IT-Sicherheitstests: Vom Schwachstellenscan zum automatisierten Pentesting

Immer mehr Hersteller von IT-Sicherheitsprodukten werben mit voll automatisierten Penetrationstests. Wir zeigen Ihnen, worauf Sie achten müssen.

Artikel verschenken

21.04.2022, 06:25 Uhr

Lesezeit: 10 Min.

iX Magazin

Von

Oliver Dietz
Stefan Strobel

IT-Sicherheitstests: Vom Schwachstellenscan zum automatisierten Pentesting
- Schwachstellenscanner als klassischer Ausgangspunkt
Schwachstellen ausnutzen
Weitere Ansätze
Fazit

Artikel in iX 5/2022 lesen

Der Begriff Penetrationstest ist nicht normiert. Unternehmen, die einen Pentest bei einem spezialisierten Dienstleister in Auftrag geben, verfolgen damit unterschiedliche Ziele. Meistens geht es um die Erkennung technischer Schwachstellen – fehlende Patches oder unsichere Konfigurationen –, über die Angreifer dem Unternehmen Daten stehlen oder anderweitig Schaden zufügen können.

Im Rahmen eines Penetrationstests wird aber auch manchmal überprüft, wie gut ein Security Operation Center (SOC) Angriffe erkennt und darauf reagiert. Sicherlich wäre dafür Red Teaming die geeignetere Herangehensweise, aber vielen Unternehmen sind die üblichen Abgrenzungen und Details nicht bekannt und Pentesting dient als Sammelbegriff für alles, was irgendwie mit Schwachstellen und Hackertechniken zu tun hat. Pentest ist also ein Begriff, der in der Praxis unterschiedlich wahrgenommen und verwendet wird.

So ist es nicht erstaunlich, dass auch am Markt für Softwareprodukte ganz unterschiedliche Interpretationen zu finden sind. Die Produkte variieren stark: So gibt es Werkzeuge, die einen Prüfer oder ein Unternehmen bei der Suche nach Schwachstellen unterstützen, oder auch solche, die Exploits zur Ausnutzung von Schwachstellen bereitstellen. Hinzu kommen Tools, die Angriffe simulieren, um Alarme zu provozieren. Wieder andere ermitteln lediglich die theoretische Ausnutzbarkeit von Schwachstellen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

E-Book-Reader werden bunt: Wir testen Tolino Shine Color, Pocketbook Era Color, Pocketbook Inkpad Color 3 und Boox Note Air3 C.

E-Books leihen

Banknoten neben den Feldern eines Gasherds

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Erdgas steht vor dem Aus und das Gasnetz vor dem Umbau: In welche Richtung es sich entwickeln kann und was das für die Gaskunden bedeutet.

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwünschten Verkehr mit zweifelhaften Servern vermeidet.

Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2

Die Smartwatches von Huawei und Xiaomi kosten unter 200 Euro. Eine trägt sich angenehmer und läuft länger, die andere überzeugt optisch und hat mehr Funktionen.

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Unsichere Balkonsolaranlagen können Daten ins Internet senden. Wir haben dagegen eine Lösung zum Nachrüsten, für die Sie nur ein ESP-Board benötigen.

Desinfec’t 2024: PC-Schädlinge finden und entsorgen

Bei Virenbefall ist schnelles, aber bedachtes Handeln gefragt. Mit wenigen Handgriffen erstellen Sie einen Desinfec’t-Stick für Diagnose und Datenrettung.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

E-Book-Reader werden bunt: Wir testen Tolino Shine Color, Pocketbook Era Color, Pocketbook Inkpad Color 3 und Boox Note Air3 C.

E-Books leihen

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Erdgas steht vor dem Aus und das Gasnetz vor dem Umbau: In welche Richtung es sich entwickeln kann und was das für die Gaskunden bedeutet.

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwünschten Verkehr mit zweifelhaften Servern vermeidet.

Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2

Die Smartwatches von Huawei und Xiaomi kosten unter 200 Euro. Eine trägt sich angenehmer und läuft länger, die andere überzeugt optisch und hat mehr Funktionen.

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Unsichere Balkonsolaranlagen können Daten ins Internet senden. Wir haben dagegen eine Lösung zum Nachrüsten, für die Sie nur ein ESP-Board benötigen.

Desinfec’t 2024: PC-Schädlinge finden und entsorgen

Bei Virenbefall ist schnelles, aber bedachtes Handeln gefragt. Mit wenigen Handgriffen erstellen Sie einen Desinfec’t-Stick für Diagnose und Datenrettung.

nach oben

Alle Angebote

Newsletter heise-Bot

${intro} ${title}

${intro} ${title}

IT-Sicherheitstests: Vom Schwachstellenscan zum automatisierten Pentesting

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Desinfec’t 2024: PC-Schädlinge finden und entsorgen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Desinfec’t 2024: PC-Schädlinge finden und entsorgen

Spiele

1 Jahr nur 1,90 € pro Woche

Das digitale Abo für IT und Technik.