Warum ein automatisierter Scan kein Penetration Test ist

Oftmals werden Schwachstellen Scans als Penetration Test, kurz Pentest, ausgegeben. Zwischen diesen Paketen besteht jedoch ein riesiger Unterschied. Welche das sind und warum man sich nicht nur auf Schwachstellen Scans verlassen sollte, wird in diesem Blogpost beschrieben.

Schwachstellen-Scans suchen nach bekannten Schwachstellen in Systemen und melden mögliche Gefährdungen. Penetrationstests hingegen dienen dazu, Schwachstellen in der Architektur auszunutzen und festzustellen, inwieweit sich ein böswilliger Angreifer unbefugten Zugang zu Assets verschaffen kann. Ein Schwachstellen-Scan ist in der Regel automatisiert, während ein Penetrationstest ein manueller Test ist, der von einem Sicherheitsexperten durchgeführt wird.

Eine gute Analogie hierfür ist, dass ein Schwachstellen-Scan so ist, als ob man zu einer Tür geht, prüft, ob sie unverschlossen ist, und dort stehen bleibt. Ein Penetrationstest geht weiter: Er prüft nicht nur, ob die Tür unverschlossen ist, sondern er öffnet sie auch und geht hinein.

Was ist ein Schwachstellen-Scan?

Ein Schwachstellen-Scan identifiziert Schwachstellen mithilfe von spezieller Scanner Software und versucht diese nach deren Kritikalität zu klassifizieren.

Ein Schwachstellen-Scanner ist ein Tool zur automatisierten Identifizierung von Schwachstellen und zur Klassifizierung von Bedrohungen auf der Grundlage festgelegter Bewertungsmethoden für Sicherheitsrisiken, wie z.B. dem Industriestandard CVSS oder Schwachstellendatenbanken. Der reine Output eines Schwachstellen-Scanners ist jedoch nur bedingt nützlich, da die Daten falsch-positive Ergebnisse enthalten können, weshalb diese anschließend noch analysiert und quantifiziert werden müssen.

Welche Arten von automatischen Scans gibt es?

Es gibt drei Arten von Schwachstellen Scans, die je nach Umfang zwischen einigen Minuten und mehreren Stunden dauern können. Unterschieden wird hierbei zwischen internen Scans, externen Scans sowie Host-Scans.

Interne Scans

Interne Scans zielen darauf ab, Schwachstellen in einem internen Netzwerk einer Organisation zu identifizieren. Dabei kann es sich um ein Cloud-Netzwerk, ein Netzwerksegment, ein Unternehmensnetzwerk oder um das gesamte Unternehmen handeln, das aus mehreren Netzwerken besteht (Produktion, Staging, Unternehmen).

Externe Scans

Externe Scans umfassen den Bereich der Komponenten, die mit dem Internet verbunden sind, wie E-Mail, Webanwendungen, Firewalls, Anwendungen/Portale und Websites.

Host-Scans

Host-Scans umfassen eine Schwachstellenbewertung, die explizit auf einen einzelnen oder mehrere Hosts abzielt, die als Datenbank, Webserver, Server, Workstation oder eine andere Funktion dienen.

Was ist ein Schwachstellen Assessment?

Ein Schwachstellen Assessment ist eine Methode zur Identifizierung und Klassifizierung von Bedrohungen, die ein Asset, d.h. einen Server, eine Workstation oder ein Gerät, betreffen. Ein Assessment hilft Unternehmen dabei, Schwachstellen mit einem Schwachstellen-Scanner zu identifizieren und durch die Unterstützung eines Analysten zu quantifizieren und kategorisieren, sowie auch diese Risiken zu vermindern.

Schwachstellen Assessment vs. Schwachstellen Scan

Der wesentliche Unterschied zwischen den beiden Analysen ist, dass der Schwachstellen Scan die Vorbedingung für ein Schwachstellen Assessment ist.

Der Prozess des Schwachstellen Assessment zielt darauf ab, Schwachstellen-Scans durchzuführen und eine Liste von Schwachstellen zu erstellen, die die Anwendungen betreffen, ergänzt durch die Sicherheitsexpertise bei der Klassifizierung von Falsch-Positiv Ergebnissen und der Erläuterung der Auswirkungen von Angriffen sowie deren Eintrittswahrscheinlichkeit.

Es sollte auf keinen Fall der Fehler gemacht werden, dass ein Schwachstellen-Scan gekauft wurde, welcher als Assessment getarnt wurde. Nur ein Schwachstellen Assessment bietet eine praktische Risikobewertung für Unternehmen.

Was ist Penetration Test?

Beim Penetrationstest verhält sich der Tester nahezu ident wie ein potenzieller Angreifer. Darin liegt auch die Stärke dieser Maßnahme: Beim Pentest geht man vom Worst Case aus: Ein gut informierter Angreifer versucht gezielt in das System der Firma einzudringen. Der Unterschied zu einem Angreifer liegt darin, dass Schwachstellen auf kontrollierte Weise und ohne nachteilige Auswirkung für das Unternehmen ausgenutzt werden. Der Hauptunterschied zu einem Schwachstellen Assessment liegt hier in der konkreten Ausnutzung der Schwachstelle und dem Versuch weiter vorzudringen, um weitere Schwachstellen aufzudecken. Mehr Informationen zu Pentests können hier gefunden werden

• Penetration Test

Schwachstellen Assessment vs. Penetration Test

Schwachstellen Assessment	Penetration Test
Identifizierung und Dokumentieren von Schwachstellen mithilfe von spezieller Scanner Software	Identifizieren, sicheres Ausnutzen und Dokumentieren von Schwachstellen mithilfe automatisierter Tools und vor allem dingen manueller Tests
Skalierung auf der Grundlage der Anzahl der IP-Adressen/Netzwerke	Der Umfang richtet sich nach der Kritikalität/Funktionalität des Assets
Mehr Abdeckung, weniger Tiefe	Tiefgehende Analyse

Ein Schwachstellen Assessment ist gut, um schnell einen oberflächlichen Überblick über die Schwachstellen der gesamten Systemlandschaft zu bekommen. Wobei e in Pentest sich hingegen eignet, um eine tiefergehende Analyse von Assets durchzuführen.

Wie maximiere ich nun die Sicherheit meiner Assets?

Angesichts des immer höher werdenden Risikos von Sicherheitsverletzungen und der ständig wachsenden Bedrohung ist die regelmäßige Durchführung eines automatisierten Schwachstellen-Scans ein Muss für jedes Unternehmen. Doch selbst die genauesten Schwachstellen-Scanner können menschliches Fachwissen nicht ersetzen. Daher sollten sie mit regelmäßigen Penetrationstests kombiniert werden, die Schwachstellen finden können, die von Scannern nicht erkannt werden. Schwachstellen-Scans können die Bedeutung von Penetrationstests nicht ersetzen, und Penetrationstests allein können nicht das gesamte Netzwerk sichern.