Sie befin­den sich hier:

IT-Infra­struk­tur

IT-Infra­struk­tur Test­ing

Das IT-Infra­struk­tur Test­ing bezeich­net die Unter­su­chung von Soft­ware­sys­te­men und IT-Land­schaf­ten auf Netz­wer­kebe­ne aus der Per­spek­ti­ve eines bös­ar­ti­gen Akteurs.

Die Simu­la­ti­on von schad­haf­ten Akti­vi­tä­ten zur Iden­ti­fi­ka­ti­on von Schwach­stel­len erfolgt über das öffent­li­che Inter­net oder aus dem inter­nen Netz­werk eines Unter­neh­mens und umfasst bspw. die Unter­su­chung von Netz­werk­kom­po­nen­ten (z. B. Ser­ver, Rou­ter oder Fire­walls), Netz­werk­pro­to­kol­le und Netz­werk­diens­te (z. B. Acti­ve Direc­to­ry, SSH, SNMP, IMAP) oder Fern­war­tungs- und Netz­werk­zu­gän­gen (z. B. VPN-Zugang) sowie Schutz­maß­nah­men auf Netz­wer­kebe­ne (z. B. Netz­werk­seg­men­tie­rung).

War­um Pene­tra­ti­on Test­ing?

Durch die fort­schrei­ten­de Digi­ta­li­sie­rung ins­be­son­de­re von Geschäfts­pro­zes­sen sind zuneh­mend mehr unter­neh­mens­kri­ti­sche Berei­che über das öffent­li­che Inter­net erreich­bar. Ein aus­rei­chen­der Schutz vor bös­ar­ti­gen Angrei­fern ist daher wich­tig, um mög­li­che tech­ni­sche sowie finan­zi­el­le Schä­den (z.B. durch Daten­ver­lust, Ein­schrän­kung der Ver­füg­bar­keit) zu ver­mei­den.

Mit­hil­fe von IT-Infra­struk­tur Test­ing kön­nen Schwach­stel­len inner­halb eines Netz­wer­kes durch die Simu­la­ti­on von schad­haf­ten Akti­vi­tä­ten iden­ti­fi­ziert wer­den, um vor­han­de­ne Sicher­heits­ri­si­ken für Anwen­dun­gen und deren Benut­zer zu bestim­men. Durch geziel­te Maß­nah­men­emp­feh­lun­gen zur Behe­bung von iden­ti­fi­zier­ten Schwach­stel­len kann die Soft­ware­qua­li­tät im Bereich IT-Sicher­heit (Secu­ri­ty) erhöht und ein aus­rei­chen­der Schutz vor erfolg­rei­chen Angrif­fen gewähr­leis­tet wer­den.

Im All­ge­mei­nen kön­nen durch Sicher­heits­tests die fol­gen­den Schutz­zie­le [1] gemäß dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI) über­prüft wer­den:

Ver­trau­lich­keit
“Ver­trau­lich­keit ist der Schutz vor unbe­fug­ter Preis­ga­be von Infor­ma­tio­nen. Ver­trau­li­che Daten und Infor­ma­tio­nen dür­fen aus­schließ­lich Befug­ten in der zuläs­si­gen Wei­se zugäng­lich sein.”
Inte­gri­tät
“Inte­gri­tät bezeich­net die Sicher­stel­lung der Kor­rekt­heit (Unver­sehrt­heit) von Daten und der kor­rek­ten Funk­ti­ons­wei­se von Sys­te­men.”
Ver­füg­bar­keit
Die Ver­füg­bar­keit von Dienst­leis­tun­gen, Funk­tio­nen eines IT-Sys­tems, IT-Anwen­dun­gen oder IT-Net­zen oder auch von Infor­ma­tio­nen ist vor­han­den, wenn die­se von den Anwen­dern stets wie vor­ge­se­hen genutzt wer­den kön­nen.

Ziel

Das Ziel der Test­ak­ti­vi­tä­ten besteht im All­ge­mei­nen aus den fol­gen­den drei Punk­ten:

Iden­ti­fi­ka­ti­on von vor­han­de­nen Schwach­stel­len
und Fehl­kon­fi­gu­ra­tio­nen inner­halb des Anwen­dungs­sys­tems bzw. der IT-Land­schaft.
Emp­feh­lung geeig­ne­ter Maß­nah­men
zur Behe­bung der Schwach­stel­len, um die Resis­tenz der IT-Infra­struk­tur vor mög­li­chen inter­nen und exter­nen Angrei­fern zu erhö­hen.
Bestim­mung des Sicher­heits­ni­veaus
der IT-Infra­struk­tur zum Zeit­punkt der Test­durch­füh­rung auf Basis der Test­ergeb­nis­se.

All­ge­mei­ne Test­me­tho­dik

Unse­re Test­me­tho­dik im IT-Infra­struk­tur Test­ing beruht auf dem Durch­füh­rungs­kon­zepts für Pene­tra­ti­ons­tests und IT-Grund­schutz-Kom­pen­di­um des BSI und dem Vor­ge­hen des Pene­tra­ti­on Exe­cu­ti­on Stan­dards (PTES). Die kon­kre­ten Test­ak­ti­vi­tä­ten wer­den ent­spre­chend dem ver­ein­bar­ten Kun­den­ziel sowie den tech­ni­schen Gege­ben­hei­ten ange­passt.

Nächs­te Schrit­te

Nach Abschluss der Unter­su­chung bestehen ver­schie­de­ne Anknüp­fungs­punk­te, um die bis­he­ri­ge Ana­ly­se wir­kungs­voll fort­zu­set­zen. Eine Aus­wahl sinn­vol­ler Mög­lich­kei­ten kann im Gespräch abhän­gig vom Kun­den­ziel, Kun­den­wunsch und des Ergeb­nis­ses indi­vi­du­ell zusam­men­ge­stellt wer­den.

Wei­te­re Test­ak­ti­vi­tä­ten auf Netz­wer­kebe­ne
Konn­ten durch bis­he­ri­ge Pene­tra­ti­ons­tests nicht alle Berei­che des Netz­werks aus­rei­chend unter­sucht wer­den, so ist eine Aus­wei­tung auf wei­te­re Netz­werk­be­rei­che mög­lich.
Web Appli­ca­ti­on und Web Ser­vice Pene­tra­ti­on Test­ing
Die bis­he­ri­gen Test­ak­ti­vi­tä­ten kön­nen auf ein­zel­ne Anwen­dungs­sys­te­me inner­halb des Netz­werks fokus­siert wer­den, um eine Anwen­dungs-spe­zi­fi­sche­re Ana­ly­se des Sicher­heits­ri­si­kos durch zu füh­ren.
Sicher­heits­be­ra­tung
Auf Basis gewon­ne­ner Erkennt­nis­se und iden­ti­fi­zier­ter Schwach­stel­len kön­nen all­ge­mei­ne oder anwen­dungs­spe­zi­fi­sche The­men im Bereich IT-Sicher­heit, Best-Prac­ti­ces oder Know-How zur Sen­si­bi­li­sie­rung oder für Lösungs­an­sät­ze ver­mit­telt wer­den.
Sys­tem­har­dening
Durch eine geziel­te Über­prü­fung von Anwen­dungs­sys­te­men, die im Netz­werk erreich­bar sind, auf Kon­fi­gu­ra­ti­ons­ebe­ne, kann die Test­ab­de­ckung erhöht wer­den.