Slideshow

Sicherheitstest

 

Vorgehensweise bei einem Sicherheitstest

Fortführung aus Security Audit

Der amerikanische Kryptologe und Autor Bruce Schneier betont immer wieder, das Sicherheit kein Produkt ist, sondern ein Prozess. Eine Sicherheitsüberprüfung ist in erster Linie ein Beratungsprojekt und ist auch nicht als einmal Prozess zu verstehen, sondern er bedarf einer fortlaufenden Analyse. Ein Sicherheitstest ist ebenso Artverwandt mit einer Risiko- und Bedrohungsanalyse sowie mit der Compliance-Thematik. Am Ende entsteht ein Maßnahmenkatalog, der als Bericht zu verstehen ist und letzten Endes das erwünschte Produkt bildet.

 

Wie schon zu Anfangs erwähnt werden wir generell die bei den Tests festgestellten Mängel nicht durchführen, sondern Ihnen anhand von Protokollen mögliche Schwachstellen aufzeigen. Wir konzentrieren uns nicht auf die Maßgabe, zu versuchen, wie wir in Ihr System gelangen könnten, was durchaus viel Zeit ins Anspruch nehmen kann, sondern wir konzentrieren uns bei den festgestellten Mängeln um die wichtigeren Gegenmaßnahmen. In vereinzelten Fällen jedoch ist eine Ausführung notwendig, wenn eine Gegenmaßnahme in der Implementierung nicht eindeutig erscheint. Dazu bedarf es gesonderter schriftlicher Absprache mit Ihnen. Regelmäßige Sicherheitstests sind kein Ersatz für sichere Software oder ein angemessenes Sicherheitsmanagement. Sie unterstützen lediglich die Einführung und den Betrieb sicherer Systeme. Obwohl es eine Vielzahl an Standards, Katalogen, Best Practice Techniken und Checklisten gibt, können diese niemals eine individuelle Analyse und ein angepasstes Vorgehen ersetzen. Wir arbeiten deshalb individuell und stimmen das genannte in Anlehnung mit Ihnen ab.

 

Wie gehen wir nun im allgemeinen vor?

Man darf nicht meinen, dass der einzige Sicherheitstest für ein Computersystem der Penetrationstest ist. Dieser Begriff hat sich in den Medien durchgesetzt und scheint inzwischen der Begriff für alle durchzuführenden Maßnahmen zu sein. Es gibt jedoch mehrere Ausprägungen von Sicherheitsüberprüfungen. Diese sind:

Regelkonformität (Compliance Test):

Ein Unternehmen bewegt sich nicht in einem rechtsfreiem Raum, sondern hat sich vielmehr an geltenden Gesetzeslagen zu orientieren. Allem voran das Handelsgesetz. Dieses gibt vor, das die Computersysteme einbruchsicher sein müssen, sodass keine Informationen und Betriebsgeheimnisse abfließen können, um wirtschaftliche Schäden zu minimieren sowie die Wettbewerbsfähigkeit zu erhalten. Zur Konkretisierung dieser gesetzlichen Forderungen wurden zahlreiche Standards und Gesetze erlassen, die bestimmte technische und organisatorische Maßnahmen Vorschlagen. Allerdings steht es jedem Unternehmen frei, selbst individuelle Sicherheitsmaßnahmen aufzustellen. Wichtig ist jedoch, dass Sie die Gesetzeslage einhalten und an den Vorschriften orientieren.

Weil dies nicht immer sehr bequem ist und bei manchen Arbeitsabläufen Unannehmlichkeiten hervorrufen kann, haben sich im Laufe der Zeit diverse Löcher (die bei manchen wie ein Schweizer Käse aussehen) gebildet. Dies kann jedoch soweit führen, dass einzelne oder ganze Bereiche von Systemen unsicher werden sowie gegen geltende Gesetze verstoßen. Hier ist die Geschäftsführung gefragt und / oder nachzuforschen, ob und wie die bindenden Richtlinen angewandt werden. Einer dieser Kriterien zur Überprüfung eines Sicherheitstest gehört also der Compliance.

Richtlinien hierfür sind z.B. Individuelle Vorgaben des Unternehmens, IT-Sicherheitstandards (IT-Grundschutz, ISO 27001), Gesetzliche Vorgaben (KonTrag (AG und GmbH´s sind dazu verpflichtet, geeignete Maßnahmen zu treffen, um frühzeitig existenzgefährdende Entwicklungen zu erkennen, dazu gehört auch der Einsatz von Überwachungssystemen, wie beispielweise das IT-Risikomanagement. Ein weiteres Gesetz bildet das EURO-SOX, eine EU-Richtline, die auf dem amerikanischen SOX-Gesetz aufbaut. Dieses verlangt die Einrichtung eines internen Kontrollsystems, dass die Wirksamkeit von internen Kontrollen, Revisionen und des Risikomanagements überwacht. Alle Compliance Themen werden von uns hinreichend dokumentiert.

Ein weiterer Baustein ist der Datenschutz (BDSG, Bundesdatenschutzgesetz) welches in die Sicherheitsüberprüfung mit einfließt, denn sind Schwachstellen vorhanden, ist auch der Datenschutz gefährdet.

Um die Überprüfung auf Schwachstellen durchzuführen, bedinet man sich nun einem Penetrationstest (wir sprechen hier jedoch von Sicherheitstest). Dieser Test überprüft die aktuelle Sicherheit eines Programms, Applikation oder eines Systems. Hierfür gibt es mittlerweise viele verschiedene Methoden, Best Practice, Software, Module usw., um einen simulierten Angriff auf Ihre Systeme fahren zu können. Wir orientieren uns hier am Open Source Security Testing Methodology Manual (OSSTMM). Dies ist das einzige Handbuch, was alle Anforderungen in einem gewissen Maß abdecken kann.

 

Untersuchungen die z.B. durchgeführt werden können:

Whois Abfragen, DNS Analysen, Portscan, Brutforce Methoden, Analysieren von Diensten, Auswertung von Angriffsmöglichkeiten auf Firewallsysteme, umgehen von Firewallsystemen, Systematische Fehlersuche, SQL Injektion, XSS-Angriffe, Social-Engineering usw. Es folgt eine abschließende Analyse der Umgebung und ausführliche Dokumentation sowie Bewertungen von evtl. ermittelten Schwachstellen.

 

Warum wir hier nicht das Marketingstarke Wort "Penetrationstest" verwenden.

Ein Penetrationstest unterscheidet sich im wesentlichen von einem Sicherheitstest darin, dass ein Dienstleister in diesem Sektor nicht mit der Gewalt eines Crackers zu Gange gehen kann oder will. Dabei spielt Kreativität und ein hohes Maß an Kompetenz entscheidende Rollen. Auch die Testumgebung für solch angewandte Methoden spielen eine Entscheidende Rolle hierbei. Die Werkzeuge, die zur Anwendung kommen, sind jedoch die gleichen. Da wir hier nur mögliche Schwachstellen aufzeigen und dokumentieren wollen, sowie Rücksicht auf Stabilität und Ressourcen nehmen, beschränken wir uns hier auf den Sicherheitstest. Ein echter Penetrationstest besteht auch nicht aus einer Person, sondern aus einem Tiger-Team, der mehrere Spezialisten vereint. Eine Person als Penetrationstester ergibt in der Weise keinen Sinn, da meist die Effektivität nicht erreicht werden kann, auch in der Rücksichtnahme auf die Wirtschaftlichkeit für den Kunden.

 

 

 

zurück nach Auditing