Fachgerechtes und rechtskonformes Penetration Testing

Netzwerk-Sicherheit als beauftragter Hacker prüfen

08.09.2008 | Autor / Redakteur: Marco Rogge / Stephan Augsten

Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.
Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.

Aktives Ausnutzen von Schwachstellen

Ist nach der Auswertung/Bewertung der Penetration-Test noch nicht abgeschlossen, so kann der Penetration-Tester nun beginnen, die vorgefundenen Schwachstellen aktiv auszunutzen. Hierbei ist natürlich darauf zu achten, dass Netzwerk-Komponenten nicht beschädigt werden und eine Ausnutzung keinen kriminellen Charakter bedeutet.

Der Penetration-Tester versetzt sich in die Rolle eines möglichen, nicht beauftragten Angreifers. Dabei können diverse Möglichkeiten genutzt werden, ein Netzwerk von innen oder von außen anzugreifen, um in das Netzwerk zu gelangen. Aber auch Angriffe auf Web-basierende Applikationen oder eben Social Engeneering sind möglich, sofern Schwachstellen gefunden wurden.

Wichtig ist in diesem Zusammenhang eine möglichst umfangreiche Dokumentation. Darin sollte der beauftragte Angreifer ausführlich beschreiben, wie es ihm gelungen ist eine Schwachstelle auszunutzen und wie er dabei genau vorgegangen ist.

Abschlussphase

Je nachdem, wie der Umfang in der Vorbereitungsphase besprochen und geregelt wurde, lassen sich nun die Ergebnisse des Penetration-Tests auswerten und genauer erläutern. Hierfür wird ein Bericht/Protokoll erstellt, um dem Auftraggeber die Schwachstellen aufzuzeigen. Aus den aufgezeigten Schwachstellen lassen sich dann Sicherheitsmaßnahmen ableiten, die so schnell als möglich umgesetzt werden sollten.

Bei einem solchen Test ist aber auch davon auszugehen, dass nicht alle Schwachstellen aufgefunden werden. Eine Betrachtung durch einen weiteren beauftragten Angreifer kann die Sicherheit weiter erhöhen. Ein strukturierter Ablauf von der Organisation bis hin zu rechtlichen Aspekten ist bei einem Penetration Test unabdingbar.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2015235 / Security-Testing)