Penetrationstests richtig auswerten

  1. Penetrationstest, was ist das?
  2. Was muss ich bei der Auswertung eines Penetrationstests beachten?
  3. Das solltest du beachten, wenn du einen Penetrationstest beauftragst
  4. So schützt du deine Seite gegen Angreifer
  5. Sicherheit für deine Daten

Penetrationstest, was ist das?

Bei einem Penetrationstest, kurz Pentest, versucht man, Sicherheitslücken eines Webprojektes offen zu legen. Dazu werden alle Bestandteile des Projektes, etwa der Webserver, die Server-Software oder auch die Webseite, künstlich verschiedenen Angriffsszenarien ausgesetzt. Das geschieht mit dem Ziel, Schwachpunkte frühzeitig zu erkennen und Sicherheitslücken zu schließen.

 

Grundsätzlich gilt: Die Durchführung eines Pentests ist gesetzlich verboten. Dieser Umstand lässt sich allerdings durch eine vertragliche Vereinbarung (Permission to Attack, kurz PTA) zwischen der zu testenden und der den Test durchführenden Organisation umgehen.

Was muss ich bei der Auswertung eines Penetrationstests beachten?

Das Reporting eines Pentests ist oftmals sehr ausführlich. Häufig werden vom Anbieter extrem viele Daten ausgeliefert, die konzentriert und priorisiert abgearbeitet werden müssen. Oftmals stellt sich dabei heraus, dass den vielen Angaben weitaus weniger Maßnahmen folgen müssen. Starte am besten mit den Problemen, die als “High” klassifiziert wurden. Als “Medium” oder “Low” eingestufte Issues sind selten dringlich und können in der Regel im nächsten Entwicklungszyklus, wenn du sowieso am Code arbeitest, betrachtet werden.

Typische Probleme, die ein Pentest offen legt:

 

  • Fehlende SSL Verschlüsselung: Der Klassiker unter den Sicherheitsanforderungen an ein Webprojekt. Das SSL-Zertifikat lässt sich ohne großen Aufwand implementieren. Hostest du deine Projekte bei Mittwald, stehen dir sowohl kostenlose als auch kostenpflichtige Zertifikate für unterschiedliche Anwendungsbereiche zur Verfügung.
     
  • Weak cipher: Schwache TLS-Chiffren sind ein Sicherheitsrisiko. Deshalb wird etwa bei Mittwald standardmäßig TLS nur noch ab Version 1.2 aufwärts angewendet. Infos, wie du deine Verschlüsselungsprotokolle anpasst, findest du in unserem FAQ-Artikel.
     
  • Offene Ports: Die offenen Ports 21,22,80 und 443 und 3306 werden häufig als Sicherheitsrisiko ausgezeichnet. Allerdings wird kaum eine Webseite ohne zumindest einen dieser Ports auskommen.

    Zur Erklärung:
PortVerwendungszweckKommentar
21FTP wird von verschiedenen Systemen noch genutzt. Ist FTP nicht zwingend erforderlich, raten wir zur Deaktivierung.
22SSH für fast alle Entwickler erforderlich. Kann aber temporär deaktiviert werden, wenn gerade nicht an der Seite gearbeitet wird.
80http://unverschlüsselte Zugriffe auf die Webseite, z.B. per Browser. Das kann man vermeiden, indem der Zugriff per 443 erzwungen wird. Wie das funktioniert, erfährst du in diesem Artikel.
443 https://verschlüsselter Zugriff auf deine Webseite
3306MySQL Hierüber greift deine Webseite auf ihre Datenbank zu. Bei Mittwald wird der Port zwar als offen angezeigt, ist jedoch nur mit einem zusätzlichen Datenbanknutzer (der explizit berechtigt werden muss) nutzbar. Jeder Versuch die Datenbank auf andere Weise zu öffnen, läuft ins Leere. Zugriffe sind nur im internen Netz möglich
  • Fehlende security header:Können über PHP gesetzt werden , zum Beispiel so:
    <?php
    header("Strict-Transport-Security: max-age=63072000; includeSubDomains; preload");
    Weitere Informationen findest du in diesem Artikel.
  • Veraltete Software: Ein alter Hut. Nur wer seine Systeme regelmäßig updated, hält sie geschützt. Tipp: Nutze die Auto-Update-Funktion. Damit bist du diese Sorge los.

Das solltest du beachten, wenn du einen Penetrationstest beauftragst

So nachhaltig kann Hosting sein

Performance und Energieeffizienz gehen bei uns Hand in Hand.

Es gibt zahlreiche Anbieter für Pentests. Jeder legt den Fokus auf andere Stellen im System. Um den richtigen zu finden, solltest du also vorab genau definieren, was geprüft werden soll. Nur so findest du den für dich passenden Test. Einige Anbieter bitten dich um sogenannte Whitelistings für IP-Adressen, die den Test durchführen. Das kann unter Umständen bestehende Sicherungsmechanismen deaktivieren. Wir raten daher davon ab. Ein Test sollte immer auf das Gesamtsystem durchgeführt werden. Nur so erlangst du ein klares Bild.

So schützt du deine Seite gegen Angreifer

In manchen fällen reicht es aus, dein Projekt manuell zu überprüfen und Maßnahmen zu ergreifen.Die folgende Liste hilft dir dabei.

Checkliste
 

  • Ist dein SSL Zertifikat aktuell? Benötigst du evtl. ein besonderes SSL Zertifikat?
  • Werden deine Daten sicher gehostet? Achte auf Online Gütesiegel für Web Security und Rechtssicherheit
    Mach den Security Headers Check, z.B. über securityheaders oder wao.
  • Schütze dich vor DDoS Angriffen durch ein Content Delivery Network
  • Verwende eine Web Application Firewall (WAF)
  • Halte deine Software aktuell: CMS, Shop, Plugins, Extensions, …

Sicherheit für deine Daten

Der Pentest sowie alle anschließenden Maßnahmen dienen der Sicherheit deiner Projekte. Ein weiterer wichtiger Security-Baustein für deine Projekte ist das Hosting. Hier spielen viele Facetten eine Rolle - vom Monitoring über die Anomalieerkennung bis hin zur Gebäudesicherheit. All das bekommst du bei Mittwald ab dem kleinsten Tarif. Zudem liegen deine Daten in einem Rechenzentrum in Deutschland, dass sowohl als Reliable Data Center als auch mit der ISO 27001 zertifiziert ist.

Mehr erfahren

Ähnliche Artikel:

Reidar Janssen und Katharina Hoffmann, beide aus unserem Security Team, halten das ISO 27001 Zertifikat in den Händen.
Reidar Janssen und Katharina Hoffmann, beide aus unserem Security Team, halten das ISO 27001 Zertifikat in den Händen.
Mittwald

Safety first: Mittwald ist mit der ISO 27001 zertifiziert

Mittwald

Kontaktformular als Spam-Schleuder? Nicht mit uns!

Architektur des SSH-Tunnels
Architektur des SSH-Tunnels
Hosting

SSH-Tunnel zu einer Datenbank erstellen

Minimalistische Darstellung Laptop + SSL-Zertifikat
Minimalistische Darstellung Laptop + SSL-Zertifikat
Hosting

SSL-Zertifikat: Was ist das und wann brauche ich es?

Kommentar hinzufügen

    Weitere Informationen zum Datenschutz findest du hier.