Warum ein automatisierter Scan kein Penetration Test ist
Oftmals werden Schwachstellen-Scans als Penetration Test ausgegeben. Zwischen diesen Paketen besteht jedoch ein riesiger Unterschied.
Schwachstellen-Scans werden häufig als Penetration Tests, kurz Pentests, ausgegeben. Zwischen diesen beiden Ansätzen besteht jedoch ein erheblicher Unterschied. Dieser Beitrag erläutert die wesentlichen Unterschiede und warum Sie sich nicht ausschließlich auf Schwachstellen-Scans verlassen sollten.
Schwachstellen-Scans suchen nach bekannten Schwachstellen in Systemen und melden potenzielle Gefährdungen. Penetrationstests hingegen zielen darauf ab, Schwachstellen in der Architektur aktiv auszunutzen und festzustellen, inwieweit ein Angreifer unbefugten Zugang zu Ihren Assets erlangen kann. Ein Schwachstellen-Scan läuft in der Regel automatisiert ab, während ein Penetrationstest manuell von einem Sicherheitsexperten durchgeführt wird.
Eine anschauliche Analogie: Ein Schwachstellen-Scan gleicht dem Gang zu einer Tür, bei dem geprüft wird, ob sie unverschlossen ist -- und dort endet es. Ein Penetrationstest geht weiter: Er prüft nicht nur, ob die Tür unverschlossen ist, sondern öffnet sie auch und geht hinein.
Was ist ein Schwachstellen-Scan?
Ein Schwachstellen-Scan identifiziert Sicherheitslücken mithilfe spezieller Scanner-Software und klassifiziert diese nach ihrer Kritikalität.
Ein Schwachstellen-Scanner ist ein Tool zur automatisierten Erkennung von Schwachstellen und zur Einordnung von Bedrohungen auf Basis etablierter Bewertungsmethoden wie dem Industriestandard CVSS oder bekannten Schwachstellendatenbanken. Die reinen Scan-Ergebnisse sind jedoch nur eingeschränkt aussagekräftig, da sie falsch-positive Treffer enthalten können. Eine anschließende Analyse und Bewertung durch Fachpersonal ist daher unerlässlich.
Welche Arten von automatischen Scans gibt es?
Es gibt drei Arten von Schwachstellen-Scans, die je nach Umfang zwischen wenigen Minuten und mehreren Stunden dauern können: interne Scans, externe Scans und Host-Scans.
Interne Scans
Interne Scans zielen darauf ab, Schwachstellen innerhalb des internen Netzwerks einer Organisation zu identifizieren. Das kann ein Cloud-Netzwerk, ein einzelnes Netzwerksegment, ein Unternehmensnetzwerk oder die gesamte Netzwerklandschaft sein, die aus mehreren Netzwerken besteht (Produktion, Staging, Unternehmen).
Externe Scans
Externe Scans umfassen alle Komponenten, die mit dem Internet verbunden sind, darunter E-Mail-Server, Webanwendungen, Firewalls, Portale und Websites.
Host-Scans
Host-Scans richten sich gezielt auf einzelne oder mehrere Hosts, die beispielsweise als Datenbank, Webserver, Workstation oder in einer anderen Funktion betrieben werden.
Was ist ein Schwachstellen Assessment?
Ein Schwachstellen Assessment ist eine Methode zur Identifizierung und Klassifizierung von Bedrohungen, die ein Asset betreffen -- etwa einen Server, eine Workstation oder ein Netzwerkgerät. Es unterstützt Unternehmen dabei, Schwachstellen mithilfe eines Scanners zu identifizieren, diese durch einen erfahrenen Analysten zu bewerten und zu kategorisieren und letztlich die erkannten Risiken gezielt zu vermindern.
Schwachstellen Assessment vs. Schwachstellen-Scan
Der wesentliche Unterschied: Ein Schwachstellen-Scan ist die Vorstufe zu einem vollständigen Schwachstellen Assessment.
Im Rahmen eines Schwachstellen Assessments werden Schwachstellen-Scans durchgeführt und die Ergebnisse zu einer umfassenden Schwachstellenliste aufbereitet. Ergänzt wird dieser Prozess durch die Expertise eines Sicherheitsanalysten, der falsch-positive Ergebnisse identifiziert und die Auswirkungen sowie die Eintrittswahrscheinlichkeit möglicher Angriffe bewertet.
Achten Sie unbedingt darauf, keinen reinen Schwachstellen-Scan zu erwerben, der als Assessment ausgegeben wird. Nur ein echtes Schwachstellen Assessment liefert eine praxistaugliche Risikobewertung für Ihr Unternehmen.
Was ist ein Penetration Test?
Beim Penetrationstest verhält sich der Tester nahezu identisch wie ein realer Angreifer. Genau darin liegt die Stärke dieser Maßnahme: Der Pentest geht vom Worst Case aus -- ein gut informierter Angreifer versucht gezielt, in Ihre Systeme einzudringen. Der entscheidende Unterschied zu einem echten Angriff besteht darin, dass Schwachstellen kontrolliert und ohne nachteilige Auswirkungen auf Ihr Unternehmen ausgenutzt werden. Gegenüber einem Schwachstellen Assessment liegt der Hauptunterschied in der aktiven Ausnutzung gefundener Schwachstellen und dem Versuch, über diese weiter in das System vorzudringen. Weitere Informationen zu Pentests finden Sie hier:
Schwachstellen Assessment vs. Penetration Test
| Schwachstellen Assessment | Penetration Test |
|---|---|
| Identifizierung und Dokumentation von Schwachstellen mithilfe von spezieller Scanner-Software | Identifizieren, sicheres Ausnutzen und Dokumentieren von Schwachstellen mithilfe automatisierter Tools und vor allen Dingen manueller Tests |
| Skalierung auf der Grundlage der Anzahl der IP-Adressen/Netzwerke | Der Umfang richtet sich nach der Kritikalität/Funktionalität des Assets |
| Mehr Abdeckung, weniger Tiefe | Tiefgehende Analyse |
Ein Schwachstellen Assessment eignet sich hervorragend, um schnell einen breiten Überblick über die Schwachstellen Ihrer gesamten Systemlandschaft zu erhalten. Ein Pentest hingegen ermöglicht eine tiefgehende Analyse einzelner Assets.
Wie maximieren Sie die Sicherheit Ihrer Assets?
Angesichts des stetig wachsenden Risikos von Sicherheitsverletzungen ist die regelmäßige Durchführung automatisierter Schwachstellen-Scans ein Muss für jedes Unternehmen. Doch selbst die leistungsfähigsten Scanner können menschliches Fachwissen nicht ersetzen. Deshalb sollten sie mit regelmäßigen Penetrationstests kombiniert werden, die Schwachstellen aufdecken, die automatisierte Tools nicht erkennen. Schwachstellen-Scans ersetzen keine Penetrationstests -- und Penetrationstests allein können nicht Ihr gesamtes Netzwerk absichern.