Penetrationtest ist die Bezeichnung für eine Sicherheitsüberprüfung eines Netzwerk- oder Softwaresystems aus Sicht eines Hackers.

Innerhalb der Einordnung von Sicherheitstests bezeichnet ein Penetrationtest einen Test, bei dem ein Sicherheitsexperte versucht, mit entsprechenden Programmen in ein System einzudringen. Oftmals wird der Begriff Penetrationtest auch für einen automatischen Vulnerability Scan verwendet, was jedoch verwirrend und falsch ist. Während der Vulnerability Scan weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationtest menschlichen Zutuns. Der Security Scan unterscheidet sich vom Vulnerability Scan durch eine manuelle Verifikation der Testergebnisse.

Ziele eines Penetrationtests sind

Analyse möglicher Schwachstellen und Angriffspunkte (Safe Check)
verschiedene Eskalationstufen unserer Tests sind in Absprache mit dem Kunden möglich
Dokumentation der Ergebnisse
Besprechung der ermittelten Ergebnisse anhand der Dokumentation
Planung der weiteren Vorgehensweise

Ihr Nutzen

Informationsgewinn: Einschätzung der Gefährdung
Neutralität: Herstellerunabhängige Analyse und Beratung
Qualität: vorhandenes Expertenwissen und Erfahrung im Umgang mit dem Thema Sicherheit
Vertraulichkeit: kein Zugang dritter zu den Ergebnissen
Transparenz: alle Maßnahmen werden nur in Abstimmung mit dem Kunden vorgenommen
Entscheidungssicherheit: Empfehlung effektiver Schutzmaßnahmen

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der IT, ist ein Penetrationtest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System durch eine neue Sicherheitslücke sofort nach dem Test wieder verwundbar sein.

Hinweis: Dieser Artikel basiert auf dem Artikel Sicherheitstest aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.