Unkategorisiert

Alles, was Sie zur Pentest Vorbereitung wissen müssen (inkl. Checkliste)

Wenn es um die Sicherheit von IT-Systemen geht und deren Stabilität und Krisenfähigkeit entsprechend optimiert werden soll, braucht es dafür in der Regel erst einmal einen umfangreichen Pentest. Der Pentest oder auch Penetrationstest ist dabei ein komplexer Sicherheitstest, der alle bestehenden Systeme auf Schwachstellen hin überprüft. Mit dem Pentest wird Ihre derzeitige Infrastruktur also kontrolliert angegriffen, um auf diese Weise ein realistisches Bedrohungsszenario zu erschaffen und Lücken im Sicherheitsnetz erkennen zu können. Nur auf diese Weise lassen sich nahezu alle potenziellen Schwachstellen finden, die auch von echten Angreifern entsprechend ausgenutzt werden würden.

Doch die Sache mit dem Pentest ist sehr kompliziert und auch, wenn es sicherlich einfachere Methoden gibt, ist ein vollwertiger Pentest meist die beste Wahl, um für mehr Sicherheit zu sorgen. Auch dann, wenn er alles andere als simpel durchgeführt werden kann oder schnell erledigt ist. Die Pentest Checkliste kann Ihnen dabei helfen, grundlegende Aufgaben innerhalb des Penetrationstests abzuarbeiten und in einer bewährten Reihenfolge zu absolvieren, um am Ende keinen Aspekt unbeabsichtigt zu vernachlässigen. Doch woher eine Pentest Checkliste nehmen, wenn Sie selbst noch über keine große Erfahrung in diesem Bereich verfügen?

Wir haben für Sie eine einfache Pentest Checkliste erstellt, welche bereits die vier wichtigsten Maßnahmen zur Pentest Vorbereitung enthält. Mit dieser leiten Sie alles in die Wege, um im Anschluss daran die jeweiligen Schwachstellen zu finden und Sicherheitslücken vollumfänglich protokollieren und schließen zu können. Wer noch nach passenden Pentest-Tools sucht, kann auch einen Blick in unseren umfangreichen Guide diesbezüglich werfen, in welchem wir Ihnen die besten kostenlosen und kostenpflichtigen Pentest-Tools bereits ausgiebig vorgestellt haben. Hier geht es nun aber erst einmal mit der Checkliste zur Pentest Vorbereitung weiter.

Checkliste zur Vorbereitung eines Pentests

Damit die Vorbereitung für den Pentest auch wirklich gelingt, sollte eine entsprechende Pentest Checkliste verwendet werden. Diese haben wir für Sie bereits erstellt und Sie finden selbige zum Abhaken direkt hier auf der Website. Weiter unten bieten wir Ihnen außerdem einen Download an, der die Liste in simplifizierter Form enthält. Ideal also zum Ausdrucken oder wiederverwenden. Einfach herunterladen, speichern und beim nächsten Pentest von Anfang an darauf achten, dass alle wichtigen Punkte direkt abgearbeitet werden.

Bedenken sollten Sie dabei, dass die Pentest Checkliste nur zur Vorbereitung dient. Solche Vorbereitungen fallen natürlich nicht bei jedem Pentest gleich an und müssen hin und wieder auch ganz individuell geplant werden. Unsere Checkliste bietet hier jedoch einen soliden Grundaufbau an, der dann auch noch problemlos mit eigenen Parametern erweitert oder angepasst werden kann. Der beste Startpunkt also für Ihren ganz persönlichen Pentest, wenn Sie nichts Wichtiges vergessen möchten.

1. Zu testende Bereiche wählen

Bevor der eigentliche Pentest beginnen kann, sollte klar sein, welche Bereiche der IT-Systeme getestet werden sollen oder vielleicht auch müssen. Es bietet sich daher an, gleich zu Beginn eine Liste mit allen kritischen Bereichen zu erstellen, die während des Penetrationstest abgehakt werden können. Mit so einer Liste wird nichts vergessen und Sie können ganz gezielt und routiniert vorgehen. Nach jeder Prüfung wird der Bereich dann schnell abgehakt und als getestet markiert. Ein kleines Hilfsmittel, welches bei umfangreichen Pentest für große IT-Systeme aber wahre Wunder wirken kann. Allein schon deshalb, um keinen relevanten Teil der IT-Struktur zu übersehen.

2. Notwendigen Schutzbedarf recherchieren

Steht erst einmal fest, welche Bereiche genau getestet werden sollen, kommt sofort die nächste Frage auf. Nämlich die Frage nach dem Schutzbedarf der einzelnen Bereiche. Auch das sollte vorab schon in einer Checkliste festgehalten werden. Drei der typischen Schutzziele sind die Integrität, Verfügbarkeit und Vertraulichkeit aller Daten. Bei der Planung von einem Pentest spielt der Schutzbedarf daher auch eine wichtige Rolle. Er gibt an, ob Assets möglichst verfügbar oder möglichst sicher sein sollen und wie dies realisiert werden kann. Die ausgewählten Bereiche sollten daher alle auf ihren Schutzbedarf hin überprüft werden. Auch das gehört zu einer sauberen Vorbereitung für einen Pentest dazu und sollte bedacht werden.

3. Potenzielle Angriffe analysieren

Je nach Bereich und dem dort herrschenden Schutzbedarf sollten vorab die typischen Angriffe bzw. Angriffsmöglichkeiten genauer analysiert werden. Bei diesem Punkt gilt es also herauszufinden, wie und wo Angriffe auf die IT-Systeme überhaupt stattfinden können. Gleichzeitig muss als Ergebnis klar sein, um was es dabei geht, welche Auswirkungen die potenziellen Angriffe also auf die Assets haben könnten und welche Gegenmaßnahmen als erste Reaktion eingeleitet werden sollten. Die Analyse dieser potenziellen Ziele und Angriffe ist ein wesentlicher Bestandteil einer sauberen und durchdachten Pentest Vorbereitung.

4. Zeitrahmen für den Pentest abstecken

Kein Pentest dieser Welt kann sich die Zeit nehmen, die ideal wäre. In der Regel wird auch beim Pentest immer gespart, wo es nur geht, und Zeit kostet nun einmal am meisten Geld. Doch nicht nur das Budget für den Test spielt eine Rolle. Auch die IT-Systeme selbst, die dem Pentest unterzogen werden, sind vielleicht nicht immer frei zugänglich oder bereit für einen umfangreichen Pentest, weshalb nur ein bestimmter Zeitrahmen dafür eingeräumt werden kann. Hier sei auch noch einmal die Pentest Box erwähnt, die wir Ihnen in einem anderen Artikel vorstellen und die einen Pentest ortsunabhängiger und somit kosteneffektiver ermöglicht. Deshalb ist wichtig, die schätzenswertesten Bereiche herauszufiltern und aufzulisten, sodass die wichtigsten Assets als erstes den entsprechenden Kontrollen unterzogen werden. Auch das gehört zur Vorbereitung eines Pentest mit dazu.

Wofür ist ein Pentest gedacht?

Der Pentest ist mehr oder weniger die beste und kostengünstigste Methode, um die Sicherheit von IT-Systemen zu überprüfen. Durch den Pentest ist eine Momentaufnahme möglich, die sehr genau zeigt, wie sicher die entsprechenden Systeme überhaupt sind. Es handelt sich also um einen geplanten Sicherheitstest, der ein IT-System angreift, um Schwachstellen zu finden.

Damit das gelingt, sind viel Zeit, Fachwissen und Experten erforderlich, die sich bestmöglich damit auskennen. Auch die Vorbereitung spielt dabei eine große Rolle. Diese wird anhand unserer Pentest Checkliste natürlich bedeutend einfacher. Das liegt ganz einfach daran, dass selbige sehr strukturierte Test möglich macht, die Punkt für Punkt abgehakt werden können.

Um es Ihnen dabei so einfach wie nur möglich zu gestalten, haben wir eine Checkliste aus mehreren Punkten erstellt. Diese werden hier im Artikel natürlich ziemlich genau erklärt. Als Download finden Sie jedoch auch eine deutlich vereinfachte Version dieser Checkliste, die dann ausgedruckt oder auf dem Tablet abgehakt werden kann. Alles, damit während der Pentest Vorbereitung nichts vergessen wird und der Vorgang so effektiv wie möglich gestaltet werden kann.

Pentest Konfigurator und Erstberatung

Haben wir Ihr Interesse für einen Pentest mit allem Drum und Dran geweckt? Dann starten Sie mit unserem Pentest Konfigurator und einer unverbindlichen Erstberatung. Hier sprechen wir gerne individuell und persönlich mit Ihnen ab, worauf es bei einem Pentest ankommt, wie genau wir arbeiten und welche weiteren Schritte folgen werden.

Falls Sie den Pentest selbst planen möchten, bietet wir Ihnen mit unserer Checkliste hier auf der Website einen guten Startpunkt an. Aber natürlich dürfen Sie uns auch jederzeit für Fragen oder Angebote kontaktieren und Weiteres besprechen. Wir freuen uns über Ihre Kontaktaufnahme und verbleiben bis dahin.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.