Pentest

Ich muss deine Website nicht Hacken

Öffentliche Informationen reichen oft schon aus, um eine Webseite zu hacken.

Immer wieder werde ich gefragt, ob ich einen Pentest (von dir beauftragte Hackerangriffe) durchführe. Meine Antwort lautet: Es kommt darauf an.

Ein Pentest ist die Königsdisziplin der IT-Sicherheit. Dabei gibt es zwei Ansätze:

White-Box Pentest:

Hier hat der Angreifer bereits interne Informationen über dein Unternehmen erhalten. Der Pentester fokussiert sich beispielsweise auf eine spezifische Software wie deinen Onlineshop. Dies geschieht direkt im Unternehmen. Dank dieser Informationen kann der Pentester gezielt am Zielobjekt arbeiten, was den zeitlichen Aufwand reduziert.

Black Box Pentest:

In diesem Fall hat der Angreifer keine internen Informationen über dein Unternehmen und agiert in der Regel außerhalb deines Betriebs. Er startet den Angriff von null und hat nur die gleichen Angriffsflächen wie ein Hacker. Dazu gehören möglicherweise das Einschleusen von Mitarbeitern oder Praktikanten, das Eindringen über das Internet, das Versenden von E-Mails mit Schadsoftware an Mitarbeiter und vieles mehr.

Diese Methoden sind in der Regel sehr zeit- und kostenaufwendig. Viel wichtiger, schneller und für den ersten Schritt genauso effektiv für die Sicherheit deiner Webseite ist das Überprüfen der öffentlich zugänglichen Informationen. Das ist auch der erste Schritt eines Hackers und erfordert keinerlei Überwindung von Schutzmechanismen.

Die dadurch gewonnenen Informationen könnten von Hackern missbraucht werden und sollten dringend geschützt werden. Dies ist in der Regel einfach umzusetzen und kann schnell implementiert werden.

Mit diesem Schritt werden in der Regel gleich mehrere Sicherheitslücken auf einmal geschlossen. Und das Beste daran: Der zeitliche und finanzielle Aufwand hierfür ist minimal.

Andere Sicherheitslücken entstehen oft durch falsche oder fehlende Konfiguration und können genauso leicht geschlossen werden. Manchmal sind auch ungenutzte Schnittstellen zur Webseite aktiv und zugänglich, Benutzernamen sind frei ersichtlich und vieles mehr.

Es gibt also neben dem Pentest eine Vielzahl effektiver Schutzmaßnahmen, die schnell und einfach umgesetzt werden können.

——–

Du möchtest, dass ich deine Website prüfe?

Sehr gerne! Ich schau’ mir die Website aus Sicht eines Hackers an. Mit diesen Informationen erstelle ich einen Bericht aller gefundenen Sicherheitslücken und gebe konkrete Handlungsempfehlungen zum Schließen der Sicherheitslücken:
Hier geht’s zum Website-Check