Während eines Erstgesprächs zu einem Penetrationstest ist es wichtig, die Informationsbasis gemeinsam mit dem Kunden zu definieren. Die Informationsbasis legt fest, welche Informationen wir im Vorfeld als unabhängiger Tester über die zu prüfenden Systeme vom Kunden erhalten. Man unterscheidet dabei im Allgemeinen zwischen den Methodiken Blackbox, Whitebox, und Greybox. Nachfolgend erläutern wir den Unterschied zwischen den einzelnen Methodiken.
Blackbox
Durch die Testmethodik Blackbox erhält der Pentester nur rudimentäre Informationen wie bspw. IP-Adressen oder Hostnamen der zu testenden Objekte. Er hat weder Dokumentationen noch Zugänge zum System. Hierbei wird ein Angriff eines externen Täters simuliert, der keinerlei Insiderwissen besitzt und sich alle notwendigen Informationen erst während des Tests erarbeiten muss.
Whitebox
Bei einem Whitebox-Test erhält der Pentester weitreichende Informationen über das zu testende Objekt. Dies kann bspw. der Sourcecode einer Applikation sein, entsprechend detaillierte Dokumentationen der Infrastruktur oder Accounts mit administrativen Berechtigungen. In dieser Methodik wird die Sicht eines potenziellen Innentäters oder Entwicklers simuliert. Der Whitebox-Test ist die umfangreichste und zeitintensivste Testmethodik, da durch die vorherige Offenlegung aller relevanten Informationen der Umfang der zu durchführenden Tests auf ein Maximum steigt.
Greybox
Der Greybox-Ansatz ist eine Kombination aus den beiden anderen Methoden. Der Pentester hat in diesem Fall bereits grundlegende Kenntnisse über die Infrastruktur oder Applikation. Ein gängiges Szenario wäre bspw. der Zugriff mit Benutzerrechten auf eine Webapplikation oder der Test von internen Netzwerkinfrastrukturen unter Verwendung von Topologieplänen und entsprechenden Dokumentationen der aktiven Netzwerkkomponenten.
Der Greybox-Ansatz ist die am häufigsten zum Einsatz kommende Methode und wird zudem von uns empfohlen. Der Vorteil hierbei besteht darin, dass gemeinsam mit dem Kunden definiert werden kann, auf welche Funktionalitäten einer Applikation oder eines Systems der Fokus festgelegt werden soll. Der Pentester kann sich gezielt auf die angegebenen Systeme konzentrieren und diese zielgerichtet analysieren. Im Blackbox-Ansatz muss erst durch umfangreiche Recherche Informationen über das Ziel gesammelt werden. Durch den Mehraufwand der Informationsbeschaffung bleibt weniger Zeit für die tiefergehenden Prüfungen, was ggf. zur Folge hat, dass wichtige Funktionen ungeprüft bleiben. Kontaktieren Sie uns gerne und wir finden gemeinsam mit Ihnen die passende Testmethodik für einen Penetrationstest.
