Penttest-Workshop

Mit Penetrationstests Sicherheitslücken in IT-Systemen frühzeitig identifizieren und bewerten.

Dieser praxisorientierte Workshop bietet einen fundierten Einstieg in die Methodik professioneller Penetrationstests und vermittelt die grundlegenden Techniken, mit denen Sicherheitslücken in IT-Systemen identifiziert und bewertet werden. Im Mittelpunkt steht das praktische Verständnis des Vorgehens von Penetrationstestern sowie die Frage, wie Unternehmen Schwachstellen frühzeitig erkennen und gezielt beheben können.

Zu Beginn werden die verschiedenen Formen technischer Sicherheitsüberprüfungen voneinander abgegrenzt. Die Teilnehmenden lernen die Unterschiede zwischen Penetrationstests, Vulnerability Scanning, Security Assessments und Red Teaming kennen und erhalten einen Überblick darüber, wann welche Methode sinnvoll eingesetzt wird. Darüber hinaus werden die rechtlichen und ethischen Rahmenbedingungen professioneller Penetrationstests behandelt, einschließlich Verantwortlichkeiten, Freigaben und der Bedeutung eines klar definierten Testumfangs.

Ein weiterer Schwerpunkt liegt auf etablierten Standards und Frameworks wie dem OWASP Testing Guide, dem Penetration Testing Execution Standard (PTES) sowie dem MITRE ATT&CK Framework. Die Teilnehmenden erfahren, wie strukturierte Penetrationstests geplant, durchgeführt und dokumentiert werden und welche Phasen ein professioneller Pentest typischerweise umfasst – von der Informationsbeschaffung bis zur Berichterstellung.

Der praktische Teil des Workshops bildet den Schwerpunkt der Veranstaltung. Anhand vorbereiteter Übungssysteme werden die einzelnen Phasen eines Penetrationstests nachvollzogen. Die Teilnehmenden sammeln zunächst öffentlich verfügbare Informationen (Open Source Intelligence – OSINT), führen Netzwerk- und Dienstescans durch, identifizieren potenzielle Schwachstellen und bewerten deren Auswirkungen. Anschließend werden ausgewählte Sicherheitslücken kontrolliert ausgenutzt, um die Risiken nachvollziehbar zu demonstrieren und geeignete Gegenmaßnahmen abzuleiten.

Dabei kommen verschiedene etablierte Werkzeuge aus der Praxis zum Einsatz. Die Teilnehmenden arbeiten unter anderem mit Nmap zur Netzwerk- und Portanalyse, Wireshark zur Untersuchung von Netzwerkverkehr, OpenVAS zur automatisierten Schwachstellenanalyse, Nikto für Webserver-Scans sowie Metasploit zur Demonstration ausgewählter Exploitation-Techniken. Ergänzend werden Passwortsicherheit und Authentifizierungsmechanismen anhand von John the Ripper und Hydra betrachtet.

Neben den Angriffstechniken wird großer Wert auf die Bewertung der Ergebnisse gelegt. Die Teilnehmenden lernen, Schwachstellen zu priorisieren, Risiken realistisch einzuschätzen und geeignete Maßnahmen zur Absicherung und Härtung von Systemen abzuleiten. Ziel ist nicht das Erlernen offensiver Angriffe um ihrer selbst willen, sondern das Verständnis typischer Angriffsmethoden als Grundlage für eine wirksame Verteidigung.

Den Abschluss des Workshops bildet eine praxisnahe Capture-the-Flag-(CTF)-Challenge, in der die Teilnehmenden das erworbene Wissen anwenden und verschiedene Aufgaben aus den Bereichen Informationsbeschaffung, Schwachstellenanalyse und Exploitation lösen. Die Übungen fördern den sicheren Umgang mit den Werkzeugen sowie das strukturierte Vorgehen bei der Analyse technischer Sicherheitsprobleme.

Für den Workshop stellen wir speziell vorbereitete Laptops mit einer vorkonfigurierten Laborumgebung für bis zu 15 Teilnehmende bereit. Dadurch kann unmittelbar mit den praktischen Übungen begonnen werden, ohne dass eine eigene Installation oder Vorbereitung erforderlich ist.

Ziele des Workshops

Nach der Veranstaltung sind die Teilnehmenden in der Lage,

  • die verschiedenen Arten technischer Sicherheitsüberprüfungen voneinander abzugrenzen,
  • den Ablauf eines professionellen Penetrationstests zu verstehen,
  • grundlegende Methoden und Werkzeuge der Schwachstellenanalyse anzuwenden,
  • typische Angriffstechniken nachzuvollziehen und deren Risiken einzuschätzen,
  • Sicherheitslücken zu dokumentieren und geeignete Gegenmaßnahmen abzuleiten,
  • Ergebnisse von Vulnerability Scans kritisch zu bewerten sowie
  • grundlegende Maßnahmen zur Absicherung und Härtung von IT-Systemen umzusetzen.

Inhalte

  • Grundlagen des Penetration Testings
  • Abgrenzung zu Vulnerability Scanning, Security Assessments und Red Teaming
  • Rechtliche und ethische Grundlagen
  • Standards und Frameworks (OWASP Testing Guide, PTES, MITRE ATT&CK)
  • Methodik und Phasen eines Penetrationstests
  • Open Source Intelligence (OSINT)
  • Netzwerk- und Portscanning
  • Dienst- und Systemenumeration
  • Automatisierte Schwachstellenanalyse
  • Webserver- und Webanwendungsanalyse
  • Grundlagen der Exploitation
  • Passwortangriffe und Authentifizierungssicherheit
  • Netzwerkanalyse und Sniffing
  • Dokumentation und Bewertung von Sicherheitslücken
  • Maßnahmen zur Absicherung und Systemhärtung
  • Praktische Übungen mit Nmap, Metasploit, Wireshark, OpenVAS, Nikto, John the Ripper und Hydra
  • Capture-the-Flag-(CTF)-Challenge zum Abschluss

Übersicht zum Angebot »Pentest-Workshop«

Veranstaltungstyp Inhouse-Schulung
Format Präsenz
Dauer 4-6 Stunden
Termine nach individueller Vereinbarung
Sprache Deutsch oder Englisch
Zielgruppe IT-Administrator*innen, Systemadministrator*innen, Security-Interessierte, Softwareentwickler*innen mit Grundkenntnissen sowie technisch versierte Mitarbeitende, die praktische Erfahrungen im Bereich Penetration Testing und Schwachstellenanalyse sammeln möchten
Abschluss Teilnahmebescheinigung
Ort vor Ort bei Ihnen
Gruppengröße bis 15 Pers.
Preis auf Anfrage
Trainer

Sebastian Breu

Sebastian Breu, M.Sc. der Wirtschaftsinformatik, ist seit 2017 wissenschaftlicher Mitarbeiter im Lernlabor Cybersicherheit am Fraunhofer FOKUS. Er ist als Lehrbeauftragter für Informationssicherheit und Sicherheitsmanagement an der Hochschule für Technik und Wirtschaft (HTW Berlin) tätig. Zuvor war er langjährig im IT-Bereich einer öffentlichen Institution in den Funktionen des IT-Sicherheits- und Datenschutzbeauftragten eingesetzt. Seit 2020 schult er Fach- und Führungskräfte aus Verwaltung und Wirtschaft im Bereich Cybersicherheit.

Sebastian Wedell 

Sebastian Wedell, M.Sc. der Wirtschaftsinformatik, ist seit 2023 wissenschaftlicher Mitarbeiter am Fraunhofer FOKUS. Dort verantwortet er die Organisation, Planung und Umsetzung von Schulungs- und Weiterbildungsformaten im Bereich IT-Sicherheit. Zu seinen Aufgaben zählen die Abstimmung mit internen und externen Partnern, die Koordination von Lehr- und Lerneinheiten sowie die operative Vorbereitung von Workshops und Trainings. Darüber hinaus verfügt er über praktische Erfahrung im Rechnerbetrieb und ausgeprägte Kompetenzen im Projekt- und Prozessmanagement. Sebastian Wedell ist zertifizierter Scrum Master und Product Owner und verbindet strukturiertes Arbeiten mit einem hohen Verständnis für technische und organisatorische Abläufe.

Kontakt

Contact Press / Media

Anne Halbich

Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS
Kaiserin-Augusta-Allee 31
10589 Berlin

Telefon +493034637346

Melden Sie sich zu unserem Newsletter an!

Erhalten Sie regelmäßig Neuigkeiten und exklusive Inhalte direkt in Ihr Postfach.
Bitte füllen Sie das Pflichtfeld aus.

Bitte füllen Sie das Pflichtfeld aus.