Durchführungskonzept eines Penetrationstests anhand einer IT- Infrastruktur eines Unternehmens mit mobilen Clients

Abstract

Die Abhängigkeit von IT-Systemen für Unternehmenszwecke nimmt laufend zu. Angriffe auf diese können die Anforderungen bezüglich Verfügbarkeit, Vertraulichkeit und Integrität der Daten stören und somit für das Unternehmen Verluste verursachen. Die Systeme müssen dabei derart abgesichert werden, dass der Aufwand für einen Angreifer höher ist als der entstehende Nutzen durch einen erfolgreichen Angriff.<br />Die vorliegende Arbeit beschäftigt sich mit Penetrationstests, einer möglichen Testtechnik zur Überprüfung der Sicherheit von Infrastrukturen. Dabei führen Tester simulierte Angriffe durch, um vorhandene Schwachstellen im System zu ermitteln und die Ausnutzbarkeit darzustellen. Die Anwendung von Penetrationstests erfolgt beim laufenden System, wodurch auch Installations- und Konfigurationsfehler in der Betriebsumgebung ermittelt werden. Für eine umfangreiche Sicherheitsbetrachtung können Penetrationstests einen wichtigen Teil beitragen, um die Systeme abzusichern. Die Möglichkeiten und Limitierungen von Penetrationstests werden in dieser Arbeit anhand eines Anwendungsbeispiels dargestellt, indem ein Penetrationstestkonzept definiert wird. Dieses berücksichtigt erforderliche Testtechniken für die eingesetzten Technologien und diskutiert des Weiteren organisatorische Aspekte für die Durchführung.