Pentests für Websites
Der Penetrationstest von Websites testet Web- und API-Anwendungen, statt sich auf ein Netzwerk oder Unternehmen zu konzentrieren. Trotzdem verfolgen der Pentest und der Web-Pentest dieselben Ziele: Sie decken Schwächen in der Sicherheit auf und helfen, Mechanismen zur Verteidigung zu stärken. Das macht sie zu einem wichtigen Schutz vor realen Bedrohungen, der für Unternehmen jeder Größe zentral bedeutsam ist.
Website-Pentests decken Mängel auf
Ein vollumfänglicher Schutz vor realen Bedrohungen ist ein zentraler Aspekt des Pentests. Deshalb spezialisiert er sich nicht ausschließlich auf eine einzige Komponente. Vielmehr prüft der Test das Front- und das Backend sowie die gängigen Datenbanksysteme und die zugehörigen Schnittstellen (APIs). Um einen solchen Test durchführen zu können, sind fortgeschrittene Kenntnisse bezüglich Webservern und Betriebssystemen notwendig.
Aber was macht diesen Test so wichtig? Bei einem Hacking Angriff auf die API oder die Website entsteht dem Unternehmen ein wirtschaftlicher Schaden. Hinzu kommt, dass sensible Daten in die falschen Hände geraten könnten. Entsteht eine meldepflichtige Datenpanne, muss das Unternehmen mit einem Bußgeld rechnen, das zusätzlich anfällt. Um sich bestmöglich abzusichern, ist es in der Konsequenz wichtig, regelmäßige Sicherheitschecks durchzuführen. Eine solche Methode ist der Pentest, der Schwachstellen aufdeckt. Anschließend lassen sie sich aktiv beheben.
Was passiert bei einem Pentest?
Grundsätzlich führt ein Ethical Hacker den Pentest durch. Diese nennen sich auch White Hats und vertreten die Interessen des Unternehmens, das sie beauftragt. Zwar deckt ein kurzer Test oftmals erste Lücken auf, aber je länger der Pentest ausfällt, desto aussagekräftiger ist das Ergebnis.
Der White Hat testet dabei nicht nur einzelne Systeme, sondern ebenfalls deren Zusammenspiel mit der internen Infrastruktur. Immerhin reicht eine einzelne Schwachstelle aus, einen unerwünschten Zugriff zu ermöglichen.
Ebenso wichtig wie das Zusammenspiel ist, welche Informationen und mögliche Parameter zu Design und Konfiguration im Internet zu finden sind. Nicht immer sind sich Unternehmen im Klaren darüber, wie viel sie preisgeben. Das trägt dazu bei, dass Hacker sich ein Bild machen können, bevor sie beginnen, Schaden anzurichten.
Die gesammelten Informationen helfen dem Unternehmen weiter
Nach dem erfolgreichen Pentest erhalten die zuständigen Personen in der Regel einen umfangreichen Bericht. Dieser erlaubt einen optimalen Einblick in die Arbeit des White Hats und präsentiert die Ergebnisse. Fast immer setzen die Zuständigen auf den OWASP Security Testing Guide. Dieses standardisierte Verfahren trägt dazu bei, sämtliche Bereiche genauestens zu erfassen. Neben einer Management Summary enthält die Zusammenfassung eine Übersicht über mögliche Schwachstellen und konkreten Behebungsschritte.
Durch diese kann das Unternehmen nicht nur gegen die Lücken vorgehen, sondern erfährt, welche Punkte besonders wichtig sind.
Idealerweise endet der Pentest mit einem gemeinsamen Abschlussgespräch. Hier lassen sich die Sachverhalte im Detail besprechen und Rückfragen beantworten.
So läuft der Web-Penetrationstest ab
Der Pentest ist ein agiler Prozess, für den die Zusammenarbeit zwischen Kunden und Pentester notwendig ist. Die Grundlage sind enge Absprachen, die unbedingt einzuhalten sind.
Den Anfang bildet stets ein Kick-Off-Gespräch: An dieser Stelle legen die Beteiligten den Rahmen fest und stimmen notwendige Zugriffswege ab. Die Definition von Ansprechpartnern und Eskalationswegen gehört ebenfalls in das Kick-Off.
Anschließend versuchen die Experten, möglichst viele Informationen zu sammeln. Daraus entstehen Strategien zur Analyse, aus denen sich Angriffsvektoren identifizieren lassen.
Liegen diese Vektoren vor, versucht der White Hat die Schwachstelle auszunutzen. Das Ziel ist der Zugriff auf das zu prüfende System. Ob dieser dabei neue Exploits schreibt oder bestehende nutzt, ist abhängig von der technischen Umgebung.
Der Ethical Hacker stellt sämtliche Daten in einem umfangreichen Protokoll zusammen. Hierzu gehört beispielsweise die Business-Risk-Analyse sowie eine umfangreiche Beschreibung der Tests und der Schwachstellen. Wie kritisch diese sind und wie sie sich beheben lassen, steht ebenfalls in diesem Bericht.
Autor: Nils Reimers