Anbieterbeschreibung…

Voraussetzungen: Die Teilnehmer sollten über grundlegende Kenntnisse in Netzwerktechnologien und Betriebssysteme (Fokus Microsoft Windows) verfügen.

Lehrgang-Inhalte

Im Seminar werden allgemeine Vorgehensweisen bei der Planung, Durchführung und Dokumentation von Security Assessments, Audits und Penetrationstests behandelt. Als Grundlage dienen neben zahlreichen Referenz-Standards (z. B. ISO 2700x) die Penetrationstest-Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und das international anerkannte Open Source Security Testing Methodology Manual (OSSTMM).

Am 1. Kurstag werden v. a. theoretische Aspekte wie z. B. Planung, Durchführung von vor Ort Assessments und Dokumentation behandelt.

Der Schwerpunkt am 2. Tag liegt v. a. in der Durchführung von technischen Assessments und Pentests unter Normalbedingungen. Hierbei werden eine Vielzahl von Angriffen praktisch ausgeführt, die aus dem Internet gegen Systeme gerichtet werden können. Der Fokus liegt dabei auf der Erkennung und Bewertung von Sicherheitslücken und weniger im konkreten Einbrechen.

Am 3. Tag liegt der Schwerpunkt auf der Auswertung der am Vortag gewonnen Ergebnisse. Erfahrungsgemäß ist die Bedienung der Scanner nach einer guten und fundierten Einführung weniger problematisch als die nachfolgende Interpretation der Ergebnisse. Da der Abschlussbericht auch das Endergebnis (also das Produkt) eines Penetrationstests, Audits oder Assessments ist, müssen hier prägnant und nachvollziehbar alle Schwächen aufgelistet und bewertet werden. Darüber hinaus müssen Handlungsanweisungen zur Behebung der Schwächen präsentiert werden.

Der 4. Tag des technischen Teils beschäftigt sich mit den Besonderheiten und Ausnahmen. Hier hat der Teilnehmer die Möglichkeit, tiefergehende Werkzeuge kennen zu lernen, die über das Maß des normalen Audits hinausgehen.

Der 5. Tag befasst sich mit den einschlägigen Strafrechtsnormen, welche bei der Durchführung eines Penetrationstests verletzt werden können. Ein besonderes Augenmerk wird dabei auf die durch das 6. Strafrechtsänderungsgesetz eingeführten "Hackerparagraphen" und die aktuelle Rechtsprechung gelegt. Im Bereich des Zivilrechts werden häufige Haftungsszenarien aufgezeigt und Lösungsmöglichkeiten besprochen. Anhand der Rechtslage wird mit den Teilnehmern erörtert, auf welche Besonderheiten bei dem Abschluss eines Vertrages zur Durchführung eines Penetrationstests geachtet werden muss.

1. Tag Theoretische Grundlagen

• Assessment versus Audit
• Referenz-Standards
• Planung von Assessments & Audits
• Durchführung von vor Ort Assessments
• Bewertung
• Ergebnis-Dokumentation
• Auditierung nach ISO 27001
• Einführung in das technische Penetrationstesting
• Durchführung nach der BSI Penetrationstest-Studie
• Durchführung nach dem OSSTMM

2. Tag Praxisübungen & Labs

• Überblick: Tools & Test-Software
• Scannen von Systemen
• Sweepscan/Portscan
• Vulnerability Scanner
• Grundlegende Bedienung und Auswertung
• Passwort-Cracking

3. Tag Praxisübungen & Labs

• Fortgeschrittener Einsatz der Security Scanner
• Anpassung an lokale Gegebenheiten
• Erstauswertung und Nachaudit
• Erkennen falscher Positiver und Negativer
• Auflösen von widersprüchlichen Ergebnissen
• Berichterstellung Empfehlungen

4. Tag Praxisübugnen & Labs

• Einsatz von "Hacker-Tools"
• Bezugsquellen von Exploits
• Anpassen an eigene Bedürfnisse
• Grundideen bei der Entwicklung von Exploits
• Fallstudien und aktuelle Beispiele

Zum Einsatz kommen gängige Open Source Tools und kommerzielle Werkzeuge wie BSI BOSS, Metasploit, BackTrack, Nmap, Nessus, LanGard, Cain & Abel.

5. Tag Aktuelle rechtliche Betrachtung & Rechtsfallen

• Einleitung
• IT-Security im Überblick
• IT-Compliance im Detail
• Rechtslage in Deutschland
• Maßgebliche Rechtsbereiche für Penetrationstests
• Lösungsansätze
• Behandelt werden unter anderem nachfolgende Paragraphen:
• Das 6. Strafrechtsänderungsgesetz § 202a StGB "Ausspähen von Daten"; § 202b StGB "Abfangen von Daten"; § 202c StGB "Vorbereiten des Ausspähens und Abfangens von Daten"; § 204 StGB "Verwertung fremder Geheimnisse"; § 303a StGB "Datenveränderung"; § 303b StGB "Computersabotage"; § 263 StGB "Computerbetrug"
• Art. 10 GG "Telekommunikationsgeheimnis"
• Bundesdatenschutzgesetz
• Zivilrechtliche Schadensersatznormen
• Arbeitsrechtliche Haftungsgrundsätze

1. - 4. Tag: Technical Security , MSCE Security (Master of Science in Communications Engineering)

5. Tag: Rechtsanwalt mit Tätigkeitsschwerpunkt IT-Recht und Datenschutz

Zielgruppen

IT-Manager, Führungskräfte und Mitarbeiter des IT-Sicherheitsmanagements, Leiter der IT-Sicherheit, zukünftige IT-Sicherheitsbeauftragte, Systemadministratoren, Penetrationstester sowie Mitarbeiter der IT die diese Funktionen übernehmen sollen.

Das Experten-Zertifikat ermöglicht es erfahrenen Beratern und Mitarbeitern im Umfeld der IT-Sicherheit, ihre Kompetenz eindeutig zu belegen.

Bitte beachten Sie, dass die Prüfungsgebühr von EUR 135,00 (netto) nicht im Seminarpreis enthalten ist. Bitte teilen Sie uns bei der Anmeldung mit, ob Sie an der Prüfung teilnehmen möchten.