Beim Wort "Penetration" denken ja manche Leute vielleicht eher an eine ganz andere menschliche Aktivität. Aber "Penetration" ist auch ein Ausdruck aus der IT-Security-Szene. Gemeint ist damit das Eindringen eines Angreifers in ein Computersystem beziehungsweise ein Unternehmensnetzwerk, sei es aus reiner Neugier, zu Spionagezwecken oder sogar, um Sabotage zu betreiben.

Als Security-Verantwortlicher versucht man nun ja, seine Systeme so gut wie möglich abzuschotten, mit Firewalls, Intrusion-Detection und -Prevention, Identitätsmanagement und natürlich dem ewigen Patch-as-patch-can. Wie gut man aber damit tatsächlich gegen Eindringlinge geschützt ist, ist eine Frage, die oft schwer zu beantworten ist. Mit sogenannten "Penetrationstest" kann man versuchen, genau dies herauszufinden.

Bei einem Penetrationstest handelt es sich um den kontrollierten Versuch, von aussen, typischerweise über das Internet in ein Netzwerk einzudringen, um Schwachstellen zu identifizieren. Typischerweise werden dafür externe IT-Security-Spezialisten beauftragt.

Penetrationstests können ein äusserst nützlicher Indikator dafür sein, wie sicher ein Netzwerk ist. Sie sind aber auch kein Allheilmittel und müssen sorgfältig geplant und eingesetzt werden. In einem Artikel in der neusten Ausgabe des Security-Zone-Newsletters schildert Werner Sidler ausführlich den möglichen nutzen und die Einschränkungen von Penetrationstests. Sidler ist eidg. Wirtschaftsinformatiker, Mitautor des "Sicherheitshandbuches für die Praxis" und Chief Security Officer bei einem grossen Schweizer Finanzkonzern. "Von äusserster Wichtigkeit ist jedoch die Tatsache", so schreibt Sidler zum Beispiel, "dass ein Penetrationstest nur teilweise vorhandene Schwachstellen aufdecken kann. Auch ein erfolgloser Eindringversuch zeigt nur, dass das System gegen diesen einen speziellen Angriffsversuch immun war. Ein neuer Versuch mit anderen Methoden könnte jedoch erfolgreich sein."

Sidler schildert in seinem Artikel zusätzlich auch, wie man am besten vorgehen sollte, wenn einen Penetrationstest durchführen lassen will und bietet dazu eine Checkliste mit Punkten, die unbedingt beachtet werden sollten. Den ausführlichen Artikel von Werner Siedler zum Thema Penetrationstests finden sie hier. (Hans Jörg Maron)