Pentesting

Sicher, sicherer, am sichersten: Wenn Penetrationstests Systeme retten

🕒 Lesedauer: 6 Minuten

Es ist 9 Uhr morgens der Datenbankadministrator kommt zur Arbeit, brüht seinen Kaffee ein und will mit seiner Arbeit loslegen, doch statt Arbeitslust überkommt einen der Arbeitsfrust: Denn schockiert stellt er fest, dass die gesamte Datenbank des Unternehmens regelrecht vom Erdboden verschwunden ist. Nach einiger Recherche stellt sich dann heraus, dass externe Angreifer eine Lücke in der Infrastruktur entdeckt haben, die sie genau für diesen böswilligen Zweck ausnutzen konnten. Wer Opfer eines solchen Delikts wird, hat in der Regel mit hohen wirtschaftlichen Verlusten zu rechnen, die teils irreversibel sein können. Um die Chancen eines solchen Vorfalls so weit wie möglich zu minimieren, ist es wichtig, regelmäßige Pentests durchzuführen, um diese Lücken selbst schnellstmöglich aufzudecken und schließen zu können. Darum soll dieser Blog Ihnen einen kurzen Überblick zu diesem Thema geben, was Pentesting überhaupt ist und wo die Einsatzgebiete sind. Und damit “Schwester, bitte das Skalpell”.

Penetration Testing

Inhaltsverzeichnis

Was ist Pentesting?

Beim Pentesting (Abkürzung für Penetration Testing) handelt es sich um eine simulierte Cyberattacke auf ein IT-System, um Schwachstellen zu finden, bevor echte Angreifer sie ausnutzen können. Ziel ist es, die Sicherheit von Anwendungen, Netzwerken oder ganzen IT-Infrastrukturen zu prüfen.

Typische Ziele beim Pentesting sind unter anderem:

  • Testen von Webanwendungen auf SQL-Injections oder Cross-Site-Scripting

  • Untersuchen von Netzwerken auf offene Ports und schlecht konfigurierte Dienste

  • Prüfen von Benutzerrechten: Kommt man an Admin-Rechte, obwohl man nur ein normaler Nutzer ist?

  • Social Engineering: Lassen sich Mitarbeitende zum Beispiel per Phishing austricksen?
     

Pentester arbeiten in der Regel legal und mit Zustimmung des Unternehmens. Am Ende erstellen sie einen Bericht mit den gefundenen Schwachstellen und leiten entsprechende Empfehlungen zur Behebung ab.
 

Warum ist Pentesting wichtig?

Was für die Einführung von Pentesting spricht, sind folgende Punkte:

  • Das vorzeitige Aufdecken von Schwachstellen: Ein Pentester sucht in der Regel nach denselben Lücken, die auch ein Angreifer anvisieren würde. Je früher diese Lücken entdeckt werden, umso weniger Angriffsspielraum wird den Eindringlingen gewährt.

  • Pentesting basiert auf realitätsnahen Szenarien und nicht auf reine Theorie, wie man es eher vom Security-Audit her kennt. Damit ist man in der Lage via Praxis zu beweisen, welche Auswirkungen solch ein Angriff auf die jeweiligen Systeme haben könnte.

  • Sicherheitstests erfordern in der Regel auch Pentests. Nur falls solche Tests auch wirklich erfüllt werden sollten, entspricht man dann den jeweiligen Standards und Gesetzesvorgaben.

  • Der Pentester stellt nicht nur einfach fest, dass etwas unsicher ist, sondern auch wie schwerwiegend die gefundenen Fehler wirklich sind.

  • Beim Starten eines simulierten Angriffs kann auch getestet werden, wie schnell das IT- bzw. Security-Team auf diese Bedrohung reagiert und mit welchen Mitteln.
     

Pentesting mit OWASP ZAP

OWASP ZAP (Zed Attack Proxy) ist ein Open-Source-Tool, das für Penetrationstests von Webanwendungen verwendet wird. Es eignet sich besonders gut für Einsteiger, bietet aber auch viele fortgeschrittenere Funktionen. Wurde das Tool einmal aufgesetzt, ist es zunächst einmal wichtig die jeweiligen Ziele zu definieren: So muss man seine Ziel-Url angeben sowie den jeweiligen Scope eingrenzen, um beispielsweise nicht versehentlich fremde Domains anzugreifen.

Funktionen

Proxy-Modus: ZAP fungiert als „Man-in-the-Middle“-Proxy. Dabei werden alle HTTP(S)-Anfragen und -Antworten aufgezeichnet. Wichtig sei an dieser Stelle zu erwähnen, dass für HTTPS das ZAP-Root-Zertifikat im Browser benötigt wird.
Passives Scanning: Analyse vom Traffic auf Sicherheitsprobleme, ohne aktive Angriffe durchzuführen. Dazu gehören beispielsweise das Testen fehlender HTTP-Sicherheitsheader oder unsichere Cookies.
Aktives Scanning: Hier versucht ZAP mithilfe aktiv offensiver Einwirkung gezielt Schwachstellen ausfindig zu machen. Getestet wird hier beispielsweise auf SQL-Injection, XSS (Cross-Site Scripting), Directory Traversal oder offene Redirects. Es sei zu beachten, dass aktives Scanning sich sehr stark auf die Performance von Systemen auswirkt, weshalb sie nicht auf Produktionsumgebungen, sondern auf bereitgestellten Testsystemen ausgeführt werden sollten.
Spider: Durchkämmen der Anwendung nach Links und Formularen.
AJAX Spider: Nutzung eines echten Browsers, um auch dynamisch geladene Inhalte beispielsweise via JavaScript zu entdecken.
Berichte und Analysen: ZAP bietet ausführliche Reports in Formaten, wie HTML, JSON und XML mit den gefundenen Schwachstellen inklusive Beschreibung, Risiko-Level und Lösungsvorschlägen.
 

ISTQB Zertifizierungen

Im Umfeld von ISTQB gibt es folgende Zertifizierung, die sich auf erfahrene Tester mit Fokus auf Sicherheitsthemen konzentriert:

ISTQB® Certified Tester – Advanced Level – Security Tester

Folgende Schwerpunkte werden dabei abgedeckt:

  • Grundlagen der Informationssicherheit (CIA-Prinzipien: Confidentiality, Integrity, Availability)

  • Sicherheitsbedrohungen und Schwachstellen

  • Risikoanalyse im Sicherheitskontext

  • Testtechniken für Sicherheitstests (z. B. Fuzzing, Penetrationstests, Risk-Based Testing)

  • Integration von Security Testing in den Testprozess
     

Weitere Tools für das Penetration Testing

Neben OWASP ZAP gibt es natürlich auch eine Reihe von weiteren Pentesting Tools, von denen hier eine Auswahl aufgelistet werden soll:

Nmap: Ist ein Netzwerkscanner für Port- und Service-Erkennung.
Burp Suite: Ein Tool für Webanwendungen inklusive Scanner & Proxy.
sqlmap: Ein automatisiertes Tool für SQL-Injection.
Mimikatz: Ein Tool zum Auslesen von Windows-Credentials.
Hashcat: Ein Passwort-Cracking Tool.
 

Fazit - Pentesting

Pentesting (Penetration Testing) ist der gezielte, kontrollierte Angriff auf IT-Systeme, um Schwachstellen aufzudecken, bevor diese von echten Angreifern ausgenutzt werden. Mit spezialisierten Tools und Methoden simulieren Sicherheitsexperten reale Bedrohungen, sei es im Netzwerk, in Webanwendungen oder mobilen Apps. Ziel ist es dabei Risiken zu erkennen, Sicherheitslücken zu schließen sowie Systeme resistenter gegen Angriffe zu machen. Wer somit Pentesting nutzt, minimiert zum einen die Wahrscheinlichkeit Opfer wirtschaftlichen Schadens sowie eines Imageschadens zu werden.

 

testautomatisierung-qualitaetssicherung-workshop.png

 

FAQ - Pentesting

Q: Was ist Pentesting?
Es ist ein kontrollierter Sicherheitstest, bei dem IT-Systeme gleichwie von einem Hacker angegriffen werden, um Schwachstellen aufzudecken.

Q: Warum ist Pentesting wichtig?
Es hilft, Sicherheitslücken zu finden, bevor sie von echten Angreifern ausgenutzt werden können.

Q: Welche Systeme werden getestet?
Netzwerke, Server, Webanwendungen, mobile Apps, APIs oder auch komplette IT-Infrastrukturen.

Q: Wie oft sollte getestet werden?
Regelmäßig, nämlich z. B. bei größeren Änderungen, neuen Releases oder mindestens einmal jährlich.

Q: Ist Pentesting legal?
Ja, mit schriftlicher Zustimmung des Systembetreibers.

 

Veröffentlicht am 10.April 2025

Aktualisiert am 22.April 2025

Valerius Schmidt

Junior Testautomation Engineer, Test Analyst

Ursprünglich als Sprachwissenschaftler für die antike sowie mittel und neuzeitliche Welt, war ich während und nach meiner aufbauenden Ausbildung zum Fachinformatiker für Anwendungsentwicklung in diversen Projekten in den Unternehmen wie der Trout GmbH und der fino digital GmbH involviert. Themenschwerpunkte waren dort zum einen die Softwareentwicklung, die Datenqualität sowie das Testen von Software und der Automatisierung. Seit August 2023 bin ich als Junior Testautomation Engineer und Test Analyst bei der Qytera GmbH tätig, wo mein Fokus aktuell auf dem Testen mit dem Automatisierungswerkzeug Playwright liegt.

Finden Sie weitere interessante Artikel zum Thema: