Penetrationstest - Planung, Durchführung, Assessments - Seminar / Kurs von CBT Training & Consulting GmbH

Planung, Durchführung und Dokumentation von Security Assessments, Security Audits und Penetrationstests inklusive 5. Tag IT-Rechtstag: Aktuelle rechtliche Betrachtung & Rechtsfallen mit Rechtsurteilen / Referent Rechtsanwalt

Inhalte

Zum Einsatz kommen gängige Open Source Tools und kommerzielle Werkzeuge wie KALI Linux, Metasploit Framework, Nmap, Nessus, Wmap, Nikto u.a.

  • Tag 1 - 4: Einführung Pentesting
    • Inhaltsübersicht
      • Theoretische Grundlagen
      • Umgang mit den technischen Werkzeugen
      • Best Practices und Vorgehensmodelle
      • Übungen und Labs
    • Theoretische Grundlagen
      • Arten von Sicherheitsprüfungen
      • Kennzeichnende Eigenschaften dieser Sicherheitsprüfungen
      • Security Audit
      • Vulnerability Assessment
      • Penetrationstest
      • Source Code Analyse und Reverse Engineering
      • Informationsquellen und Internet-Recherche
      • Phasenmodell für das Vorgehen
      • Einführung in das technische Penetrationstesting / Vorbereitung eines Penetrationstests
    • Technische Werkzeuge und deren Gebrauch
      • KALI Linux mit diversen Tools
      • Tenable Nessus und OpenVAS
      • Wmap und Nikto
      • Password-Cracking
      • Grundlagen Metasploit
    • Praxisübungen & Labs nach Phasen
      • Footprinting: Vorgehen und Werkzeuge
      • Scanning: Vorgehen und Werkzeuge
      • Enumeration: Vorgehen und Werkzeuge
      • Exploitation: Vorgehen und Werkzeuge
      • Post-Entry: Datensammlung und Beweissicherung
    • Praxisübungen & Labs am Beispiel
      • Durchführen der Phasen innerhalb der Laborumgebung
      • Durchführen der Phasen in der Praxis
      • Anpassung an lokale Gegebenheiten
      • Datensammlung und -korrelation
      • Erkennen falscher Positiver und falscher Negativer
      • Auflösen von widersprüchlichen Ergebnissen
      • Empfehlungen zur Berichterstellung
    • Durchführung nach der BSI Penetrationstest-Studie
      • Aufbau und Inhalt der Penetrationsteststudie
      • Folgerungen für das eigene Vorgehen
      • Stärken und Schwächen des Modells
      • Durchführung nach Penetrationsteststudie
    • Durchführen und Vorgehen nach OSSTMM
      • Aufbau und Inhalt des Manuals
      • Reporting Templates
      • Risk Assessment Value
      • Folgerungen für das eigene Vorgehen
      • Stärken und Schwächen des Manuals
      • Durchführung nach dem OSSTMM
    • OPTIONAL Erste Teilprüfung: Dauer 45 Minuten, Multiple-Choice
  • Tag 5: Aktuelle rechtliche Betrachtung & Rechtsfallen mit Rechtsurteilen / Referent Rechtsanwalt
    • Einführung in das Recht der IT-Sicherheit
    • Technische, organisatorische, strategische und rechtliche Aspekte der IT-Sicherheit
    • Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
    • IT-Compliance im Detail
    • Datenschutz BDSG und informationelles Selbstbestimmungsrecht
    • IT-Sicherheit und Hackertools
    • Maßgebliche Rechtsbereiche für Penetrationstests u.a.
      • § 202a StGB "Ausspähen von Daten"
      • § 202b StGB "Abfangen von Daten"
      • § 202c StGB "Hackerparagraph"
      • § 204 StGB "Verwertung fremder Geheimnisse"
      • § 206 StGB "Verletzung des Post- oder Fernmeldegeheimnisses"
      • § 263 StGB "Computerbetrug"
      • § 303a StGB "Datenveränderung"
      • § 303b StGB "Computersabotage"
    • Insbesondere datenschutzkonforme Protokollierung / Logfiles
    • Lösungsansätze
    • OPTIONAL: Zweite Teilprüfung: Dauer 20 Minuten Multiple-Choice

Lernziele

Im Seminar werden allgemeine Vorgehensweisen bei der Planung, Durchführung und Dokumentation von Security Assessments, Security Audits und Penetrationstests behandelt. Als Grundlage dienen neben zahlreichen Referenz-Standards (z.B. ISO 2700x) die Penetrationstest-Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und das international anerkannte Open Source Security Testing Methodology Manual (OSSTMM).

  • Am 1. Kurstag werden v.a. theoretische Aspekte wie z.B. Planung, Durchführung von vor Ort Assessments und Dokumentation behandelt.
  • Der Schwerpunkt am 2. Tag liegt u.a. in der Durchführung von technischen Assessments und Penetrationstests unter Normalbedingungen. Hierbei werden eine Vielzahl von Angriffen praktisch ausgeführt, die aus dem Internet gegen Systeme gerichtet werden können. Der Fokus liegt dabei auf der Erkennung und Bewertung von Sicherheitslücken und weniger im konkreten Einbrechen.
  • Am 3. Tag liegt der Schwerpunkt auf der Auswertung der am Vortag gewonnen Ergebnisse. Erfahrungsgemäß ist die Bedienung der Scanner nach einer guten und fundierten Einführung weniger problematisch als die nachfolgende Interpretation der Ergebnisse. Da der Abschlussbericht auch das Endergebnis (also das Produkt) eines Penetrationstests, Audits oder Assessments ist, müssen hier prägnant und nachvollziehbar alle Schwächen aufgelistet und bewertet werden. Darüber hinaus müssen Handlungsanweisungen zur Behebung der Schwächen präsentiert werden.
  • Der 4. Tag des technischen Teils beschäftigt sich mit den Besonderheiten und Ausnahmen. Hier hat der Teilnehmer die Möglichkeit, tiefergehende Werkzeuge kennen zu lernen, die über das Maß des normalen Audits hinausgehen.
  • Der 5. Tag befasst sich mit den rechtlichen Rahmenbedingungen von Security Assessments im Allgemeinen und Penetration Tests im Besonderen. Bei der technischen Ausführung von Security Assessments ist eine Vielzahl an rechtlichen Anforderungen zu beachten, um einer Strafbarkeit oder Schadensersatzpflicht entgegenzuwirken. Zusammen mit dem Teilnehmer werden die einschlägigen Strafrechtsnormen erörtert. Im Bereich des Zivilrechts werden häufige Haftungsfallen aufgezeigt und Lösungsmöglichkeiten zur Risikominimierung dargestellt. Es werden Wege der zivilrechtlichen Absicherung des Technical Security Analyst im Unternehmen und als Freiberufler aufgezeigt.

Zielgruppen

IT-Manager, Führungskräfte und Mitarbeiter des IT-Sicherheitsmanagements, Leiter der IT-Sicherheit, zukünftige IT-Sicherheitsbeauftragte, Systemadministratoren, Penetrationstester sowie Mitarbeiter der IT die diese Funktionen übernehmen sollen.

Termine und Orte

Datum Dauer Preis
München, DE
02.12.2019 - 06.12.2019 40 h Jetzt buchen ›
10.02.2020 - 14.02.2020 40 h Jetzt buchen ›
02.03.2020 - 06.03.2020 40 h Jetzt buchen ›

SG-Seminar-Nr.: 5284331

Termine

  • 02.12.2019 - 06.12.2019

    München, DE

  • 10.02.2020 - 14.02.2020

    München, DE

  • 02.03.2020 - 06.03.2020

    München, DE

Preise inkl. MwSt. Es können Gebühren anfallen. Für eine exakte Preisauskunft wählen Sie bitte einen Termin aus.

Jetzt buchen ›
Seminar merken ›

Semigator berücksichtigt

  • Frühbucher-Preise
  • Last-Minute-Preise
  • Gruppenkonditionen

und verfügt über Sonderkonditionen mit einigen Anbietern.

Der Anbieter ist für den Inhalt verantwortlich.

Über Semigator mehr erfahren

  • Anbietervergleich von über 1.500 Seminaranbietern
  • Vollständige Veranstaltungsinformationen
  • Schnellbuchung
  • Persönlicher Service
Datum Dauer Preis
München, DE
02.12.2019 - 06.12.2019 40 h Jetzt buchen ›
10.02.2020 - 14.02.2020 40 h Jetzt buchen ›
02.03.2020 - 06.03.2020 40 h Jetzt buchen ›