Fotolia

Penetrationstests: Methodologie und Standards

Um Pentests transparenter zu machen, sind Standards und eine Methodologie für das Ethical Hacking entstanden. Wir zeigen Ihnen, worauf es ankommt.

Einer der entscheidenden Faktoren für den Erfolg eines Pentests ist die zugrundeliegende Methodologie. Das Fehlen einer formellen Methodologie bedeutet fehlende Konsistenz. Ich bin sicher, Sie als Auftraggeber wollen nicht derjenige sein, der die Tester dafür bezahlt, dass sie mit der Stange im Nebel herumstochern.

Obwohl ein Penetrationstester für den Job spezielles Know-how mitbringen muss, sollte der Ansatz einen größeren Zusammenhang berücksichtigen.

Mit anderen Worten: Eine formelle Methodologie sollte einen strukturierten Rahmen liefern, um einen vollständigen und exakten Penetrationstest durchzuführen, muss aber nicht restriktiv sein. Sie sollte es dem Tester erlauben, seiner Intuition weitgehend zu folgen.

Methodologie und Standards bei Penetrationstests

Das Handbuch Open Source Security Testing Methodology Manual (OSSTMM, hier als PDF) von Pete Herzog ist zu einer De-facto-Methodologie geworden, um Penetrationstests durchzuführen und Sicherheitsmetriken zu gewinnen. Laut Pete Herzog ist das primäre Ziel von OSSTMM, „für Klarheit und Transparenz zu sorgen“. Transparenz, wer unzureichende Sicherheitskonfigurationen und -richtlinien nutzt. Transparenz, wer unzureichende Sicherheits- und Penetrationstests durchführt. Transparenz, wer die skrupellosen Anbieter von Sicherheitslösungen sind, die ihren Opfern den letzten Cent ihres ohnehin mageren Sicherheitsbudgets abluchsen; und wer jene sind, die ihre Unternehmensgrundsätze gegen gehypte Bedrohungen in Form von gesetzlichen Compliance-Vorgaben, Cyberterrorismus und Hackern eintauschen. Das OSSTMM deckt von der ersten Anforderungsanalyse bis zur Berichterstellung den gesamten Prozess der Risikobewertung ab, der in einem Penetrationstest enthalten ist. Folgende sechs Bereiche der Testmethodologie werden behandelt:

  • Informationssicherheit
  • Prozesssicherheit
  • Sicherheit der Internettechnologie
  • Kommunikationssicherheit
  • Wireless-Sicherheit
  • Physische Sicherheit

Das OSSTMM konzentriert sich auf die technischen Details, welche Komponenten genau getestet werden müssen, was es vor, während und nach einem Sicherheitstest zu beachten gilt und wie die Ergebnisse zu bewerten sind. Neue Tests für internationale Best Practices, Gesetze, Bestimmungen und ethische Fragen werden regelmäßig ergänzt und aktualisiert.

Das US-NIST (National Institute of Standards and Technology) erläutert Penetrationstests in seiner Special Publication 800-115 mit dem Titel Technical Guide to Information Security Testing and Assessment (Download-Seite). Die Methodologie von NIST ist weniger umfassend als das OSSTMM, wird höchstwahrscheinlich aber von US-Aufsichtsbehörden eher akzeptiert.

Beim deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) können sie den Praxis-Leitfaden für IS-Penetrationstests herunterladen (Download-Seite). Dort finden Sie auch den Praxis-Leitfaden für IS-Webchecks und eine Liste von IT-Sicherheitsdienstleistern, die vom BSI zertifizierte Penetrationstester beschäftigen.

Ein weiterer Bereich, dem Aufmerksamkeit gebührt, ist der Service-Provider für die Penetrationstests. Eine der größten Befürchtungen, denen sich jede Organisation während eines Pentests ausgesetzt sieht, ist die Möglichkeit, dass sensible Informationen in die falschen Hände geraten. Aus diesem Grund ist es extrem wichtig, so viele Informationen wie möglich über die Firma zu sammeln (zum Beispiel ihre technischen Voraussetzungen, Zertifizierungen, Erfahrung, Methodologie und eingesetzte Tools) und sicherzustellen, dass man es mit Profis zu tun hat. Darüber hinaus gibt es etliche Zertifizierungen von gewerblichen und staatlichen Stellen, die bestätigen, dass die Firma vertrauenswürdig ist und gemäß den Best Practices der Branche arbeitet. Die bereits erwähnte Liste des BSI finden Sie hier.

Standards bei Penetrationstests

Betrachten wir einmal einige der verfügbaren Standards und Richtlinien:

Standards for Information Systems Auditing (ISACA): Die ISACA wurde 1967 gegründet und setzt als globale Organisation Maßstäbe für Experten aus den Bereichen Information Governance, Informationskontrolle, Informationssicherheit und Sicherheits-Audits. Ihre Standards für IS-Audits und IS-Regeln werden von Fachleuten weltweit befolgt, und ihre Forschung zeigt fachliche Probleme auf, die ihre Mitglieder beschäftigen. Die wichtigste Zertifizierung von ISACA nennt sich CISA (Certified Information Systems Auditor).

CHECK: Das CESG IT Health Check Scheme wurde ins Leben gerufen, um sicherzustellen, dass sensible US-Regierungsnetzwerke und -Netzwerke, die das GSI (Government Secure Intranet) und die CNI (Critical National Infrastructure) bilden, auf einem gleichbleibend hohen Niveau abgesichert und getestet werden. Die Methodologie versucht, bekannte Schwachstellen in IT-Systemen und Netzwerken zu identifizieren, die geeignet sind, die Vertraulichkeit, Integrität oder Verfügbarkeit der auf diesem IT-System befindlichen Informationen zu kompromittieren.

CHECK-Berater sind nur erforderlich, wenn IT-Systeme für HMG oder andere Institutionen des öffentlichen Sektors in den USA bewertet werden sollen. Die oben genannten Voraussetzungen gelten auch hier. In Ermangelung anderer Standards wurde CHECK zum De-facto-Standard für Penetrationstests in Großbritannien. An CHECK beteiligte Unternehmen müssen über Mitarbeiter verfügen, die eine Sicherheitsüberprüfung erfolgreich absolviert und den CESG Hacking Assault Course bestanden haben. Doch Open-Source-Methodologien, wie die im Folgenden vorgestellten, liefern praktikable und umfassende Alternativen, ohne Einmischung der britischen Regierung.

OSSTMM: Das bereits erwähnte Open Source Security Testing Methodology Manual (OSSTMM) hat sich zum Ziel gesetzt, einen Standard für das Testen der Internetsicherheit zu definieren. Dieser Standard soll eine umfassende Grundlage für Tests bilden, die, wenn man sich daran hält, sicherstellt, dass ein gründlicher und ausgedehnter Penetrationstest durchgeführt wurde. Dadurch sollte sich ein Kunde des Niveaus der technischen Prüfung sicher sein können, unabhängig von anderen Bedenken, etwa dem Unternehmensprofil des Anbieters der Penetrationstests.

OWASP: Das Open Web Application Security Project (OWASP) ist ein Open-Source-Projekt der Community, die Software-Tools entwickelt und wissensbasierte Dokumentationen erstellt, die Nutzern dabei hilft, Webanwendungen und Webdienste abzusichern. OWASP ist eine Open-Source-Referenz für Systemarchitekten, Entwickler, Anbieter, Verbraucher und Sicherheitsexperten, die mit dem Design, der Entwicklung, Bereitstellung und den Sicherheitstests von Webanwendungen und Webdiensten zu tun haben. Kurz gesagt zielt das Open Web Application Security Project darauf ab, jeden beim Erstellen von sichereren Webanwendungen und -diensten zu unterstützen.

Die anderen Artikel der Pentest-Serie

Netzwerk-Penetrationstests: Eine Einführung

Durchführung von Penetrationstests (Pentests): Planung

Strategien und Verfahren für Penetrationstests

Die unterschiedlichen Typen von Penetrationstests

Fazit

Sicherheit ist immer im Fluss und niemals absolut. Der Wert von Penetrationstests ergibt sich anhand der Ergebnisse, und zwar jener, die die große Frage nach dem Warum beantworten. Ein erfolgreicher Penetrationstest zeigt mehr als eine bestimmte Schwachstelle, er identifiziert an erster Stelle die Prozessfehler, die zur Sicherheitslücke geführt haben. Das erkannte Leck zu beheben oder abzudichten, bedeutet nicht das Ende für Ihre Sicherheitsbedenken oder -alpträume – es ist lediglich der Anfang eines nie endenden Zyklus.

Die Krux dabei: Ein Penetrationstest garantiert keine absolute Sicherheit, es handelt sich nur um einen Baustein in ihrer gesamten Sicherheitsstrategie. Ein falsches Gefühl von Sicherheit wäre also fehl am Platz.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Pentester, kein normaler IT-Job

Wann und wie Sie Penetrationstests vornehmen sollten

Cloud Penetration Testing: Was Prüfer wissen sollten

Kostenloses E-Handbook: Ratgeber Penetrationstests

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Security-Monitoring

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close