Erfolgsfaktoren für einen gute geführten Penetrationstest

Es gibt viele Gründe für einen Penetrationstest, also einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Und es gibt viele Arten, einen solchen durchzuführen sowie viele mögliche Probleme – aber was macht einen guten Penetrationstest aus?

Der Zustand einer bestehenden Umgebung oder Anwendung soll überprüft werden, um das Sicherheitsniveau zu erhöhen. Dies ist die meistgenannte Antwort – doch leider nicht immer der wahre Grund.

Eine neue Komponente soll vor Inbetriebnahme auf Sicherheitsprobleme geprüft werden, um mögliche Risiken im Vorfeld zu beseitigen. Diese neue Komponente muss zum Zeitpunkt des Tests weit genug entwickelt sein, um tatsächlich getestet werden zu können; gleichzeitig muss der Test rechtzeitig vor der geplanten Einführung stattfinden, um auf dieErgebnisse reagieren zu können (beides wird in der Praxis oft vernachlässigt, so dass Tests wiederholt werden müssen und sich die Inbetriebnahme verzögert).

Der Penetrationstest wird durch eine Vorschrift (zum Beispiel durch KRITIS) oder einen Außenstehenden (beispielsweise Wirtschaftsprüfer, Kunden) gefordert. Idealerweise sollte man aus dieser manchmal unbequemen Situation das Beste machen und sie als Chance betrachten. Zwar können Nachbesserungen erforderlich werden, jedoch erspart ein frühes Gegenlenken langfristig Arbeit und Ärger…