Penetrationstests dienen dazu, die Sicherheitsvorkehrungen eines Unternehmens durch Simulation von Hackerangriffen, Malware-Einsätze oder anderen Attacken zu prüfen. Ziel dieser Tests ist es, das aktuelle Sicherheitsniveau zu evaluieren und potenzielle Risiken zu identifizieren, um Schutzmaßnahmen gegen Cyberangriffe zu ergreifen, bevor diese erfolgen.

Diese Tests werden von spezialisierten Sicherheitsexperten, auch bekannt als White-Hat-Hacker, durchgeführt, die eine gezielte Ausbildung in diesem Bereich haben. Nach dem Durchführen der Tests werden die ermittelten Risiken in einer Sprache aufbereitet, die sowohl IT-Fachleute als auch das Management verstehen können. Dies ermöglicht es, über die erkannten Risiken informiert zu entscheiden.

Die Tests umfassen verschiedene Typen:

Externe Penetrationstests: Diese Tests zielen darauf ab, Schwachstellen in Systemen, Diensten und Anwendungen aufzudecken, die über das Internet zugänglich sind.

Interne Penetrationstests: Hierbei wird simuliert, wie ein bösartiger Insider oder ein externer Angreifer, der Zugang zum System eines Endbenutzers erlangt hat, handeln könnte. Dies umfasst das Erweitern von Zugriffsrechten, das Installieren spezifischer Malware und/oder das Entwenden sensibler Daten.

Webanwendungs-Bewertungen: Eine detaillierte Untersuchung von Web- oder mobilen Anwendungen auf Schwachstellen, die zu unautorisiertem Zugriff oder zur Offenlegung von Daten führen könnten.

Bewertungen der drahtlosen Technologie: Die Sicherheit von eingesetzten drahtlosen Lösungen, wie beispielsweise 802.x, Bluetooth, ZigBee oder anderen, wird überprüft.

ICS-Penetrationstests: Diese Tests kombinieren Penetrationstesting-Methoden und Exploit-Erfahrungen mit dem Fachwissen von ICS-Experten, um aufzuzeigen, in welchem Ausmaß ein Angreifer Zugang zu kritischen ICS-/SCADA-Systemen erhalten, diese ausnutzen oder manipulieren könnte.