Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Der Penetration Testing Execution Standard (PTES) im Detail vorgestellt!

M.Sc. Chris Wojzechowski

Sicherheit in der IT gehört heutzutage dazu. Um erfolgreiche Angriffe abzuwehren, Daten zu schützen und Lieferketten aufrechtzuerhalten, sollten regelmäßig Maßnahmen ergriffen werden. Der Penetration Testing Execution Standard (PTES) kann Ihnen dabei helfen Angebote einzuholen und zu vergleichen. In diesem Beitrag klären wir darüber auf, was hinter dem PTES konkret verbirgt.

Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.

Was genau kann man sich unter dem PTES vorstellen?

Der Penetration Testing Execution Standard lässt sich im Deutschen mit „Ausführungsstandard von Penetrationstest“ übersetzen. Dies bedeutet, dass es hierum geht, wie solche Pentests eigentlich ablaufen. Insgesamt lassen sich diese in 7 verschiedene Stufen, die auch als die Hauptabschnitte bekannt sind, unterteilen.

Unter diesen Punkten wird quasi alles abgedeckt, was zur Arbeit eines Pentest Anbieters gehört. So zählt auch die anfängliche Kontaktaufnahme und Diskussion, wie dabei vorgegangen wird, dazu. Gleiches gilt natürlich für die eigentliche Analyse der IT Sicherheit, die dabei durchgeführt wird. Zu den Hauptabschnitten zählen folgende Punkte:

  • Pre-Engagement Interactions (Vorbereitung)
  • Intelligence Gathering (Informationsbeschaffung)
  • Threat Modeling (Gefahrenanalyse)
  • Vulnerability Analysis (Schwachstellenanalyse)
  • Exploitation (Ausnutzen von Schwachstellen)
  • Post Exploitation
  • Reporting (Berichterstattung)

Vorteile der Nutzung des PTES

Der PTES kann Ihnen einen klaren Überblick bezüglich der Durchführung eines Pentestes geben und was dabei empfehlenswerterweise zu befolgen ist. Es ist nämlich überaus wichtig, dass dieser einer bestimmten Logik folgt und nicht willkürlich ausgeführt wird. Mithilfe des Penetration Testing Execution Standards lassen sich so sichere Ergebnisse liefern, die Ihnen bei der Weiterbearbeitung Ihrer IT Sicherheit behiflich sein können.

Jeder dieser Tests ist anders, da es immer ganz individuell bestimmt wird und von Anbieter zu Anbieter nicht unterschiedlicher sein kann. Demnach ist die Methodik, der Sie dabei folgen, umso wichtiger. Somit helfen klare Richtlinien bezüglich des Testes weiter.

Bedeutung der einzelnen Stufen von PTES

Die einzelnen Stufen des Penetration Testing Execution Standards sind eine Orientierung und sollten vor allem bei der erstmaligen Durchführung bzw. bei der Zusammenarbeit mit neuen Dienstleistern befolgt werden. Die einzelnen Schritte stellen wir im Detail vor:

1. Pre-Engagement Interactions

Pre-Engagement Interactions stellt die erste Stufe dar. Es handelt sich dabei so viel wie um Vorbereitungen, die besprochen und anschließend getroffen werden müssen, bevor es zur eigentlichen Analyse der Anwendung oder Infrastruktur geht. In diesem Schritt ist wichtig, herauszufinden, wie hoch der Aufwand ist, der betrieben werden muss und wie es um die Maßnahmen steht.

Dies ist ein essenzieller Schritt, der keinesfalls ausgelassen werden sollte. Wichtig ist zu beachten, welchen Umfang die Arbeiten haben sollen und was für Vorüberlegungen dahingehend zu treffen zu sind. Auch die ersten Maßnahmen zur Durchführung eines einwandfreien Tests sind diesem Schritt zuzuordnen. Das Whitelisting der IP-Adresse kann z. B. eine Maßnahmen sein.

2. Intelligence Gathering

Intelligence Gathering wird auch als „OSINT-Phase“ bezeichnet und ist im Grunde die Informationsbeschaffung für die Analyse. Das Ziel ist es, so viele Informationen wie möglich zu sammeln, um so viel wie möglich über die Situation des Kunden zu erfahren. Danach fließen diese in den Arbeitsprozess ein. Auf diesen Schritt ist nicht zu verzichten. Häufig kommen automatisierte Tools zum Einsatz. Die Ergebnisse werden im Anschluss von Experten bewertet. Nicht selten werden auf Basis der gewonnenen Informationen Angriffe auf das Passwort von Mitarbeiter:innen durchgeführt. Das macht die nachfolgenden Schritte um ein Vielfaches leichter.

3. Threat Modeling

Im nächsten Schritt geht es in die tatsächliche Testphase. Threat Modeling beschäftigt sich mit der Simulation eines Hackers, um herauszufinden, wie es um die tatsächliche Sicherheit der Anwendung oder Infrastruktur bestellt ist. Die Ergebnisse werden organisiert, systematisch und koordiniert, ermittelt und erfasst. Dieser Punkt unterscheidet sich fundamental von dem eines Angreifers.

4. Vulnerability Analysis

Nachdem die Ziele bekannt sind, kommt es zum nächsten Schritt. Es kommt zur Vulnerability Analysis, um die Schwachstellen korrekt zu prüfen. Dabei sind nicht nur allgemeine Scans von Schwachstellen Bestandteil der Untersuchung. Auch die manuelle Erfassung und Prüfung zählt zum üblichen Umfang einer Vulnerability Analysis. Ausgewählte Schwachstellen werden für die nächste Phase benutzt.

5. Exploitation

In dieser Phase werden Schwachstellen für den Kunden ausgenutzt. In dieser Phase wird der Proof-of-Work erbracht. Damit ist der Beweis der Funktionstüchtigkeit der Schwachstelle gemeint. In diesem wird offenbart, wie sich jemand z.B Zugriff auf Datenquellen des Unternehmens verschaffen könnte.

6. Post-Exploitation

Nachdem das anzugreifende System erfolgreich kompromittiert worden ist, geht es um die Ausweitung von Rechten bzw. Erkundung des Systems. So versuchen Pentester z. B. Daten zu extrahieren. Wirklicher Schaden wird damit natürlich nicht angerichtet. Durch die Ergebnisse lässt sich herausfinden, wo Cyberkriminelle eindringen können. Auch die Möglichkeiten der Angreifer im internen Netz sind eine wichtige Erkenntnis für das Unternehmen.

7. Reporting

Der letzte Schritt bei PTES ist das sogenannte Reporting. Es handelt sich hierbei um eine Berichterstattung. Sämtliche Funde werden dokumentiert. Es sollte berücksichtigt werden, für welche Zielgruppe der Bericht gefordert ist. Um die Ergebnisse aufzuarbeiten und den Reifegrad der IT-Sicherheit mittel- und langfristig zu erhöhen, gilt es auch Gegenmaßnahmen aufzuzeigen. Lassen Sie sich vor Beauftragung im besten Fall einen Pentest Beispielreport zu Verfügung stellen.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Der Penetration Testing Execution Standard – ein Fazit!

Insgesamt gibt es zu sagen, dass der PTES nicht mehr aus der täglichen Arbeit und Durchführung von Pentests wegzudenken ist. Dabei bietet der PTES nur ein Rahmenwerk an. Die inhaltliche Ausgestaltung wird zu einem großen Teil von Ihrem Anbieter durchgeführt.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen