Aufgaben Penetration Testing
Fünf IHK-Aufgaben zu Penetration Testing: Legalität und Hacker-Typen, Pentest-Phasen sortieren, CVSS-Schweregrade, Werkzeuge zuordnen und Pentest-Bericht-Abschnitte klassifizieren. Typische Prüfungsformate für FISI/FIAE, Rahmenplan A6b–A6e.
0 von 5 Aufgaben abgeschlossen
Aufgabe 1 · Multiple Choice (1 richtige Antwort) · Legalität
Ethisches Hacking und §202a StGB
Ein Sicherheitsforscher entdeckt auf der öffentlichen Website eines Unternehmens eine SQL-Injection-Schwachstelle. Er hat keine Erlaubnis des Unternehmens, möchte aber helfen und informiert das Unternehmen über die Lücke. Wie ist sein Vorgehen rechtlich einzuordnen?
A) Vollständig legal – er hat dem Unternehmen geholfen und keinen Schaden angerichtet.
B) Strafbar nach §202a StGB – kein Zugriff auf fremde Systeme ohne Erlaubnis, auch bei guten Absichten.
C) Legal, da die Schwachstelle auf einer öffentlich erreichbaren Website lag.
D) Legal, sofern keine Daten heruntergeladen oder verändert wurden.
Aufgabe 2 · Sortierung · Pentest-Phasen
Pentest-Phasen in die richtige Reihenfolge bringen
Bringe die folgenden sechs Pentest-Phasen in die korrekte chronologische Reihenfolge (erste Phase ganz oben). Ziehe die Elemente an die richtige Position.
⠿Exploitation – Schwachstellen aktiv ausnutzen, initialen Zugriff erlangen
⠿Reconnaissance – Passive und aktive Informationsgewinnung über das Ziel
⠿Reporting & Cleanup – Bericht erstellen, Testspuren entfernen
⠿Planung & Vorbereitung – Scope definieren, Vertrag unterzeichnen
⠿Post-Exploitation – Privilege Escalation, Lateral Movement dokumentieren
⠿Scanning & Enumeration – Schwachstellen-Scan, Dienst-Enumeration
Aufgabe 3 · Multiple Choice (2 richtige Antworten) · CVSS-Score
CVSS-Score richtig interpretieren
Ein Schwachstellen-Scanner meldet eine Lücke mit CVSS-Score 9.8. Welche zwei Aussagen sind korrekt?
A) Ein CVSS-Score von 9.8 entspricht dem Schweregrad „Kritisch" (Skala: ≥ 9.0 = Kritisch).
B) Der CVSS-Score allein bestimmt die Behebungspriorität; der Kontext (Erreichbarkeit, Patchbarkeit) spielt keine Rolle.
C) Diese Schwachstelle sollte sofort behoben werden – noch vor mittleren und niedrigen Befunden.
D) Ein CVSS-Score von 9.8 bedeutet, dass die Schwachstelle bereits aktiv ausgenutzt wird.
Aufgabe 4 · Zuordnung · Pentest-Werkzeuge
Werkzeuge den richtigen Pentest-Phasen zuordnen
Ordne jedes Werkzeug der Phase zu, in der es typischerweise primär eingesetzt wird. Klicke zuerst ein Werkzeug links an, dann die Phase rechts.
Werkzeug
Nmap
Metasploit Framework
Shodan
Nessus / OpenVAS
Phase
Reconnaissance (OSINT)
Scanning & Enumeration
Exploitation
Aufgabe 5 · Szenario-Analyse · Pentest-Bericht
Berichts-Abschnitte den richtigen Zielgruppen zuordnen
Ein Pentest-Bericht hat zwei Hauptzielgruppen: Management und IT-Abteilung. Ordne jeden Abschnitt der richtigen Zielgruppe zu.
Executive Summary: Gesamtrisikoeinschätzung in Geschäftssprache, ohne technischen Jargon, Ampeldarstellung
Technische Befunde: CVSS-Score, CVE, Proof-of-Concept-Screenshots, Schritt-für-Schritt-Angriffspfad
Scope & Methodik: Exakter Testbereich, verwendete Tools, Zeitfenster, Testtyp (Black/White/Grey Box)
Weitere Prüfungsvorbereitung:
IHK-Aufgaben IT-Sicherheit ·
IHK-Aufgaben Secure Coding ·
IHK-Aufgaben Netzwerksicherheit