Der Scope eines Penetrationstests definiert die Grenzen und Zielsetzungen der Sicherheitsüberprüfung. Er legt fest, welche Teile des IT-Systems des Auftraggebers untersucht werden und wie der Test durchgeführt wird. Ein gut definierter Scope ist entscheidend, um die IT-Sicherheitslage effektiv zu bewerten und zu stärken. Zu den wichtigsten Aspekten des Scopes gehören Informationsbasis, Aggressivität, Vorgehensweise, Technik, Ausgangspunkt und Abstufung. Jede dieser Eigenschaften trägt dazu bei, den Test an die spezifischen Bedürfnisse und Anforderungen des Kunden anzupassen.

Grenzendefinition

Bei der Definition einer Grenze können verschiedene Formate zum Einsatz kommen:

  • IP-Adresse: Dabei handelt es sich um eine einzelne IPv4- oder IPv6-Adresse. Es kann sich dabei je nach Ausgangspunkt um eine externe oder interne IP handeln.
  • IP-Subnetz: Die Erweiterung zur einzelnen IP-Adresse ist eine Subnetz-Angabe. Auch hier je nach Ausgangspunkt intern oder extern.
  • Domain: Es können auch ganze Domains inklusive einer Wildcard (*.ihre-domain.beispiel) angegeben werden. Allerdings ist hier zu beachten, dass wenn sich die IP-Adresse hinter der Domain ändert, diese nicht außerhalb des Scopes liegen darf.
  • Weitere Kommunikationskanäle: Je nach Technik können weitere Kanäle wie Telefonnummern, WLAN-Netzwerke oder ähnliches aufgeführt werden. Auch wenn es Richtung Social-Engineering geht, kann hier bereits eine Grenze gesetzt werden.
  • Freie Angaben: Der Scope kann durch freie Angaben ergänzt werden, die keinem Schema folgen.

Wichtig ist, dass Sie bei der Definition der Grenzen immer bedenken, welche Systeme möglicherweise voneinander abhängen. Gerne helfen wir Ihnen dabei.

Informationsbasis

Die Informationsbasis bestimmt, wie viel Vorwissen die Sicherheitstester über die IT-Struktur des Auftraggebers haben. Bei einem Black-Box-Test sind nur minimale Informationen wie definierte IP-Adressen bekannt. Dieses Szenario ähnelt einem realen Angriff, da die Abhängigkeiten innerhalb der IT-Systeme unbekannt sind, wobei damit allerdings auch Nachteile entstehen. Ein White-Box-Test hingegen bietet den Testern umfangreiche Informationen über die IT-Systeme, wodurch eine tiefgreifendere und gezieltere Überprüfung möglich ist. Erfahren Sie mehr zur Informationsbasis in unserem Artikel darüber.

Aggressivität

Die Aggressivität eines Tests beschreibt, wie intensiv und risikoreich die Testmethoden sind. Sie lässt sich in vier Stufen einteilen:

  • Passiv scannend: Dabei wird das System nur untersucht und mögliche Sicherheitslücken werden nicht weiter ausgenutzt. Die Spezialisten bleiben in diesem Sinne passiv.
  • Vorsichtig: Jede gefundene Schwachstelle wird nur dann von den Spezialisten ausgenutzt, wenn eine Beeinträchtigung des untersuchten Systems weitestgehend ausgeschlossen ist. Dazu zählen beispielsweise das manuelle Testen von bekannten Standard-Passwörtern oder das manuelle Enumerieren eines Webservers.
  • Abwägend: Dabei nutzen die Spezialisten auch Sicherheitslücken aus, die potenzielle Systembeeinträchtigungen mit sich bringen können. Vor dem Ausnutzen wird aber immer abgewägt, wie groß die Erfolgschancen sind und wie stark die Konsequenzen wären. Dieses Level wird meistens bevorzugt.
  • Aggressiv: Bietet die höchste Abdeckung aller Sicherheitslücken. Egal wie hoch die Erfolgschance und die Konsequenzen sind, jede potenzielle Lücke wird von den Spezialisten ausgenutzt. Dabei kann es auch zu Angriffen auf die Erreichbarkeit kommen. Diese lässt sich nur in diesem Fall gut überprüfen.

Selbstverständlich gehen wir auf Ihre Sorgen und Wünsche ganz genau ein und können Sie beraten, welches Aggressivitäts-Level für Sie bzw. den ausgewählten Scope sinnvoll ist.

Vorgehensweise

Die Vorgehensweise kann entweder offensichtlich oder verdeckt sein. Im offensichtlichen Modus spielt es keine Rolle, ob die Spezialisten sich beispielsweise durch umfangreiche Port-Scans im Netzwerk bemerkbar machen. Wenn während dem Test allerdings auch Sicherheitsvorkehrungen getestet werden sollen, die zum Beispiel solche Scans erkennen, dann wäre „verdeckt“ die bessere Wahl. Dabei verhalten sich die Spezialisten verdeckt wie ein Angreifer, der still und leise arbeiten.

Technik

Die Technik bezieht sich auf die Methoden und Kommunikationskanäle, die im Test verwendet werden. Wir unterscheiden dabei mehrere Stufen:

  • Netzwerk-basierte Angriffe sind klassische Szenarien, die sich auf Schwachstellen in der IP-basierten Netzwerkstruktur konzentrieren. Diese Methode ist grundlegend für die meisten Penetrationstests und bildet oft die Basis für weiterführende Tests.
  • Weitere Kommunikationsnetze wie das Telefon, Fax oder drahtlose Kommunikation wie WLAN, RFID oder Bluetooth können miteinbezogen werden.
  • Physischer Zugriff ist dann notwendig, wenn Sie unter anderem Gebäudesicherheit wie Video-Überwachungssysteme testen möchten.
  • Social Engineering kann bei einem Angriff mit ebenso wertvolle Informationen liefern. Dabei versuchen die Spezialisten, gezielt durch Anrufe, Phishing-E-Mails oder auch vor Ort durch beispielsweise Ablenkungen an Informationen zu gelangen oder Zutritt zu gesicherten Bereichen zu erhalten. Dabei wägen unsere Spezialisten allerdings immer genau ab, wie weit ein solcher Test gehen darf. Dabei gibt es einige Überlegungen, die wir gerne mit Ihnen durchgehen. Ein solcher Angriff erfolgt nie ohne vorherige Absprache mit Ihnen.

Ausgangspunkt

Der Ausgangspunkt bestimmt, von wo aus der Test beginnt. Ein Angriff von außen simuliert einen externen Angreifer, der versucht, in das interne Netzwerk einzudringen. Dies ist entscheidend, um die Perimeter-Sicherheit zu bewerten. Das macht vor allem dann Sinn, wenn Sie externe Zugänge oder frei nutzbare Systeme haben. Bei einigen Tests kann es aber auch sinnvoll sein, einen Test von innen durchzuführen. Dabei haben unsere Spezialisten eine Art von Netzwerkzugang zu den zu untersuchenden Systemen.

Abstufung

Die Abstufung gibt an, ob der Test in einem Zug oder in mehreren Phasen durchgeführt wird. Bei keiner Abstufung wird der Test als ein kontinuierlicher Prozess durchgeführt, was oft in einer realistischeren Simulation resultiert, da keine Pausen für zusätzliche Planungen oder Absprachen vorgesehen sind. Jedoch bieten wir auch an, dass Sie Zugang zu Teilergebnissen erhalten und so immer weiter den Scope vergrößern können.

Jede dieser Komponenten trägt dazu bei, den Penetrationstest so realistisch und effektiv wie möglich zu gestalten. Jeder Punkt kann für jede Grenze auch angepasst werden. Durch die Anpassung dieser Eigenschaften an Ihre spezifischen Anforderungen kann ein Penetrationstest maßgeschneiderte Einblicke in die Sicherheitslage Ihres Unternehmens bieten und helfen, die richtigen Schutzmaßnahmen zu ergreifen.