Penetrationstests: Professionelle Angriffsszenarien im Workshop selbst durchführen

Firewall-Admins wiegen sich oft in trügerischer Sicherheit

Netzwerksicherheit ist ein großes Wort. Administratoren begegnen ihr gewöhnlich mit einer Firewall, mit dem Ziel, Zugriffe durch nicht autorisierte Personen zu untersagen. Dass diese Sicherheit trügerisch sein kann, zeigen gezielt durchgeführte Penetrationstests. Damit lassen sich Schwachstellen und Fehler identifizieren, potenzielle Angriffspunkte aufdecken und geeignete Maßnahmen ableiten.

Penetrationstest als Teil der IT-Sicherheitsstrategie

Dabei soll ein Penetrationstest den Einsatz einer Firewall keineswegs in Frage stellen. Aber er kann deutlich aufzeigen, dass ihre Schutzfunktion im Netzwerk kein Allheilmittel ist. Provozierend formuliert: Eine Firewall macht kein Firmennetzwerk wirklich sicher, im Prinzip reguliert sie doch lediglich den Netzwerkverkehr. Zu einer effizienten IT-Sicherheit im Unternehmen gehört mehr — im besten Fall das Verständnis für die Techniken der Angreifer und das Wissen um geeignete Instrumente.

Die Workshop-Teilnehmer vollziehen detailliert mögliche Hackerangriffe nach.

Die Workshop-Teilnehmer vollziehen detailliert mögliche Hackerangriffe nach.

Know your enemy

Angriffe auf Firmennetzwerke finden täglich statt. Da IT aber keine statische Wissenschaft ist, bei der das einmal Geleistete für immer gilt, ist es ebenso nötig, die verantwortlichen Mitarbeiter mit entsprechenden Workshops weiterzubilden. Aus vielen Gesprächen mit unseren Kunden wissen wir, welchen Herausforderungen IT-Administratoren gegenüberstehen. Auf dieser Basis und mit viel Erfahrung im Rücken haben wir einen Workshop entwickelt, der das Thema IT-Sicherheit grundsätzlich einerseits und technisch-spezifisch andererseits anpackt.

Ziel solcher Trainings ist es, den Teilnehmern das nötige Rüstzeug an die Hand zu geben, um Angriffen vorzubeugen oder zu begegnen. Zudem — und das ist fast noch wichtiger — soll der Blickwinkel der Beteiligten erweitert und ihnen ein Grundverständnis vermittelt werden, wie Angreifer ticken und mit welcher Ausstattung sie zu Werke gehen.

Hacken in einer lebensnahen Laborumgebung

Die viertägigen Workshops von mod IT Services richten sich gleichermaßen an Administratoren, Webentwickler und technisch versierte IT-Entscheidungsträger. Der letzte Workshop fand im September 2016 in Kassel statt. Unter dem Titel „Pentesting Basics für Verteidiger“ erwartet die Teilnehmer weder trockene Theorie im abgedunkelten Konferenzraum noch ein Ordner voller ausgedruckter Präsentationsfolien: Ganz praktisch lernen die Teilnehmer auf einem präparierten Server von einem Kali Linux System aus in einer virtuellen Umgebung verschiedene Angriffstechniken, mit denen es Hackern gelingt, Sicherheitsmaßnahmen zu umgehen. Schwachstellen werden gescannt und selbst Nutzerverhalten wird simuliert, um dem Szenario ein möglichst echtes Erscheinungsbild zu verleihen.

Als spannenden Abschluss dürfen sich die Teilnehmer als Hacker profilieren und ihre Gegenspieler in einer Art Capture-the-Flag-Wettbewerb ausstechen. Wer sein eigenes Notebook und eine Kali-VM nutzt, kann die im Workshop erarbeitete Umgebung mitnehmen und im Nachhinein beliebig weiter experimentieren.

Anmeldungen zum nächsten Pentest-Workshop sind bereits möglich.

Nächster Pentest-Workshop im Mai 2017

Das Feedback der bisherigen Teilnehmer war ausnahmslos positiv — darüber freuen wir uns sehr. Uns ist es wichtig, dass die Teilnehmer praxisrelevantes und anwendbares Wissen mitnehmen. Fast ebenso viel Wert legen wir auf eine angenehme Schulungsumgebung und kleine Gruppen. Der nächste Hands-on-Workshop „Pentesting Basics für Verteidiger“ ist für Mitte Mai geplant. Zudem soll ein Fortgeschrittenen-Workshop stattfinden, der die Materie noch tiefer beleuchtet.

Mir bleibt nur, daran zu appellieren, die IT-Sicherheit des Unternehmens nicht einer Firewall allein zu überlassen. Aus der Sicht von Hackern bilden diese kein wirkliches Hindernis. Aufgabe der IT-Sicherheitsverantwortlichen ist es, Angreifern einen Schritt voraus zu sein.

Weitere Informationen zum Workshop: https://www.it-mod.de/hacking-workshop-kassel/