Security-Tests bringen Licht ins Dunkel
EXKLUSIV: Security-Tests bringen Licht ins Dunkel
Bei «Penetration Tests» und dem «Ethical Hacking» (auch als Auftragshacking bezeichnet) ist der Anteil an Brainwork wesentlich höher. Automatismen werden nur genutzt, um den Projektfortschritt zu fördern, ohne die Qualität negativ zu beeinträchtigen. Sicherheitslücken werden verifiziert und teilweise auch ausgenutzt. Zwischen den beiden Testtypen bestehen zwei Hauptunterschiede: Einerseits wird das Untersuchungsobjekt nur beim Ethical Hacking beispielsweise mittels Konfigurationsänderungen des Zielsystems oder Einspielen eines Trojaners modifiziert. Dieser kleine Unterschied kann besonders bei streng regulierten Branchen wie der Finanz- und Pharmaindustrie von Relevanz sein. Andererseits sind die Rahmenbedingungen seitens Auftraggeber beim Ethical Hacking weniger eng definiert. So kommen Techniken wie «Dumpster Diving» (Abfall durchsuchen) und/oder «So-cial Engineering» (Ausnutzen menschlicher Schwächen) oftmals in der Informations-beschaffungsphase vor dem -eigentlichen technischen Hackerangriff zum Einsatz.
Empfehlungen: Anhand des offerierten Aufwands lässt sich abschätzen, ob es sich bei der angebotenen Dienstleistung um einen Test des Qualitätsniveaus «Penetration Test» oder um einen «Security Scan» handelt. Bei Penetration Tests ist mit einem reinen Testaufwand von zirka einem halben Tag pro zu testendes System zu rechnen. Im Gegensatz dazu können bei einem Security Scan 10 bis 200 Systeme pro Tag getestet und ein Teil der Sicherheitslücken manuell überprüft werden. Beim «White Box Approach» wird im Gegensatz zum «Black Box Approach» die Zusammensetzung des Untersuchungsobjekts gegenüber den Testern offen gelegt. Somit bleibt mehr Nettoprojektzeit für die Suche nach Sicherheitslücken übrig. Wer in der Angebotsphase auf einem Ansichtsexemplar eines Schlussberichts und Referenzen (inkl. Ansprechpartner) besteht, kann das Risiko senken, einer Mogelpackung zu erliegen.
Empfehlungen: Anhand des offerierten Aufwands lässt sich abschätzen, ob es sich bei der angebotenen Dienstleistung um einen Test des Qualitätsniveaus «Penetration Test» oder um einen «Security Scan» handelt. Bei Penetration Tests ist mit einem reinen Testaufwand von zirka einem halben Tag pro zu testendes System zu rechnen. Im Gegensatz dazu können bei einem Security Scan 10 bis 200 Systeme pro Tag getestet und ein Teil der Sicherheitslücken manuell überprüft werden. Beim «White Box Approach» wird im Gegensatz zum «Black Box Approach» die Zusammensetzung des Untersuchungsobjekts gegenüber den Testern offen gelegt. Somit bleibt mehr Nettoprojektzeit für die Suche nach Sicherheitslücken übrig. Wer in der Angebotsphase auf einem Ansichtsexemplar eines Schlussberichts und Referenzen (inkl. Ansprechpartner) besteht, kann das Risiko senken, einer Mogelpackung zu erliegen.