand dieser Kriterien wird dann zusammen mit dem Kunden ein individueller Test zusammengestellt. In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringungsversuche. Einem E- Modul geht entsprechendes meist ein I-Modul voraus.

Das BSI empfiehlt beim Durchführen eines Penetrationtests einen fünfstufigen Prozess. Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnen Informationen werden anschließend einer Bewertung unterzogen. Erst danach werden aktive Eindringungsversuche unternommen. Anschließend werden die Ergebnisse gesammelt und in Form eines Berichts gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll. Begleitend zu allen fünf Phasen ist eine akribische Dokumentation der einzelnen Arbeitsschritte notwendig.

Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, so muss das außerhalb der Nutzungszeiten des Systems erfolgen. Auch bei gewöhnlichen I- oder E- Modulen kann es unter Umständen zum Absturz von einzelnen Systemen kommen. In der Vorbereitungsphase muss auch eine Übereinkunft zwischen Auftraggeber und Kunden getroffen werden, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnten die Tester im Rahmen des Tests an unternehmenskritische Informationen gelangen.

Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. Dazu zählen etwa Portscanner wie Nmap, Vulnerability Scanner wie Nessus, Sniffer wie Ethereal und Passwortcracker wie John the Ripper. Das BSI stellt eine Sammlung solcher Tools unter dem Namen Open Source Security Suite (BOSS) kostenlos zur Verfügung. Weitere bekannte Tools für Penentrationstests sind Attack Tool Kit (ATK) oder Metasploit.

Hinweis: Dieser Artikel basiert auf dem Artikel Sicherheitstest aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.