Fachgerechtes und rechtskonformes Penetration Testing

Netzwerk-Sicherheit als beauftragter Hacker prüfen

08.09.2008 | Autor / Redakteur: Marco Rogge / Stephan Augsten

Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.
Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.

In der Welt der Security-Experten, Hacker und Sicherheitsverantwortlichen hat sich Penetration-Testing bereits bewährt. Doch was genau sind diese Penetrations-Tests, wie teste ich richtig und welchen Nutzen kann man für ein Unternehmen daraus ziehen?

Penetration-Tests sind ein wesentlicher Bestandteil, um die Sicherheit der IT im Unternehmen zu überprüfen. Sie erfordern ein hohes Maß an Fachwissen und sind wichtig, um Schwachstellen in der IT Landschaft eines jeden Unternehmens heraus zu finden.

Die daraus gewonnenen Ergebnisse können dann in verbesserte Sicherheitsmaßnahmen umgesetzt werden. Ein Penetration Test ist allerdings nicht mit dem Versuch zu vergleichen, über einen Sicherheitsscanner wie nmap ein Netzwerk zu identifizieren oder Schwachstellen zu finden.

Wie aber geht man bei Penetration-Tests vor und worauf sollte man achten? Um diese Fragen zu klären, schauen wir uns die verschiedenen Phasen im Detail an.

Vorbereitungsphase

Es ist besonders wichtig, dass man bei einem Penetration-Test das Management unmittelbar mit einbezieht und darüber aufklärt und abstimmt, was genau bei einem solchen Test durchgeführt werden wird. Unterschiedliche Prüfungsarten kommen während eines Penetration-Tests zum tragen und müssen im Detail vorab deklariert werden.

Der Verlauf eines solchen Tests hängt stark von der Vorbereitung und Planung ab. Im ersten Schritt, der Vorbereitungsphase, muss geklärt werden, welchen Umfang ein solcher Test haben sollte, welche Notfallmaßnahmen getroffen werden müssen und welche Vorgehensweise erwünscht ist.

Hierbei ist darauf besonders zu achten, dass notwendige Maßnahmen für einen reibungslosen Funktionsbetrieb der IT Landschaft getroffen werden. Aus den Vorbesprechungen wird ein Vertrag formuliert.

Seite 2: Informationsbeschaffung als Ausgangspunkt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2015235 / Security-Testing)