Die Bedeutung von externen Penetrationstests und wie diese die Cybersicherheit verbessern können

Moritz Kaumanns

23. Feb. 2023

Server im Rechenzentrum

Ein externer Penetrationstest ist eine Sicherheitsprüfung, bei der ein externer Angriff auf die Infrastruktur eines Unternehmens simuliert wird. Er ist ein wichtiger Bestandteil einer soliden Cybersicherheitsstrategie. Ziel ist es, Anfälligkeiten und Schwachstellen in den bestehenden Verteidigungsmaßnahmen zu ermitteln.

Bei einem solchen Einsatz setzt ein Pentester verschiedene Tools und Techniken ein, um potenzielle Schwachstellen zu ermitteln. Dazu gehören sowohl automatisierte als auch manuelle Tests. Der Pentest wird meist als Black-Box Test durchgeführt.

Die Ergebnisse externer Penetrationstests sind zwar unterschiedlich, aber es gibt fast immer folgende Erkenntnisse:

  • Schwaches Patch-Management der Systeme
  • Unzureichende Verwaltung von Anmeldeinformationen und fehlende Multi-Faktor-Authentifizierung
  • Fehlende Verschlüsselung
  • Schwachstellen in selbstentwickelten Anwendungen

Wie werden wir also unsere Sicherheit verbessern?

Regelmäßig Updates einspielen

Die Identifizierung veralteter Systeme ist mit Schwachstellenscannern und anderen Tools trivial. Veraltete Systeme werden jedoch häufig bei Penetrationstests entdeckt und auch von Angreifern auf der ganzen Welt aktiv ausgenutzt. Darum sollte man sicherstellen, dass alle Systeme regelmäßig aktualisiert werden und nicht nur für einen Penetrationstest.

Schütze Konten und Daten mit besserer Authentifizierung

Immer noch weit verbreitet und erschreckend erfolgreich: Gestohlene oder erratene Anmeldeinformationen.


Angreifer werden versuchen, Passwörter zu stehlen oder zu erraten, um Zugang zu einem System zu erhalten:

  • Eigene Web-Portale
  • Ticket System
  • Office 365
  • Andere Kommunikationstools

Bereits veröffentlichte Passwörter, Standard-Anmeldeinformationen (admin:admin) oder gängige Passwörter (passwort123) werden verwendet, um in ein Benutzerkonto einzudringen und einen ersten Zugang zu einem Dienst zu erhalten.

Die Einhaltung bewährter Kennwortrichtlinien wird empfohlen, sollte aber nur ein Teil des Puzzles sein. Erwäge die Einführung von Überprüfungen auf häufig verwendete oder bereits kompromittierte Passwörter und implementiere eine Multi-Faktor-Authentifizierung. Verwende nicht dasselbe Passwort für mehrere Konten. Zudem sollte eine Passwort-Manager verwendet werden, um sichere, eindeutige Passwörter für jedes Konto zu erstellen und sie in einem verschlüsselten Datenspeicher zu speichern.

Erhöhter Schutz durch Multi-Faktor-Authentifizierung

Bei einer Multi-Faktor-Authentifizierung muss eine Person oder ein System mehr als eine Authentifizierungseigenschaft angeben, um sich erfolgreich zu authentifizieren. Dieser Ansatz wird häufig mit einer Kombination aus Benutzernamen und Passwort als erstem Faktor kombiniert.

Der zweite oder dritte Faktor kann aus verschiedenen Arten bestehen, z. B.:

  • Zeitbasiertes Einmal-Passwort (TOTP)
  • Hardware-Token mit U2F oder FIDO2 / Chipkarten
  • Herkunft
    • Netzwerk
    • Geräte
    • Land
  • Biometrische Eigenschaften

Wenn 2FA oder MFA von einem System oder einer Anwendung unterstützt wird, sollte es aktiviert werden! Aber denke daran, Backup-Pläne zu haben, insbesondere für administrative Konten.

Aktivierung der Verschlüsselung für alle Dienste

Schütze die Privatsphäre und sensible Daten vor dem Abfangen und Abhören, indem den Diensten eine weitere wichtige Schutzebene hinzugefügt wird.

Ein vertrauenswürdiges Zertifikat für ein System zu erhalten, ist heute dank Let’s Encrypt ebenfalls einfach. Die einzige Voraussetzung ist der Nachweis der Kontrolle über die Domäne.

Testen der Webanwendungen

Webanwendungen werden oft einmal erstellt und so lange eingesetzt, bis sie neue Funktionen erhalten oder etwas kaputt geht. Außerdem werden Tests oft nur für die UX und Integrationen durchgeführt, aber was ist mit der Sicherheit?

Sicherheitsbewertungen solcher Anwendungen werden oft nie oder nur selten durchgeführt. Infolgedessen sind sie ein wertvolles Ziel für Angreifer, um Kundendaten zu stehlen oder im Netzwerk des Unternehmens Fuß zu fassen.

Identifizieren und überprüfen Sie Ihre öffentlichen Assets mit einem Pentest