Grey Box

Was ist Grey Box?

Grey Box ist ein Testtyp im Rahmen von Sicherheitstests, der sich zwischen den Extremen von White Box (vollständige Systemkenntnis) und Black Box (keine Vorkenntnisse) bewegt. Der Prüfer verfügt dabei über begrenzte interne Informationen über das Zielsystem – etwa Benutzerkonten mit eingeschränkten Rechten, bekannte IP-Adressbereiche oder Systemarchitekturen. Gleichzeitig weiß auch der Betreiber, dass ein Test stattfindet.

Diese Form des Tests ermöglicht realitätsnahe Szenarien, wie sie bei Angriffen von internen Bedrohungen (z. B. kompromittierte Benutzer oder Insider) vorkommen. Grey-Box-Tests sind effektiv, um Schwachstellen aufzudecken, die einem Angreifer mit begrenztem Zugang offenstehen, ohne dass eine vollständige Offenlegung wie bei einem Quellcode-Audit notwendig ist.

Technischer Aufbau & Varianten

Informationsgrundlage des Testers:

• Benutzerzugänge mit limitierten Rechten

• Teilweise Netzwerkkenntnisse

• Dokumentierte Systemarchitektur oder API-Dokumentation

Typische Prüfelemente:

• Credentialed Scans auf bekannte Schwachstellen

• Passwortrichtlinientests & Brute-Force-Prüfungen

• API-Tests mit privilegierten Tokens

• Manuelle Tests auf Konfigurationsfehler (z. B. bei Berechtigungen)

Tools & Methoden:

• Authentifizierte Schwachstellenscanner (z. B. Nessus, OpenVAS)

• manuelle Rechteeskalation

• Auswertung von Logfiles auf Fehlkonfigurationen

• Kombination mit Social Engineering oder Phishing für realistische Angriffsvektoren

Relevanz in der Praxis

Grey Box Testing liefert besonders praxisnahe Ergebnisse bei:

• Bewertung von Sicherheitsmaßnahmen gegen Insider-Bedrohungen

• Validierung von Zugriffsrechten und Berechtigungskonzepten

• Absicherung von APIs und internen Schnittstellen

• Prüfung von realistischen Angriffsszenarien mit Teilkenntnis

• Identifikation von Angriffsvektoren trotz Firewall- oder IAM-Regeln

Diese Tests sind häufig Teil von Audits in regulierten Branchen, etwa im Finanz- oder Gesundheitswesen, wo privilegierte Nutzer besondere Risiken darstellen.

Standards & regulatorische Anforderungen

• BSI IT-Grundschutz (PRÜ.1, SYS.1): Empfiehlt strukturierte Tests mit abgestuften Zugriffsrechten

• ISO/IEC 27001 – A.18.2.3: Technische Compliance-Prüfung durch Penetration Testing

• OWASP Testing Guide: Klassifiziert Grey Box als praktikables Testmodell für Webanwendungen

• NIS-2: Erfordert Sicherheitsüberprüfungen auf verschiedenen Zugriffsebenen

Verwandte Begriffe

• White Box

• Black Box

• Penetration Test

• Application Security Audit

• Test-Typen

Beispiel aus der Praxis

Ein Energieversorger ließ seine Kundenportale im Rahmen eines Grey-Box-Audits prüfen. Die Tester erhielten Testnutzerkonten mit eingeschränkten Rechten und Zugang zu öffentlich dokumentierten Schnittstellen. Das Ergebnis: Zahlreiche Schwachstellen bei Session-Verwaltung, Rechteeskalation und API-Autorisierung konnten identifiziert und geschlossen werden—ohne vollständigen Quellcodezugang.