EXKLUSIV
20.11.2005, 20:39 Uhr
Security-Tests bringen Licht ins Dunkel
Bei Sicherheits- überprüfungen arbeiten die Anbieter oftmals mit unterschiedlichen Definitionen. Wie lässt sich erkennen, ob ein System wirklich sicher ist oder nicht? Computerworld-Experte Christoph Baumgartner kennt die Antwort.
Frage:
Wir planen die Durchführung einer technischen Sicherheitsüberprüfung. In den Vorgesprächen mit möglichen Anbietern fiel auf, dass die Anbieter beispielsweise einen Penetration Test unterschiedlich definieren. Gibt es einheitliche Definitionen?
Technische Sicherheitsüberprüfungen bilden eine relativ junge Disziplin, da sie erst mit der wachsenden Popularität des Internets und den damit verbundenen Bedrohungen durch Hacker/Cracker und digitales Ungeziefer allgemein bekannt wurden. Es gibt (noch) keine gängige Definition bezüglich Leistungsumfang, Gemeinsamkeiten und Unterschieden der verschiedenen Testtypen. Die folgenden Informationen sind an die Terminologie des praxisbezogenen «Open Source Security Testing Methodology Manual» (OSSTMM) vom «Institute for Security and Open Methodologies» (ISECOM) angelehnt.
Die Testtypen lassen sich nach der Art des Untersuchungsobjekts, des Vorgehens, der Testtiefe, des Automatisierungsgrads, einer allfälligen Verifikation der Sicherheitslücken und der Manipulation/Modifikation des Untersuchungsobjekts unterscheiden. Bei technischen Sicherheits-überprüfungen werden primär via Netzwerk ansprechbare Systeme untersucht. «Vulnerability Scans» und «Security Scans» weisen einen sehr hohen Automatisierungsgrad auf, wobei beim Vulnerability Scan keine manuelle Verifikation der von den Scannern detektierten Sicherheitslücken erfolgt. Da Security Scanner nur die bekanntesten Sicherheitslücken erkennen, oft Falschmeldungen generieren und den Kontext des Untersuchungsobjekts nicht berücksichtigen, sind Vulnerability Scans nicht so aussagekräftig wie Security Scans.
Die Testtypen lassen sich nach der Art des Untersuchungsobjekts, des Vorgehens, der Testtiefe, des Automatisierungsgrads, einer allfälligen Verifikation der Sicherheitslücken und der Manipulation/Modifikation des Untersuchungsobjekts unterscheiden. Bei technischen Sicherheits-überprüfungen werden primär via Netzwerk ansprechbare Systeme untersucht. «Vulnerability Scans» und «Security Scans» weisen einen sehr hohen Automatisierungsgrad auf, wobei beim Vulnerability Scan keine manuelle Verifikation der von den Scannern detektierten Sicherheitslücken erfolgt. Da Security Scanner nur die bekanntesten Sicherheitslücken erkennen, oft Falschmeldungen generieren und den Kontext des Untersuchungsobjekts nicht berücksichtigen, sind Vulnerability Scans nicht so aussagekräftig wie Security Scans.