Cyberangriffe beginnen häufig mit kleinen Fehlkonfigurationen, ungeschützten Diensten oder öffentlich verfügbaren Informationen über ein Unternehmen. Wer verstehen möchte, wie Angreifer vorgehen, kann die eigene IT-Infrastruktur gezielter absichern und Sicherheitslücken frühzeitig erkennen.

Ethical Hacking

Im iX-Workshop Sich selbst hacken – Pentesting mit Open-Source-Werkzeugen lernen Sie praxisnah, wie Angreifer Schwachstellen in Unternehmensnetzwerken identifizieren und ausnutzen. Dabei wechseln Sie die Perspektive und analysieren typische Angriffstechniken aus Sicht eines Pentesters.

Zu Beginn beschäftigen Sie sich mit Methoden der Open Source Intelligence (OSINT). Sie lernen, wie öffentlich verfügbare Informationen über Organisationen gesammelt und ausgewertet werden können und wie sich daraus potenzielle Angriffspunkte ableiten lassen – beispielsweise kompromittierte Zugangsdaten oder ungeschützte Dienste.

Darauf aufbauend arbeiten Sie mit verschiedenen frei verfügbaren Open-Source- und Audit-Werkzeugen, um Netzwerke zu analysieren, Webanwendungen zu überprüfen sowie Möglichkeiten zur Privilegieneskalation unter Windows und Linux zu identifizieren.

Das Gelernte praktisch anwenden

Ein besonderer Schwerpunkt des Workshops liegt auf der Analyse und Absicherung von Active Directory, einem der häufigsten Angriffspunkte in Unternehmensnetzwerken.

Sie lernen typische Schwachstellen und Fehlkonfigurationen kennen und erfahren, wie sich diese gezielt erkennen und absichern lassen. Darüber hinaus beschäftigen Sie sich mit Sicherheitsmaßnahmen wie Mehr-Faktor-Authentifizierung und differenzierter Rechtevergabe, um Unternehmensumgebungen besser gegen Angriffe zu schützen.

Anhand realer Fallbeispiele und praxisnaher Übungen werden die einzelnen Phasen eines Cyberangriffs nachvollzogen – von der Informationsbeschaffung bis zur Ausweitung von Berechtigungen. Dabei erhalten Sie auch Empfehlungen und Unterlagen, um die vermittelten Techniken nach dem Workshop eigenständig weiter zu vertiefen.

Von Erfahrungen aus der Praxis lernen

Sie profitieren von der direkten Anleitung durch Ihren Trainer Yves Kraft, Head of Security Academy bei der Oneconsult AG.

Als ehemaliger Penetration Tester und Security Consultant verfügt er über langjährige Erfahrung in der Schwachstellenanalyse und Angriffssimulation. Im Workshop vermittelt er praxisnahe Einblicke aus realen Sicherheitsprojekten und zeigt, wie sich offensive Methoden sinnvoll nutzen lassen, um die eigene IT-Infrastruktur nachhaltig abzusichern.

Für wen ist dieser Workshop geeignet?

Der Workshop richtet sich an Administratoren, IT-Sicherheitsverantwortliche und technisch interessierte Fachkräfte, die Angriffstechniken besser verstehen und ihre Systeme gezielt härten möchten.

(ilk)

Wer „souverän“ sagt, meint oft nur „europäisch gehostet“. Beim Thema Souveränität herrscht einerseits eine große Aufmerksamkeit, aber andererseits in der Umsetzung eine große Ahnungslosigkeit. Das nutzen einige Hersteller aus, um, wie das ZenDiS in einem Whitepaper anprangert, Souveränitäts-Washing zu betreiben und den Kunden damit Sand in die Augen zu streuen, statt für mehr Transparenz zu sorgen. Das ZenDiS-Whitepaper analysiert Tobias Haar, während Jörn Petereit den Sovereign Cloud Compass vorstellt, mit dem sich souverän vermarktete Cloud-Angebote vergleichen lassen. Dabei zeigt er unterschiedliche Strategien des Souveränitäts-Washing auf.

Nun legt das BSI erstmals ein hartes Prüfraster an Cloud-Dienste an. Die Criteria Enabling Cloud Computing Autonomy (C3A) reichen vom Eigentümer bis zum Betrieb im Verteidigungsfall. Der Katalog ergänzt den bereits etablierten Cloud Computing Compliance Criteria Catalogue C5 um die Dimension Souveränität.

Der C3A-Katalog lehnt sich an das EU Cloud Sovereignty Framework EU CSF an, das die Generaldirektion DIGIT ursprünglich für die EU-eigene IT entwickelt hatte. Darauf beziehen sich auch der Sovereign Cloud Compass und das Whitepaper des ZenDiS. Aus den acht Souveränitätszielen des EU CSF übernimmt das BSI sechs, die der Kasten „C3A-Kriterien im Überblick“ weiter aufschlüsselt. Die Ziele zur Sicherheits- und Compliancesouveränität sowie zur ökologischen Nachhaltigkeit lässt das BSI weg: Für Sicherheit und Compliance liefern C5, NIS2 und DORA bereits eigene, breitere Standards.

Das war die Leseprobe unseres heise-Plus-Artikels „C3A: Der neue BSI-Maßstab für souveräne Clouds im Überblick“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Ein kurzer Zuruf an den Sprachassistenten und wenige Sekunden später ist der Einkauf erledigt: Der KI-Agent vergleicht Preise, wählt einen Anbieter, bezahlt und organisiert die Lieferung. Was nach Komfort klingt, verlagert Entscheidungen und Vertrauen in technische Systeme, die im Hintergrund miteinander verhandeln.

Damit KI-Agenten nicht nur Empfehlungen aussprechen, sondern tatsächlich autonom einkaufen können, müssen sie die Sprachbarriere zwischen menschlicher Absicht und technischer Shoplogik überwinden. Dabei gibt es in diesem Umfeld einige etablierte Standards und ein paar, die noch in der Diskussion stehen.

Doch wie funktionieren Produktauswahl und Payment beim Agentic Commerce eigentlich und wem kann und darf man diese Entscheidungen im Alltag überlassen? Wir erklären, welche technischen Ansätze und Standards hinter Agentic Commerce stehen und wo sie heute noch scheitern. Denn entscheidend ist nicht nur, wie Agenten kaufen – sondern nach welchen Regeln sie handeln und ob ihre Entscheidungen dem Händler oder dem Käufer nutzen.

Das war die Leseprobe unseres heise-Plus-Artikels „Wenn KI-Agenten Ihr Geld ausgeben: So soll Agentic Commerce funktionieren“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.