Am 15. Juli 2024 war Matthias Göhring, Head of usd HeroLab, erneut als Gastdozent in der Vorlesung „IT-Sicherheit“ von Prof. Dr. Nicolai Kuntze an der Johannes Gutenberg-Universität (JGU) Mainz tätig. Unser Kollege referierte über „Professional Penetration Testing“ und erklärte den Studierenden der JGU Mainz, dass die steigende Anzahl und Komplexität von Cyberangriffen eine systematische Überprüfung und Absicherung der IT-Infrastrukturen erfordern. Dafür sind Pentests ein wesentlicher Bestandteil moderner Sicherheitsstrategien, um Schwachstellen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.
Dabei stellte sich die Frage: Was zeichnet einen guten Pentest aus und wie ist er aufgebaut? Um diese Frage zu beantworten, stieg Matthias mit einem Einblick in die Anatomie eines Pentests ein. Ein effektiver Penetrationstest erfordert eine gründliche Analyse, fundiertes technisches Wissen und eine sorgfältige Dokumentation der gefundenen Schwachstellen sowie der vorgeschlagenen Gegenmaßnahmen. Nach der theoretischen Einführung lernten die Studierenden im praktischen Teil des Vortrags, wie ein Pentester vorgeht. Zunächst standen die verschiedenen Arten von technischen Sicherheitsanalysen im Mittelpunkt. Diese reichen von automatisierten Schwachstellenscans über manuelle Pentests bis hin zu Red- und Purple-Teaming Assessments. Um Risiken strukturiert zu identifizieren, ist eine Kombination aus den verschiedenen Methoden sinnvoll, wobei der Kontext das Schwachstellen-Management darstellt. Außerdem wurde die Frage aufgegriffen, wie die Kritikalität von Schwachstellen zutreffend bewertet werden kann.
„Wir möchten Studierenden nicht nur praktische Einblicke ins Penetration Testing bieten, sondern auch die entscheidende Rolle technischer Analysen für die Sicherheit moderner IT-Systeme näherbringen und zeigen, wie sie selbst einen Beitrag dafür leisten können.“
Matthias Göhring
Die usd AG engagiert sich seit vielen Jahren im Rahmen von Vorträgen, Workshops und Vorlesungen an diversen Hochschulen, um Cyber Security praxisnah zu vermitteln.