"Innerhalb von 25 Tagen hatten wir das Unternehmen in der Hand" – Einblicke in die Arbeit als Penetrationstester

Steffen Stepper ist Head of Red Teaming und Senior IT Security Consultant bei der SySS. Er stellt in einem protokollierten Gespräch mit heise online seine Arbeit als Penetrationstester vor. Stepper spricht einerseits über die nötigen Skills eines Hackers auf der guten Seite und erzählt darüber hinaus von spannenden Red Teaming-Projekten.

Ein Penetrationstester benötigt tiefgreifende IT-Kenntnisse über Systeme, Techniken und ihre jeweiligen Schwachstellen. So ermittelt Stepper potenzielle Angriffsszenarien und teilt sie seinen Auftraggeber:innen mit. Damit können diese ihre Unternehmens-IT effektiver gegen echte Hackerangriffe schützen.

Beim Red Teaming geht es neben technischen Analysen und Angriffsszenarien auch um das Testen der Awareness der Mitarbeitenden im Hinblick auf die tatsächliche Umsetzung von IT-Sicherheitsmaßnahmen. Eine derartige Prüfung verläuft bei der SySS stets gemäß einer eigens aufgestellten Berufsethik, da eine gezielte Manipulation von Mitarbeitenden ("Social Engineering") ethisch nicht unproblematisch ist. Außerdem untersucht das Red Team auch die Gebäudesicherheit von Unternehmen. Dazu stehen einige originelle und so manche möglicherweise unerwartete Techniken zur Verfügung.

Wenn Sie erfahren möchten, warum Hacking eine detektivische Teamarbeit ist und weshalb der Faktor Mensch ein sicherheitsrelevantes Risiko darstellt, dann finden Sie den vollständigen Beitrag auf der Internetseite von heise online.