Sicherheitsscan vs Pentest. Oft werden die Begriffe gleichbedeutend verwendet. Ist das richtig so? Nein! Ein Penetrationstest ist in den meisten Fällen deutlich umfangreicher, detaillierter und damit auch deutlich aussagekräftiger.
- Was ist ein Sicherheitsscan?
- Was ist ein Penetrationstest?
- Wann eignet sich ein Sicherheitsscan, wann ein Penetrationstest?
- Fazit
Was ist ein Sicherheitsscan?
Ein Sicherheitsscan ist ein automatisierter Test eines IT-Systems, einer Webseite, eines Netzwerks etc. Wie der Begriff bereits vermuten lässt, wird ein Scan auf gängige Fehler und Sicherheitslücken durchgeführt. Eine entsprechende Software beinhaltet viele verschiedene Angriffe auf bekannte Sicherheitslücken und Konfigurationsparameter und führt den Test oder Scan selbstständig durch.
Ein Beispiel dafür sind die ständigen Angriffe auf Benutzerkonten. In einem Sicherheitsscan werden üblicherweise Zugänge zu einer Webseite oder einer Administrationsoberfläche auf Standard-Zugangsdaten oder schwache Passwörter getestet, wie z. B. Benutzername admin und Passwort admin.
Sicherheitsscans sind aber natürlich noch deutlich mächtiger und können auf Konfigurationsfehler oder Sicherheitslücken hinweisen. Beispielsweise sollten Formulare auf Webseiten immer auf Sicherheitslücken überprüft werden. In einem Sicherheitsscan können automatisiert verschiedenste Werte in die Formularfelder eingegeben werden und so z. B. auf Cross-Site-Scripting (XSS) untersucht werden. Noch einen Schritt komplexer sind Scans auf bekannte Sicherheitslücken. Hierzu existieren verschiedenste Datenbanken, z. B. Exploit-DB, die sogenannte Exploits beinhalten. Der dort hinterlegte Code kann genutzt werden, um zu prüfen, ob der Webserver, auf dem die Webseite betrieben wird, anfällig für bestimmte Sicherheitslücken ist und ob entsprechende Patches und Updates installiert wurden.
Was ist ein Penetrationstest?
Ein Pentest ist im Gegensatz zu einem Sicherheitsscan meist deutlich weniger automatisiert, sondern ergänzt den Prozess um manuelle Schritte und entsprechendes Fachwissen.
Grundsätzlich besteht ein Pentest aus mehreren Schritten. Zu Beginn steht die Phase der Informationsbeschaffung, in der Pentest-Experten die zu testenden Systeme, Webseiten, Netzwerke etc. analysieren und eine geeignete Test-Strategie entwickeln.
Während der eigentlichen Testphase werden meist automatisierte und manuelle Prüfungen kombiniert. Ein Sicherheitsscan liefert erste Indikatoren und gibt eine Übersicht verschiedenster Angriffspunkte.
Ein Pentest hört an dieser Stelle nicht auf, sondern nutzt diese Informationen, um viel tiefer in die Details abzusteigen. Beispielsweise werden bei der Überprüfung eines Formulars auf einer Webseite nicht nur automatisiert Parameter getestet, sondern auch der Quellcode des Formulars und die dahinterliegende Verarbeitung der Daten manuell geprüft. Bei einer Software oder einem Netzwerk kann auch die zugrundeliegende Architektur einer Überprüfung unterzogen werden.
Auf Basis dieser tiefergehenden manuellen Tests können deutlich umfangreichere Empfehlungen zur zum Stand oder zur Verbesserung der Sicherheit ausgesprochen werden.
Sicherheitsscan vs Pentest
Der Unterschied zwischen Sicherheitsscan und Pentest ist somit die Detailtiefe. Ein Sicherheitsscan überprüft alles, was mittels eines Regelwerks automatisierbar ist. Ein Pentest nutzt die Informationen aus einem Sicherheitsscan, um mit manuellen Schritten und zusätzlichen Fach- und Expertenwissen noch tiefere Tests durchzuführen.
Ein Sicherheitsscan eignet sich für eine erste Übersicht und liefert durch das automatisierte Vorgehen grundlegende Indikatoren zu gängigen Sicherheitsszenarien. Ein Sicherheitsscan ist somit vergleichbar mit automatisierten und einfachen Hacking-Angriffen. Die Kosten und der Aufwand eines Sicherheitsscan sind meist gering. Dieses Vorgehen bietet sich zum Beispiel im Rahmen von kontinuierlichen Tests bei der Web- oder Softwareentwicklung an.
Soll jedoch eine fundierte Aussage zum Sicherheitsstand eines Systems, einer Webseite, eines Netzwerks etc. getroffen werden, empfiehlt sich immer ein klassischer Pentest. Dabei wird durch Pentest-Experten eine passende Test-Strategie entwickelt, die automatisierte und manuelle Methoden beinhaltet und somit das gesamte Fach- und Expertenwissen einsetzt. Ein Pentest simuliert also die Methoden von fähigen Hackern, die gezielt Systeme angreifen. Durch den hohen Umfang und das Expertenwissen sind die Kosten und der Aufwand eines Pentests deutlich höher als bei einem Sicherheitsscan. Pentests bieten sich bei größeren Änderungen und umfangreichen Tests an.
Fazit
Ein Sicherheitsscan prüft automatisiert auf gängige Sicherheitslücken. Ein Pentest setzt Fach- und Expertenwissen ein und ergänzt den Sicherheitsscan um manuelle tiefergehende Tests. Im Zweifel sollte also immer ein Pentest genutzt, um die Sicherheit zu prüfen.
