Penetration Testing oder Pentesting kann Service Provider dabei unterstützen, Schwachstellen in ihrem System oder dem ihrer Kunden zu erkennen, bevor Kriminelle diese entdecken und für erfolgreiche Angriffe ausnutzen. Als IT-Spezialist oder MSP werden Sie häufig auf Kunden treffen, die Sie bitten Penetration Tests für sie durchzuführen.

 

Um zu beantworten ob Sie Pen Tests durchführen sollten oder nicht, müssen wir zuerst besprechen, was Penetration Testing überhaupt ist.

 

Was ist ein Penetration Test?

 

Penetration Testing, auch bekannt als „Pentesting“, ist eine Sicherheitsübung, bei der eine autorisierte Partei alles versucht um ein System zu infiltrieren, indem sie Schwachstellen ausfindig macht und ausnützt.

 

Der Sinn dieser Art von simulierten Angriffen auf die Systeme einer Organisation ist das Aufzeigen potenzieller Schwachstellen, die von unerwünschten Parteien (wie Cyberkriminellen) ausgenützt werden könnten um Zugriff auf das Netzwerk zu erlangen. Auf diese Weise werden Schwachstellen entdeckt und aus dem System entfernt, bevor Kriminelle diese Schwachstellen ausnützen können um unerlaubten Zugriff zu erlangen, Daten zu klauen, etc.

 

Penetration Testing wird von „guten“ Hackern oder einem Penetrationstester vorgenommen, die zertifiziert und qualifiziert sind um die Sicherheitssysteme von Organisationen auszuspähen und anschließend versuchen diese zu infiltrieren. Diese „guten“ Hacker können direkt angestellt werden, oder sind häufig bezahlte Freelancer, die diese Aufgabe übernehmen.

 

Pentesting Phasen

 

Pen Testing ist nicht nur die Infiltration eines Systems. Es ist viel Arbeit Pentests vorzubereiten und durchzuführen. Der gesamte Prozess kann in folgende Phasen unterteilt werden:

 

1. Planung

 

Dieser Schritt ermittelt den Umfang des Pentest. Tester und Kunden treffen sich um klar festzulegen, in welchem Umfang die Tests stattfinden sollen und welche Gebiete besonders genau getestet werden sollen. Die Tester sammeln Informationen über Netzwerke, Domain Namen, Server und so weiter um das System besser zu verstehen, das sie testen sollen. Hacker sammeln so viele Daten wie möglich über das potenzielle Ziel in diesem Schritt. Mit diesen Daten können sie anschließend eine effektive Strategie für den Angriff planen.

 

Es ist äußerst wichtig, dass der Umfang der Tests festgelegt wird, da das Ergebnis sonst eventuell nicht hilfreich ist, da die Tester sonst möglicherweise Schwachstellen finden, die ohnehin schon bekannt sind, anstatt neue Schwachstellen zu identifizieren.

 

2. Scanning

 

In dieser Phase werden die Tester das System auf Schwachstellen scannen, die sie ausnutzen können. Das kann die Inspektion des Codes in statischer oder dynamischer Form sein und zu beobachten, wie der Code auf  verschiedene Einbruchsversuche reagiert und anschließend die geplante Strategie entsprechend der Ergebnisse anzupassen.

 

Tester scannen zudem das Netzwerk nach offenen Ports, die verwendet werden können um Einlass in das System zu erhaschen. Das kann durch Tools passieren, die alle offenen Ports in einem Netzwerk erkennen können. Tester versuchen so viele offene Ports wie möglich zu finden, die sie anschließend nutzen können um zu versuchen Zugriff auf das System zu erlangen.

 

3. Penetration

 

Nachdem alle wesentlichen Informationen gesammelt wurden, werden die Hacker nun versuchen Zugriff auf das System zu erhalten, indem die zuvor entdeckten Schwachstellen ausgenutzt werden. Die Arten der Angriffe richten sich dabei nach dem, welche Art von Systemen sie testen und welche Arten von Schwachstellen ermittelt werden konnten.

 

Nachdem die Tester erfolgreich Zugriff erlangt haben versuchen sie nun diesen Vorteil zu nutzen, um Daten zu stehlen, Netzwerk Traffic abzufangen oder Nutzer Rechte zu ändern um zu erkennen, wie groß der mögliche Schaden ist, den sie anrichten könnten, wenn sie diese Schwachstellen ausnutzen.

 

Dieser Schritt zeigt klar auf, welche Schwächen im System entdeckt werden können und wie tief ein krimineller Angreifer in das System eindringen könnte, wenn er die entdeckten Schwachstellen ausnützt.

 

4. Berichterstattung

 

Nach der Penetrationsphase werden die Tester einen detaillierten Bericht über die Ergebnisse ihrer Tests erstellen. Dieser Bericht beinhaltet in der Regel Informationen zu:

 

  • Schwachstellen, die die Hacker nutzen konnten um Zugriff auf das System zu erlangen
  • Sensible Daten, die die Hacker stehlen hätten können
  • Zeitangaben dazu, wie lange die Hacker unerkannt im System wüten konnten

 

5. Aufräumen und neuer Test

 

In der letzten Phase wählt sich der Tester erneut ins System ein und entfernt sämtliche Spuren ihres erfolgreichen Angriffes, damit kriminelle Hacker diese Routen oder die erstellten Artifacts nicht nutzen können um unerlaubten Zugriff zu erhalten.

 

Ein neuerlicher Test sollte ebenfalls durchgeführt werden, um sicherzustellen, dass die erkannten Schwachstellen nachhaltig aus dem System entfernt wurden. Allerdings ist es nicht die Aufgabe des Pentesters diese Schwachstellen zu entfernen.

 

Nun da wir wissen, wie genau Pentesting funktioniert und wissen wie ein typischer Penetration Test abläuft, können wir weitergehen und versuchen zu erläutern, ob MSPs Pentesting Services anbieten sollte oder nicht.

 

Pentesting für IT Spezialisten

 

Kurz gesagt, MSPs die Pentesting anbieten, haben sehr wahrscheinlich mehr Kompetenzen um die Sicherheit ihrer Kunden zu gewährleisten, als solche die Pentests nicht anbieten. Schließlich ist es am Ende des Tages Ihr Auftrag als MSP die Systeme und Netzwerke Ihrer Kunden zu schützen.

 

IT Spezialisten die sich um Pentesting kümmern kennen sich am besten aus mit den aktuell vorhandenen Schwachstellen in Systemen ihrer Kunden. Dadurch können Sie diese Schwachstellen deutlich einfacher entfernen, als MSPs die diesen Service nicht anbieten. Das ist höchst relevant, denn so lange die Kunden sich bei Ihnen sicher fühlen, so lange werden sie auch Kunden bleiben.

 

Das führt zum Vertrauen Ihrer Kunden, das der wichtigste Erfolgsfaktor für MSPs ist. Wenn Ihre Service das Vertrauen Ihrer Kunden genießen, wird Ihr Unternehmen rasch wachsen und Ihre Kunden müssen nicht zusätzlich Pentesting Services in Anspruch nehmen. Sie können einfach auf Sie zukommen und Sie um einen Penetrationtest bitten.

 

Ein weiterer Vorteil ist, dass MSPs die Pentests durchführen, relativ einfach Strategien für Business Continuity erstellen können, da sie genau wissen, welche Services für die Kunden von zentraler Bedeutung sind um einwandfrei arbeiten zu können. Sie können auch neue Kunden an Bord nehmen indem Sie die Systeme gratis scannen und Ihre Services anbieten um gefundene Schwachstellen zu beheben.

 

Sie sind zudem in der Lage Ihre eigenen Systeme und Netzwerke besser zu sichern, wenn Sie angestellte „gute“ Hacker haben, die Schwachstellen in Ihrem System zu entdecken versuchen. Sie können einen detaillierten Guide zum Thema Schutz vor Cyberattacken als MSP lesen.

 

Fragen die gestellt werden müssen, bevor Sie als MSP Pentesting starten

 

Bevor Sie starten Pentesting als Service anzubieten, sollten Sie sicherstellen, dass Sie alle Voraussetzungen erfüllen.

 

Jeglicher MSP kann davon profitieren diesen speziellen Service anzubieten, aber nur wenn sie diese Aufgabe tatsächlich gut ausführen können. Bevor Sie diesen Service anbieten sollten Sie sich folgendes fragen: Habe ich die richtige Infrastruktur um einen Pen Test durchzuführen? Außerdem sollten Sie sich fragen: Haben Sie vertrauenswürdige und qualifizierte White-Hat Hacker zur Verfügung?

 

Sie werden auch mit Anwälten sprechen müssen um jegliche rechtliche Fragen im Vorfeld zu klären, nicht dass Sie mit dem Gesetz in Konflikt geraten.

 

Wenn Sie planen Ihr eigenes MSP Unternehmen zu gründen, ist dies die beste Zeit um zu entscheiden, ob Sie Pentesting als Service anbieten möchten, oder nicht.

War das hilfreich?

Stärken Sie Ihr IT-Team mit KI-gestützter IT

Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.