Penetration Tester - Planung, Durchführung, Assessments

Zum Einsatz kommen gängige Open Source Tools und kommerzielle Werkzeuge wie KALI Linux, Metasploit Framework, Nmap, Nessus, Wmap, Nikto u.a.

• Tag 1 - 4: Einführung Pentesting
  • Inhaltsübersicht
    • Theoretische Grundlagen
    • Umgang mit den technischen Werkzeugen
    • Best Practices und Vorgehensmodelle
    • Übungen und Labs
  • Theoretische Grundlagen
    • Arten von Sicherheitsprüfungen
    • Kennzeichnende Eigenschaften dieser Sicherheitsprüfungen
    • Security Audit
    • Vulnerability Assessment
    • Penetrationstest
    • Source Code Analyse und Reverse Engineering
    • Informationsquellen und Internet-Recherche
    • Phasenmodell für das Vorgehen
    • Einführung in das technische Penetrationstesting / Vorbereitung eines Penetrationstests
  • Technische Werkzeuge und deren Gebrauch
    • KALI Linux mit diversen Tools
    • Tenable Nessus und OpenVAS
    • Wmap und Nikto
    • Password-Cracking
    • Grundlagen Metasploit
  • Praxisübungen & Labs nach Phasen
    • Footprinting: Vorgehen und Werkzeuge
    • Scanning: Vorgehen und Werkzeuge
    • Enumeration: Vorgehen und Werkzeuge
    • Exploitation: Vorgehen und Werkzeuge
    • Post-Entry: Datensammlung und Beweissicherung
  • Praxisübungen & Labs am Beispiel
    • Durchführen der Phasen innerhalb der Laborumgebung
    • Durchführen der Phasen in der Praxis
    • Anpassung an lokale Gegebenheiten
    • Datensammlung und -korrelation
    • Erkennen falscher Positiver und falscher Negativer
    • Auflösen von widersprüchlichen Ergebnissen
    • Empfehlungen zur Berichterstellung
  • Durchführung nach der BSI Penetrationstest-Studie
    • Aufbau und Inhalt der Penetrationsteststudie
    • Folgerungen für das eigene Vorgehen
    • Stärken und Schwächen des Modells
    • Durchführung nach Penetrationsteststudie
  • Durchführen und Vorgehen nach OSSTMM
    • Aufbau und Inhalt des Manuals
    • Reporting Templates
    • Risk Assessment Value
    • Folgerungen für das eigene Vorgehen
    • Stärken und Schwächen des Manuals
    • Durchführung nach dem OSSTMM
  • OPTIONAL Erste Teilprüfung: Dauer 45 Minuten, Multiple-Choice
• Tag 5: Aktuelle rechtliche Betrachtung & Rechtsfallen mit Rechtsurteilen / Referent Rechtsanwalt
  • Einführung in das Recht der IT-Sicherheit
  • Technische, organisatorische, strategische und rechtliche Aspekte der IT-Sicherheit
  • Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
  • IT-Compliance im Detail
  • Datenschutz BDSG und informationelles Selbstbestimmungsrecht
  • IT-Sicherheit und Hackertools
  • Maßgebliche Rechtsbereiche für Penetrationstests u.a.
    • § 202a StGB "Ausspähen von Daten"
    • § 202b StGB "Abfangen von Daten"
    • § 202c StGB "Hackerparagraph"
    • § 204 StGB "Verwertung fremder Geheimnisse"
    • § 206 StGB "Verletzung des Post- oder Fernmeldegeheimnisses"
    • § 263 StGB "Computerbetrug"
    • § 303a StGB "Datenveränderung"
    • § 303b StGB "Computersabotage"
  • Insbesondere datens
  • chutzkonforme Protokollierung / Logfiles
  • Lösungsansätze
  • OPTIONAL: Zweite Teilprüfung: Dauer 20 Minuten Multiple-Choice