Was ist ein Pentest?<\/h2>\nDefinition von Pentest<\/h3>\nEin Pentest ist ein Eindringtest.<\/b> Der Pentester dringt in das IT-System einer Organisation ein (\u00fcber Computernetzwerke, Websites, Anwendungen, verbundene Objekte, …) um Attackvektoren aufzudecken<\/b>, die die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Daten gef\u00e4hrden k\u00f6nnten. Nachdem diese Sicherheitsl\u00fccken lokalisiert wurden, unternimmt der Pentester die erforderlichen Schritte, um die L\u00fccken zu schlie\u00dfen oder die Auswirkungen der Schwachstellenausnutzung zu mindern, bevor sie von einem Cyberkriminellen entdeckt werden.\n\nEs gleicht einer „pr\u00e4ventiven Cyberattacke“ oder einer „offensiven Evaluierung“. Das Ziel ist es, die Robustheit des IS (Informationssystems) zu bewerten.\nBedeutung von Penetration Testing<\/h3>\nDa Computerverbrechen immer ausgefeilter werden, sind Eindringtests umso wichtiger. Unternehmen m\u00fcssen voranschreiten, um Angriffen entgegenzuwirken, was kontinuierliche \u00dcberwachung und sehr regelm\u00e4\u00dfige Pentests einschlie\u00dft. Diese sind wesentlich, um Sicherheitsl\u00fccken zu erkennen, sie zu beheben und somit den Schutz der Informationssysteme zu verst\u00e4rken<\/b>.\n\nObwohl das Beauftragen eines Pentesters eine bedeutende Investition darstellt, ist es f\u00fcr Unternehmen \u00e4u\u00dferst ratsam, diesen Cyber-Experten einzubeziehen. Denn Cyberangriffe k\u00f6nnen sie Millionen oder sogar Milliarden Euro kosten, sei es durch Betriebsausf\u00e4lle, L\u00f6segelder oder Sch\u00e4digung ihres Markenimages. Dies erkl\u00e4rt auch die Beliebheit von Cybersicherheitsexperten<\/a> in Organisationen aller Branchen.\n\nZus\u00e4tzlich zur Verbesserung der Computersicherheit ist Penetration Testing auch entscheidend, um gesetzlichen Verpflichtungen nachzukommen<\/b>. Besonders die DSGVO fordert von Unternehmen, die Sicherheit ihrer Informationssysteme zu gew\u00e4hrleisten, um Datenlecks<\/a> zu verhindern. F\u00fcr Organisationen, die einen Zertifizierungsprozess anstreben (wie ISO 27001), sind Eindringtests eine unerl\u00e4ssliche Voraussetzung.\n\n
\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=“.svg“]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}\t\t\t\t\t\t\t\t\t\t\t\t![\"\"](\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2024\/07\/pentest-cybersecurity2.jpg\")
\n\nLerne Pentests zu verwenden<\/a><\/div><\/div>\n\nVulnerability Scan und Penetration Testing<\/h3>\nIm Bereich der Cybersicherheit k\u00f6nnen Unternehmen eine Reihe von Tests durchf\u00fchren, um die Sicherheit ihrer IS zu verst\u00e4rken. Einer der gel\u00e4ufigsten ist der Vulnerability Scan. Das Ziel ist die Aufdeckung von Schwachstellen im IT-System<\/a>. \u00c4hnlich dem Penetration Testing.\n\nTats\u00e4chlich ist es aber etwas anders. Einerseits, weil Vulnerability Scanner automatisierte Werkzeuge sind<\/b>, die g\u00e4ngige Schwachstellen in einem Netzwerk oder einer Anwendung analysieren. Im Gegensatz dazu stellt Penetration Testing eine detaillierte und manuelle Analyse jeder Schwachstelle dar. Das erlaubt es, Vulnerabilit\u00e4ten zu identifizieren, die von automatisierten Systemen nicht erfasst werden k\u00f6nnen.\n\nAndererseits identifizieren Vulnerability Scanner nur Schwachstellen<\/b>. Sie nutzen diese nicht vollst\u00e4ndig aus, um alle ihre Ver\u00e4stelungen zu verstehen. Im Gegensatz dazu wirkt Penetration Testing wie ein echter Cyberangriff. Es wird in der Lage sein, alle Arten von Schwachstellen zu identifizieren, aber auch deren Auswirkungen und Nebeneffekte zu verstehen.\n\nDas bedeutet jedoch nicht, dass auf Vulnerability Scans verzichtet werden sollte. Es ist ein kosteng\u00fcnstigerer erster Schritt und einfacher zu implementieren, der es Unternehmen erm\u00f6glicht, ein grundlegendes Sicherheitsniveau aufrechtzuerhalten.\nWelche verschiedenen Typen von Intrusionstests gibt es?<\/h2>\nAngesichts der Komplexit\u00e4t eines Informationssystems k\u00f6nnen Pentests auf unterschiedlichen Zielobjekten durchgef\u00fchrt werden. Deshalb teilt man sie in mehrere Arten ein. Hier die gebr\u00e4uchlichsten:\n\n \t- Penetrationstest eines internen Netzwerks:<\/b> Dabei geht es um Server, Netzwerkger\u00e4te, Arbeitsstationen, WLANs, Active Directory und mehr. Ziel ist die Bewertung der Sicherheit des internen Netzwerks aus der Perspektive eines Angreifers, der es infiltriert hat.<\/li>\n \t
- Penetrationstest einer Webanwendung:<\/b> Hierbei werden Schwachstellen in der Konfiguration der Infrastrukturen, die die Dienste hosten (Server, Cloud-Umgebungen), gesucht.<\/li>\n \t
- Penetrationstest einer mobilen Anwendung:<\/b> Dieser umfasst eine statische und eine dynamische Analyse der Anwendung. Die statische Analyse hilft dabei, Elemente f\u00fcr Reverse-Engineering-Versuche zu extrahieren. Die dynamische Analyse zielt darauf ab, in laufenden Anwendungen (Runtime) Schwachstellen zu finden.<\/li>\n \t
- Penetrationstest einer API:<\/b> Kann eigenst\u00e4ndig durchgef\u00fchrt oder in den Rahmen eines Penetrationstests einer Web- oder mobilen Anwendung integriert werden. Diese Art von Schnittstelle hat spezifische Schwachstellen wie gebrochene Authentifizierung, unbegrenzter Ressourcenverbrauch, Serverseitige Anfragenf\u00e4lschung, etc.<\/li>\n \t
- Penetrationstests von IoT-Systemen und verbundenen Objekten:<\/b> Hier werden alle Schichten des IoT-\u00d6kosystems analysiert, einschlie\u00dflich Hardware, Firmware, Kommunikationsprotokolle, Server, Webanwendungen und mobile Apps.<\/li>\n<\/ul>\n
![\"\"](\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2024\/07\/pentest-cybersecurity1.jpg\")
\n\nLass Dich bei Liora ausbilden<\/a><\/div><\/div>\n\nWelche Methodik gibt es f\u00fcr die Durchf\u00fchrung eines Pentests?<\/h2>\n3 Methoden des Penetration Testing<\/h3>\nBevor wir uns die einzelnen Schritte des Penetration Testing ansehen, ist es wichtig zu wissen, dass Intrusionstests auf drei verschiedene Arten durchgef\u00fchrt werden k\u00f6nnen:\n\n \t- Der Blackbox-Pentest:<\/b> Dem Pentester sind keine Daten des Informationssystems bekannt. Er befindet sich in der Position einer Person, die au\u00dferhalb des Unternehmens steht.<\/li>\n \t
- Der Greybox-Pentest:<\/b> Der Pentester hat Zugang zu einigen, aber nicht allen Informationen. Beispielsweise zu bestimmten Benutzerkonten.<\/li>\n \t
- Der Whitebox-Pentest:<\/b> Der Pentester hat Zugang zu s\u00e4mtlichen verf\u00fcgbaren Daten, einschlie\u00dflich Quellcode und Administrator-Account des Informationssystems.<\/li>\n<\/ul>\nEs ist m\u00f6glich, Tests unter Anwendung dieser verschiedenen Ans\u00e4tze durchzuf\u00fchren. Das erm\u00f6glicht eine Vorbereitung gegen alle Typen von Angriffen.\n
Die 8 Schritte des Penetration Testing<\/h3>\nUm einen Pentest erfolgreich durchzuf\u00fchren, muss der Cyber-Experte einen genauen Plan mit 8 Schritten verfolgen:\n\n \t- Zielerkennung:<\/b> Hier werden Daten gesammelt, die mit dem Typ des Tests (Netzwerk, API, Anwendung, …) und dem festgelegten Ziel verbunden sind.<\/li>\n \t
- Das Mapping:<\/b> Dabei handelt es sich um die Kartierung des Informationssystems, um eine Bestandsaufnahme der Verm\u00f6genswerte zu erstellen.<\/li>\n \t
- Schwachstellen identifizieren:<\/b> Der Pentester analysiert die Schwachstellen des IS.<\/li>\n \t
- Die Ausnutzung:<\/b> Der Pentester nutzt die identifizierten Schwachstellen aus und bewertet ihre Kritikalit\u00e4t.<\/li>\n \t
- Privilegienerweiterung:<\/b> Der Pentester agiert wie ein echter Cyberkrimineller, um vor\u00fcbergehend Administrationsrechte zu erlangen. Dies erm\u00f6glicht ihm, tiefergehende Angriffe durchzuf\u00fchren.<\/li>\n \t
- Die Verbreitung:<\/b> Ziel ist das Verst\u00e4ndnis des Ausma\u00dfes der Schwachstelle.<\/li>\n \t
- Das Aufr\u00e4umen:<\/b> Das System wird gereinigt und in seinen Ursprungszustand zur\u00fcckversetzt.<\/li>\n \t
- Der Bericht:<\/b> Der Pentester dokumentiert alle w\u00e4hrend des Tests durchgef\u00fchrten Aktionen und gibt Empfehlungen zur Behebung der Schwachstellen.<\/li>\n<\/ul>\nF\u00fcr jeden dieser Schritte benutzt der Pentester eine Vielzahl von Werkzeugen, darunter Burp Suite<\/b>, Kali Linux<\/b>, Metasploit<\/b>, Hashcat<\/b>, Nmap<\/b>, Ettercap<\/b>, SQLmap<\/b> und andere.\n
Werden Sie zum Pentester mit Liora<\/h2>\nW\u00e4hrend die Nachfrage nach Pentestern in Unternehmen steigt, mangelt es an talentierten Fachkr\u00e4ften. Wenn Sie Organisationen dabei unterst\u00fctzen m\u00f6chten, ihre Computersysteme zu verbessern, werden Sie ein Cyber-Experte. Doch zuerst m\u00fcssen Sie eine Ausbildung absolvieren<\/a>. Dank Liora<\/b> werden Sie in der Lage sein, alle Arten von Tests durchzuf\u00fchren, um gegen Hackerangriffe gewappnet zu sein.\n\n![\"\"](\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2024\/07\/pentest-cybersecurity3.jpg\")
\n\n
Bedeutung von Penetration Testing<\/h3>\nDa Computerverbrechen immer ausgefeilter werden, sind Eindringtests umso wichtiger. Unternehmen m\u00fcssen voranschreiten, um Angriffen entgegenzuwirken, was kontinuierliche \u00dcberwachung und sehr regelm\u00e4\u00dfige Pentests einschlie\u00dft. Diese sind wesentlich, um Sicherheitsl\u00fccken zu erkennen, sie zu beheben und somit den Schutz der Informationssysteme zu verst\u00e4rken<\/b>.\n\nObwohl das Beauftragen eines Pentesters eine bedeutende Investition darstellt, ist es f\u00fcr Unternehmen \u00e4u\u00dferst ratsam, diesen Cyber-Experten einzubeziehen. Denn Cyberangriffe k\u00f6nnen sie Millionen oder sogar Milliarden Euro kosten, sei es durch Betriebsausf\u00e4lle, L\u00f6segelder oder Sch\u00e4digung ihres Markenimages. Dies erkl\u00e4rt auch die Beliebheit von Cybersicherheitsexperten<\/a> in Organisationen aller Branchen.\n\nZus\u00e4tzlich zur Verbesserung der Computersicherheit ist Penetration Testing auch entscheidend, um gesetzlichen Verpflichtungen nachzukommen<\/b>. Besonders die DSGVO fordert von Unternehmen, die Sicherheit ihrer Informationssysteme zu gew\u00e4hrleisten, um Datenlecks<\/a> zu verhindern. F\u00fcr Organisationen, die einen Zertifizierungsprozess anstreben (wie ISO 27001), sind Eindringtests eine unerl\u00e4ssliche Voraussetzung.\n\n
\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=“.svg“]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}\t\t\t\t\t\t\t\t\t\t\t\t\n\nLerne Pentests zu verwenden<\/a><\/div><\/div>\n\nVulnerability Scan und Penetration Testing<\/h3>\nIm Bereich der Cybersicherheit k\u00f6nnen Unternehmen eine Reihe von Tests durchf\u00fchren, um die Sicherheit ihrer IS zu verst\u00e4rken. Einer der gel\u00e4ufigsten ist der Vulnerability Scan. Das Ziel ist die Aufdeckung von Schwachstellen im IT-System<\/a>. \u00c4hnlich dem Penetration Testing.\n\nTats\u00e4chlich ist es aber etwas anders. Einerseits, weil Vulnerability Scanner automatisierte Werkzeuge sind<\/b>, die g\u00e4ngige Schwachstellen in einem Netzwerk oder einer Anwendung analysieren. Im Gegensatz dazu stellt Penetration Testing eine detaillierte und manuelle Analyse jeder Schwachstelle dar. Das erlaubt es, Vulnerabilit\u00e4ten zu identifizieren, die von automatisierten Systemen nicht erfasst werden k\u00f6nnen.\n\nAndererseits identifizieren Vulnerability Scanner nur Schwachstellen<\/b>. Sie nutzen diese nicht vollst\u00e4ndig aus, um alle ihre Ver\u00e4stelungen zu verstehen. Im Gegensatz dazu wirkt Penetration Testing wie ein echter Cyberangriff. Es wird in der Lage sein, alle Arten von Schwachstellen zu identifizieren, aber auch deren Auswirkungen und Nebeneffekte zu verstehen.\n\nDas bedeutet jedoch nicht, dass auf Vulnerability Scans verzichtet werden sollte. Es ist ein kosteng\u00fcnstigerer erster Schritt und einfacher zu implementieren, der es Unternehmen erm\u00f6glicht, ein grundlegendes Sicherheitsniveau aufrechtzuerhalten.\nWelche verschiedenen Typen von Intrusionstests gibt es?<\/h2>\nAngesichts der Komplexit\u00e4t eines Informationssystems k\u00f6nnen Pentests auf unterschiedlichen Zielobjekten durchgef\u00fchrt werden. Deshalb teilt man sie in mehrere Arten ein. Hier die gebr\u00e4uchlichsten:\n\n \t- Penetrationstest eines internen Netzwerks:<\/b> Dabei geht es um Server, Netzwerkger\u00e4te, Arbeitsstationen, WLANs, Active Directory und mehr. Ziel ist die Bewertung der Sicherheit des internen Netzwerks aus der Perspektive eines Angreifers, der es infiltriert hat.<\/li>\n \t
- Penetrationstest einer Webanwendung:<\/b> Hierbei werden Schwachstellen in der Konfiguration der Infrastrukturen, die die Dienste hosten (Server, Cloud-Umgebungen), gesucht.<\/li>\n \t
- Penetrationstest einer mobilen Anwendung:<\/b> Dieser umfasst eine statische und eine dynamische Analyse der Anwendung. Die statische Analyse hilft dabei, Elemente f\u00fcr Reverse-Engineering-Versuche zu extrahieren. Die dynamische Analyse zielt darauf ab, in laufenden Anwendungen (Runtime) Schwachstellen zu finden.<\/li>\n \t
- Penetrationstest einer API:<\/b> Kann eigenst\u00e4ndig durchgef\u00fchrt oder in den Rahmen eines Penetrationstests einer Web- oder mobilen Anwendung integriert werden. Diese Art von Schnittstelle hat spezifische Schwachstellen wie gebrochene Authentifizierung, unbegrenzter Ressourcenverbrauch, Serverseitige Anfragenf\u00e4lschung, etc.<\/li>\n \t
- Penetrationstests von IoT-Systemen und verbundenen Objekten:<\/b> Hier werden alle Schichten des IoT-\u00d6kosystems analysiert, einschlie\u00dflich Hardware, Firmware, Kommunikationsprotokolle, Server, Webanwendungen und mobile Apps.<\/li>\n<\/ul>\n\n\nLass Dich bei Liora ausbilden<\/a><\/div><\/div>\n\n
Welche Methodik gibt es f\u00fcr die Durchf\u00fchrung eines Pentests?<\/h2>\n3 Methoden des Penetration Testing<\/h3>\nBevor wir uns die einzelnen Schritte des Penetration Testing ansehen, ist es wichtig zu wissen, dass Intrusionstests auf drei verschiedene Arten durchgef\u00fchrt werden k\u00f6nnen:\n\n \t- Der Blackbox-Pentest:<\/b> Dem Pentester sind keine Daten des Informationssystems bekannt. Er befindet sich in der Position einer Person, die au\u00dferhalb des Unternehmens steht.<\/li>\n \t
- Der Greybox-Pentest:<\/b> Der Pentester hat Zugang zu einigen, aber nicht allen Informationen. Beispielsweise zu bestimmten Benutzerkonten.<\/li>\n \t
- Der Whitebox-Pentest:<\/b> Der Pentester hat Zugang zu s\u00e4mtlichen verf\u00fcgbaren Daten, einschlie\u00dflich Quellcode und Administrator-Account des Informationssystems.<\/li>\n<\/ul>\nEs ist m\u00f6glich, Tests unter Anwendung dieser verschiedenen Ans\u00e4tze durchzuf\u00fchren. Das erm\u00f6glicht eine Vorbereitung gegen alle Typen von Angriffen.\n
Die 8 Schritte des Penetration Testing<\/h3>\nUm einen Pentest erfolgreich durchzuf\u00fchren, muss der Cyber-Experte einen genauen Plan mit 8 Schritten verfolgen:\n\n \t- Zielerkennung:<\/b> Hier werden Daten gesammelt, die mit dem Typ des Tests (Netzwerk, API, Anwendung, …) und dem festgelegten Ziel verbunden sind.<\/li>\n \t
- Das Mapping:<\/b> Dabei handelt es sich um die Kartierung des Informationssystems, um eine Bestandsaufnahme der Verm\u00f6genswerte zu erstellen.<\/li>\n \t
- Schwachstellen identifizieren:<\/b> Der Pentester analysiert die Schwachstellen des IS.<\/li>\n \t
- Die Ausnutzung:<\/b> Der Pentester nutzt die identifizierten Schwachstellen aus und bewertet ihre Kritikalit\u00e4t.<\/li>\n \t
- Privilegienerweiterung:<\/b> Der Pentester agiert wie ein echter Cyberkrimineller, um vor\u00fcbergehend Administrationsrechte zu erlangen. Dies erm\u00f6glicht ihm, tiefergehende Angriffe durchzuf\u00fchren.<\/li>\n \t
- Die Verbreitung:<\/b> Ziel ist das Verst\u00e4ndnis des Ausma\u00dfes der Schwachstelle.<\/li>\n \t
- Das Aufr\u00e4umen:<\/b> Das System wird gereinigt und in seinen Ursprungszustand zur\u00fcckversetzt.<\/li>\n \t
- Der Bericht:<\/b> Der Pentester dokumentiert alle w\u00e4hrend des Tests durchgef\u00fchrten Aktionen und gibt Empfehlungen zur Behebung der Schwachstellen.<\/li>\n<\/ul>\nF\u00fcr jeden dieser Schritte benutzt der Pentester eine Vielzahl von Werkzeugen, darunter Burp Suite<\/b>, Kali Linux<\/b>, Metasploit<\/b>, Hashcat<\/b>, Nmap<\/b>, Ettercap<\/b>, SQLmap<\/b> und andere.\n
Werden Sie zum Pentester mit Liora<\/h2>\nW\u00e4hrend die Nachfrage nach Pentestern in Unternehmen steigt, mangelt es an talentierten Fachkr\u00e4ften. Wenn Sie Organisationen dabei unterst\u00fctzen m\u00f6chten, ihre Computersysteme zu verbessern, werden Sie ein Cyber-Experte. Doch zuerst m\u00fcssen Sie eine Ausbildung absolvieren<\/a>. Dank Liora<\/b> werden Sie in der Lage sein, alle Arten von Tests durchzuf\u00fchren, um gegen Hackerangriffe gewappnet zu sein.\n\n\n\n
Lerne Pentests zu verwenden<\/a><\/div><\/div>\n\nVulnerability Scan und Penetration Testing<\/h3>\nIm Bereich der Cybersicherheit k\u00f6nnen Unternehmen eine Reihe von Tests durchf\u00fchren, um die Sicherheit ihrer IS zu verst\u00e4rken. Einer der gel\u00e4ufigsten ist der Vulnerability Scan. Das Ziel ist die Aufdeckung von Schwachstellen im IT-System<\/a>. \u00c4hnlich dem Penetration Testing.\n\nTats\u00e4chlich ist es aber etwas anders. Einerseits, weil Vulnerability Scanner automatisierte Werkzeuge sind<\/b>, die g\u00e4ngige Schwachstellen in einem Netzwerk oder einer Anwendung analysieren. Im Gegensatz dazu stellt Penetration Testing eine detaillierte und manuelle Analyse jeder Schwachstelle dar. Das erlaubt es, Vulnerabilit\u00e4ten zu identifizieren, die von automatisierten Systemen nicht erfasst werden k\u00f6nnen.\n\nAndererseits identifizieren Vulnerability Scanner nur Schwachstellen<\/b>. Sie nutzen diese nicht vollst\u00e4ndig aus, um alle ihre Ver\u00e4stelungen zu verstehen. Im Gegensatz dazu wirkt Penetration Testing wie ein echter Cyberangriff. Es wird in der Lage sein, alle Arten von Schwachstellen zu identifizieren, aber auch deren Auswirkungen und Nebeneffekte zu verstehen.\n\nDas bedeutet jedoch nicht, dass auf Vulnerability Scans verzichtet werden sollte. Es ist ein kosteng\u00fcnstigerer erster Schritt und einfacher zu implementieren, der es Unternehmen erm\u00f6glicht, ein grundlegendes Sicherheitsniveau aufrechtzuerhalten.\n
Vulnerability Scan und Penetration Testing<\/h3>\nIm Bereich der Cybersicherheit k\u00f6nnen Unternehmen eine Reihe von Tests durchf\u00fchren, um die Sicherheit ihrer IS zu verst\u00e4rken. Einer der gel\u00e4ufigsten ist der Vulnerability Scan. Das Ziel ist die Aufdeckung von Schwachstellen im IT-System<\/a>. \u00c4hnlich dem Penetration Testing.\n\nTats\u00e4chlich ist es aber etwas anders. Einerseits, weil Vulnerability Scanner automatisierte Werkzeuge sind<\/b>, die g\u00e4ngige Schwachstellen in einem Netzwerk oder einer Anwendung analysieren. Im Gegensatz dazu stellt Penetration Testing eine detaillierte und manuelle Analyse jeder Schwachstelle dar. Das erlaubt es, Vulnerabilit\u00e4ten zu identifizieren, die von automatisierten Systemen nicht erfasst werden k\u00f6nnen.\n\nAndererseits identifizieren Vulnerability Scanner nur Schwachstellen<\/b>. Sie nutzen diese nicht vollst\u00e4ndig aus, um alle ihre Ver\u00e4stelungen zu verstehen. Im Gegensatz dazu wirkt Penetration Testing wie ein echter Cyberangriff. Es wird in der Lage sein, alle Arten von Schwachstellen zu identifizieren, aber auch deren Auswirkungen und Nebeneffekte zu verstehen.\n\nDas bedeutet jedoch nicht, dass auf Vulnerability Scans verzichtet werden sollte. Es ist ein kosteng\u00fcnstigerer erster Schritt und einfacher zu implementieren, der es Unternehmen erm\u00f6glicht, ein grundlegendes Sicherheitsniveau aufrechtzuerhalten.\nWelche verschiedenen Typen von Intrusionstests gibt es?<\/h2>\nAngesichts der Komplexit\u00e4t eines Informationssystems k\u00f6nnen Pentests auf unterschiedlichen Zielobjekten durchgef\u00fchrt werden. Deshalb teilt man sie in mehrere Arten ein. Hier die gebr\u00e4uchlichsten:\n\n \t- Penetrationstest eines internen Netzwerks:<\/b> Dabei geht es um Server, Netzwerkger\u00e4te, Arbeitsstationen, WLANs, Active Directory und mehr. Ziel ist die Bewertung der Sicherheit des internen Netzwerks aus der Perspektive eines Angreifers, der es infiltriert hat.<\/li>\n \t
- Penetrationstest einer Webanwendung:<\/b> Hierbei werden Schwachstellen in der Konfiguration der Infrastrukturen, die die Dienste hosten (Server, Cloud-Umgebungen), gesucht.<\/li>\n \t
- Penetrationstest einer mobilen Anwendung:<\/b> Dieser umfasst eine statische und eine dynamische Analyse der Anwendung. Die statische Analyse hilft dabei, Elemente f\u00fcr Reverse-Engineering-Versuche zu extrahieren. Die dynamische Analyse zielt darauf ab, in laufenden Anwendungen (Runtime) Schwachstellen zu finden.<\/li>\n \t
- Penetrationstest einer API:<\/b> Kann eigenst\u00e4ndig durchgef\u00fchrt oder in den Rahmen eines Penetrationstests einer Web- oder mobilen Anwendung integriert werden. Diese Art von Schnittstelle hat spezifische Schwachstellen wie gebrochene Authentifizierung, unbegrenzter Ressourcenverbrauch, Serverseitige Anfragenf\u00e4lschung, etc.<\/li>\n \t
- Penetrationstests von IoT-Systemen und verbundenen Objekten:<\/b> Hier werden alle Schichten des IoT-\u00d6kosystems analysiert, einschlie\u00dflich Hardware, Firmware, Kommunikationsprotokolle, Server, Webanwendungen und mobile Apps.<\/li>\n<\/ul>\n\n\nLass Dich bei Liora ausbilden<\/a><\/div><\/div>\n\n
Welche Methodik gibt es f\u00fcr die Durchf\u00fchrung eines Pentests?<\/h2>\n3 Methoden des Penetration Testing<\/h3>\nBevor wir uns die einzelnen Schritte des Penetration Testing ansehen, ist es wichtig zu wissen, dass Intrusionstests auf drei verschiedene Arten durchgef\u00fchrt werden k\u00f6nnen:\n\n \t- Der Blackbox-Pentest:<\/b> Dem Pentester sind keine Daten des Informationssystems bekannt. Er befindet sich in der Position einer Person, die au\u00dferhalb des Unternehmens steht.<\/li>\n \t
- Der Greybox-Pentest:<\/b> Der Pentester hat Zugang zu einigen, aber nicht allen Informationen. Beispielsweise zu bestimmten Benutzerkonten.<\/li>\n \t
- Der Whitebox-Pentest:<\/b> Der Pentester hat Zugang zu s\u00e4mtlichen verf\u00fcgbaren Daten, einschlie\u00dflich Quellcode und Administrator-Account des Informationssystems.<\/li>\n<\/ul>\nEs ist m\u00f6glich, Tests unter Anwendung dieser verschiedenen Ans\u00e4tze durchzuf\u00fchren. Das erm\u00f6glicht eine Vorbereitung gegen alle Typen von Angriffen.\n
Die 8 Schritte des Penetration Testing<\/h3>\nUm einen Pentest erfolgreich durchzuf\u00fchren, muss der Cyber-Experte einen genauen Plan mit 8 Schritten verfolgen:\n\n \t- Zielerkennung:<\/b> Hier werden Daten gesammelt, die mit dem Typ des Tests (Netzwerk, API, Anwendung, …) und dem festgelegten Ziel verbunden sind.<\/li>\n \t
- Das Mapping:<\/b> Dabei handelt es sich um die Kartierung des Informationssystems, um eine Bestandsaufnahme der Verm\u00f6genswerte zu erstellen.<\/li>\n \t
- Schwachstellen identifizieren:<\/b> Der Pentester analysiert die Schwachstellen des IS.<\/li>\n \t
- Die Ausnutzung:<\/b> Der Pentester nutzt die identifizierten Schwachstellen aus und bewertet ihre Kritikalit\u00e4t.<\/li>\n \t
- Privilegienerweiterung:<\/b> Der Pentester agiert wie ein echter Cyberkrimineller, um vor\u00fcbergehend Administrationsrechte zu erlangen. Dies erm\u00f6glicht ihm, tiefergehende Angriffe durchzuf\u00fchren.<\/li>\n \t
- Die Verbreitung:<\/b> Ziel ist das Verst\u00e4ndnis des Ausma\u00dfes der Schwachstelle.<\/li>\n \t
- Das Aufr\u00e4umen:<\/b> Das System wird gereinigt und in seinen Ursprungszustand zur\u00fcckversetzt.<\/li>\n \t
- Der Bericht:<\/b> Der Pentester dokumentiert alle w\u00e4hrend des Tests durchgef\u00fchrten Aktionen und gibt Empfehlungen zur Behebung der Schwachstellen.<\/li>\n<\/ul>\nF\u00fcr jeden dieser Schritte benutzt der Pentester eine Vielzahl von Werkzeugen, darunter Burp Suite<\/b>, Kali Linux<\/b>, Metasploit<\/b>, Hashcat<\/b>, Nmap<\/b>, Ettercap<\/b>, SQLmap<\/b> und andere.\n
Werden Sie zum Pentester mit Liora<\/h2>\nW\u00e4hrend die Nachfrage nach Pentestern in Unternehmen steigt, mangelt es an talentierten Fachkr\u00e4ften. Wenn Sie Organisationen dabei unterst\u00fctzen m\u00f6chten, ihre Computersysteme zu verbessern, werden Sie ein Cyber-Experte. Doch zuerst m\u00fcssen Sie eine Ausbildung absolvieren<\/a>. Dank Liora<\/b> werden Sie in der Lage sein, alle Arten von Tests durchzuf\u00fchren, um gegen Hackerangriffe gewappnet zu sein.\n\n\n\n
- \n \t
- Penetrationstest eines internen Netzwerks:<\/b> Dabei geht es um Server, Netzwerkger\u00e4te, Arbeitsstationen, WLANs, Active Directory und mehr. Ziel ist die Bewertung der Sicherheit des internen Netzwerks aus der Perspektive eines Angreifers, der es infiltriert hat.<\/li>\n \t
- Penetrationstest einer Webanwendung:<\/b> Hierbei werden Schwachstellen in der Konfiguration der Infrastrukturen, die die Dienste hosten (Server, Cloud-Umgebungen), gesucht.<\/li>\n \t
- Penetrationstest einer mobilen Anwendung:<\/b> Dieser umfasst eine statische und eine dynamische Analyse der Anwendung. Die statische Analyse hilft dabei, Elemente f\u00fcr Reverse-Engineering-Versuche zu extrahieren. Die dynamische Analyse zielt darauf ab, in laufenden Anwendungen (Runtime) Schwachstellen zu finden.<\/li>\n \t
- Penetrationstest einer API:<\/b> Kann eigenst\u00e4ndig durchgef\u00fchrt oder in den Rahmen eines Penetrationstests einer Web- oder mobilen Anwendung integriert werden. Diese Art von Schnittstelle hat spezifische Schwachstellen wie gebrochene Authentifizierung, unbegrenzter Ressourcenverbrauch, Serverseitige Anfragenf\u00e4lschung, etc.<\/li>\n \t
- Penetrationstests von IoT-Systemen und verbundenen Objekten:<\/b> Hier werden alle Schichten des IoT-\u00d6kosystems analysiert, einschlie\u00dflich Hardware, Firmware, Kommunikationsprotokolle, Server, Webanwendungen und mobile Apps.<\/li>\n<\/ul>\n
\n\nLass Dich bei Liora ausbilden<\/a><\/div><\/div>\n\nWelche Methodik gibt es f\u00fcr die Durchf\u00fchrung eines Pentests?<\/h2>\n
3 Methoden des Penetration Testing<\/h3>\nBevor wir uns die einzelnen Schritte des Penetration Testing ansehen, ist es wichtig zu wissen, dass Intrusionstests auf drei verschiedene Arten durchgef\u00fchrt werden k\u00f6nnen:\n
- \n \t
- Der Blackbox-Pentest:<\/b> Dem Pentester sind keine Daten des Informationssystems bekannt. Er befindet sich in der Position einer Person, die au\u00dferhalb des Unternehmens steht.<\/li>\n \t
- Der Greybox-Pentest:<\/b> Der Pentester hat Zugang zu einigen, aber nicht allen Informationen. Beispielsweise zu bestimmten Benutzerkonten.<\/li>\n \t
- Der Whitebox-Pentest:<\/b> Der Pentester hat Zugang zu s\u00e4mtlichen verf\u00fcgbaren Daten, einschlie\u00dflich Quellcode und Administrator-Account des Informationssystems.<\/li>\n<\/ul>\nEs ist m\u00f6glich, Tests unter Anwendung dieser verschiedenen Ans\u00e4tze durchzuf\u00fchren. Das erm\u00f6glicht eine Vorbereitung gegen alle Typen von Angriffen.\n
Die 8 Schritte des Penetration Testing<\/h3>\nUm einen Pentest erfolgreich durchzuf\u00fchren, muss der Cyber-Experte einen genauen Plan mit 8 Schritten verfolgen:\n
- \n \t
- Zielerkennung:<\/b> Hier werden Daten gesammelt, die mit dem Typ des Tests (Netzwerk, API, Anwendung, …) und dem festgelegten Ziel verbunden sind.<\/li>\n \t
- Das Mapping:<\/b> Dabei handelt es sich um die Kartierung des Informationssystems, um eine Bestandsaufnahme der Verm\u00f6genswerte zu erstellen.<\/li>\n \t
- Schwachstellen identifizieren:<\/b> Der Pentester analysiert die Schwachstellen des IS.<\/li>\n \t
- Die Ausnutzung:<\/b> Der Pentester nutzt die identifizierten Schwachstellen aus und bewertet ihre Kritikalit\u00e4t.<\/li>\n \t
- Privilegienerweiterung:<\/b> Der Pentester agiert wie ein echter Cyberkrimineller, um vor\u00fcbergehend Administrationsrechte zu erlangen. Dies erm\u00f6glicht ihm, tiefergehende Angriffe durchzuf\u00fchren.<\/li>\n \t
- Die Verbreitung:<\/b> Ziel ist das Verst\u00e4ndnis des Ausma\u00dfes der Schwachstelle.<\/li>\n \t
- Das Aufr\u00e4umen:<\/b> Das System wird gereinigt und in seinen Ursprungszustand zur\u00fcckversetzt.<\/li>\n \t
- Der Bericht:<\/b> Der Pentester dokumentiert alle w\u00e4hrend des Tests durchgef\u00fchrten Aktionen und gibt Empfehlungen zur Behebung der Schwachstellen.<\/li>\n<\/ul>\nF\u00fcr jeden dieser Schritte benutzt der Pentester eine Vielzahl von Werkzeugen, darunter Burp Suite<\/b>, Kali Linux<\/b>, Metasploit<\/b>, Hashcat<\/b>, Nmap<\/b>, Ettercap<\/b>, SQLmap<\/b> und andere.\n
Werden Sie zum Pentester mit Liora<\/h2>\nW\u00e4hrend die Nachfrage nach Pentestern in Unternehmen steigt, mangelt es an talentierten Fachkr\u00e4ften. Wenn Sie Organisationen dabei unterst\u00fctzen m\u00f6chten, ihre Computersysteme zu verbessern, werden Sie ein Cyber-Experte. Doch zuerst m\u00fcssen Sie eine Ausbildung absolvieren<\/a>. Dank Liora<\/b> werden Sie in der Lage sein, alle Arten von Tests durchzuf\u00fchren, um gegen Hackerangriffe gewappnet zu sein.\n\n
\n\n - Das Mapping:<\/b> Dabei handelt es sich um die Kartierung des Informationssystems, um eine Bestandsaufnahme der Verm\u00f6genswerte zu erstellen.<\/li>\n \t
- Der Greybox-Pentest:<\/b> Der Pentester hat Zugang zu einigen, aber nicht allen Informationen. Beispielsweise zu bestimmten Benutzerkonten.<\/li>\n \t
- Penetrationstest einer Webanwendung:<\/b> Hierbei werden Schwachstellen in der Konfiguration der Infrastrukturen, die die Dienste hosten (Server, Cloud-Umgebungen), gesucht.<\/li>\n \t