Aus den rechtlichen Rahmenbedingungen können wir eine folgenreiche Erkenntnis gewinnen: Hacking unterscheidet sich von Penetration-Testing. Wie wir bereits indirekt im letzten Kapitel angesprochen haben, versuchen Hacker, Sicherungsmechanismen zu umgehen oder zu brechen, um einen unbefugten Datenzugriff zu erhalten. Unser Aufgabengebiet Penetration-Testing entstand deshalb mehr oder weniger als eine Art Gegenmaßnahme seitens der IT-Sicherheit im Wettrüsten gegen die Angreifer. Potenzielle Auftraggeber bitten bzw. beauftragen uns mit der Identifikation der Schwachstellen ihrer IT-Systeme, um diese am Ende härten zu können.
Hierzu müssen wir konsequenterweise dieselben technischen Verfahren anwenden wie ein böswilliger Angreifer. Aber nicht nur das. Zusätzlich benötigen wir eine strukturierte Vorgehensweise, um reproduzierbare Ergebnisse zu erzielen. Ohne eine solche Vorgehensweise können (offensichtliche) Schwachstellen von uns unentdeckt bleiben. Im Gegensatz zu einem Hacker genügt uns nicht ein einziger Einstiegspunkt in das System, sondern wir wollen alle aufdecken. Ebenso müssen wir die identifizierten Schwachstellen unserem Auftraggeber mitteilen. Dies geschieht üblicherweise in einem abschließenden Bericht, welcher nicht nur die Schwachstellen auflistet, sondern sie auch nach ihrem Risiko priorisiert. Kritische Sicherheitslücken sollten natürlich vor den Schwachstellen mit niedrigem Risiko aufgelistet werden. Folglich stellt Hacking „nur“ den technischen Part in einem Pentest dar.
Ferner investieren Hacker womöglich mehr Zeit in ihren Angriff, als wir für einen Pentest einplanen können, da sie mit eisernem Willen ihre eigenen Ziele verfolgen. Sie werden beispielsweise ein Unternehmen angreifen wie es ihnen beliebt. Ferner werden sie ein Unternehmen wohl dauerhaft unter Beschuss nehmen, wenn sie ihm damit schaden können. Dass ein Administrator dadurch um 2 Uhr nachts wegen eines Systemabsturzes aus seinem Schönheitsschlaf gerissen wird, wird sie nicht stören. Wobei das nicht ganz der Wahrheit entspricht. Es wird sie wahrscheinlich schon stören, dass ihr Angriff bemerkt worden ist, aber nicht unbedingt, dass andere Personen darunter zu leiden haben. Hacker sind unberechenbar. Ihr Verhalten können wir aber als Pentester in Absprache mit unserem Auftraggeber simulieren. Im folgenden Kapitel werden wir lernen, nach welchen Merkmalen ein Pentest klassifiziert werden kann.
Zusammenfassend können wir aus den obigen Ausführungen ziehen, dass sich Hacking vom Penetration Testing in der Motivation, dem Zeiteinsatz und der Legalität unterscheidet.
Letzte Änderung: 2022-12-15
Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:
Entdecken Sie die Welt des Penetration Testing. Lernen Sie Netzwerke zu infiltrieren sowie erfolgreich Systeme und Anwendungen zu penetrieren. Eignen Sie sich das notwendige Hacking-Handwerkszeug an und setzen Sie es bei der Durchführung von profesionellen Penetrationstest ein. Werden Sie zum Penetrationstester. Hier finden Sie die öffentlichen und kostenlosen Unterlagen zum Pentest Training der binsec academy GmbH. Die binsec academy GmbH bietet die dazugehörigen virtuellen Labor-Umgebungen und Zertifizierungen an. Das vermittelte Wissen zu Hacking and Penetration Testing ist aber allgemeingültig.
Die binsec academy GmbH ist der europäische Anbieter für Online Security Trainings mit virtuellen Labor-Umgebungen. Kernbestandteil aller Security Trainings ist die Vermittlung von Praxis, Praxis und nochmals Praxis. Im Wiki finden Sie hier die öffentlichen und frei verfügbaren Kurs-Materialien. Die Theorie in die Praxis umsetzen, können sie auf binsec-academy.com.