Penetrationstests unterscheiden sich je nach Zielobjekt und Testfokus. Oft besteht Unklarheit zwischen einem Web-Pentest, der auf Schwachstellen in Webanwendungen abzielt, und einem Test der externen IT-Infrastruktur, der öffentlich erreichbare Systeme wie Server und Netzwerkdienste untersucht.
Web-Penetrationstest
Ein Web-Pentest (Web Application Penetration Test) prüft die Sicherheit einer webbasierten Anwendung – typischerweise Webseiten oder APIs. Ziel ist es, Schwachstellen in der Anwendung selbst zu identifizieren.
- SQL-Injection
- Authentifizierungs und Autorisierungsfehler
- Business-Logic-Flaws
- Cross-Site-Scripting (XSS)
- Session-Hijacking
- Fehlkonfigurationen
Dieser Test orientiert sich an etablierten Standards wie dem Web Security Testing Guide (WSTG) und den OWASP Top 10 und berücksichtigt technische sowie logische Sicherheitslücken in der Anwendung.
Typische Testmethoden:
- Manuelles Crawling und Mapping der Anwendung
- Testen der Benutzerrechte
- Prüfung auf unsichere API-Endpunkte
- Validierung von Input-Feldern
Web-Pentests sind besonders wichtig für Unternehmen mit kundenorientierten Portalen, Online-Shops oder Self-Service-Portalen.
Penetrationstest der externen Infrastruktur
Der Pentest der externen Infrastruktur zielt auf die öffentlich erreichbaren Systeme eines Unternehmens ab – meist Firewalls, VPN-Gateways, E-Mail-Server oder andere Dienste mit Internetzugang.
- Offene Ports
- Schwache bzw. Standard Passwörter
- Veraltete Software
- Falsch konfigurierte Dienste
- Fehlende Schutzmechanismen
Dieser Test simuliert reale Angriffe. Grundlage sind häufig Methodiken wie der PTES (Penetration Testing Execution Standard) oder das OSSTMM (Open Source Security Testing Methodology Manual) .
Wann welcher Test?
Web-Pentest
- Eigenentwickelten Webanwendungen bevor diese Live gehen
- Neuen Releases oder nach größeren Codeänderungen
- Anforderungen aus der ISO 27001 oder BSI IT-Grundschutz
Externer Infrastrukturtest
- Erstprüfung eines Netzwerks auf öffentlich erreichbare Dienste und nach Netzwerkumzügen
- Regelmäßige Schwachstellenprüfungen zur Angriffsfläche
- Vorbereitung auf ISO 27001 oder KRITIS-Prüfungen
Ein Web-Pentest untersucht, ob eine Webanwendung sicher mit Eingaben, Sitzungen und Daten umgeht. Ein Test der externen Infrastruktur hingegen identifiziert potenziell angreifbare Systeme, die öffentlich erreichbar sind. Beide Testarten verfolgen unterschiedliche Zielsetzungen und ergänzen sich im Rahmen einer umfassenden Sicherheitsprüfung sinnvoll. In vielen Fällen ist die Kombination aus Web-Pentest und externem Infrastrukturtest erforderlich, um ein vollständiges Bild der Sicherheitslage zu erhalten. Während Webanwendungen Ziel direkter Angriffe sind, können falsch konfigurierte externe Dienste eine potenzielle Angriffsfläche für unbefugte Zugriffe darstellen. Durch die Kombination beider Ansätze lassen sich Wechselwirkungen erkennen und ganzheitliche Schutzmaßnahmen ableiten.