Hacker sind unberechenbar. Im Normalfall bleibt uns sowohl ihre Identität unbekannt als auch die Anzahl von Angreifern, welche es beispielsweise auf ein Unternehmen abgesehen haben. Zur Absicherung fragen potenzielle Auftraggeber deshalb einen Pentest an. Doch oftmals bleibt bei der initialen Anfrage das Szenario unklar, wie die Simulation des Hackerangriffs vonstattengehen soll. Unsere Aufgabe ist daher die Klassifizierung des Pentests gemeinsam mit dem Auftraggeber.
Wie wir uns stets in Erinnerung rufen sollten, nehmen wir bei der Ausführung von Pentests die Rolle eines Angreifers ein. Dies kann beispielsweise ein vor Kurzem entlassener IT-Leiter sein, welcher Groll gegen seinen ehemaligen Arbeitgeber hegt, oder ein unbekannter Angreifer, der sich finanziell bereichern will. Für die Planung eines Pentests müssen wir folglich die Ausgangssituation kennen und hierfür u. a. folgende Fragen klären:
Für all diese Fragen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das „Durchführungskonzept für Penetrationstests“ entworfen. Hieraus kann u. a. die nachfolgende Abbildung zur Klassifizierung eines Pentests entnommen werden:
Anhand dieser Kriterien können wir beispielsweise das vorgenannte Szenario vom entlassenen IT-Leiter durchspielen: Einem IT-Leiter werden im Gegensatz zu einem Hacker die internen Strukturen und Prozesse eines Unternehmens bekannt sein, wodurch ihm für seinen Angriff mehr Informationen zur Verfügung stehen (White-Box). Ebenso wird er die Anwendungen und Systeme kennen, welche unter seiner Leitung konzipiert worden sind. Hierdurch bietet sich ihm verständlicherweise eine viel größere Angriffsfläche als einem Angreifer ohne Unternehmensbezug (vollständiger Umfang). Wegen seiner Entlassung wird er wahrscheinlich aggressiv handeln, um einen möglichst großen Schaden zu verursachen. Dass dadurch Systeme zu Bruch gehen, wird ihn vermutlich nicht stören (aggressiv), sodass sein Handeln wohl über kurz oder lang entdeckt werden wird (offensichtliche Vorgehensweise). Da ihm bei der Entlassung jegliche Zugänge entzogen wurden, wird ihm nur der externe Netzwerkzugang für sein Vorhaben bleiben (Technik und Ausgangspunkt).
Klassifiziere wie im obigen Beispiel deinen Hackerangriff gegen die Dubius Payment Ltd. und begründe deine Auswahl. Die einzelnen Kriterien zur Klassifizierung werden hierfür im BSI-Dokument „Durchführungskonzept für Penetrationstests“ im Kapitel 3.4 ausführlich beschrieben.
Letzte Änderung: 2022-12-15
Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:
Entdecken Sie die Welt des Penetration Testing. Lernen Sie Netzwerke zu infiltrieren sowie erfolgreich Systeme und Anwendungen zu penetrieren. Eignen Sie sich das notwendige Hacking-Handwerkszeug an und setzen Sie es bei der Durchführung von profesionellen Penetrationstest ein. Werden Sie zum Penetrationstester. Hier finden Sie die öffentlichen und kostenlosen Unterlagen zum Pentest Training der binsec academy GmbH. Die binsec academy GmbH bietet die dazugehörigen virtuellen Labor-Umgebungen und Zertifizierungen an. Das vermittelte Wissen zu Hacking and Penetration Testing ist aber allgemeingültig.
Die binsec academy GmbH ist der europäische Anbieter für Online Security Trainings mit virtuellen Labor-Umgebungen. Kernbestandteil aller Security Trainings ist die Vermittlung von Praxis, Praxis und nochmals Praxis. Im Wiki finden Sie hier die öffentlichen und frei verfügbaren Kurs-Materialien. Die Theorie in die Praxis umsetzen, können sie auf binsec-academy.com.