Was ist Pentesting?

Penetration Tester sind im Unternehmensumfeld gefragt. Wir sagen Ihnen, was Pentesting ist und was ein Ethical Hacker heute können muss. [...]

WAS EIN PENTESTER KÖNNEN MUSS

Wie jede andere Disziplin der IT-Sicherheit, entwickelt sich auch das professionelle Penetration Testing und Ethical Hacking stets weiter. Hackende Einzelgänger, die zwar gut darin sind, mit ihrer technischen Überlegenheit zu prahlen, dafür aber Professionalität und Raffinesse vermissen lassen, sind bei Unternehmen nicht mehr sehr gefragt. Stattdessen suchen Firmen nach dem Profi-Hacker-Komplettpaket:

Bessere Toolkits: Software für Penetration- oder Vulnerability-Tests gehört seit jeher zum Toolkit eines Ethical Hackers. Inzwischen gibt es einige Programme, die Pentestern gehörig die Arbeit erleichtern – so wie das bei kriminellen Hackern auch der Fall ist.

Ein Beispiel für ein solches Werkzeug ist die Open-Source-Software Bloodhound. Sie erlaubt Angreifern, die Beziehungen zwischen verschiedenen Rechnern in einem Active-Directory-Netzwerk über eine grafische Oberfläche zu erfassen. Nach der Eingabe des gewünschten Ziels zeigt die Software – ähnlich wie ein Navigationssystem – verschiedene (Hacking-)Wege zum Ziel auf. Dabei werden unter Umständen auch Pfade aufgedeckt, die vorher nicht sichtbar waren. Im Zusammenspiel mit einigen Scripts kann ein großer Teil des Ablaufs automatisiert werden.

Kommerzielle Software-Lösungen für Ethical Hacker bieten solche Funktionen naturgemäß schon etwas länger.

Bilder und Videos: Um eine Investition in IT Security beim Vorstand durchzubringen, wurden Pentester früher entweder beauftragt, diesen zu hacken oder ihm eine umfassende Dokumentation vorzulegen. Heute erwartet das Management Präsentationen, Videos und Bildergalerien, die darüber Auskunft geben, wie die Hacks in ihrem Unternehmen abgelaufen sind. Die Materialien können nämlich im Nachgang zur Information weiterer Manager-Kollegen und für die Schulung von Mitarbeitern verwendet werden.

Risikomanagement: Es genügt keinesfalls, eine Liste mit gefundenen Schwachstellen im Unternehmen abzugeben. Heutzutage müssen Ethical Hacker und Pentester mit dem IT Management zusammenarbeiten, um die größten Bedrohungen und Schwachstellen zu identifizieren. Pentesting-Experten sind heute auch Teil der Risikomanagement-Abteilungen, schließlich hilft ihre Tätigkeit auch effektiv dabei, Risiken zu minimieren. Das sollten Ethical Hacker zu nutzen wissen: Sie sind in der Lage, Management und IT-Abteilung darüber aufzuklären, was in Zukunft mit hoher Wahrscheinlichkeit passieren kann. Es macht auch wenig Sinn, dem Vorstand einen Hack zu präsentieren, den in der Praxis kein Angreifer jemals ausführen würde.

Training und Zertifizierung: Viele Wege führen heute zur Pentesting-Zertifizierung, darunter einige Kurse und Zertifikate. Dort findet im Regelfall ein Hacking-Tool-Intensivkursprogramm unter professioneller Aufsicht statt.

Profi-Pentester oder Ethical Hacker ist kein Beruf, der für Jeden geeignet ist. Er setzt sowohl Expertenwissen über verschiedene Technologien und Technologieplattformen voraus, als auch echtes Interesse am Hacken. Wenn das für Sie kein Hindernis ist und Sie darüber hinaus in der Lage sind, die ethischen und rechtlichen Grundsätze zu befolgen, steht auch Ihrer Karriere als professioneller Hacker nichts mehr im Weg.

Dieser Artikel basiert auf einem Beitrag der US-Publikation CSO Online.

*Roger Grimes ist freier Redakteur der US-Publikation InfoWorld und Florian Maier beschäftigt sich für die Computerwoche mit vielen Themen rund um Technologie und Management


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*