> > PENETRAT

Zertifizierungslehrgang Technical Security Analyst: Penetrationstests & Security Assessments (PENETRAT)

Course Description Schedule
 

Who should attend

Im Seminar werden allgemeine Vorgehensweisen bei der Planung, Durchführung und Dokumentation von Security Assessments, Audits und Penetrationstests behandelt. Als Grundlage dienen neben zahlreichen Referenz-Standards (z.B. ISO 2700x) die Penetrationstest-Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und das international anerkannte Open Source Security Testing Methodology Manual (OSSTMM).

Prerequisites

Die Teilnehmer sollten über grundlegende Kenntnisse in Netzwerktechnologien und Betriebssysteme (Fokus Microsoft Windows) verfügen.

Course Objectives

Am 1. Kurstag werden v.a. theoretische Aspekte wie z.B. Planung, Durchführung von vor Ort Assessments und Dokumentation behandelt.

Der Schwerpunkt am 2. Tag liegt v.a. in der Durchführung von technischen Assessments und Pentests unter Normalbedingungen. Hierbei werden eine Vielzahl von Angriffen praktisch ausgeführt, die aus dem Internet gegen Systeme gerichtet werden können. Der Fokus liegt dabei auf der Erkennung und Bewertung von Sicherheitslücken und weniger im konkreten Einbrechen.

Am 3. Tag liegt der Schwerpunkt auf der Auswertung der am Vortag gewonnen Ergebnisse. Erfahrungsgemäß ist die Bedienung der Scanner nach einer guten und fundierten Einführung weniger problematisch als die nachfolgende Interpretation der Ergebnisse. Da der Abschlussbericht auch das Endergebnis (also das Produkt) eines Penetrationstests, Audits oder Assessments ist, müssen hier prägnant und nachvollziehbar alle Schwächen aufgelistet und bewertet werden. Darüber hinaus müssen Handlungsanweisungen zur Behebung der Schwächen präsentiert werden.

Der 4. Tag des technischen Teils beschäftigt sich mit den Besonderheiten und Ausnahmen. Hier hat der Teilnehmer die Möglichkeit, tiefergehende Werkzeuge kennen zu lernen, die über das Maß des normalen Audits hinausgehen.

Der 5. Tag befasst sich mit den rechtlichen Rahmenbedingungen von Security Assessments im Allgemeinen und Penetration Tests im Besonderen. Bei der technischen Ausführung von Security Assessments ist eine Vielzahl an rechtlichen Anforderungen zu beachten, um einer Strafbarkeit oder Schadensersatzpflicht entgegenzuwirken. Zusammen mit dem Teilnehmer werden die einschlägigen Strafrechtsnormen erörtert. Im Bereich des Zivilrechts werden häufige Haftungsfallen aufgezeigt und Lösungsmöglichkeiten zur Risikominimierung dargestellt. Es werden Wege der zivilrechtlichen Absicherung des Technical Security Analyst im Unternehmen und als Freiberufler aufgezeigt.

Course Content

1. Tag Theoretische Grundlagen

  • Assessment versus Audit
  • Referenz-Standards
  • Planung von Assessments & Audits
  • Durchführung von vor Ort Assessments
  • Bewertung
  • Ergebnis-Dokumentation
  • Auditierung nach ISO 27001
  • Einführung in das technische Penetrationstesting
  • Durchführung nach der BSI Penetrationstest-Studie
  • Durchführung nach dem OSSTMM

2. Tag Praxisübungen & Labs

  • Überblick: Tools & Test-Software
  • Scannen von Systemen
  • Sweepscan/Portscan
  • Vulnerability Scanner
  • Grundlegende Bedienung und Auswertung
  • Passwort-Cracking

3. Tag Praxisübungen & Labs

  • Fortgeschrittener Einsatz der Security Scanner
  • Anpassung an lokale Gegebenheiten
  • Erstauswertung und Nachaudit
  • Erkennen falscher Positiver und Negativer
  • Auflösen von widersprüchlichen Ergebnissen
  • Berichterstellung Empfehlungen

4. Tag Praxisübungen & Labs

  • Einsatz von "Hacker-Tools"
  • Bezugsquellen von Exploits
  • Anpassen an eigene Bedürfnisse
  • Grundideen bei der Entwicklung von Exploits
  • Fallstudien und aktuelle Beispiele
  • Teilprüfung Dauer 45 Minuten Multiple-Choice

Zum Einsatz kommen gängige Open Source Tools und kommerzielle Werkzeuge wie BSI BOSS, Metasploit, BackTrack, Nmap, Nessus, LanGard, Cain & Abel.

5. Tag Aktuelle rechtliche Betrachtung & Rechtsfallen

  • Einführung in das Recht der IT-Sicherheit
  • Maßgebliche Rechtsbereiche für Penetrationstests
  • Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
  • Datenschutz und informationelles Selbstbestimmungsrecht
    • Insb. datenschutzkonforme Protokollierung
  • Computerstrafrecht, insb.:
    • § 202a StGB "Ausspähen von Daten"
    • § 202b StGB "Abfangen von Daten"
    • § 202c StGB "Hackerparagraph"
    • § 204 StGB "Verwertung fremder Geheimnisse"
    • § 206 StGB "Verletzung des Post- oder Fernmeldegeheimnisses"
    • § 263 StGB "Computerbetrug"
    • § 303a StGB "Datenveränderung"
    • § 303b StGB "Computersabotage"
  • Schadensersatz
  • Arbeitsrechtliche Haftung
  • Teilprüfung Dauer 20 Minuten Multiple-Choice
Classroom Training

Duration 5 days

Price (excl. tax)
  • Germany: 2,990.- €
Dates and Booking
 
Click on town name to bookSchedule
Germany
30/01/2017 - 03/02/2017 Munich
03/04/2017 - 07/04/2017 Munich
26/06/2017 - 30/06/2017 Munich
31/07/2017 - 04/08/2017 Munich
09/10/2017 - 13/10/2017 Frankfurt
23/10/2017 - 27/10/2017 Munich
27/11/2017 - 01/12/2017 Munich
11/12/2017 - 15/12/2017 Munich