Der Penetration Testing Execution Standard (PTES) einfach erklärt

Was sind Pentest-Leitfäden?

Pentest Standards sind für Unternehmen unterschiedlichster Größe ein wichtiges Hilfsmittel. Es handelt sich dabei um Standards, sogenannte Pentest-Guidelines, die Tester dazu befähigen, einen effektiven Penetrationstest durchzuführen.

Aber warum einen Penetrationstest durchführen? Mit der Hilfe eines solchen Tests können Sie mögliche Sicherheitslücken in Ihrer Cybersicherheit zuverlässig aufdecken. Der Grund, warum Sie einen Penetrationstest durchführen sollten, ist also ein Mehr an Sicherheit. Mit seiner Hilfe lässt sich schnell feststellen, wie es Hackern gelingen könnte, an sensible Daten zu gelangen.

Wichtig ist, dass der Penetrationstest für KMUs wie auch für große Unternehmen den Best Practices folgt: Die oben genannten Pentest-Guidelines. Nur so lässt sich sicherstellen, dass die Ergebnisse einheitlich ausfallen und das erwartete Resultat liefern. Der PTES ist demnach eine Form der Qualitätskontrolle, die Sie und Ihr Unternehmen absichert.

Definiert wurde dieser Standard durch eine Gruppe von Experten, die aus dem Bereich der Cybersecurity stammt. Obwohl die ursprüngliche Richtlinie bereits 2009 geschaffen war, hat sie bis heute Bestand. Denn die wichtigsten Hauptkomponenten der Pentests bleiben bestehen. Was sich im Laufe der Zeit anpasst sind die Methoden und Vorgehensweisen.

Übrigens: Der beste Pentest-Anbieter wird sich stets an geltende Pentest-Standards halten. So liefert er bestmögliche Ergebnisse und eine hohe Qualität. Ist das nicht der Fall, sollten Sie darüber nachdenken, Ihren Pentester zu wechseln.

Die Sieben Phasen des Pentest Standards (PTES)

Bei einem Pentester-Wechseln sollten Sie bei der Auswahl Ihres künftigen Experten darauf achten, dass er nach den Standards, wie z.B dem Penetration Testing Execution Standard, vorgeht. Das ist eine Eigenschaft, die der beste Pentest-Anbieter mit sich bringen wird. Unabhängig davon, ob es sich um einen Penetrationstest für KMUs oder ein großes Unternehmen handelt. Selbst wenn Sie vorhaben, den Pentest nur einmal durchzuführen, sind die folgenden sieben Phasen des PTES unabdingbar. Sie machen das Unterfangen besser realisierbar und helfen Ihnen dabei, den Test erfolgreich auszuführen. Jede einzelne Phase für sich ist bereits wichtig, doch erst in Kombination tragen diese Schritte zum Erfolg bei.

Pre-Engagement Interactions (Vorbereitende Arbeiten)

Wenn Sie Ihren Pentest nur einmal oder regelmäßig durchführen, müssen Sie mit einem initialen Aufwand für die Vorbereitung rechnen. Dieser Schritt erfordert eine intensive Zusammenarbeit mit Ihrem Pentester, da es hier den Scope zu betrachten und definieren gilt. Das Ergebnis ist eine gemeinsame Zielsetzung, wodurch Sie sicherstellen können, dass sämtliche relevanten Punkte geprüft werden.

Zum Pre-Engagement gehört außerdem eine grobe Planung: Sie unfasst einerseits unterschiedliche Kommunikationswege innerhalb Ihres Unternehmens. Andererseits erfordert sie gegebenenfalls eine Abstimmung mit Drittanbietern, die nicht direkt in das Testing involviert sind.

Intelligence Gathering (Informationsbeschaffung)

Schritt zwei des Pentest Standards bildet die Informationsbeschaffung. Dabei geht es darum, Angaben und Informationen zum Scope zu ermitteln und zusammenzutragen. Diese müssen so dargestellt sein, dass sie von sämtlichen Beteiligten verstanden werden. Meist stammen diese Daten aus öffentlich zugänglichen Quellen. Anschließend verstehen Sie, welche öffentlichen Informationen eine potenzielle Angriffsfläche schaffen oder wodurch sich diese erkennen lässt.

Das Beschaffen sämtlicher Daten ist ein wesentlicher Bestandteil jeder Art von Pentest. Unabhängig davon, ob Sie sich für PHP-Penetration-Testing entscheiden oder einen lokalen Test wünschen.

Threat Modelling (Gefahrenanalyse)

Das Threat Modeling, ebenfalls Gefahrenanalyse genannt, hilft dem Tester dabei, spezifische Gefahren genauer zu betrachten. Geprüft werden dabei sowohl der Scope selbst als auch die Organisation. Durch dieses Vorgehen erfahren Sie, welche Prozesse innerhalb Ihres Unternehmens als kritisch gelten. In der Regel handelt es sich dabei um Prozesse, die Ihre sensiblen Daten verarbeiten und anschließend ablegen.

Da dieser Schritt weitere potenzielle Gefahren analysiert, ist das Threat Modeling eine wichtige Grundlage. Mit diesem lassen sich die späteren Resultate interpretieren und bewerten.

Vulnerability Analyse (Schwachstellenanalyse)

Das Zentrum eines jeden Pentests bildet die Schwachstellenanalyse. Im Rahmen dieses Schrittes werden Schwachstellen identifiziert und validiert. Die Analyse selbst kann sowohl manuell als auch automatisch erfolgen. Meist setzen die Tester jedoch auf eine Kombination aus manuellen und automatischen Verfahren.

Der Grund für dieses Vorgehen: Die automatisierte Lösung ist zwar schneller und testet einen größeren Scope, das Ergebnis ist jedoch weniger aussagekräftig. Gleichzeitig ist es nur bedingt möglich, auf diese Weise mehrstufige Schwachstellen festzustellen.

Exploitation (Ausnutzen von Schwachstellen)

Ein Pentester bedient sich grundsätzlich derselben Methodik wie ein Hacker, der Ihrem Unternehmen schaden möchte. Deshalb versucht er im Anschluss an die Schwachstellenanalyse versuchen, die gefundenen Schwachstellen auszunutzen. Dadurch lassen sich die Integrität, Verfügbarkeit, Vertraulichkeit und Nachvollziehbarkeit Ihrer Systeme testen, die andernfalls Ihre Prozesse gefährden.

Die Exploitation kann sehr aufwendig sein. Deshalb erfordert sie eine enge Zusammenarbeit wie auch eine intensive Kommunikation zwischen dem Pentester und dem Endkunden. Durch die Ausarbeitung einzelner Szenarien entsteht meist eine wichtige Basis innerhalb von Unternehmen: Die Sensibilisierung für potenzielle Gefahren aus dem Cyberspace.

Post-Exploitation

Die letzte Phase im eigentlichen Test simuliert den Angriff auf die gefundenen Schwachstellen. Beispielsweise mit dem Verusuch, sensible Daten aus der Datenbank zu extrahieren. Oder aber in das firmeninterne Netzwerk einzudringen und dort Schaden zu verursachen. Natürlich wird der Pentester dabei keinen wirklichen Schaden anrichten. Durch diesen Schritt lässt sich schnell herausfinden, wie wertvoll diese Angriffsstelle für einen Cyberkriminellen ist: Welche Daten erhält er? Welche Möglichkeiten bestehen, die größtmögliche Kontrolle über das Firmennetzwerk zu übernehmen? Diese und andere Fragen lassen sich mit der Post-Exploitation beantworten.

Reporting (Berichterstattung)

Eine weitere zentrale Komponente im Pentesting beschreibt der letzte Schritt des Pentest Standards. Dabei handelt es sich um die Berichterstattung, die sämtliche Funde dokumentiert und bewertet. Dabei gilt es, den Kontext des Gesamtkonzepts im Auge zu behalten. Zusätzlich erhalten Sie Vorschläge für mögliche Gegenmaßnahmen, mit denen sich die Schwachstellen beseitigen lassen.

PTES - aber mit Methode

Unabhängig davon, ob Sie sich für das PHP-Penetration-Testing oder eine andere Form von Pentests entscheiden: Es ist wichtig, dass die einzelnen Schritte des Tests methodisch erfolgen. Nur auf diese Weise lässt sich sicherstellen, dass Sie die bestmöglichen Ergebnisse erzielen. Da die einzelnen Schritte nicht genormt sind, sind die Pentest Standards die beste Möglichkeit, um standardisiert vorzugehen. Der Vorteil am PTES ist, dass es sich dabei um einen öffentlichen Standard handelt. Das bedeutet für Sie, dass Sie ihn online einsehen können. Dadurch lässt sich die Qualität des stetig weiterentwickelten Modells aufrechterhalten und weiter verfeinern.

Neben dem PTES gibt es weitere wichtige Standards, die eine erste Orientierung im Bereich der Internetsecurity bieten. Dazu gehört beispielsweise das OSSTMM, wie auch der Praxis-Leitfaden für das IT-Sicherheits-Penetrationstesting vom BSI oder der OWASP Testing Guide.