Penetrationstests sind unverzichtbare Maßnahmen beim Erhalt der Cybersecurity in Computersystemen oder Anwendungen. Bei der Durchführung von Penetrationstests stehen verschiedene Methoden zur Verfügung, darunter auch die Brute Force-Methode. Doch wie sinnvoll ist Brute Force bei Penetrationstests? Im IT-Blog der EPOS GmbH gehen wir dieser Fragen auf den Grund und beleuchten die Vor- und Nachteile von Penetrationstests mit Brute Force.

Was ist ein Pentest?

Pentest ist die Abkürzung für Penetrationstests. Dabei handelt es sich um ein Verfahren, mit dem die Sicherheit von IT-Systemen überprüft werden kann. Deren Größenordnung spielt dabei keine Rolle, weil eine Sicherheitsüberprüfung mittels Pentest grundsätzlich für jedes IT-System infrage kommt. Interessant ist dabei, dass sich die mit dem Pentest beauftragten Personen typische Hacking-Mittel und Methoden zunutze machen, um in das jeweilige System einzudringen – es also zu penetrieren. Diese sogenannten White-Hat-Hacker verfolgen dabei das Ziel mithilfe des Penetrationstests Schwachstellen im System aufzudecken, die ein Black-Hat-Hacker für einen echten Cyberangriff ausnutzen würde.

Die Brute Force-Methode im Check

Prinzipiell ist die Brute Force-Methode eine Vorgehensweise, der sich sowohl White-Hat- als auch Black-Hat-Hacker bedienen. Der Begriff stammt aus dem Englischen. Ins Deutsche übersetzt bedeutet er so viel wie „rohe Gewalt“ und beschreibt damit den Ansatz, durch willkürliches Austesten von Zahlen- und Zeichenkombinationen ein Passwort zu entschlüsseln und auf diese Weise auf ein System zuzugreifen. Dies geschieht in der Regel automatisiert und kann bei schlecht geschützten Passwörtern durchaus erfolgreich sein. Außerdem können Penetrationstests mit Brute Force zum einen realitätsnahe Szenarien simulieren und zum anderen die Reaktion des Systems auf Angriffe dieser Art testen, weil Cyberkriminelle häufig auf Brute Force-Angriffe setzen, um den Zugang zu einem System zu erhalten.

Dennoch bringt die Brute Force-Methode auch Nachteile mit sich, die gegen einen Einsatz im Rahmen von Penetrationstests sprechen. Dazu gehört zunächst der große Zeitaufwand bei diesem Vorgehen: Insbesondere, wenn komplexe Passwörter oder Verschlüsselungsalgorithmen verwendet werden, kann ein Pentest mit Brute Force viel Zeit in Anspruch nehmen und dementsprechend teuer für das auftraggebende Unternehmen werden. Zudem besteht bei der Anwendung von Brute Force immer das Risiko, dass Zielsysteme aufgrund wiederholter Fehlversuche den Zugang gänzlich sperren. Der Pentest kann damit nicht abgeschlossen werden und außerdem potenziell negative Auswirkungen auf die Verfügbarkeit des Systems nach sich ziehen.

Penetrationstests mit Brute Force – unser Fazit

Die Sinnhaftigkeit von Penetrationstests mit Brute Force hängt stark von den individuellen Gegebenheiten ab. Wir raten dazu, diese Methode als Teil eines ganzheitlichen Ansatzes zu betrachten, in dem verschiedene Testtechniken kombiniert werden. Oftmals die beste Wahl, um sicherzustellen, dass ein System optimal geschützt ist. Unabhängig von der gewählten Testmethode sind Penetrationstests ein wichtiger Schritt in die Richtung einer sicheren IT-Infrastruktur und sollten deshalb regelmäßig durchgeführt werden.