Pentest-Scope: Welche Kriterien bestimmen den Prüfumfang?

8. April 2020

Pentests zählen zu den effektivsten Analyse-Methoden, um das IT-Sicherheitsniveau eines Unternehmens zu überprüfen und Wege für eine nachhaltige Verbesserung aufzuzeigen. Zudem ist der Nachweis der Pentest-Durchführung wichtiger Bestandteil von Compliance-Anforderungen, wie z.B. dem PCI DSS. Noch bevor der eigentliche Pentest durchgeführt werden kann, sind einige Vorbereitungsschritte notwendig, um eine optimal auf Ihr Unternehmen abgestimmte Analyse zu garantieren. In unserer Reihe stellen wir Ihnen vor, was Sie bei Ihrer Vorbereitung berücksichtigen sollten. 

Was ist der Pentest-Scope?

Der „Scope“ beschreibt den Prüfumfang eines Pentests. Das heißt, er definiert die zu testende Umgebung inklusive aller einzubeziehenden Systeme und Anwendungen. Wichtige Kriterien bei der Definition Ihres Scopes sind der Schutzbedarf, mögliche Risiken einer Kompromittierung und die für den Pentest zur Verfügung gestellte Zeit.

1. Kriterium: Schutzbedarf und Risikobetrachtung

Der Schutzbedarf eines IT Assets (Systemlandschaften oder Applikationen) ergibt sich aus den Schutzzielen sowie den dort verarbeiteten, gespeicherten und/oder weitergeleiteten Daten.

Schutzziele sind besondere Anforderungen an ein IT-Asset, die zu seinem Schutz erfüllt sein müssen. Die drei wichtigsten Schutzziele sind:

  • Vertraulichkeit: Es werden keine Informationen an unautorisierte Personen preisgegeben.
  • Integrität: Sowohl die Daten als auch die unterliegenden Systeme dürfen nur von berechtigten Benutzern verändert werden.
  • Verfügbarkeit: Das IT-Asset und die gespeicherten Daten können stets wie vorgesehen verwendet werden.

Zudem wird das Risiko betrachtet, das mit einer Kompromittierung bzw. Verletzung der Schutzziele einhergeht. Im Optimalfall sind die IT-Assets eines Unternehmens inventarisiert und hinsichtlich ihrer Schutzziele klassifiziert. Anhand dieser Liste kann der Pentest-Scope schneller ermittelt werden.

2. Kriterium: Angriffsszenarien, Analyseansatz und Prüftiefe

Basierend auf dem Schutzbedarf und der Risikoeinschätzung sollte die Betrachtung möglicher Angriffsszenarien erfolgen. Hierbei sollte geprüft werden, welche Art von Angreifer (z.B. Person mit Zugang zum System) das IT-Asset auf welchem Weg erreicht oder womöglich kompromittieren könnte. Aus dem Schutzbedarf, der Risikobetrachtung sowie den gewählten Angriffsszenarien ergibt sich ein geeigneter Analyseansatz, der für die Motivation und Möglichkeit des Angreifers steht.

Die Prüftiefe gibt an, wie umfänglich und intensiv ein IT-Asset analysiert werden soll. Die passende Prüftiefe sollte stets in Abhängigkeit des festgelegten Schutzbedarfs sowie des Risikos gewählt werden. Somit sollte ein Asset mit sehr hohem Schutzbedarf und einem hohen Risiko intensiver überprüft werden als ein Asset mit niedrigem Schutzbedarf und einem geringen Risiko.

3. Kriterium: Verfügbarer Zeitrahmen

Die für den Pentest zur Verfügung gestellte Zeit ist ein wichtiges Kriterium für den Scope, da sich dieser relativ weit fassen lässt. Steht für den Pentest nur ein geringer Zeitrahmen zur Verfügung, sollte stets die Überprüfung der am schützenswertesten IT-Assets im Fokus liegen. Der Scope ist damit immer abhängig von der zur Verfügung stehenden Zeit.

Bei besonders großen Systemlandschaften oder einer größeren Menge gleich aufgebauter Applikationen ist ein „Sampling“ der zu testenden IT-Assets in der Regel sinnvoll. Während eines solchen „Sampling-Prozesses“ werden gleichartige IT-Assets identifiziert, bei denen das Auftreten ähnlicher Schwachstellen wahrscheinlich ist. Aus der Liste gleichartiger IT-Assets wird dann eine für den Pentest relevante Stichprobe erstellt, wodurch der Zeitaufwand des Pentests deutlich reduziert werden kann.


Sie benötigen Unterstützung bei der Planung, Durchführung oder Nachbereitung Ihrer Pentests? Unternehmen weltweit vertrauen auf das exzellent ausgebildete Team des usd HeroLabs, um Einfallstore für Angreifer zu identifizieren und Wege aufzuzeigen, ihre IT-Sicherheit nachhaltig zu verbessern. Wir unterstützen Sie gern bei all Ihren Herausforderungen.

Kontaktieren Sie uns, wir beraten Sie gerne zu Ihren Möglichkeiten.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien