Zum Inhalt springen

Pen Test - die zweite


kimura

Empfohlene Beiträge

Hallo nochmal,

 

Derzeit befinde ich mich in meiner Ausbildung zum Fisi und befasse mich konkreter mit der Planung meines eventuellen Abschlussprojektes.

Im Dezember habe ich bereits einen Thread eröffnet 

wohl leider ohne eine wirkliche Erkenntnis bzw. ein Ergebnis. Nun geht es jedoch immer weiter auf die Projektarbeit zu und ich möchte gerne meine Idee von einem PenTest als Projekt realisieren.

Unsere Firma ist im Netzwerkbereich tätig, also von Aufbau bis Support in mittelständigen Unternehmen. Hier sehe ich meine Chance:

Ich würde gerne einen PenTest als Projekt einreichen mit der Problemstellung eines potenziellen Datenverlusts bei unbekannten Sicherheitslücken. So wie ich es verstehe muss mein Projekt eine Problemstellung und eine eventuelle Lösung zu diesem Problem besitzen. Gibt es noch andere Wichtige Rahmenbedingungen, welche ich beachten muss um meine Idee von einem Schwachstellentest realisieren und evaluieren zu können? 

Habt ihr eventuell Ideen zu ähnlichen Projekten, oder Ansätze mein Projekt so zu gestalten, dass es von meinem Chef angenommen und auch von der IHK als Projekt würdig erkannt wird? 

 

Vielen Dank schonmal!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust ;)
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

Die Prüfungsordnung sagt in §22 dazu:
§ 20 Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration
(1) Im Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration besteht die Prüfung aus zwei Teilen.
(2) Im ersten Teil hat der Prüfling nachzuweisen, dass er in der Lage ist,
1.auftragsbezogene Anforderungen zu analysieren,
2.Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen,
3.Systemänderungen und -erweiterungen durchzuführen und zu übergeben,
4.IT-Systeme einzuführen und zu pflegen,
5.Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie
6.Projekte der Systemintegration anforderungsgerecht zu dokumentieren.

 

Also: wo ist der kaufmännische Ansatz bei Deiner Idee und was wirst Du auswählen ?

Grundsätzlich kannst Du einen PenTest durchführen, aber hier sehe ich das Problem mit einer kfm fundierten Auswahl. Es sein denn Du entscheidest Dich zb. für einen bestimmten Ablauf dessen Kosten und Nutzen Du in Relation zu anderen Testverfahren setzt.

Ich hebe mal vorsichtig die Hand: im Bereich :datenschutz: sowie rechtlicher Grundlagen FÜR die Durchführung eines Pentests inkl Personalmitbestimmung solltest Du sicher sein ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

 

vor 2 Stunden schrieb kimura:

Im Dezember habe ich bereits einen Thread eröffnet,wohl leider ohne eine wirkliche Erkenntnis bzw. ein Ergebnis.

Du meinst, nicht mit dem Ergebnis das du höre wolltest.

Im Dezember wurde dir von diesem Thema tendenziell abgeraten, warum sollte es jetzt deiner Meinung nach anders laufen?

vor 2 Stunden schrieb kimura:

Ich würde gerne einen PenTest als Projekt einreichen mit der Problemstellung eines potenziellen Datenverlusts bei unbekannten Sicherheitslücken. So wie ich es verstehe muss mein Projekt eine Problemstellung und eine eventuelle Lösung zu diesem Problem besitzen.

Du musst schon eine möglichst konkrete Problemstellung als Ausgangslage nehmen.

Die Auswahl eines professionellen Anbieters für Pentests wäre - ganz vielleicht - ein mögliches Abschlussprojekt, aber wenn, dann nicht für eine FiSi sondern für einen ITK.

Die Auswahl einer professionellen Lösung für Schwachstellenerkennung wäre ein anderer Ansatz, der ggf. FiSi-tauglich sein könnte.

vor 2 Stunden schrieb kimura:

Gibt es noch andere Wichtige Rahmenbedingungen, welche ich beachten muss um meine Idee von einem Schwachstellentest realisieren und evaluieren zu können?

Für den Einsatz bei euch oder beim Kunden?

Je nachdem können Punkte hinzukommen oder wegfallen. Fürs Erste würde ich mich mit der Idee mal an den DSB und den Betriebsrat wenden. Aber bitte den Helm nicht vergessen

Alles in allem: Such dir ein etwas weniger "spannendes" dafür aber solides Thema für die Prüfung. Mit dem hier kannst du dir an so vielen Stellen selbst ins Bein schießen, das macht keinen Sinn.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1 Monat später...

Dein Ausbildungsbetrieb gehört einer IHK an und hat dort auch einen Ansprechpartner. Wenn dein Ausbilder mit dem groben Themenbereich einverstanden ist, würde ich einfach einmal den Ansprechpartner bei der IHK einladen um das Thema mit ihm zu besprechen. Man zahlt als Unternehmen genug IHK-Gebühren, da kann man auch eine entsprechende Gegenleistung erwarten. Erfahrungsgemäß geht manchmal auch etwas, wenn das Unternehmen - höflich - etwas Druck macht.

Zum eigentlichen Projekt-Thema, damit du dich nicht verrennst, was hast du denn für einen "Hacking-Background"? Sagen dir diese Tools etwas: nmap, Metasploit, Nessus, OWASP ZAP, Burp, greenbone... (und ja, ich habe mit Absicht auch Vulnerability Scanner aufgelistet). Welches OS nutzt du privat? Debian, Ubuntu, Gentoo, centos, suse...  - wie würdest du dich selbst einschätzen?

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...