Secu6: Planung und Durchführung von Penetrationstests

Eine unsichere IT-Landschaft kann den Betrieb oder sogar den Fortbestand von Unternehmen erheblich gefährden. Meist reißen kleine, unscheinbare Fehler gefährliche Löcher in IT-Netze. Voraussetzung für die Behebung dieser Fehler ist es, die Lücken zu identifizieren. IT-Infrastrukturen und Applikationen können hochwertig und robust konzipiert sein und dennoch Schwachstellen aufweisen. Um diesen auf die Spur zu kommen, eignet sich der Penetrationstest hervorragend als Kontrollinstrument. Denn nur auf diese Weise können IT-Netze von außen und innen effektiv auf Sicherheitslücken hin untersucht werden. Die Durchführung solcher simulierter Hacker-Attacken ist aber alles andere als einfach und wird im Workshop diskutiert.

Themen

Der Penetrationstest

  • Warum Penetrationstests?
    • Definition/Motivation/Besonderheiten
  • Ethische Aspekte
  • Penetrationstests im Licht des neuen IT-Sicherheitsgesetzes
  • Neueste Trends/Penetrationstests der Zukunft

Angriffsszenario und Gestaltungsmöglichkeiten

Prüfgegenstand (Perimeter, LAN, WLAN, Webapplikation etc.) Einmalig oder kontinuierlich? Blackbox- oder Whitebox-Test? Aggressiv oder vorsichtig?

80/20: Der Pen Test Service-Katalog

Steuerung von Penetrationstestserien

  • Kosten-/Nutzenverhältnis und Budgetoptimierung
  • Projektmanagement: PPMO
  • Metriken und Standards
  • Umfang der Serien: vier Tests pro Jahr oder 900?
  • Anlassbezogene/turnusmäßige Tests
  • Testtiefe/Testfrequenz
  • Sourcing: Anzahl/Strategie/Benchmarking

Reporting

  • Ticket-Systeme
  • Metrik
  • Projektübergreifendes Reporting

Schwachstellenmanagement/Re-Tests

10 praktische Tipps von Sebastian Schreiber