Pentesting

Pentesting (Penetrationstest) ist ein autorisierter, simulierter Cyberangriff auf IT-Systeme, um Sicherheitslücken zu identifizieren, bevor echte Angreifer diese ausnutzen können.

Pentesting (kurz für Penetration Testing oder Penetrationstest) ist ein systematischer, autorisierter Sicherheitstest, bei dem IT-Sicherheitsexperten mit denselben Techniken und Werkzeugen wie echte Angreifer versuchen, in Systeme einzudringen. Ziel ist es, Schwachstellen aufzudecken, bevor Cyberkriminelle diese ausnutzen können. Im Gegensatz zu illegalen Hackerangriffen erfolgt Pentesting immer mit ausdrücklicher schriftlicher Genehmigung des Auftraggebers.

Stell dir vor, du beauftragst einen Experten, in dein eigenes Haus einzubrechen - nicht um etwas zu stehlen, sondern um herauszufinden, wo die Schwachstellen sind. Genau das macht ein Pentester mit IT-Systemen: Er denkt und handelt wie ein Angreifer, dokumentiert aber alle Erkenntnisse und hilft dabei, die gefundenen Lücken zu schließen.

Ziele eines Penetrationstests

Ein Penetrationstest verfolgt mehrere wichtige Ziele, die über die reine Schwachstellenidentifikation hinausgehen:

• Schwachstellen identifizieren: Technische Sicherheitslücken in Netzwerken, Anwendungen und Systemen aufdecken
• Sicherheitsmaßnahmen validieren: Überprüfen, ob implementierte Schutzmaßnahmen tatsächlich funktionieren
• Reaktionsfähigkeit testen: Feststellen, wie schnell das IT-Team einen Angriff erkennt und darauf reagiert
• Compliance nachweisen: Anforderungen von Standards wie ISO 27001, PCI DSS oder der DSGVO erfüllen
• Risikobewertung ermöglichen: Konkrete Einschätzung der realen Gefährdungslage liefern

Arten von Penetrationstests

CEH - Certified Ethical Hacker

Das CEH von EC-Council ist eine der bekanntesten Einstiegszertifizierungen. Der 5-tägige Kurs vermittelt umfassende Grundlagen des Ethical Hacking. Die Prüfung besteht aus Multiple-Choice-Fragen und eignet sich gut als erste Zertifizierung im Bereich IT-Sicherheit.

OSCP - Offensive Security Certified Professional

Das OSCP von Offensive Security gilt als anspruchsvollste und praxisorientierteste Pentesting-Zertifizierung. Die berüchtigte 24-Stunden-Prüfung erfordert das Kompromittieren mehrerer Systeme in einer realistischen Laborumgebung. Das OSCP wird von Arbeitgebern besonders hoch geschätzt, da es echte praktische Fähigkeiten nachweist.

Relevanz für IT-Auszubildende

Für Fachinformatiker - sowohl in der Systemintegration als auch in der Anwendungsentwicklung - ist das Verständnis von Penetrationstests zunehmend wichtig:

• FISI: Müssen Netzwerke und Systeme so konfigurieren, dass sie Angriffen standhalten. Das Verständnis typischer Angriffsvektoren hilft dabei enorm.
• FIAE: Sollten wissen, wie Anwendungen angegriffen werden (SQL-Injection, XSS, etc.), um sicheren Code zu schreiben.
• Karriereperspektive: IT-Sicherheit und Pentesting sind stark nachgefragte Spezialisierungen mit überdurchschnittlicher Vergütung.

Die OWASP Top 10 - die zehn häufigsten Sicherheitsrisiken in Webanwendungen - sollte jeder IT-Auszubildende kennen, unabhängig von der Spezialisierung.

Quellen und weiterführende Links

• BSI - Penetrationstests und IS-Webchecks
• OWASP Testing Guide
• Kali Linux - Offizielle Website
• Metasploit Framework
• NIST SP 800-115: Technical Guide to Information Security Testing

Wichtige Pentesting-Tools

Penetrationstester nutzen eine Vielzahl spezialisierter Werkzeuge. Die wichtigsten solltest du kennen:

Kali Linux

Kali Linux ist ein speziell für Penetrationstests entwickeltes Linux-Betriebssystem. Es kommt mit über 600 vorinstallierten Sicherheitstools und ist das Standardwerkzeug für professionelle Pentester. Kali basiert auf Debian und wird von Offensive Security entwickelt und gepflegt.

Nmap

Nmap (Network Mapper) ist der bekannteste Port-Scanner. Er identifiziert aktive Hosts im Netzwerk, offene Ports, laufende Dienste und Betriebssysteme. Nmap ist Open Source und gehört zur Grundausstattung jedes Netzwerk-Administrators und Pentesters.

Metasploit

Metasploit ist ein umfassendes Exploitation-Framework mit Tausenden dokumentierten Exploits. Es ermöglicht Pentestern, bekannte Schwachstellen systematisch auszunutzen und Post-Exploitation-Aktivitäten durchzuführen. Metasploit gibt es als Open-Source-Version und als kommerzielle Pro-Version.

Burp Suite

Burp Suite ist das Standard-Tool für Web-Application-Pentesting. Es fungiert als Proxy zwischen Browser und Webserver, fängt alle HTTP-Requests ab und ermöglicht deren Manipulation. Damit können Pentester SQL-Injection, Cross-Site-Scripting (XSS) und andere Web-Schwachstellen testen.

Rechtliche Rahmenbedingungen in Deutschland

Die rechtliche Absicherung ist bei Penetrationstests absolut kritisch. Ohne explizite Genehmigung sind die gleichen Aktivitäten, die ein Pentester durchführt, Straftaten nach dem Strafgesetzbuch (StGB):

• § 202a StGB (Ausspähen von Daten): Unbefugter Zugang zu geschützten Daten
• § 202b StGB (Abfangen von Daten): Unbefugtes Abhören von Kommunikation
• § 202c StGB (Hackerparagraf): Vorbereitung von Straftaten durch Hacker-Tools
• § 303a StGB (Datenveränderung): Unbefugtes Löschen oder Verändern von Daten
• § 303b StGB (Computersabotage): Störung von Datenverarbeitungsanlagen

Das entscheidende Wort ist "unbefugt". Ein Penetrationstester, der mit schriftlicher Genehmigung arbeitet, handelt befugt und begeht keine Straftat. Daher ist ein wasserdichter Vertrag mit präziser Scope-Definition, klaren Regeln und Haftungsregelungen unverzichtbar.

Pentesting vs. Vulnerability Scanning

Ein häufiges Missverständnis ist die Gleichsetzung von Penetrationstests und Schwachstellenscans. Beide testen die Sicherheit, unterscheiden sich aber grundlegend:

Eine gute Sicherheitsstrategie kombiniert beide Ansätze: Regelmäßige Vulnerability Scans für die kontinuierliche Überwachung und periodische Penetrationstests für die tiefgreifende manuelle Prüfung.

Zertifizierungen für Pentester

Für IT-Fachkräfte, die sich im Bereich Pentesting spezialisieren möchten, gibt es anerkannte Zertifizierungen: