Penetrationstest
Was ist Penetrationstest?
PenetrationstestAutorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
Ein Penetrationstest (Pentest) ist eine zielgerichtete Sicherheitsbewertung, bei der qualifizierte Tester versuchen, die Abwehr einer Organisation mit denselben Werkzeugen und Techniken wie reale Angreifer zu durchbrechen. Jeder Auftrag hat einen klar definierten Umfang, Regeln zur Durchführung und eine schriftliche Autorisierung; getestet werden können Netzwerke, Web- und Mobile-Anwendungen, Cloud-Workloads, APIs, physische Standorte oder Mitarbeitende durch Social Engineering. Anders als automatisierte Scans weist ein Pentest Ausnutzbarkeit nach, indem Funde verkettet werden, um geschäftliche Auswirkungen wie Datenabfluss oder Domain-Übernahme zu demonstrieren. Die Ergebnisse fließen in Behebungsmaßnahmen ein, validieren bestehende Kontrollen und unterstützen Compliance-Anforderungen wie PCI DSS, HIPAA oder ISO 27001.
● Beispiele
- 01
Externer Netzwerk-Pentest, der über ein exponiertes VPN-Gateway Erstzugriff erlangt und bis zum Domain-Admin eskaliert.
- 02
Web-Pentest, der IDOR und gespeichertes XSS kombiniert, um Administratorkonten zu übernehmen.
● Häufige Fragen
Was ist Penetrationstest?
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Penetrationstest?
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
Wie schützt man sich gegen Penetrationstest?
Schutzmaßnahmen gegen Penetrationstest kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Penetrationstest?
Übliche alternative Bezeichnungen: Pentest, Ethisches Hacking.