Fachgerechtes und rechtskonformes Penetration Testing

Netzwerk-Sicherheit als beauftragter Hacker prüfen

08.09.2008 | Autor / Redakteur: Marco Rogge / Stephan Augsten

Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.
Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.

Informationsbeschaffung als Ausgangspunkt

Je nach Wunsch des Auftraggebers ist es möglich, dass man als „beauftragter Angreifer“ (im Folgenden Angreifer genannt) versucht, so viele Daten wie nur möglich zu sammeln. Hierbei steht für den Penetration-Tester im Vordergrund, dass er selbständig versuchen muss, alle relevanten Daten der Firma in Erfahrung zu bringen.

Dafür dienen ihm z.B. Soziale Netzwerke, öffentliche IP Verzeichnisse, Suchmaschinen und verschiedene Methoden des Social Engeneering. Auch das Abtasten des Netzwerkes von außen kann hier ein Punkt sein, den der Angreifer nutzen wird, um Netzwerkkomponenten oder Schutzmechanismen zu erkennen.

Bewertung/Auswertung

Hat ein Angreifer nun diverse Möglichkeiten ausgeschöpft, um in ein Netzwerk von innen oder außen eindringen zu können, werden diese Informationen gesammelt und in einen Bericht zusammengefasst. Es kommt natürlich darauf an, was exakt mit dem Auftraggeber besprochen wurde.

So könnte der Test bei Empfehlungen zur Absicherung von Schwachstellen enden. Dem Auftraggeber wird ein Bericht überlassen, der deutlich aufzeigt, wo die Schwachstellen im Unternehmen bezüglich der IT Landschaft zu sehen sind und welche Maßnahmen bei der Abwehr dieser erfolgreich sein können.

Ist jedoch nach der Auswertung und Bewertung der gefundenen Schwachstellen das Ende des Penetration-Tests nicht geplant, so kann eine aktive Ausnutzung der Lücken gestartet werden. Der Penetrations Tester versucht nun aktiv in das Netzwerk einzudringen.

Hierbei ist größte Sorgfalt geboten, da die IT nicht beschädigt werden sollte. Ganz auszuschließen ist es jedoch nicht. Entsprechend ist die Planung in der Vorbereitungsphase (notwendige Maßnahmen für einen reibungslosen Funktionsbetrieb der IT Landschaft) sehr wichtig.

Seite 3: Aktives Ausnutzen von Schwachstellen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2015235 / Security-Testing)