IT-Schwachstellenanalyse und Penetrationstest

IT-Schwachstellenanalyse und Penetrationstest – wo liegt der Unterschied?

IT-Schwachstellenanalysen und Penetrationstests dienen der Beurteilung des Sicherheitsniveaus von Schnittstellen und Systemkomponenten eines Unternehmensnetzwerks sowie deren Widerstandsfähigkeit gegenüber Cyberangriffen. Häufig werden die Begriffe synonym verwendet, allerdings unterscheiden sich die beiden Vorgehensweisen wesentlich hinsichtlich der verwendeten Methodik und der daraus resultierenden Aussagekraft.

Sicherheitslücken identifizieren mit der IT-Schwachstellenanalyse

Bei einer IT-Schwachstellenanalyse werden Sicherheitslücken primär mittels automatisierter Prozesse identifiziert. Die Ergebnisse werden
anschließend manuell evaluiert und bewertet, um Prüffehler auszuschließen. Da bei dieser Vorgehensweise nur bestimmte Klassen von Schwachstellen identifiziert werden können, ist die Aussagekraft im Vergleich zum Penetrationstest als geringer einzustufen. Das Verfahren entspricht im Wesentlichen der Simulation eines automatisierten Massenangriffs.

Penetrationstest (Pentest) – die Simulation des echten Angriffs

Ein Penetrationstest wird individuell auf die IT-Infrastruktur eines Unternehmens angepasst und kann als Erweiterung der IT-Schwachstellenanalyse um eine tiefgehende manuelle Untersuchung betrachtet werden. Dabei werden Methoden verwendet, die ein realer Angreifer einsetzen würde, um unautorisiert in das Unternehmensnetzwerk einzudringen. Dieses Vorgehen ermöglicht die Identifikation weiterer Schwachstellen, sowie eine Einschätzung der Widerstandsfähigkeit des Bewertungsziels gegenüber gezielten Cyberangriffen. Da die IT-Schwachstellen im Rahmen eines Penetrationstests nicht nur identifiziert, sondern auch aktiv ausgenutzt werden, ist dessen Aussagekraft im Vergleich zur IT-Schwachstellenanalyse als höher einzustufen.

Ein Penetrationstest kann vor dem Hintergrund verschiedener Ausgangsperspektiven erfolgen, die den Detailgrad der Systeminformationen, die dem Prüfer während der Durchführung der Analyse zur Verfügung stehen, bestimmen. Bei der Blackbox-Perspektive erhält der Prüfer nur Informationen, um das Bewertungsziel zu erreichen, und simuliert somit einen externen Angreifer. Bei der Greybox- oder Whitebox-Perspektive erhält der Prüfer bestimmte oder alle bekannten Systeminformationen, z.B. Administratorzugänge oder Netzwerkarchitekturen, und simuliert einen internen Angreifer, z.B. einen Mitarbeiter.

So arbeiten wir – Ihre Vorteile bei uns

  • IT-Schwachstellenanalysen und Penetrationstests der audatis Cert GmbH ermöglichen Ihnen eine realistische Beurteilung des Sicherheitsniveaus ihres Unternehmensnetzwerks und simulieren das Vorgehen eines realen Angreifers.
  • Alle durchgeführten Analysen basieren auf öffentlich zugänglichen Standards, die von Organisationen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Open Web Application Security Project (OWASP), der Open Source Security Testing Methodology Manual (OSSTMM) und dem National Institute of Standards and Technology (NIST) veröffentlicht wurden. Die zu Grunde liegenden Prozesse werden ausschließlich von erfahrenen Cybersecurity-Auditoren durchgeführt.
  • Die Ergebnisse werden in einem Bericht zusammengefasst, der neben einer Management Summary auch Handlungsempfehlungen zur Behebung der identifizierten Schwachstellen ausspricht.
  • Unsere Berichte können als Wirksamkeitsnachweis von technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung gem. Art. 32 DS-GVO genutzt werden und die unabhängige Überprüfung der Informationssicherheit gem. Anforderung 18.2.1 der ISO 27001 bzw. 5.2.6 der VDA ISA (TISAX) belegen.

Haben Sie Fragen oder Beratungsbedarf?

Gerne stehen wir Ihnen in einem unverbindlichen und persönlichen Gespräch zur Verfügung.

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.
05221 87292-0

Wir freuen uns auf Sie.