Am Puls von Microsoft

Pentest: Die Mischung machts

Im Zuge der Digitalisierung wird es immer wichtiger, Prozesse und Abläufe zu automatisieren. Das betrifft nicht nur die allgemeinen Geschäftsabläufe, sondern ebenfalls den Bereich der IT-Sicherheit. Das Pentesting gehört zu den Themen, die unter diesen neuen Aspekten regelmäßig Beachtung finden.

Die Automatisierung ist auch in der IT-Sicherheit angekommen

Was die Automatisierung so wichtig macht ist, dass sie sich auf die meisten Lebensbereiche anwenden lässt. Während durch sie eintönige Aufgaben entfallen, erleichtert sie andere Arbeitsschritte. Das Ergebnis: Sie spart Zeit und vermeidet Ausfälle.

Selbst große Teile der Testverfahren und Prozesse im Bereich IT-Sicherheit verlassen sich mittlerweile auf diesen Automatismus. Zahlreiche Dienstleister bieten Sicherheitslösungen an, die Probleme wie Injection-Angriffe oder fehlende Sicherheits-Patches im Alleingang aufdecken. Auch Cross-Site-Scripting und andere Schwachstellen sind längst kein Hindernis mehr. Allerdings stellt sich die Frage, ob automatisiertes Pentesting tatsächlich sämtliche Aufgaben der IT-Sicherheit erfüllen kann.

Penetrationtests erhöhen die IT-Sicherheit im Unternehmen

Das Pentesting ist ein wertvoller Begleiter durch die IT-Landschaft: Es trägt dazu bei, die Einfallstore für externe Angreifer zu minimieren. Das geschieht, indem es dabei hilft, potenzielle Schwachstellen in Applikationen, Systemen und Netzwerken aufzuspüren.

Dennoch ist es eine große prozessuale Herausforderung, da zahlreiche Angriffe direkt auf der Applikationsebene erfolgen. Diese Ebene bietet Angreifern den Vorteil, dass sie dort unmittelbar auf sensible Daten zugreifen können. Gleichzeitig sind Anwendungen ein hervorragender Ausgangspunkt für weitere Angriffe.

Pentesting: Ist Automatisierung die Lösung?

Das Pentesting kann grundsätzlich auf zwei Arten erfolgen: manuell oder automatisiert. Bei einem manuell durchgeführten Pentest unternimmt ein Sicherheitsexperte die notwendigen Schritte von Hand. Das bedeutet, er testet, überwacht und bewertet anschließend die Sicherheit der geprüften IT-Systeme. Beim automatisierten Pentesting liegt der Fokus hingegen auf automatisch durchgeführten Tests. Diese Lösung übernimmt zahlreiche Aufgaben, sodass sie weniger zeit- und kostenintensiv sind.

Trotz dieser Vorteile haben die automatisierten Tests ihre Grenzen. Die Algorithmen und technischen Prozesse dahinter eignen sich ausgezeichnet dafür, technische Schwachstellen zu finden. Allerdings scheitern sie regelmäßig in der Interpretation auftretender Fehler. Der Grund dafür ist, dass in vielen Fällen der komplexe interne Zusammenhang nicht ersichtlich ist, der zu solchen Fehlern beitragen kann. Besonders in den Bereichen der Information Disclosure ist eine rein automatisierte Herangehensweise deshalb nicht möglich.

Der Umgang mit Passwörtern gestaltet sich für maschinelle Tests ebenfalls als schwierig. Ein kontrolliertes Review hilft dabei, dass das Pentesting solche Bereiche gezielt auf Schwachstellen hin untersuchen kann.

Penetrationstests: Die Mischung entscheidet über den Erfolg

Damit das Pentesting erfolgreich sein kann, benötigt es eine Kombination aus automatisierten Prozessen und einem menschlichen Penetrationstester. So entstehen weniger Komplikationen und die Tests lassen sich flexibel auf die jeweilige Situation anpassen.

Ein kombiniertes Vorgehen stellt zusätzlich sicher, dass die notwendige Kreativität genutzt werden kann. Anstatt stur den Algorithmen zu folgen, die überaus effektiv und schnell sind, lassen sich so spezielle oder ungewöhnliche Konstrukte leichter untersuchen. Diese Mischung bringt entscheidende Vorteile mit sich:

  • Sie erlaubt es, sowohl kreative als auch investigative Methoden einzusetzen.
  • Durch die ausgeglichene Balance entsteht ein optimaler ROI.
  • Der manuelle Aufwand wird vermindert, sodass sich die Pentester gezielt auf die komplexen Sachverhalte fokussieren können.
  • Während das automatisierte Pentesting die Effizienz steigert, können sich die Spezialisten auf ihre Stärken konzentrieren.

Wegen der unterschiedlichen Vorteile von automatisiertem und manuellem Pentesting ist es ratsam, einen gemischten Ansatz zu wählen. Das stellt sicher, dass beide Vorteile vereint werden. Dadurch werden gleichzeitig die Schwachstellen, die jeder Ansatz an sich bietet, nahezu ausgeräumt. Diese Verbindung ist hoch effizient, spart Zeit und Geld und lohnt sich selbst für die umfangreichsten Volumen-Aufgaben.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige