Home » Webinare » Webkonferenz Penetrationstests

Webkonferenz Penetrationstests

Bei unserer Webkonferenz "Penetrationstests" zeigen wir an einem Vormittag bis zu sieben Lösungen/Dienstleistungen zum entsprechend ausgeschriebenen Oberthema. Eingeleitet wird der Vormittag von einer Experten-Keynote.

7 Min. Lesezeit
Penetrationtest
Foto: ©AdobeStock/putilov_denis
09:00 – 09:30 UhrKeynote: Einführung „Penetrationstests“
09:30 – 10:00 UhrPentest vs. Continuous Exposure Management (CEM)
10:00 – 10:30 UhrWie angreifbar ist Ihre IT? Pentest &. Red Teaming im Vergleich
10:30 – 11:00 UhrPerimeter Hacking: Kenne deine Angriffsfläche!
11:00 – 11:30 UhrMainframe-Penetrationstest für DORA, NIS-2 und FINMA-RS 23/1
11:30 – 12:00 UhrPentests: Von der Blackbox zum transparenten Wirtschaftsfaktor

 

09:00 – 09:30 Uhr: Keynote: Einführung „Penetrationstests“

Penetrationstests, oft kurz auch als Pentests bezeichnet, sind eine der wichtigsten Komponente eines umfassendes IT-Sicherheitskonzeptes und dienen dazu, die Sicherheitslücken in einem Computersystem, einer Anwendung, einem neuem Produkt oder einer Netzwerkinfrastruktur aufzudecken. Pentests werden durchgeführt, um die Widerstandsfähigkeit eines Systems gegenüber potenziellen Angriffen von außen zu bewerten und Schwachstellen zu identifizieren, bevor böswillige Angreifer sie ausnutzen können.

Mit der Keynote wird eine Einführung in den Themenkomplex „Penetrationstest“ gegeben. Penetrationstests sind wichtige Komponente einer erfolgreichen Informationssicherheits- bzw. Cybersecurity-Strategie des Unternehmens. Mit Hilfe eines Penetrationstest können Unternehmen prüfen, ob und inwieweit die Sicherheit der IT-Systeme durch Bedrohungen im Bereich Cybercrime gefährdet sind und anhand der Ergebnisse entsprechende Härtungsmaßnahmen zielgerichtet implementieren.

Die Keynote führt ausgehend von aktuellen Schlagzeilen und Statistiken in das Thema Penetrationstest ein. Neben der Definition von Penetrationstest wird auf die Ziele von Penetrationstests in den Bereichen Informationssicherheit und Cloudsicherheit eingegangen. Anhand der verschiedenen Formen eines Penetrationstest wird auf die Herausforderung bei der Durchführung sowie die Auswahl eines geeigneten Dienstleisters eingegangen. Insbesondere wird im Rahmen der Keynote ausgeführt, warum Unternehmen Penetrationstest durchführen sollten.

  • Was sind Penetrationstests?
  • Welche Herausforderungen bestehen bei der Durchführung von Penetrationstests?
  • Warum sollten Organisationen Penetrationstest durchführen? Welche Unterschiede bestehen zum einem internen Audit bspw. durch die Revision?
  • Welche Formen von Penetrationstests bestehen und welche Kriterien sollten sie erfüllen?
  • Welche Herausforderungen bestehen bei der Auswahl eines Dienstleisters zur Durchführung von erfolgreichen Penetrationstests?

Allgemeine Einführung in das Thema Penetrationstests

Referent: 

Tobias Baader hat einen Master of Science der Universität Augsburg im Studiengang Wirtschaftsmathematik und ist zertifizierter Sicherheitsbeauftragter. Die Beurteilung von IT-Systemen und deren Schnittstellen im Unternehmen sowie der prozessbezogenen Aufbauorganisation ermöglichen es Herrn Baader als Datenschutz- und Informationssicherheit-Consultant Unternehmen bei den Entwicklungen von Informationssicherheits-Management-Systemen und der Implementierung der Anforderungen der EU-Datenschutzgrundverordnung umfangreich zu beraten. Herr Baader betreut auch Unternehmen im Fall von Cybervorfällen und begleitet sie in diesen Situationen bis zum (Wieder-)Aufbau der notwendigen Informations- und IT-Sicherheitssysteme.

 

09:30 – 10:00 Uhr: Pentest vs. Continuous Exposure Management (CEM)

Der Vortrag zeigt, wie Sie Risiken und Angriffswege in Ihrer IT-, OT- und IoMT-Umgebung kontinuierlich analysieren, visualisieren und minimieren können. Morris Becker veranschaulicht, wie Schwachstellen, mangelhafte Firewall-Regelwerke oder Netzwerkkonfigurationen, beziehungsweise eine Kombination aus allem, zu gravierenden Risiken führen können und wie die kontinuierliche Überwachung aktiv dabei unterstützt, diese zu vermeiden. Als weiteren Use-Case führt er anstehende Änderungen im Netzwerk aus, die durch Simulation vor der „live Schaltung“ auf mögliche Probleme getestet werden können.

Am Beispiel der Skybox Security-Plattform sehen Sie, wie CEM ohne Software-Agenten umgesetzt wird und wie damit auch Anforderungen an NIS-2-gerechte Risiko-Ermittlung, kontinuierliche Risiko-Reduktion und laufende Dokumentation effizient erfüllt werden. Flexible Dashboards helfen dabei, den zeitlichen Verlauf zu analysieren und schnell Erfolge zu erzielen.

Schwerpunkte:

  • Warum Exposure Management?
  • Wie entstehen Risiken?
  • Was ist Angriffspfad-Analyse?
  • Was ist Attack Surface Management?
  • Messbare Reduktion von Risiken

Die Teilnehmer erfahren hier, warum CEM als kontinuierlicher Monitor von Risiken und Angriffswegen, als Ratgeber für deren Minimierung, sowie als NIS-2-konformes, automatisches Dokumentations-Tool die perfekte Ergänzung zu klassischen Pen-Tests ist.

Referent:

Als Regional Director D/A/CH bei Skybox Security verantwortet Morris Becker Geschäftsentwicklung in der Region. Er verfügt über mehr als 17 Jahre Erfahrung in der Cybersecurity in ähnlichen Positionen und legt einen großen Fokus auf Kooperation mit Channel-Partnern.

 

10:00 – 10:30 Uhr: Wie angreifbar ist Ihre IT? Pentest &. Red Teaming im Vergleich

In dieser Präsentation schlüpfen Sie in die Rolle eines potenziellen Angreifers und betrachten Ihre IT-Infrastruktur aus dessen Perspektive. Ziel ist es herauszufinden, wie gut Ihre Verteidigung gegen Cyberangriffe wirklich ist. Alexander Höhler stellt Ihnen dazu mit Penetrationstests, Adversary Simulation und Red Teaming drei mögliche Verfahren vor. Jedes hat seine Berechtigung, aber zahlreiche spezifische Faktoren bestimmen, welches jeweils am besten geeignet ist. Erfahren Sie, welches Verfahren in welcher Situation am besten ist, was Sie mit welchem Verfahren erreichen und was nicht und wie die einzelnen Tests in der Praxis umgesetzt werden.

Begeben Sie sich in eine offensive Position und lassen Ihre IT-Infrastruktur aus der Perspektive eines potentiellen Angreifers betrachten, bevor es tatsächlich zum Angriff kommt. Erfahren Sie, welcher Ansatz für Ihr Unternehmen oder Ihre Organisation der richtige ist.

Schwerpunkte: 

  • Vor- und Nachteile der verschiedenen Arten von Sicherheitsbewertungen
  • wie die Tester vorgehen
  • Ihre Rolle während der Überprüfung
  • welche Ergebnisse Sie erwarten können

In diesem Webinar erfahren die Teilnehmer, welcher Ansatz – Penetrationstests, Adversary Simulation oder Red Teaming – am besten geeignet ist, um die Wirksamkeit der eigenen Verteidigung zu überprüfen.

Referent: 

Alexander Höhler ist Team Lead des Offensive Security Teams und Senior Security Consultant bei der G DATA Advanced Analytics GmbH. Schon während seines Masterstudiums in IT-Sicherheit an der Ruhr-Universität Bochum arbeitete er als Penetrationstester. Seit mehr als 6 Jahren führt er neben umfassende Penetrationstest für intern und externe System, Webanwendungen und Active Directory Umgebungen auch Angriffssimulationen durch. Durch verschiedene Zertifizierungen spezialisierte er sich auf Penetrationstest von Active Directory Umgebungen. Seit 2023 leitet er zudem das Offensive Security Team der G DATA Advanced Analytics.

 

10:30 – 11:00 Uhr: Perimeter Hacking: Kenne deine Angriffsfläche!

Die Präsentation zeigt unerbittlich, welche Mengen an Informationen Unternehmen allein über ihre Perimeter-Infrastruktur öffentlich preisgeben und wie Angreifer sie verwerten.

Marcel Fromkorth erklärt, was professionell durchgeführtes Perimeter-Hacking bedeutet, und wie es durch aktive und passive Aufklärungsphasen in einer ungehärteten Perimeter-Infrastruktur schwerwiegende Schwachstellen aufdecken kann, die es einem Angreifer erlauben, in die internen Netze eines Unternehmens vorzudringen. In einer Live-Hacking-Demo führt er vor, wie eine typische Kill-Chain aussieht und wie Angreifer konkret vorgehen. Dabei stellt er mehrere Methoden, Werkzeuge und auch die Online-Services zur Aufklärung vor, die in Kombination eine umfassende Übersicht über potenzielle Sicherheitslücken und Fehlkonfigurationen in der externen IT-Infrastruktur des Unternehmens ermöglicht. Des Weiteren geht er auf die Maßnahmen ein, die Unternehmen treffen sollten, um ihren Perimeter gegen Cyberangriffe zu härten.

Schwerpunkte: 

  • Was Perimeter-Hacking bedeutet
  • Passive Aufklärung
  • Aktive Aufklärung
  • Datenaufbereitung
  • Wie ein Angriff auf den Perimeter aussieht
  • Welche Härtungsmaßnahmen wirksam schützen

Der Vortrag veranschaulicht, was Angreifer allein durch Analyse der Perimeter-Infrastruktur eines Unternehmens erfahren können und wie Perimeter Penetrationstests den Aufbau einer resilienten Cyber-Abwehr unterstützen.

Referent: 

Marcel Fromkorth arbeitet bei der 8com GmbH & Co. KG im Bereich Cybersecurity als OSCP-zertifizierter Penetrationstester. Er hat umfassende Prüferfahrungen für moderne Applikationsstacks in Unternehmen.

 

11:00 – 11:30 Uhr: Mainframe-Penetrationstest für DORA, NIS-2 und FINMA-RS 23/1 

Dr. Stephen Fedtke beleuchtet in seinem Vortrag die besondere Penetrationstest-Situation des Mainframes. Dieser gilt als besonders sicher. Trotz oder vielleicht sogar wegen dieser hohen Verlässlichkeit führen Großrechner oft ein Schattendasein. Selten wird ihre Nichtangreifbarkeit in Frage gestellt und durch Penetrationstests überprüft.

Der Referent betrachtet diese Situation vor dem Hintergrund der neuen EU-Verordnung DORA (Digital Operational Resilience Act) für die Finanzwirtschaft. Hier wird das Testen zum zentralen Bestandteil des IKT-Risikorahmenwerkes. In Kapitel IV werden u. a. „angemessene Tests der digitalen operationalen Resilienz“ (Art. 25) sowie „erweitere Tests auf Basis von TLPT“ (Art. 26) gefordert.

Erleben Sie in einer Demo von SF-Sherlock, wie die DORA-Resilienz-Anforderungen Schutz, Prävention, Erkennung und Reaktion auf einem Mainframe implementiert werden, unter anderem via simulierter störungsfreier Penetration. So ist Ihre IT auf die Profi-Tester gut vorbereitet.

Schwerpunkte:

  • DORA, NIS-2, FINMA-RS 23/1, FINMA-RS 13/3 – Neue regulatorische Anforderungen
  • Penetration Testing für Mainframes
  • Thread Level Penetration Testing (TLPT)
  • z/OS und z/VM Mainframes
  • Demo: Simulierter Penetrationstest mit SF-Sherlock

Die Teilnehmer erfahren, wie sie die Angriffe der DORA-, NIS-2- und FINMA-RS 23/1-Profitester auf Ihren Mainframe abwehren und ihn resilient machen.

Referent:

Dr. Stephen Fedtke ist Wirtschaftsingenieur und CTO von ENTERPRISE-IT-SECURITY.COM, ein auf IT- und Mainframe-Sicherheit und Compliance-Lösungen spezialisierter Bereich des Unternehmens Dr. Stephen Fedtke System Software.

 

11:30 – 12:00 Uhr: Pentests: Von der Blackbox zum transparenten Wirtschaftsfaktor

Die Präsentation zeigt aus Projektperspektive, wie Pentests als proaktive Sicherheitsmaßnahme Sicherheitslücken aufdecken und Risiken reduzieren. Dejan Bijelic erarbeitet die wesentlichen Auswahlkriterien für Pentest-Anbieter, um Sicherheit zu maximieren und Kosten zu minimieren. Aus der Praxis adressiert er typische Missverständnisse, die Pentests undurchsichtig und teuer machen können, und skizziert Wege zur bestmöglichen Vorbereitung auf die Zusammenarbeit mit Anbietern. Dabei werden Risiken falscher Erwartungen angesprochen und Taktiken vorgestellt, um Transparenz bei Verhandlungen zu schaffen und Informationsasymmetrie vorzubeugen.

Des Weiteren wird analysiert, wie durch eine reibungslose Zusammenarbeit mit dem richtigen Partner Strategien für langfristige Sicherheitsstärkung entwickelt werden können, die teure Folgen von Sicherheitsverletzungen und mögliche Bußgeldverfahren zuverlässig vermeiden. Erfahren Sie, wie Sicherheitsbudgets effektiv und mit optimalem ROI eingesetzt werden können!

Schwerpunkte: 

  • Bedeutung von Penetrationstests für die IT-Sicherheit
  • Projekttechnischer Ablauf
  • Auswahl eines qualifizierten Dienstleisters
  • Wirtschaftliche Perspektive
  • Rolle und Pflichten des Kunden

Der Vortrag veranschaulicht den positiven Return on Investment von Pentests für Unternehmen, mit einem besonderen Fokus auf der Vermeidung von Folgekosten durch Cyber-Angriffe.

Referent: 

Dejan Bijelic ist zertifizierter Offensive Security Certified Professional (OSCP) und arbeitet als Penetrationstester bei der SITS Germany Holding GmbH. Dort führt er Sicherheitsuntersuchungen von externen/internen Infrastrukturen sowie Web- und Mobile-Applikationen durch.

 

Jetzt anmelden

Die mit einem * markierten Felder sind Pflichtfelder