Penetration Testing simuliert reale Angriffe auf IT-Systeme, um Schwachstellen aufzudecken, bevor echte Angreifer sie ausnutzen. Dieser Kurs legt das methodische Fundament für strukturierte Penetrationstests und vermittelt die wichtigsten Techniken, Werkzeuge und rechtlichen Rahmenbedingungen. Teilnehmende lernen, wie professionelle Ethical Hacker denken und vorgehen.

Kursinhalt
1. Methodik, Phasen und rechtliche Grundlagen
  • Phasen eines Penetrationstests: Aufklärung, Scanning, Exploitation, Reporting
  • Abgrenzung von Black-Box, Grey-Box und White-Box Testing
  • Rechtliche Voraussetzungen, Auftragserteilung und Haftungsfragen

2. Reconnaissance und Informationsgewinnung
  • Passive Aufklärung mit OSINT-Techniken und öffentlichen Quellen
  • Aktives Scanning mit Nmap und ähnlichen Werkzeugen
  • Fingerprinting von Betriebssystemen und Diensten

3. Schwachstellenauswertung und Exploitation-Grundlagen
  • Analyse von Scan-Ergebnissen und Priorisierung von Angriffsvektoren
  • Einführung in Exploitation-Frameworks wie Metasploit
  • Häufige Angriffsklassen: SQL-Injection, Fehlkonfigurationen, schwache Credentials

4. Dokumentation, Reporting und Kommunikation
  • Aufbau eines professionellen Pentest-Berichts
  • Executive Summary vs. technischer Anhang
  • Empfehlungen formulieren und mit dem Auftraggeber kommunizieren

Berufliche Relevanz
  • IT-Sicherheitseinsteiger schaffen die Grundlage für eine Karriere im Bereich Offensive Security
  • System- und Netzwerkadministratoren verstehen Angriffswege und verbessern präventiv ihre Konfigurationen
  • Unternehmen erhalten durch interne Pentester eine kosteneffiziente und kontinuierliche Sicherheitsüberprüfung