Hacking vs. Penetration-Testing
Aus den rechtlichen Rahmenbedingungen können wir eine folgenreiche Erkenntnis gewinnen: Hacking unterscheidet sich von Penetration-Testing. Wie wir bereits indirekt im letzten Kapitel angesprochen haben, versuchen Hacker, Sicherungsmechanismen zu umgehen oder zu brechen, um einen unbefugten Datenzugriff zu erhalten. Unser Aufgabengebiet Penetration-Testing entstand deshalb mehr oder weniger als eine Art Gegenmaßnahme seitens der IT-Sicherheit im Wettrüsten gegen die Angreifer. Potenzielle Auftraggeber bitten bzw. beauftragen uns mit der Identifikation der Schwachstellen ihrer IT-Systeme, um diese am Ende härten zu können.
Hierzu müssen wir konsequenterweise dieselben technischen Verfahren anwenden wie ein böswilliger Angreifer. Aber nicht nur das. Zusätzlich benötigen wir eine strukturierte Vorgehensweise, um reproduzierbare Ergebnisse zu erzielen. Ohne eine solche Vorgehensweise können (offensichtliche) Schwachstellen von uns unentdeckt bleiben. Im Gegensatz zu einem Hacker genügt uns nicht ein einziger Einstiegspunkt in das System, sondern wir wollen alle aufdecken. Ebenso müssen wir die identifizierten Schwachstellen unserem Auftraggeber mitteilen. Dies geschieht üblicherweise in einem abschließenden Bericht, welcher nicht nur die Schwachstellen auflistet, sondern sie auch nach ihrem Risiko priorisiert. Kritische Sicherheitslücken sollten natürlich vor den Schwachstellen mit niedrigem Risiko aufgelistet werden. Folglich stellt Hacking „nur“ den technischen Part in einem Pentest dar.
Ferner investieren Hacker womöglich mehr Zeit in ihren Angriff, als wir für einen Pentest einplanen können, da sie mit eisernem Willen ihre eigenen Ziele verfolgen. Sie werden beispielsweise ein Unternehmen angreifen wie es ihnen beliebt. Ferner werden sie ein Unternehmen wohl dauerhaft unter Beschuss nehmen, wenn sie ihm damit schaden können. Dass ein Administrator dadurch um 2 Uhr nachts wegen eines Systemabsturzes aus seinem Schönheitsschlaf gerissen wird, wird sie nicht stören. Wobei das nicht ganz der Wahrheit entspricht. Es wird sie wahrscheinlich schon stören, dass ihr Angriff bemerkt worden ist, aber nicht unbedingt, dass andere Personen darunter zu leiden haben. Hacker sind unberechenbar. Ihr Verhalten können wir aber als Pentester in Absprache mit unserem Auftraggeber simulieren. Im folgenden Kapitel werden wir lernen, nach welchen Merkmalen ein Pentest klassifiziert werden kann.
Zusammenfassend können wir aus den obigen Ausführungen ziehen, dass sich Hacking vom Penetration Testing in der Motivation, dem Zeiteinsatz und der Legalität unterscheidet.
Pentest Training
Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:
- Vorwort
- Einführung
- Rechtliche Rahmenbedingungen
- Hacking vs. Penetration-Testing
- Klassifizierung
- Aussagekraft von Penetrationstest
- Penetration-Testing-Standards
- Der Hacking-Leitfaden
- Hacking I: Scannen von Netzwerken
- Hacking II: Passwortangriffe
- Hacking III: Webanwendungsangriffe
- Hacking IV: Privilegienausweitung
- Hacking V: Tunnel-Techniken
- Hacking VI: Vulnerability-Scanner und Penetration-Testing-Frameworks
- Vorführung eines Pentests
- Risikobewertung von identifizierten Schwachstellen
- Aufbau Dokumentation und Berichterstellung
- Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.
binsec academy GmbH - Online IT Security Training with Practical Focus
Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.
Gehe zu binsec acadmy GmbH
binsec GmbH – Experten für Penetrationstests
Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.
Gehe zu binsec GmbH