In der Vorgehensweise – oder eigentlich bei dem Umfang der zur Verfügung gestellte Informationsbasis für den Penetrationstester – lassen sich in drei Varianten unterscheiden: Whitebox-, Greybox- und Blackbox-Pentest.  Der Blackbox-Pentest entspricht ziemlich genau der Informationsbasis von einem typischen externen Angreifer über das Internet. Er kennt nur sein Ziel, alle anderen Informationen muss er sich selbst … [Read more…]

Das beste Linux für Anfänger ist Debian GNU/Linux. Es ist meiner Meinung nach das beste Linux für Anfänger, die gerne lernen möchten, sowie für Experten. Es ist eine stabile Linux-Distribution auf der bekannte andere Distributionen wie Ubuntu oder Kali Linux aufsetzen, dabei ist Debian aber auch keine Hardcore-Distribution wie Gentoo Linux. Ich persönlich habe damals … [Read more…]

Die kosten eines Penetrationstests sind anhängig vom eingesetzten Zeitaufwand und dem aufgerufenen Tagessatz. Die Tagessätze für Penetrationstester sind überdurchschnittlich hoch und liegen zwischen 1.200€ und 2.000€, sofern es sich um einen seriösen Dienstleister für Penetrationstests handelt. Geringere Tagessätze weisen meist daraufhin, dass der jeweilige Anbieter eher versucht einen Schwachstellen-Scan als einen Penetrationstest zu verkaufen. Gutes … [Read more…]

Ein Penetrationstest ist im Prinzip ein strukturiert durchgeführter Angriff auf die IT-Infrastruktur eines Unternehms. Hierbei setzt ein Penetration Tester die gleichen Tools und Technicken ein, die auch ein Hacker in seinem Angriff verwendet. Allerdings unterscheidet sich dabei die Zielstellung zwischen einem böswilligen Hacker und einem professionellem Penetrationstester. Ein Hacker versucht in der Regel in ein … [Read more…]

Penetrationstests sind für Betreiber kritischer Infrastrukturen verpflichtend. Im BSI-Gesetz unter dem Paragraph „8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ werden Unternehmen verpflichtet, angemessene organisatorische und technische Maßnahmen zum Schutz ihrer kritischen Infrastruktur zu treffen: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber … [Read more…]

Das Content Security Program der Motion Picture Association (MPA) legt in ihren Content Security Best Practices Common Guidelines (Version 4.10 vom 8. Februar 2022) Sicherheitsanforderungen in drei Bereichen fest: Management System Physical Security Digital Security In den Anforderungen an das Management System wird in der Nummer MS-2.1 in der Kategorie Risk Management die Durchführung von … [Read more…]

Die „Mindestsicherheitsanforderungen an dezentrale Portale und Zulassungsbehörden“ zur „internetbasierten Fahrzeugzulassung (i-Kfz)“ vom Kraftfahrt-Bundesamt (KBA) sind außerordentlich umfangreich. Sie beinhalten neben der Architektur des i-Kfz-Systems, seiner Schnittstellen und daraus abgeleiteten Sicherheitsanfordeurngen unter anderem auch Anforderungen an die Durchführung eines Penetrationstests. Zur Prüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen verlangt das KBA als Penetrationstest die Durchführung von: IS-Kurzrevision … [Read more…]