Penetrationstests bieten keine Sicherheitsgarantie

Ganz gleich wie ein Penetrationstest ausgelegt ist, er ist in erster Linie eine Maßnahme, welche die Qualität sichert. Ein solcher Test darf nicht als Bestätigung der IT-Sicherheit durch einen externen Dritten verstanden werden, da er stets einer Reihe von grundsätzlichen Beschränkungen unterworfen ist. Die wichtigste Beschränkung: Mit einem Penetrationstest kann immer nur die Anwesenheit von Fehlern beziehungsweise von Unsicherheit aufgezeigt werden, niemals jedoch deren Abwesenheit. Sollten also bei einem Test keine Schwachstellen gefunden werden, darf keinesfalls der Schluss gezogen werden, dass der Untersuchungsgegenstand auch tatsächlich keine Schwachstellen aufweist. Für eine externe Bestätigung der IT-Sicherheit eignen sich Werkzeuge wie Audits weitaus besser, da diese in der Regel im Sinne eines Ist-Soll-Vergleichs gegen bestehende Richtlinien oder Vorgaben prüfen. Ein Penetrationstest stellt sich im Gegensatz dazu ganz bewusst auf einen freieren Standpunkt und kümmert sich wenig um Richtlinien oder Vorgaben. Was primär zählt, das sind Faktoren, die einen erfolgreichen Angriff ermöglichen oder begünstigen. In dieser Hinsicht beschäftigt er sich also auch mit Aspekten, die bislang in Richtlinien oder Vorgaben nicht bedacht wurden beziehungsweise die es vom Papier nicht in die Realität geschafft haben.