{"id":2244,"date":"2025-02-18T16:14:10","date_gmt":"2025-02-18T15:14:10","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2244"},"modified":"2025-02-18T16:14:10","modified_gmt":"2025-02-18T15:14:10","slug":"testmethoden-beim-pentesting-was-macht-sinn","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2244&lang=de","title":{"rendered":"Testmethoden beim Pentesting &#8211; Was macht Sinn?"},"content":{"rendered":"\n<p><strong>Was ist ein Pentest?<\/strong><br><br>Ein&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/8130402\/4207\/0\/20698348\/704\/532354\/41b43bbc31.html\">Penetrationstest<\/a>&nbsp;ist eine simulierte Cyberattacke auf ein Computersystem, Netzwerk oder eine Webanwendung, die durchgef\u00fchrt wird, um potenzielle Sicherheitsl\u00fccken oder Schwachstellen zu identifizieren. Das Ziel eines Pentests ist es, diese Schwachstellen zu finden, bevor sie von tats\u00e4chlichen Angreifern ausgenutzt werden k\u00f6nnen.<br><br><strong>Welche Methoden gibt es?<\/strong><\/p>\n\n\n\n<ul><li>Black-Box-Testing<br>Der Pentester hat keine Vorabinformationen \u00fcber das Zielsystem. Diese Methode simuliert einen Angriff von au\u00dfen, bei dem der Angreifer keine internen Kenntnisse \u00fcber die IT-Infrastruktur hat.<br>&nbsp;<\/li><li>White-Box-Testing<br>Der Tester hat vollst\u00e4ndige Kenntnisse \u00fcber das Zielsystem, einschlie\u00dflich Quellcode, Netzwerktopologie und Anmeldedaten. Diese Methode erlaubt eine gr\u00fcndliche Analyse und das Auffinden von Schwachstellen, die ein externer Angreifer nicht kennen w\u00fcrde.<br>&nbsp;<\/li><li>Gray-Box-Testing<br>Der Tester hat teilweise Kenntnisse \u00fcber das Zielsystem. Diese Methode kombiniert Elemente von Black-Box- und White-Box-Testing und spiegelt oft das Szenario eines Insiders mit begrenzten Privilegien wider, wie z.B. einfache Logins in einer Anwendung.<\/li><\/ul>\n\n\n\n<p><strong>Welche Methode ist am sinnvollsten beim Pentesting?<\/strong><\/p>\n\n\n\n<p>Das Ziel eines Penetrationstests besteht darin, m\u00f6glichst viele, komplizierte und auch neuartige Schwachstellen aufzudecken. Ein Gray-Box-Ansatz bietet hier einen guten und wirtschaftlichen Einstieg, da dieser vermeidet, dass ein Analyst wertvolle Zeit mit trivialen Aufgaben verschwendet. Sobald ein hohes Ma\u00df an Systemh\u00e4rtung durch diese Methode erreicht wurde, kann es sinnvoll sein, einen White-Box-Audit durchzuf\u00fchren, um die maximale Sicherheit zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p>Black-Box-Methoden sollte nur beim Red Teaming eingesetzt werden.<br><a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/8130402\/4207\/0\/20698348\/704\/532355\/227d508537.html\">Red Teaming<\/a>&nbsp;ist ein umfassender Ansatz zur Sicherheits\u00fcberpr\u00fcfung, der \u00fcber traditionelle Penetrationstests hinausgeht, um die allgemeine Sicherheit und Abwehrbereitschaft einer Organisation zu bewerten. Das Hauptziel von Red Teaming besteht darin, die Sicherheit einer Organisation aus der Perspektive eines echten Angreifers zu testen. Im Gegensatz zu standardm\u00e4\u00dfigem Pentesting, das h\u00e4ufig auf die Identifikation technischer Schwachstellen fokussiert ist, umfasst Red Teaming eine breitere Palette an Techniken und Strategien. Die Black-Box-Methode sollte nur in diesem Kontext benutzt werden, also wenn schon ein nahezu maximaler H\u00e4rtungsgrad vorliegt.<\/p>\n\n\n\n<p>(Jan Kahmen, Turingpoint)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was ist ein Pentest? Ein&nbsp;Penetrationstest&nbsp;ist eine simulierte Cyberattacke auf ein Computersystem, Netzwerk oder eine Webanwendung, die durchgef\u00fchrt wird, um potenzielle Sicherheitsl\u00fccken oder<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=2244&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2244"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2244"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2244\/revisions"}],"predecessor-version":[{"id":2245,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2244\/revisions\/2245"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}