Was ist ein Penetrationstest?

Definition: Was bedeutet Penetrationstest?

Der Begriff Penetrationstest (engl. Penetration Test) stammt aus dem militärischen Sprachgebrauch und beschreibt das gezielte Eindringen in ein geschütztes System. Im IT-Sicherheitskontext bezeichnet ein Pentest eine strukturierte, methodische Prüfung der Sicherheit von Systemen durch simulierte Angriffe. Das Ziel ist nicht, Schaden anzurichten, sondern Schwachstellen aufzudecken, deren Auswirkungen zu bewerten und Massnahmen zur Behebung zu empfehlen.

Der NIST (National Institute of Standards and Technology) definiert Penetrationstests als «Sicherheits-Tests, bei denen evaluatoren versuchen, Sicherheitsfunktionen zu umgehen und Schwachstellen in einem Computersystem auszunutzen» (NIST SP 800-115). Der BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt Pentests als zentrales Element der technischen Sicherheitsprüfung.

Wichtig ist der Unterschied zum Schwachstellen-Scan: Ein Pentest erfordert menschliche Intelligenz, Kreativität und Erfahrung. Automatisierte Tools finden nur bekannte Schwachstellen. Ein guter Pentester findet Business-Logic-Fehler, Zero-Day-Potenziale und komplexe Angriffsketten, die kein Tool erkennen kann.

Arten von Penetrationstests

Penetrationstests lassen sich nach verschiedenen Kriterien unterscheiden. Die wichtigsten Einteilungen:

1. Nach Sichtbarkeit des Testers: Black Box, Grey Box, White Box

• Black-Box-Test: Der Tester hat keine Vorkenntnisse über das Zielsystem. Er simuliert einen externen Angreifer mit öffentlich verfügbaren Informationen. Ideal für die Einschätzung des realen Angriffsszenarios.
• Grey-Box-Test: Der Tester hat begrenzte Vorkenntnisse (z.B. Benutzerkonto, API-Dokumentation). Dies ist der am häufigsten empfohlene Ansatz, da er das beste Verhältnis von Kosten zu Testtiefe bietet.
• White-Box-Test: Der Tester hat vollen Zugriff auf Quellcode, Architekturdiagramme und Konfigurationen. Ermöglicht die tiefste Analyse, insbesondere für Business-Logic-Fehler und Design-Schwachstellen.

2. Nach Testobjekt: Web-App, API, Netzwerk, Mobile, Cloud, Social Engineering

• Web-Application-Pentest: Prüfung von Webanwendungen auf OWASP-Top-10-Risiken, Injection, XSS, CSRF und Business-Logic-Fehler.
• API-Pentest: Testen von REST, GraphQL und SOAP-Schnittstellen auf Authentifizierungsfehler, Injection und unsichere Datenübertragung.
• Netzwerk-Pentest: Prüfung von Firewalls, Routern, Switches, Active Directory und internen Netzwerksegmenten.
• Mobile-App-Pentest: Sicherheitsprüfung von iOS- und Android-Apps auf unsichere Datenspeicherung, Reverse Engineering und API-Kommunikation.
• Cloud-Pentest: Prüfung von AWS-, Azure- und GCP-Konfigurationen, IAM, S3-Buckets und Container-Sicherheit.
• Social-Engineering-Test: Prüfung der «menschlichen Firewall» durch Phishing, Vishing und Baiting.

Rechtliche Grundlagen in der Schweiz, Deutschland und Österreich

Penetrationstests sind in der DACH-Region rechtlich zulässig, sofern sie ausdrücklich autorisiert sind. Die Strafrechtlichen Bestimmungen (StGB § 202a ff. in Deutschland, Art. 143/143bis StGB in der Schweiz, § 119a StGB in Österreich) unterscheiden zwischen autorisierten Sicherheitstests und illegalen Hackerangriffen. Eine schriftliche Autorisierung (Pentest-Mandat) ist daher unerlässlich.

Im Rahmen der DSGVO (Art. 32) und des schweizerischen nDSG gehören Penetrationstests zu den technischen und organisatorischen Massnahmen (TOM) zum Schutz personenbezogener Daten. Die FINMA (Schweiz) und die BaFin (Deutschland) verlangen bei Finanzdienstleistern regelmässige Sicherheitsprüfungen.

Häufig gestellte Fragen (FAQ)