KURZ-WEBINAR: "Signal, TikTok & Co.: Wie (un)sicher sind Apps wirklich?" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Jetzt anmelden

Sie wollen nicht warten?
Sprechen Sie direkt mit unseren Experten!

Penetration Testing: Definition und Tools

21 Mrz, 2022
Glossar | News

Pentesting: Testing Methode im Überblick

In nahezu allen Bereichen, in denen komplexe Systeme betrieben oder hergestellt werden, stellen umfassende Testphasen einen festen Bestandteil des Entwicklungszyklus dar. Anders sieht es jedoch häufig bei IT-Systemen aus. Am Beispiel von mobilen Anwendungen wird dies deutlich: Die meisten Unternehmen installieren Apps ohne eine vorherige Sicherheitsüberprüfung. Angesichts der zunehmenden Cyber-Gefahren ist dies besonders gravierend: Die in den Unternehmen eingesetzten Mobilgeräte und die darauf befindlichen (Unternehmens-)Daten stellen ein sensibles Einfallstor für Hacker-Angriffe dar. Um ein ausreichendes Sicherheitsniveau der Firmeninterna zu gewährleisten, müssen Unternehmen Apps vor ihrem Einsatz umfassend prüfen. Ein beliebtes Verfahren stellt hierbei das Pentesting dar.

Finden Sie hier die wichtigsten App Testing Methoden im Überblick!

Definition: Was ist Penetration Testing?

Penetration Testing, kurz Pentesting, ist eine Testing Methode, bei der Pentester:innen IT-Systeme (z.B. Apps) manuell auf Sicherheitslücken und Schwachstellen prüfen. Sie identifizieren dabei mögliche Angriffsvektoren und nutzen gezielt Sicherheitslücken aus, um ein realistisches Bild des IT-Systems und der dort hinterlegten Daten zu zeichnen.

Wo liegen die Vorteile?

Jedes Programm und jede Anwendung sollte nie isoliert betrachtet werden, sondern immer als ein Teil des Systems, in dem sie ausgeführt wird: Kommuniziert eine App mit Servern, müssen auch diese auf Sicherheitslücken hin untersucht werden, um die maximale Sicherheit der Daten zu garantieren. Ein Pentest bewertet das Potenzial eines unbefugten Zugriffs auf die Funktionen und Daten der App und testet somit im Allgemeinen ihr Sicherheitsniveau. Unternehmen erhalten nach Durchführung eines Pentests Informationen zu Gegenmaßnahmen, um die identifizierten Risiken einzudämmen. Das Pentesting sollte somit ein unverzichtbares Werkzeug der IT-Sicherheit eines jeden Unternehmens sein.

Lesen Sie in diesem Guide, wie Unternehmen sich vor Cyber-Gefahren schützen können!

Wie ist der Pentesting Ablauf?

Ein Pentest gliedert sich in mehrere Phasen, die wiederholt einen Kreislauf durchlaufen. Hierbei kommen verschiedene Penetrationtesting Tools zum Einsatz.

  1. Reconnaisance: In dieser Phase wird das Zielsystem und der Umfang des kontrollierten Angriffs festgelegt. Die Pentester:innen verschaffen sich vor dem simulierten Angriff umfassende Informationen über die zu prüfende App.
  2. Enumeration: Anschließend erkundet der Pentester die Applikation umfassend, sodass er mögliche Angriffsvektoren identifiziert.
  3. Exploitation: Die im vorangegangenen Schritt identifizierten Schwachstellen nutzt der Pentester in dieser Phase des Pentests gezielt aus, sodass er sich Zugang zu den Zielsystemen verschaffen kann. Hierbei führt er einen speziell auf die jeweilige Schwachstelle zugeschnittenen Exploit aus – der eigentliche Schadcode. Ist der Zugriff auf das System geglückt, versucht der Tester seine Rechte möglichst stark nach oben zu erweitern.
  4. Documentation: In einem Abschlussbericht hält der Tester die verifizierten Schwachstellen der App fest und stuft diese nach CVSS ein.

Welche Penetrationtesting Tools existieren?

Es existieren unterschiedliche Penetration Testing Tools und Methoden: Viele Pentesting Tools überprüfen nur einzelne Schwachstellen, während andere automatisiert unterschiedliche applikationsbasierte Sicherheitslücken testen. Die Kombination verschiedener Pentesting Tools ist der beste Weg, um eine Anwendung über alle Ebenen hinweg zu prüfen. Im Fall von mobilen Apps empfiehlt sich deshalb die Nutzung der App Risk Management Suite APPVISORY: Neben statischen und dynamischen App-Tests können App Security Analysten Anwendungen manuell in Pentests prüfen. Anschließend erstellen sie einen umfangreichen Bericht, der Unternehmen ein Bild darüber verschafft, wie es um die mobile Sicherheit der getesteten Apps steht. Testen Sie APPVISORY hier kostenlos.

Aber auch Desktop Apps unter Windows können unsere Experten untersuchen. Stellen Sie hierfür einfach eine Anfrage über unser Kontaktformular.

Dies könnte Sie auch interessieren

Das könnte Sie auch interessieren:

blank

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.

Apptests, Tipps und ein Gratis-Geschenk!

Jetzt zum Newsletter anmelden!

Datenschutzerklärung: Wir versenden keinen Spam. Sie können den Newsletter jederzeit abbestellen.

PRESSEKONTAKT

Carolin Thomalla | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Apptests, Tipps und ein Gratis-Geschenk!

Jetzt zum Newsletter anmelden!

Datenschutzerklärung: Wir versenden keinen Spam. Sie können den Newsletter jederzeit abbestellen.

Jetzt kostenfrei herunterladen!

    Haftungsausschluss: Ich stimme der Verarbeitung meiner personenbezogenen Daten durch die mediaTest digital GmbH zu und habe die Datenschutzerklärung gelesen. Die Daten werden in der Datenbank von mediaTest digital gespeichert und können im Rahmen von Marketing-Aktivitäten genutzt werden. Datenschutzerklärung

    *Pflichtfeld