:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Definition „Pentesting“ Was ist Penetration Testing?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Penetration Testing ist ein Prozess, bei dem Cyberangriffe auf das eigene System simuliert werden. Durch diesen kontrolliert durchgeführten Angriff erhalten Developer, IT-Betrieb und Sicherheitsabteilung einen Einblick in die Systemsicherheit.
Penetration Testing (oder kurz Pentesting bzw. Pen Testing) ist ein Prozess, mit dem ein Cyberangriff gegen das eigene System simuliert wird. Das Ziel dieses kontrolliert durchgeführten und überwachten Angriffes ist es, möglichst viele Daten zu sammeln und Schwachstellen in der Sicherheit aufzudecken.
Dabei bezeichnet Penetration Testing keinen vordefinierten Vorgang, um diesen Angriff zu simulieren, sondern ist vielmehr ein Überbegriff, um unterschiedliche praktische Angriffsmethoden zusammenzufassen. Zudem sollte der Pen Test von einem Vulnerability Assessment getrennt werden, da Letzteres vor allem ein Scan und eine Einschätzung der Sicherheitsmechanismen darstellt.
Im Gegensatz dazu führt ein Penetration Test tatsächlich den Angriff unter beobachteten Rahmenbedingungen durch. Eng verwandt mit dem Begriff des Pen Tests ist Ethical Hacking, schließlich handelt es sich auch beim Penetration Testing um einen ethisch durchgeführten Hack. Dieser unterscheidet sich noch einmal von Hacktivism und White-Hat-Hacks durch die vorher eingegangene Vereinbarung zwischen Unternehmen und Angreifern.
Natürlich kann ein Pen Test auch unternehmensintern durchgeführt werden. In vielen Ländern (auch in der gesamten DACH-Region) ist Penetration Testing nur dann legal, wenn testende und durchführende Parteien den Test genau definiert und freigegeben haben.
Wie sieht Penetration Testing in der Praxis aus?
Um sicheres Penetration Testing in der Praxis zu ermöglichen, um verwertbare Daten aus einem Angriff zu ziehen und um sicherzustellen, dass das Netzwerk nicht gefährdet wird und es zu einem unbeabsichtigten DoS kommt, sollten unterschiedliche Stufen des Pen Tests eingehalten werden.
Aufklärung und Planung
Im ersten Schritt eines Pen Tests wird festgelegt, welches System bzw. welche Systeme für den Test angegriffen werden und in welchem Umfang die Angriffe stattfinden. Auch hier stellen sich nicht nur technische, sondern auch rechtliche Fragen, da Pen Tests von Unternehmen nur zu eigenen Netzen oder Systemen freigegeben werden dürfen.
Auf technischer Seite müssen Hacker*innen sich relevante Informationen zu den festgelegten Systemen beschaffen, ein Verständnis für die Funktionsweise vom System zu entwickeln und potentielle Schwachstellen auszunutzen.
Scans und Untersuchungen
In der Folge werden statische und dynamische Analysen genutzt, um den Code und die Funktionsweise in Echtzeit zu untersuchen. Die statische Code-Analyse gibt dabei einen theoretischen Einblick, die dynamische Analyse ist detaillierter, da sie den tatsächlichen Status im Betrieb wiedergibt.
Einmaliger Zugriff
Durch den Einsatz von Hintertürchen, Web Applications, Cross-Site Scripting oder eine SQL-Injektion sollen nun Schwachstellen aufgezeigt werden. Diese werden daraufhin ausgenutzt, um Traffic abzufangen, Daten abzugreifen und Nutzerprivilegien auszuweiten. In diesem Schritt entsteht ein genaueres Bild darüber, wie viel Schaden Hacker*innen mit Kenntnis der Schwachstellen tatsächlich anrichten könnten.
Dauerhafter Zugriff
Anders als beim einmaligen Zugriff soll dieser Testschritt genau prüfen, ob der Zugriff aufrecht erhalten werden kann und wie tief Sicherheitslücken tatsächlich reichen. Hierdurch sollen Advanced Persistent Threats (APTs) simuliert werden, die in der Praxis Monate an Unternehmensdaten abgreifen und selbst sensibelste Informationen stehlen können.
Analyse
Schlussendlich müssen die Daten zusammengetragen werden, um festzustellen, welche Lücken ausgenutzt wurden, auf welche Daten Zugriff bestand und wie lange der Zugriff aufrecht erhalten werden konnte.
Besonderheiten im Penetration Testing
Die Simulation einer Cyberattacke folgt ihren eigenen Gesetzmäßigkeiten und zur Simulation gehören auch unterschiedliche Parameter im Pen Test. Beispielsweise kann der Angriff extern erfolgen, also als Cyberangriff auf von außen sichtbare Stellen eines Systems, oder aber intern, als Simulation eines böswilligen Angestellten oder durch Phishing erbeuteter Zugriffsdaten.
Auch die Sicherheitsabteilungen können auf unterschiedliche Arten eingebunden werden: Bei einem targetierten Test weiß die IT-Sicherheit um den simulierten Angriff und kann sich koordinieren und trainieren. In einem Blind Test hat die IT-Sicherheit nur Kenntnis über das Unternehmen, das Ziel des Pen Tests ist, ein Double-Blind Test erfolgt gänzlich ohne vorherige Warnung.
Eine besondere Unterkategorie des Penetration Testings, die hier nicht unerwähnt bleiben soll, ist der physische Zugriff. Zwar trifft dies nicht auf alle Unternehmen zu, doch in vielen Firmen ist der einfachste Zugriff auf die IT-Infrastruktur über den Zugang zum Gebäude und das Erschleichen von Passwörtern und Zugängen.
Viele Unternehmen haben daher ein berechtigtes Interesse, ihre Sicherheit auch durch einen physischen Penetration Test analysieren zu lassen. Was schließlich nutzt eine perfekte Systeminfrastruktur, wenn der Serverraum offensteht und das VPN-Passwort auf einer Notiz in der Cafeteria klebt?
Gutes Penetration Testing ist daher in der Praxis wie ein Feueralarm für Systeme. Mit dem Pen Test werden Sicherheitsmechanismen erprobt und Schwachstellen erforscht, auch die Reaktion der IT-Sicherheit kann in Echtzeit analysiert werden. So entstehen in der Summe nicht nur sicherere Programme, sondern auch Handlungsempfehlungen für Mitarbeiter*innen, um Systeme und Netzwerke auf allen Ebenen sicherer zu machen.
(ID:47261150)
:quality(80)/p7i.vogel.de/wcms/5e/a2/5ea28a6d6bb69ad3e1dd5a46c51fddd3/0108517763.jpeg "Synopsys hat den „Software Vulnerability Snapshot: The 10 Most Common Web Application Vulnerabilities“ veröffentlicht. (Bild: Synopsys)")
:quality(80)/p7i.vogel.de/wcms/51/7e/517e5563efec9ef7faa9894ac9a5e9f8/0108475118.jpeg "Auch wenn Developer knapp sind und ihre Arbeitszeit teuer ist, sprechen viele Gründe dafür, dass man Training für Penetrationstests in ihr Curriculum aufnimmt. (Bild: ONYXprj - stock.adobe.com)")