Vor der Durch­füh­rung eines Pene­tra­ti­ons­tests stellt sich die Fra­ge wie der Pen­test durch­ge­führt wer­den soll. Hier­bei unter­schei­den Pen­tes­ter die fol­gen­den Ansätze:

  1. Black­box Test
  2. White­box Test
  3. Gray­box Text

Wel­cher Test eig­net sich am bes­ten für einen Audit?

Black­box bzw. Black-Box Test

Bei die­ser Pene­tra­ti­ons­test Metho­de erhält der Pen­tes­ter kei­ner­lei Infor­ma­tio­nen über die betrie­be­nen Sys­te­me, weder wel­che Fire­wall im Ein­satz ist und auch nicht wel­che exter­nen Diens­te das Unter­neh­men nutzt. Daher muss der Pen­tes­ter mehr Zeit für die Recher­che auf­wen­den. Hier­zu nut­zen Pen­tes­ter auch Hin­ter­grund­in­for­ma­tio­nen über das Unter­neh­men aus dem Dark­net und spe­zi­el­ler Such­ma­schi­nen wie Shodan.

Ger­ne nut­zen Kun­den die­sen Test­an­satz, um zu erhe­ben wel­che Infor­ma­ti­on rea­le Hacker über das Unter­neh­men in Erfah­rung brin­gen kön­nen. Aus Haf­tungs­grün­den muss der Kun­de aber immer die tat­säch­li­chen IP-Adres­sen sei­ner Infra­struk­tur bekannt geben, und das Audit-Unter­neh­men mit einer Auto­ri­sie­rungs­er­klä­rung für den Pen­test-Angriff berechtigen.

Die Vor­tei­le:

  • Kun­den erfah­ren wel­che Infor­ma­tio­nen Inter­net und Dark­net über das Unter­neh­men gespei­chert sind

  • Der Zeit­auf­wand für den Kun­den zur Infor­ma­ti­ons­be­reit­stel­lung und Abstim­mung ist minimal

  • Der Ergeb­nis­be­richt ist aus der Sicht eines Hackers

Nach­tei­le und der Kostenfaktor:

  • Durch die feh­len­de Abstim­mung gibt es kei­ne Prio­ri­sie­rung wel­che Diens­te beson­ders kri­tisch sind und mehr oder weni­ger Test­auf­wand benötigen

  • Die Recher­che ist zeit­in­ten­siv und somit ist ein Black­box Test teu­rer als ein White- oder Graybox-Test

  • Der Black­box Test eig­net sich nicht um inter­ne sicher­heits­re­le­van­te Algo­rith­men der Anwen­dun­gen zu testen

White­box oder White-Box Test

Beim White­box-Test gibt es einen inten­si­ven Infor­ma­ti­ons­aus­tausch zwi­schen dem Betrei­ber und dem Pen­tes­ter über die genutz­te IT-Infra­struk­tur, die Sicher­heits­in­fra­struk­tur, die IT-Diens­te und Authen­ti­sie­rungs­me­tho­den. Oft wer­den im Vor­feld Schutz­maß­nah­men wie IPS der Fire­wall deak­ti­viert, um den Secu­ri­ty-Scan effi­zi­ent lau­fen zu las­sen. Zum Tes­ten von Web-Anwen­dun­gen erhält der Pen­tes­ter oft auch unter­schied­li­che akti­ve Benut­zer­ken­nun­gen, um inner­halb einer Web-Anwen­dung z.B. die OWASP Top 10 Angrif­fe durch­zu­füh­ren. Oft erhält der Pen­tes­ter auch Ein­blick in Source-Code oder inter­ne Konfigurationen.

Die­ser Test­an­satz ist sehr effi­zi­ent! Der Pen­tes­ter tauscht sich aktiv mit dem Kun­den aus und tes­tet die IT-Diens­te und Anwen­dun­gen sehr tief aus aus­führ­lich. Die Ergeb­nis­se kön­nen bis hin zu Emp­feh­lun­gen für die Soft­ware­ent­wick­ler gehen, da auch Anmel­de­funk­tio­nen, Authen­ti­sie­rung und dahin­ter­lie­gen­de Algo­rith­men bespro­chen wer­den. Durch den Infor­ma­ti­ons­aus­tausch über die Infra­struk­tur kann der Pen­tes­ter struk­tu­rel­le Emp­feh­lun­gen zum Netz­werk­auf­bau und der Sicher­heits­in­fra­struk­tur geben, was bei einem Black­box-Test oft nicht mög­lich ist.

Vie­le Vorteile:

  • Kun­den kön­nen die IT-Diens­te prio­ri­sie­ren und sich im Vor­feld mit dem Pen­tes­ter austauschen
  • White­box-Tests sind bezo­gen auf die Pen­test­ergeb­nis­se effi­zi­en­ter und kos­ten­güns­ti­ger als Blackbox-Tests
  • Kun­den erhal­ten Soft­ware­ent­wick­lungs­emp­feh­lun­gen zu Secu­re Coding und Secu­re Design
  • Der Pen­tes­ter kann Emp­feh­lun­gen zur Netz­werk­ar­chi­tek­tur und der 3‑Tier Appli­ka­ti­ons­ar­chi­tek­tur geben

  • Durch den Infor­ma­ti­ons­aus­tausch zwi­schen Kun­de und Pen­tes­ter kön­nen im Ergeb­nis­be­richt auch inter­ne Algo­rith­men und APIs bewer­tet werden

  • Kun­den erfah­ren im Vor­feld mehr über die Angrif­fe des Pen­tes­ters und kön­nen ihre Diens­te bes­ser überwachen

Auch Nach­tei­le:

  • Der Abstim­mungs­auf­wand ist grö­ßer (weni­ge Stun­den, bis 1–2 Tage)
  • Kun­den benö­ti­gen einen detail­lier­ten Netz­werk­plan und ein IT-Asset Ver­zeich­nis und müs­sen über die Kon­fi­gu­ra­tio­nen der Sys­te­me genau Bescheid wissen.
  • Oft wer­den die­se ver­trau­li­chen Infor­ma­tio­nen nicht ger­ne extern geteilt

Gray­box / Gray-Box Test

In die­ser Misch­form zwi­schen White-Box und Black-Box Test wird teil­wei­ses Wis­sen zu inter­nen Infra­struk­tu­ren aus­ge­tauscht. Dies umfasst zumin­dest die Rele­vanz der ver­öf­fent­lich­ten Dienste.

Die Vor­tei­le lie­gen auf der Hand:

  • Der Pen­tes­ter erstellt trotz­dem eine kom­plet­te Inven­tur der exter­nen Diens­te, kon­zen­triert sich bei den Pene­tra­ti­ons­tests aber auf kri­ti­sche Diens­te mit sen­si­blen Daten
  • Mit dem Wis­sen über die Infra­struk­tur und Sicher­heits-Infra­struk­tur kann der Audi­tor kon­kre­te Emp­feh­lun­gen zur Archi­tek­tur aussprechen
  • Die Test­pha­se ver­kürzt sich deut­lich gegen­über einem Blackbox-Test
  • Inva­si­ve Test­me­tho­den die Diens­te stö­ren oder blo­ckie­ren (z.B. DoS-Angrif­fe) kön­nen im Vor­feld eva­lu­iert werden

Die Nach­tei­le:

Blackbox Whitebox Graybox Pentest
  • Das Über­win­den des ers­ten Peri­me­ters dau­ert län­ger, daher bleibt weni­ger Zeit dahin­ter­lie­gen­de Sys­te­me inten­siv zu prüfen
  • Gray­box Tests brin­gen über die­sel­be Zeit gemes­sen weni­ger Ergeb­nis­se und Emp­feh­lun­gen als Whitebox-Tests

  • Mit Gray­box Tests kön­nen nur bedingt inter­ne Algo­rith­men zwi­schen Sys­te­men (z.B. inter­ne APIs, inter­ne Kryp­to­gra­phie-Nut­zung, Backend-Kom­mu­ni­ka­ti­on mit Dritt­sys­te­men) getes­tet werden

Was kos­tet ein Pentest?

Die Kos­ten eines Pene­tra­ti­ons­tests erge­ben sich auch dem Zeit­auf­wand für die fol­gen­den Leistungen:

  1. Die Vor­be­rei­tungs­zeit und Abspra­chen mit dem Kunden
  2. Die Ein­rich­tung des Secu­ri­ty Scan­ners und der auto­ma­ti­sier­ten Scan-Tools
  3. Die Zeit für die manu­el­len Ein­dring­ver­su­che in die Kun­den­sys­te­me durch den Pentester
  4. Die Berichts­er­stel­lung und Abstim­mung des Berichtentwurfes
  5. Die Abschluss­prä­sen­ta­ti­on

Klei­ne Pen­test Pro­jek­te kön­nen durch den hohen Auto­ma­ti­sie­rungs­grad der Pha­se 2 bereits mit einem Auf­wand von 2–3 Tagen ange­bo­ten wer­den. Bei Black­box Tests kom­men zusätz­li­che Stun­den oder Tage für die Recher­che hin­zu. Die Durch­lauf­zeit beträgt in der Regel rd. 1 Woche.

Bei mit­tel­gro­ßen Pro­jek­ten oder anspruchs­vol­le­ren IT-Diens­ten soll­te man 5–7 Tage oder auch mehr in den Pen­test inves­tie­ren. Der Secu­ri­ty Scan umfasst unter ande­rem eine extern erstell­te Diens­te-Inven­tur und kann bei einer Viel­zahl an IP-Adres­sen auch vie­le Tage hin­durch lau­fen. In die­ser Zeit über­wacht der Pen­tes­ter den Scan­ner, aber es fällt in der Regel kei­ne Arbeits­zeit an. Die Arbeits­zeit fokus­siert sich aus­schließ­lich auf die Pha­se 1, 3, 4 und 5.

Gro­ße Pen­test-Pro­jek­te mit einer Viel­zahl an IP-Adres­sen oder der Test von sehr anspruchs­vol­len Web-Appli­ka­tio­nen kann auch 10+ Tage in Anspruch neh­men. Wenn Sie zu weni­ge Tage für den Pen­test anset­zen oder inves­tie­ren besteht das Risi­ko, dass der Pen­tes­ter rele­van­te Schwach­stel­len nicht in der gege­be­nen Zeit iden­ti­fi­zie­ren kann und der Test dadurch unvoll­stän­dig wird. Bei gro­ßen Pen­tests kann die Durch­lauf­zeit auch 3–4 Wochen betragen.