2022 / IT Security / Offensive Services / Pentest Tools

Pentest Automation – Ist sie zielführend?

Immer wieder ist in letzter Zeit die Rede von automatisierten Pentests. Diese sparen vermeintliche Kosten und führen viele der Angriffsszenarien erfolgreich und vor allem vollautomatisch durch. Das sagen zumindest die entsprechenden Anbieter. In der Realität ist das natürlich nicht ganz der Fall und Pentest Automationen haben große Probleme in ihrer Abdeckung.

Zwar sind Pentest-Tools prinzipiell eine willkommene Hilfe (nicht umsonst haben wir euch hier im Blog bereits die besten Pentest-Tools vorgestellt), doch ihr Einsatz muss unter professionellen Bedingungen erfolgen. Vor allem aber dürfen solche Tools nicht gedankenlos verwendet werden, denn sie ersetzen nie den Sicherheitsexperten, der sie bedient. Ein Pentest-Tool ist wie der Schraubenzieher eines Mechanikers. Er hilft ihm bei seiner Arbeit, ersetzt aber nicht sein eigenes Fachwissen in Bezug auf die Maschine selbst, welches ihm überhaupt erst ermöglicht, die richtige Schraube zu finden.

In diesem Beitrag werden wir Ihnen daher zunächst einmal erklären, was ein Pentest genau ist und was die Pentest Automatisierung im Detail bedeutet. Außerdem klären wir, wo die jeweiligen Schwachstellen liegen und geben Ihnen am Ende noch unsere persönliche Meinung diesbezüglich mit auf den Weg.

Pentest und Pentest Automation im Detail

Pentest ist die Kurzform für den sogenannten Penetrationstest. Bei einem Penetrationstest geht es in erster Linie darum, die IT in Ihrem Unternehmen auf mögliche Schwachstellen hin zu untersuchen. Das geschieht aber nicht nur theoretisch, sondern in einem tatsächlichen und kontrollierten Angriff, genauer gesagt sogar mittels verschiedener Szenarien für ebendiesen.

Bei uns setzten wir dabei auf erfahrene Cybersecurity Consultants, die jahrelange Erfahrungen in diesem Bereich vorweisen können, z. B. durch das OSCP- oder mittlerweile PEN-200 genannte Zertifikat. Auf diese Weise werden Sicherheitslücken in Ihren IT-Systemen entsprechend schnell entdeckt und können anschließend noch genauer analysiert und unter die Lupe genommen werden. Durch die Teamarbeit werden dabei viele Szenarien für einen Angriff der IT entsprechend effektiv von uns durchgetestet.

Die Pentest Automatisierung hingegen versucht diese Teamarbeit und Erfahrung durch Automatismen zu ersetzten. Dafür kommt meist eine Software zum Einsatz, die bestimmte Routinen besitzt und ähnlich wie andere Online-Tools ein schön dargestelltes Endergebnis präsentiert. Nur mit dem Unterschied, dass hier nie ein Security Analyst genauer hingesehen hat, um die Schwachstellen zu bewerten, sondern alle Ergebnisse auf automatischer Ebene des jeweiligen Online-Tools entstanden sind.

Was den manuellen Penetrationstest ausmacht

Der manuelle Penetrationstest ist zunächst einmal gänzlich unabhängig von der verwendeten Infrastruktur. Egal, ob Web Anwendungen, Schnittstellen oder umfangreich eingerichtete IT-Systeme, der manuelle Pentest ist nicht begrenzt auf bestimmte Bereiche und passt sich demnach immer den jeweiligen Bedingungen in Ihrer Firma bzw. den IT-Systemen in Ihrem Unternehmen an.

Ziel des Pentest ist dabei stets die Identifikation von Schwachstellen, das Aufdecken typischer Fehler, eine Erhöhung der IT-Sicherheit in allen Bereichen sowie die abschließende Prüfung und Bestätigung der verbesserten IT-Sicherheit im letzten Schritt. Dabei geht der manuelle Pentest keine Liste oder bestimmte Muster durch, sondern passt sich stets an die IT-Systeme in Ihrem Unternehmen an, um diese bestmöglich zu überprüfen.

Neben einer Erhöhung der allgemeinen Informationssicherheit, absolvieren wir auch Penetrationstest für Sie, die bei externen Anforderungen erforderlich sind. Bei solchen Maßnahmen reichen automatische Pentests logischerweise nicht mehr aus, da sie schlichtweg nicht umfangreich und individuell genug sind. Ein Pentest-Tool ist zudem immer nur so nützlich, wie der Anwender es versteht, selbiges zielgerichtet einzusetzen.

Automatisierte Pentests sind nicht ausreichend

Sicherlich ist Ihnen im letzten Absatz bereits bewusst geworden, wo die Unterschiede zwischen einem manuellen und einem automatisierten Pentest liegen. Die Qualität der Daten ist es, die hier den Unterschied ausmacht. Auch die Tatsache, dass eine Pentest Automation nicht auf besondere Ereignisse oder Auffälligkeiten in IT-Systemen reagieren kann, verringert deren Relevanz entsprechend schnell.

Es ist wie so oft beim Thema Handarbeit vs. Automatisierung. Die Pentest Automation mag zunächst einmal günstiger sein, kennt aber auch weniger Variablen und analysiert nur nach bestimmten Mustern, während der manuelle Penetrationstest die IT-Systeme Ihrer Firma bis in das letzte Detail hin überprüft.

Das liegt zum einen an unseren Sicherheitsexperten, die im Team gemeinsam an entsprechenden Penetrationstests arbeiten und daher besonders viele Details erkennen können. Es liegt aber auch daran, dass die händische Arbeit auf die Umgebung zugeschnitten wird und der Penetrationstest somit auf Variablen reagiert, die einer reinen Pentest Automation gänzlich verborgen bleiben.

Der automatisierte Pentest wird daher nie ausreichend sein, um die IT-Sicherheit zweifelsfrei feststellen oder sogar garantieren zu können. Er kann jedoch dabei helfen, einen ersten Eindruck zu erlangen, wird jedoch nicht der finalen Sicherheitsprüfung in der IT Ihrer Firma standhalten. Pentest Automationen sind eine Art von Zuarbeitern, aber niemals ein Ersatz für den manuellen Pentest selbst.

Unsere Meinung zu Pentest Automationen

Aus unserer Sicht ist es nicht realistisch, dass ein Pentest vollständig automatisiert abläuft. Derartige Tools sind für eine erste Analyse brauchbar, dienen aber nicht dazu, ein finales Ergebnis bezüglich der IT-Sicherheit zu erhalten. Das sollten Sie vorab wissen, falls Sie über den Einsatz derartiger Pentest-Tools bereits nachgedacht haben oder immer noch nachdenken.

Der manuelle und sorgfältig stattfindende Pentest ist damit der einzig wirklich vollständige. Während die Pentest Automation auf dem Papier zwar gut klingt, schlussendlich aber nicht konkurrenzfähig mit einem vollwertigen Pentest ist. Es braucht immer einen erfahrenen Pentester, der Daten von Schwachstellen zu deuten weiß und dann weiter in diese Richtung forscht.

Wir raten unseren Kunden daher zu einem manuellen Pentest, wenn es um ihr IT-System geht. Schließlich dient der Penetrationstest dazu, entsprechende Sicherheitslücken festzustellen und im nachfolgenden zu schließen. Diese Aufgabe sollte demnach so sorgfältig wie nur möglich vollzogen werden. Gerne unterstützen wir Sie und Ihr Unternehmen dabei.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.