• Penetration Tester sind im Unternehmensumfeld gefragt.

    Innerhalb der IT-Sicherheitswelt gibt es wohl kaum einen interessanteren und gleichzeitig herausfordernden Job, als den des professionellen Penetration Testers - oder Ethical Hackers, wie die Tätigkeit auch gerne bezeichnet wird. Pentester und Ethical Hacker werden im Grunde dafür bezahlt, (legal) in ein Computer-Netzwerk (oder auch einzelne Devices) einzubrechen.

    Was ist ein Penetrationstest?

    Ein Penetrationstest (auch Pentest genannt) ist ein autorisierter, simulierter Cyberangriff, der durchgeführt wird, um die Sicherheit des Systems zu bewerten.

    Die folgenden Eigenschaften definieren einen Penetrationstest...

    • Autorisierung: Es handelt sich um einen autorisierten Cyberangriff
    • Vertrauenswürdiger Insider: Der Test wird von einer Person innerhalb der Organisation durchgeführt.
    • Simulation: Nachahmung einer möglichen Ausnutzung von Sicherheitslücken
    • Evaluation: Bewertung der Gesamtsicherheit des Systems

    ⇒ Beantwortet die Fragen - Ist es möglich in die Umgebung einzudringen?

    Phasen der Penetrationstests

    • Erkundung: Sammeln von Informationen über das Zielsystem
    • Scannen: Gewinnen von mehr Wissen über die Umgebung
    • Zugang erhalten: Angreifer verschafft sich Zugang und nutzt das Zielsystem aus
    • Aufrechterhaltung des Zugangs: Beharrlich im Zielsystem bleiben
    • Spuren verwischen: Angreifer verwischt die Spuren der vorherigen Schritte
    • Bericht erstellen: Empfehlungen vorbereiten und präsentieren

    ⇒ Hilft, die Cyber-Resilienz der Organisation zu stärken

     

    Was heißt in diesem Zusammenhang Hacker oder Pentester?

    Hacker:

    ganz allgemein Softwarespezialisten, die Wege suchen und finden, um Sicherheitsmechanismen und andere Sperren der vorgesehenen Nutzeroberflächen von Programmen und digitalen Systemen zu umgehen. So dringen sie in die Software ein und erlangen Zugriff auf sonst gesperrte Daten, Komponenten und Funktionen.

    White-Hat/Black-Hat-Hacker:

    Das sind die Guten bzw. Bösen in der Szene, wobei die Grenzen nicht immer, scharf sind. Ethical oder auch White-Hat-Hacking zielt darauf ab, Sicherheitslücken und Schwächen in Systemen zu beheben sowie Daten zu schützen. Den “schwarzen Hut” tragen - wie im Western - die Schurken (auch Cracker genannt). Sie nutzen ihr Wissen für Wirtschaftskriminalität, Sabotage, Datendiebstahl, Betrug etc. - Grey Hat operieren irgendwo dazwischen, meist außerhalb der Legalität, aber immer noch mit legitimierbaren Zielen.

    Pentester:

    “Pen” steht für Penetration, also das Eindringen in ein Programm oder Netzwerk - in diesem Fall zu Testzwecken auf ausdrücklichen Wunsch des jeweiligen Betreibers oder Kundens. Pentester werden häufig mit Ethical Hackern gleichgesetzt; genau genommen zeichnet sie aber erst der erteilte Auftrag eines Besitzers der jeweiligen Software bzw. des Systems aus.

    Vulnerability Scan:

    Ein automatisiertes Verfahren, um Schwachstellen in digitalen Systemen aufzuspüren, wird mitunter gleichbedeutend mit Pentests verwendet. Pentests sind aber hinsichtlich Planung, Durchführung und Reichweite deutlich umfangreicher.

     

    Was für Pentests gibt es?

    NETZWERK-Penetrationstests

    Zielt auf den Entwurf, die Implementierung und die Wartung der Infrastruktur eines Netzwerks wie Server, Firewalls, Router und Switches ab.

    PHYSISCHE Penetrationstests

    Zielt auf physische Schwachstellen ab, bei denen es sich um interne oder externe Sicherheitsvorkehrungen handelt. Dazu gehören unsachgemäß installierte Sensoren und Kameras, schlecht angebrachte Türen, schwache (oder nicht vorhandene) Schlösser, Sicherheitspersonal usw.

    MOBILE oder ANDROID/iOS Penetrationstests

    Zielt auf Sicherheitslücken in mobilen Anwendungen ab, um gängige mobile Schwachstellen wie unsichere Datenspeicherung, Authentifizierung oder schlechte Codequalität zu finden.

    Penetrationstests für WEB-ANWENDUNGEN

    Zielt auf webbasierte Anwendungen und ihre Sicherheitsumgebungen ab. Dabei werden manuelle und automatisierte Testmethoden eingesetzt, um Code-Fehler, Fehlkonfigurationen und unsichere Software zu finden und auszunutzen.

    WIRELESS-Penetrationstests

    Zielt auf Verbindungen zwischen Geräten über WLAN und drahtlose Protokolle (z. B. Bluetooth) ab, um Schwachstellen wie betrügerische Zugangspunkte und mangelhafte Verschlüsselung zu ermitteln.

    Penetrationstests im Bereich SOCIAL ENGINEERING

    Zielt auf das schwächste Glied in jeder Sicherheitskette ab: den menschlichen Faktor. Menschen und Prozesse werden oft mit üblichen Angriffen am Arbeitsplatz wie Phishing oder Spoofing untersucht.

     

    Hier geht es direkt zu meinem Einstieg in den Themenkomplex "Hacking" bzw. Pentesting

     

     

     

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum