Es gibt einen neuen Trend innerhalb der IT-Sicherheit und der hört auf den Namen Mini Pentest oder auch Pentest Do It Yourself. Wie ein Lauffeuer verbreitet sich diese Art des schnellen Tests, bei dem es oft an Expertise und Weitblick fehlt, um die Sicherheitsrisiken wirklich kompetent einschätzen zu können. Doch zu verlockend ist das Versprechen von dem schnellen und fast automatisierten Pentest, den im Grunde jeder durchführen kann.
Als Sicherheitsfirma liegt uns das Thema natürlich am Herzen. In erster Linie deshalb, weil wir wissen, wie wichtig vollwertige und versierte Penetrationstests in Unternehmen sein können. Auf der anderen Seite gibt es Fälle, in denen der Mini Pentest besser ist als gar keine Sicherheitsmaßnahmen durchzuführen. Doch wann und wo ist ein Einsatz tatsächlich gerechtfertigt?
Was ist ein Mini Pentest ?
Der Pentest Do It Yourself wird häufig auch als Mini Pentest bezeichnet und meint eine Form des Penetrationstests, die weitaus weniger anspruchsvoll und umfangreich ist als die gewöhnliche Variante. Es handelt sich also um eine vereinfachte Version des Pentests, da letzterer mitunter sehr zeitaufwendig und komplex ausfällt. Der Mini Pentests ist da deutlich simpler aufgebaut und kann daher relativ schnell und vor allem auch unkompliziert durchgeführt werden.
Pentests selbst sind starke Sicherheitsprüfungen, bei denen Sicherheitsexperten selbst zu Hackern werden. Als sogenannte Ethical Hacker, also gutartige Hacker, greifen sie die IT-Systeme eines Unternehmens kontrolliert an und versuchen auf diese Weise mögliche Schwachstellen auszumachen und Sicherheitsrisiken zu entdecken. Das funktioniert deshalb so gut, weil sie dabei genau so vorgehen, wie es ein Angreifer versuchen würde. Die Ergebnisse sind entsprechend wertvoll und können die IT-Sicherheit meist entscheidend verbessern.
Je nach Branche und Unternehmen finden für gewöhnlich regelmäßige Pentests statt, um die IT-Sicherheit dauerhaft gewährleisten zu können. Einige Auftraggeber setzen solche Maßnahmen auch für gemeinsame Kooperationen oder die Zusammenarbeit voraus. Der Mini Pentest oder eben auch der Pentest Do It Yourself ist eine stark reduzierte Variante des Ganzen. Ein schneller Test, der aber ebenfalls potenzielle Schwachstellen in den IT-Systemen aufdecken kann. Vorwiegend bleibt er dabei aber recht rudimentär.
Vor- und Nachteile von Mini Pentests
Weil vollständige Penetrationstests in der Regel sehr aufwendig und daher entsprechend kostspielig sind, haben Mini Pentests unschlagbare Vorteile. Die schmalere Variante des Penetrationstests kostet erst einmal nur einen Bruchteil dessen, was ein umfangreicher und vollständiger Penetrationstest kosten würde. Außerdem wird der Pentest Do It Yourself in der Regel eigenständig durchgeführt. Sie benötigen also keinen externen Dienstleister mehr.
Das ist zwar ein Vorteil, gleichzeitig aber auch ein großer Nachteil. Ohne IT-Sicherheitsexperten sind Sie auf sich allein gestellt und müssen auch die Ergebnisse selbstständig bewerten. Fehlt es hier an Erfahrung, Weitblick oder schlichtweg Fachwissen, können die gesammelten Daten ihren Zweck nicht erfüllen. Der externe Blick von Dritten ist oft einer der Gründe dafür, warum die Pentests so wichtig sind und erfolgreich verlaufen. Da es sich um einen kontrollierten Hack handelt, ist es immer besser, der gutartige Hacker kennt weder die genaue Struktur noch das Unternehmen mit seinen Interna. Nur so ist ein unbefangener Hack und Einblick in Sicherheitsmängel überhaupt möglich.
Die Vorteile des Mini Pentest liegen also bei der kostengünstigen und schnellen Durchführung. Zudem bedarf es wenig Personal und Sie selbst haben tiefe Einblicke in alles, da die Tools eigenständig bedient werden. Die Nachteile sind demnach ebenso offensichtlich. Die Durchführung geht wenig in die Details und hat mit einem vollwertigen Penetrationstest somit nur wenig gemeinsam. Der Pentest Do It Yourself ist oftmals eher ein schneller und zeitweise stark automatisierter Sicherheitscheck.
Welche Pentest-Tools werden verwendet?
Bei einem Mini Pentest geht es, genau wie bei einem umfangreichen und vollwertigen Penetrationstest, um die Identifizierung von Sicherheitslücken und Schwachstellen. Während der manuelle Pentest viele Einzelschritte enthält, die nur ein Fachmann auf dem Gebiet durchführen sollte, kommt der Mini Pentest simpler daher. Hier wird auf viele Pentest-Tools zurückgegriffen, die Aufgaben automatisieren oder gar eigenständig durchführen. Allzu viel Hintergrundwissen ist dann gar nicht mehr erforderlich.
Typisch ist zunächst einmal der Einsatz von Vulnerability Scannern. Diese prüfen die Systeme automatisch auf bekannte und bereits registrierte Schwachstellen. In einem vollständigen Bericht können diese am Ende dann behoben werden, bevor ein weiterer Test erfolgt und zeigt, ob alle Schwachstellen beseitigt wurden. Nessus ist zum Beispiel solch ein Pentest-Tool. Dann gibt es da noch größere Frameworks wie Metasploit, die Exploits enthalten, um Sicherheitslücken kontrolliert auszunutzen. Für den Mini Pentest sind diese weniger geeignet, da sie deutlich komplexer als die einfachen Scanner ausfallen.
Überhaupt kommen bei einem Mini Pentest viele klassische Pentest-Tools gar nicht erst zum Einsatz. Diese erfordern häufig nämlich ein Eingreifen und ein sehr umfangreiches Verständnis von dem, was getan wird. Einfache Scanner und Analyse-Tools hingegen, zeigen lediglich an, wo eventuelle Sicherheitsprobleme zu finden sind. Diese sind schnell gestartet, weitgehend automatisiert und somit ideal für einen Pentest Do It Yourself.
Unterschiede zwischen den Pentest-Methoden
Damit werden auch schon die größten Unterschiede beider Pentest-Methoden deutlich. Der Penetrationstest ist ein kontrollierter und hochprofessioneller Test nach Schwachstellen. Es handelt sich oft um einen umfangreichen und analytischen Hack, bei dem exakt so vorgegangen wird, wie auch Angreifer ein System infiltrieren würden. Das setzt nicht nur eine große Menge an Know-how beim Pentester voraus, sondern auch entsprechendes Fachwissen, um darauf aufbauend die notwendigen Maßnahmen zur Behebung solcher Schwachstellen und Sicherheitslücken durchzuführen.
Der Mini Pentest hingegen untergräbt dieses System nahezu vollständig. Statt einem umfangreichen Hack stellt der Mini Pentest eher eine Art automatisierte Prüfung dar. Gängige Tools werden für den Pentest Do It Yourself eingesetzt und die erledigen die meiste Arbeit von ganz allein. Im Grunde ist der Mini Pentest somit darauf beschränkt, die notwendigen Pentest-Tools zu starten, deren Analysen durchzusehen und darauf aufbauend dann wiederum Maßnahmen einzuleiten, um etwaige Sicherheitsprobleme schnellstmöglich in den Griff zu bekommen. Dann folgt erneut ein Test, der nun weniger oder im besten Fall gar keine Sicherheitslücken und Schwachstellen mehr offenbaren sollte. Da das Fachwissen im Hintergrund fehlt, lassen sich beim Mini Pentest aber größtenteils nur die offensichtlichen Sicherheitsrisiken in den Griff bekommen und nichts, was darüber hinaus geht.
Der Unterschied zwischen einem Penetrationstest und einem Mini Penetrationstest liegt also, wie der Name es schon andeutet, in dem eigentlichen Umfang. Der Mini Pentest reduziert das Vorgehen im Wesentlichen auf ein absolutes Minimum. Er lässt viele Schritte aus und nutzt vorwiegend Pentest-Tools, die ihre Aufgabe nahezu selbstständig erledigen. Somit kann er auch von Mitarbeitern ohne gesonderte Expertise ausgeführt werden. Während der Penetrationstest also Zeit, Aufwand und geschultes Personal erfordert, dafür dann aber auch ungleich wertvoller erscheint als der Mini Pentest.
Lohnt sich der Pentest Do It Yourself?
Bleibt am Ende die Frage, ob sich der ganze Aufwand für einen Mini Pentest oder eben Pentest Do It Yourself überhaupt lohnt. Denn klar sollte sein, dass der Mini Pentest zwar ebenfalls brauchbare Ergebnisse hervorbringt, am Ende dann aber doch nur einen halb garen Versuch darstellt, die IT-Sicherheit im eigenen Unternehmen zu steigern. Ist es das, was Sie erreichen wollen?
Wir erkennen zwar ebenfalls die Vorteile, wie Zeit- und Kostenersparnis an, können den Pentest Do It Yourself aber niemanden so richtig empfehlen. Denn wer sich nicht auskennt, kann mit den Ergebnissen ohnehin nichts anfangen. Und wer sich auskennt, sollte unbedingt die Extrameile gehen, um einen vollwertigen Penetrationstest zu starten. Davon profitieren die IT-Systeme und infolgedessen auch das Unternehmen deutlich mehr.