Aggressivitätsgrad

Wie aggressiv geht der Penetrationstester beim Testen vor?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet vier Aggressivitätsstufen:

  • Passiv: Das Testobjekt wird nur passiv untersucht, gefundene Schwachstellen werden nicht ausgenutzt.
  • Vorsichtig: Schwachstellen werden nur ausgenutzt, wenn eine Beeinträchtigung des untersuchten Systems ausgeschlossen werden kann (z. B. die Benutzung von bekannten Default-Passwörtern oder Ausprobieren von Verzeichniszugriffen bei einem Web-Server).
  • Abwägend: Es wird versucht, Schwachstellen auszunutzen, die auch zu Systembeeinträchtigungen führen könnten (z. B. das automatische Durchprobieren von Passwörtern oder das Ausnutzen von Buffer-Overflows bei eindeutig identifizierten Zielsystemen). Allerdings wird abgewägt, wie wahrscheinlich ein Erfolg ist und wie stark die Konsequenzen wären.
  • Aggressiv: Es wird versucht, alle potentiellen Schwachstellen auszunutzen (z. B. werden Buffer-Overflows auch bei nicht eindeutig identifizierten Zielsystemen eingesetzt oder Sicherungssysteme werden durch gezielte Überlastung (Denial of Service, DoS-Attacken) deaktiviert).