Penetrationstest bei Webanwendungen

Von /

EEin Penetrationstest bei Webanwendungen ist ein umfassender Sicherheitstest und erstreckt sich über die Überprüfung der Sicherheit möglichst aller Bestandteile einer Anwendung.

Hier wird versucht systematisch die Anwendung anzugreifen um so Sicherheitslücken wie beispielsweise SQL-Injections oder Cross-Site-Scripting-Schwachstellen frühzeitig zu identifizieren.

Anmeldeseite
Anmeldeseite

 

Ein Penetrationstest bei Webanwendungen kann sehr aufwendig werden und viel Erfahrung benötigen.

Er besteht im Grunde aus 10 Schritten:

  1. Vorbereitung
  2. Identifizierung der kritischen Assets
  3. Dokumentation
  4. Angriffsziele identifizieren
  5. Überprüfung auf typische Schwachstellen:
    • SQL-Injections
    • Cross Site Scripting (XSS)
    • Cross-Site-Request-Forgery (CSRF)
    • Code Injection
  6. Authentifizierung und Autorisierung
  7. Error-Handling
  8. Schadensminimierung
  9. Überprüfung des Backups
  10. Überprüfung der Verfügbarkeit

Damit eine Penetration von außen durch Unbefugte abgewehrt werden kann, müssen die Daten abgesichert werden. Hier kommen die 2 Begriffe Datenschutz und Datensicherheit ins Spiel.

Die Begriffe Datenschutz und Datensicherheit

Im Zusammenhang mit der IT-Sicherheit sind vor allem zwei Begriffe wichtig:

  • der Datenschutz und
  • die Datensicherheit.

Datenschutz

Der Begriff Datenschutz beschreibt vor allem gesetzliche Vorgaben zum Schutz personenbezogener Daten gegen Missbrauch. Zu den personenbezogenen Daten gehören Informationen wie:

  • Name,
  • Alter,
  • Anschrift,
  • Religion,
  • Einkommen,
  • Hobbys und viele mehr.

Die Maßnahmen des Datenschutzes sind in vielen Ländern gesetzlich geregelt und müssen von öffentlichen Institutionen und Unternehmen, die personenbezogene Daten verarbeiten, umgesetzt werden. In der EU wird der Datenschutz durch die Datenschutz-Grundverordnung (DSGVO) geregelt. In Deutschland wird die Verordnung durch das Bundesdatenschutzgesetz (BDSG) ergänzt.

Datensicherheit

Der Begriff Datensicherheit beschreibt allgemeine Maßnahmen zum Schutz gegen den Verlust und die Veränderung von Daten. In der Regel werden diese Maßnahmen nicht durch Gesetze vorgegeben, sondern müssen persönlich beziehungsweise von Unternehmen selbst getroffen werden. Damit liegt es in der eigenen Verantwortung, dafür zu sorgen, dass Daten nicht durch einen Hardwarefehler verloren gehen können und dass unbefugte Dritte nicht auf Informationen zugreifen können, die auf dem Computer gespeichert sind.

Andererseits finden viele Maßnahmen aus dem Bereich Datensicherheit sich auch im Datenschutz wieder. Ein wichtiger Bereich des Datenschutzes ist es beispielsweise, den unbefugten Zugriff auf personenbezogene Daten zu verhindern. Andere Bereiche der Datensicherheit werden durch den Datenschutz dagegen überhaupt nicht abgedeckt, wie zum Beispiel:

  • Maßnahmen gegen den Verlust von Daten oder
  • Maßnahmen gegen  die Penetration.

Der Penetrationstest beschreibt also die legitimierte Überprüfung der Sicherheit eines IT-Systems oder Webanwendung aus der Perspektive eines Angreifers. Bei einem solchen Test werden ähnliche oder sogar die gleichen Methoden und Tools eingesetzt, die sich auch Hacker zunutze machen.

Der Ablauf eines Penetrationstests im Detail

Vorbereitung

In der Vorbereitungsphase werden die Rahmenbedingungen und der Untersuchungsgegenstand des Penetrationstests mit dem Auftraggeber besprochen. In dieser Phase wird detailliert festgehalten, was getestet wird. Daneben wird auch bestimmt, welche Methoden zum Einsatz kommen.

Da gewöhnlich Produktivsysteme getestet werden, muss beispielsweise berücksichtigt werden, dass der Penetrationstest den regulären Betrieb nicht einschränkt. Ebenso wird ein Prüfzeitraum vorab festgelegt.

Identifizierung der kritischen Assets

In dieser Phase beginnt die praktische Arbeit des Penetrationstests. Es werden nun Informationen zum kritischen Testgegenstand (Asset) eingenommen. Der Auftraggeber stellt zumeist die benötigten Informationen zum Testgegenstand zur Verfügung. In der Regel werden in dieser Phase sowohl automatisierte als auch manuelle Methoden verwendet.

Es findet eine Bewertung der gesammelten Informationen statt. Diese Informationen werden auf mögliche Angriffsvektoren untersucht. Diese Phase schafft die Grundlage für den weiteren praktischen Verlauf des Penetrationstests.

Dokumentation vom Penetrationstest

Beschrieben wird der praktisch stattfindende Verlauf des Penetrationstests in allen Einzelheiten. Die Dokumentation beschreibt somit die aktiven Eindringversuche. Die angefertigte Dokumentation dient anschließend dem Auftraggeber als Basis um Gegenmaßnahmen gegen Angriffe durch unbefugte Dritte zu treffen. Somit hat der Auftraggeber gegebenenfalls eine Anleitung wie das betroffene kritische IT-System oder Webanwendung zu schützen ist.

 

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu.

Datenschutzerklärung
Nach oben scrollen