Wahllexikon

Wir liefern Erklärungen und Hintergrundinformationen zu Wahlen, Wahlrecht und digitaler Demokratie

Penetrationstest (Pentest)

Mit einem Penetrationstest, kurz Pentest wird im IT-Bereich die Sicherheit eines digitalen Systems geprüft. Die Tester gehen wie Angreifer vor und versuchen ins System einzudringen. Auf diese Weise sollen die Schwachstellen in der IT-Infrastruktur ausfindig und schließlich beseitigt werden.

Penetrationstest soll Schwachstellen aufdecken

Mit dem Pentest nehmen die durchführenden Tester die Perspektive eines Angreifers ein. Dabei werden die Wege, die auch Hacker nutzen würden, um in ein IT-System einzudringen, ins Visier genommen. Sowohl einzelne Rechner als auch ganze Netzwerke können getestet werden. Ziel ist es, bekannte Angriffsmuster nachzuahmen und so Schwachstellen ausfindig zu machen.

Die Penetrationstests werden von Profis durchgeführt, denn mit den entsprechenden Werkzeugen lässt sich auch großer Schaden anrichten. Daher ist eine vertragliche Absicherung zwischen Tester und Getestetem vor der Durchführung der Systemprüfung unabdingbar. Welcher Test durchgeführt wird, richtet sich nach der Sensibilität bzw. dem Gefahrenpotential des Testobjekts. Das besonderse Interesse der Angreifer wecken etwa Netzwerke und Server, die wichtige Kunden- oder Geschäftsdaten beinhalten.

Genau geregeltes Verfahren

Ein Penetrationstest ist nicht mit dem sogenannten Vulnerability Scan zu verwechseln, bei dem der Test nicht manuell von Prüfern durchgeführt wird, sondern automatisch. Der Test muss regelmäßig wiederholt werden, denn neue Sicherheitslücken treten immer wieder auf. Allerdings ist es das Ziel eines jeden Pentest, Fehlerquellen aufzudecken und für zukünftige Systemsicherheit zu sorgen. Auch Polyas führt regelmäßig Penetrationstests durch, um die Sicherheit des Online-Wahl-Systems zu überprüfen.

Erfahren Sie mehr über Systemsicherheit bei Polyas

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ein fünfstufiges Verfahren zur Durchführung des Penetrationstests:

  1. Vorbereitungsphase (Besprechen der Ziele zwischen Kunde und Prüfern)
  2. Informationsbeschaffungsphase
  3. Bewertung der gefundenen Informationen
  4. Eindringungsversuche
  5. Ergebnisse werden in Form eines Berichts präsentiert

Lesen Sie hier mehr über das BSI!

Siehe auch: Block-Prüfsumme, BSI-Schutzprofil, BSI-Standards, Cloud Computing, Common Criteria Schutzprofil, Token, IT-Sicherheit

< Zur Übersicht