Grey Box
Was ist Grey Box?
Grey Box ist ein Testtyp im Rahmen von Sicherheitstests, der sich zwischen den Extremen von White Box (vollständige Systemkenntnis) und Black Box (keine Vorkenntnisse) bewegt. Der Prüfer verfügt dabei über begrenzte interne Informationen über das Zielsystem – etwa Benutzerkonten mit eingeschränkten Rechten, bekannte IP-Adressbereiche oder Systemarchitekturen. Gleichzeitig weiß auch der Betreiber, dass ein Test stattfindet.
Diese Form des Tests ermöglicht realitätsnahe Szenarien, wie sie bei Angriffen von internen Bedrohungen (z. B. kompromittierte Benutzer oder Insider) vorkommen. Grey-Box-Tests sind effektiv, um Schwachstellen aufzudecken, die einem Angreifer mit begrenztem Zugang offenstehen, ohne dass eine vollständige Offenlegung wie bei einem Quellcode-Audit notwendig ist.
Technischer Aufbau & Varianten
Informationsgrundlage des Testers:
-
Benutzerzugänge mit limitierten Rechten
-
Teilweise Netzwerkkenntnisse
-
Dokumentierte Systemarchitektur oder API-Dokumentation
Typische Prüfelemente:
-
Credentialed Scans auf bekannte Schwachstellen
-
Passwortrichtlinientests & Brute-Force-Prüfungen
-
API-Tests mit privilegierten Tokens
-
Manuelle Tests auf Konfigurationsfehler (z. B. bei Berechtigungen)
Tools & Methoden:
-
Authentifizierte Schwachstellenscanner (z. B. Nessus, OpenVAS)
-
manuelle Rechteeskalation
-
Auswertung von Logfiles auf Fehlkonfigurationen
-
Kombination mit Social Engineering oder Phishing für realistische Angriffsvektoren
Relevanz in der Praxis
Grey Box Testing liefert besonders praxisnahe Ergebnisse bei:
-
Bewertung von Sicherheitsmaßnahmen gegen Insider-Bedrohungen
-
Validierung von Zugriffsrechten und Berechtigungskonzepten
-
Absicherung von APIs und internen Schnittstellen
-
Prüfung von realistischen Angriffsszenarien mit Teilkenntnis
-
Identifikation von Angriffsvektoren trotz Firewall- oder IAM-Regeln
Diese Tests sind häufig Teil von Audits in regulierten Branchen, etwa im Finanz- oder Gesundheitswesen, wo privilegierte Nutzer besondere Risiken darstellen.
Standards & regulatorische Anforderungen
-
BSI IT-Grundschutz (PRÜ.1, SYS.1): Empfiehlt strukturierte Tests mit abgestuften Zugriffsrechten
-
ISO/IEC 27001 – A.18.2.3: Technische Compliance-Prüfung durch Penetration Testing
-
OWASP Testing Guide: Klassifiziert Grey Box als praktikables Testmodell für Webanwendungen
-
NIS-2: Erfordert Sicherheitsüberprüfungen auf verschiedenen Zugriffsebenen
Verwandte Begriffe
-
White Box
-
Black Box
-
Penetration Test
-
Test-Typen
Beispiel aus der Praxis
Ein Energieversorger ließ seine Kundenportale im Rahmen eines Grey-Box-Audits prüfen. Die Tester erhielten Testnutzerkonten mit eingeschränkten Rechten und Zugang zu öffentlich dokumentierten Schnittstellen. Das Ergebnis: Zahlreiche Schwachstellen bei Session-Verwaltung, Rechteeskalation und API-Autorisierung konnten identifiziert und geschlossen werden—ohne vollständigen Quellcodezugang.