Sie befin­den sich hier:

Test­vor­ge­hen

Unser aus­ge­reif­tes und stan­dar­di­sier­tes
Vor­ge­hen führt zu prä­zi­sen Ergeb­nis­sen

Effi­zi­en­te Pro­zes­se. Ver­läss­li­che Ergeb­nis­se.

Ziel

Das Ziel eines Pene­tra­ti­ons­tests besteht in der Iden­ti­fi­ka­ti­on von sicher­heits­re­le­van­ten Schwach­stel­len in IT-Sys­te­men oder Pro­zes­sen der Kun­den­or­ga­ni­sa­ti­on, wel­che die Schutz­zie­le der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von Daten oder Sys­te­men gefähr­den.

 

Arbeits­er­geb­nis

Im Ergeb­nis der durch­ge­führ­ten Ana­ly­sen erhält der Kun­de einen detail­lier­ten Abschluss­be­richt, in dem sowohl die Schwach­stel­len detail­liert beschrie­ben als auch kon­kre­te Gegen­maß­nah­men zu deren Besei­ti­gung dar­ge­legt sind. Der Bericht ent­hält wei­ter­hin eine Manage­ment-Zusam­men­fas­sung zu den Ergeb­nis­sen, die eben­falls Hand­lungs­emp­feh­lun­gen beinhal­ten. Der Abschluss­be­richt wird zum Abschluss des Pro­jekts gegen­über dem Auf­trag­ge­ber vor­ge­stellt, um ein gemein­sa­mes Ver­ständ­nis für das Arbeits­er­geb­nis zu erhal­ten. Wei­te­re Details zum Ergeb­nis­be­richt haben wir Ihnen im fol­gen­den Arti­kel zusam­men­ge­fasst. Spre­chen Sie uns ger­ne über das Kon­takt­for­mu­lar oder via E‑Mail an, wenn Sie an einem Bei­spiel­be­richt der Smart­TECS Cyber Secu­ri­ty GmbH inter­es­siert sind!

Im Fol­gen­den wird der Pro­zess der Durch­füh­rung von Pene­tra­ti­ons­tests durch Secu­ri­ty Con­sul­tants der Smart­TECS Cyber Secu­ri­ty GmbH beschrie­ben.

 

Pha­sen

Der Ablauf eines Pro­jek­tes glie­dert sich in ver­schie­de­ne Pha­sen, die sequen­zi­ell durch­lau­fen wer­den. Das Vor­ge­hen ori­en­tiert sich an den Emp­feh­lun­gen des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und wur­de ent­spre­chend den Pro­jekt­er­fah­run­gen der Secu­ri­ty Con­sul­tants der Smart­TECS Cyber Secu­ri­ty GmbH über meh­re­re Jah­re an das rea­le Pro­jekt­ge­sche­hen ange­passt und ver­bes­sert.

Pha­se 1: Vor­be­rei­tung

In der Vor­be­rei­tungs­pha­se des Tests wird gemein­sam mit den rele­van­ten Pro­jekt­ver­ant­wort­li­chen auf Kun­den­sei­te ein Kick­off-Ter­min absol­viert. Dabei wer­den die Zie­le des Pene­tra­ti­ons­tests defi­niert und orga­ni­sa­to­ri­sche Punk­te, wie bspw. die Ansprech­part­ner wäh­rend der Test­durch­füh­rung, der Durch­füh­rungs­zeit­raum, die benö­tig­te Zugän­ge und Anfor­de­run­gen an den Bericht fest­ge­legt.

Die zu prü­fen­den Sys­te­me und Anwen­dun­gen inner­halb des Unter­su­chungs­um­fangs wer­den doku­men­tiert, sowie die Sys­te­me und Funk­tio­nen bestimmt, die expli­zit vom Test aus­ge­schlos­sen sind.

Abhän­gig von der Kom­ple­xi­tät des Test­ob­jekts erfolgt eine Vor­stel­lung des Sys­tems durch den Auf­trag­ge­ber. Um das Risi­ko von Ver­zö­ge­run­gen im Pro­jekt­ab­lauf zu redu­zie­ren, fin­det weni­ge Tage vor Test­be­ginn ein soge­nann­ter Smo­ke­test statt, in dem die Zugän­ge und Test­vor­aus­set­zun­gen zusam­men mit dem Auf­trag­ge­ber geprüft wer­den.

Pha­se 2: Infor­ma­ti­ons­be­schaf­fung und ‑aus­wer­tung

In der Infor­ma­ti­ons­be­schaf­fungs­pha­se wer­den Infor­ma­tio­nen über die defi­nier­ten Sys­te­me und/oder IP-Adress­be­rei­che im Gel­tungs­be­reich gesam­melt, um wei­te­re poten­zi­el­le Angriffs­vek­to­ren zu iden­ti­fi­zie­ren. Die Infor­ma­ti­ons­be­schaf­fung wird in eine pas­si­ve und akti­ve Pha­se unter­teilt.

Bei der pas­si­ven Infor­ma­ti­ons­be­schaf­fung fin­det kei­ne direk­te Inter­ak­ti­on mit dem Zielsystem(en) statt. Es wer­den bei­spiels­wei­se Such­ma­schi­nen im Inter­net genutzt oder wei­te­re Zie­le über die Enu­me­ra­ti­on von DNS-Sub­do­mä­nen iden­ti­fi­ziert, um zusätz­li­che Infor­ma­tio­nen über das Test­ob­jekt zu erhal­ten.

In der akti­ven Pha­se der Infor­ma­ti­ons­be­schaf­fung fin­det eine Inter­ak­ti­on mit den Sys­te­men im Unter­su­chungs­um­fang, statt mit dem Ziel Infor­ma­tio­nen wie ein­ge­setz­te Betriebs­sys­te­me oder ange­bo­te­ne Diens­te im Netz­werk zu beschaf­fen. Hier­bei kom­men bspw. Tech­ni­ken des Port­scan­nings (TCP, UDP, ICMP, ARP) zum Ein­satz.

Pha­se 3: Iden­ti­fi­ka­ti­on von Schwach­stel­len

In der drit­ten Pha­se wer­den die iden­ti­fi­zier­ten Sys­te­me und Diens­te auf das Vor­han­den­sein von Schwach­stel­len unter­sucht. Dabei wer­den öffent­lich zugäng­li­che Quel­len und Schwach­stel­len-Daten­ban­ken kon­sul­tiert, als auch Schwach­stel­len­scan­ner oder wei­te­re manu­el­le Ana­ly­sen genutzt.

Pha­se 4: Aus­nut­zen von Schwach­stel­len

Zur Veri­fi­ka­ti­on von Schwach­stel­len und zur Ver­mei­dung von Fal­se-Posi­ti­ves im Abschluss­be­richt fin­det, ggf. nach Rück­spra­che mit dem Sys­tem­ver­ant­wort­li­chen, ein Aus­nut­zen der Schwach­stel­le statt. Dies ermög­licht es Rück­schlüs­se über mög­li­che Aus­wir­kun­gen der Schwach­stel­le zu zie­hen und wei­te­re Angriffs­pfa­de auf ange­bun­de­ne Sys­te­me zu iden­ti­fi­zie­ren.

Pha­se 5: Ergeb­nis­do­ku­men­ta­ti­on und Auf­räum­ar­bei­ten

In der letz­ten Pha­se fin­det eine Bewer­tung der iden­ti­fi­zier­ten Schwach­stel­len hin­sicht­lich deren Kri­ti­k­ali­tät und die Doku­men­ta­ti­on der Ergeb­nis­se im Abschluss­be­richt statt. Der Secu­ri­ty Con­sul­tant defi­niert geziel­te Maß­nah­men zur Behe­bung der Schwach­stel­len. Even­tu­ell instal­lier­te Werk­zeu­ge oder Ände­run­gen an Kon­fi­gu­ra­tio­nen an den bereit­ge­stell­ten Sys­te­men wer­den ent­fernt bzw. rück­gän­gig gemacht.

Abschlie­ßend wer­den den Ansprech­part­nern des Auf­trag­ge­bers die Ergeb­nis­se prä­sen­tiert und Emp­feh­lun­gen zum wei­te­ren Vor­ge­hen zur Behe­bung der Schwach­stel­len gege­ben.

Unser Arbeits­er­geb­nis

Im Ergeb­nis der durch­ge­führ­ten Ana­ly­sen erhält der Kun­de einen detail­lier­ten Abschluss­be­richt, in dem sowohl die Schwach­stel­len detail­liert beschrie­ben als auch kon­kre­te Gegen­maß­nah­men zu deren Besei­ti­gung dar­ge­legt sind. Struk­tu­rell und inhalt­lich unter­schei­det sich die Abschluss­do­ku­men­ta­ti­on eines Pene­tra­ti­ons­test abhän­gig von der gewähl­ten Test­ka­te­go­rie bzw. ‑art (bspw. Quell­code­ana­ly­se, Netz­werk- und Infra­struk­tur­test oder Web­ap­pli­ka­ti­ons­test). Aller­dings hal­ten sich die Abschluss­do­ku­men­te der Smart­TECS Cyber Secu­ri­ty GmbH im Bereich des Pene­tra­ti­ons­tests an die fol­gen­de über­ge­ord­ne­te Struk­tur:

Exe­cu­ti­ve Sum­ma­ry

Die Exe­cu­ti­ve Sum­ma­ry gibt eine Zusam­men­fas­sung auf Manage­ment Ebe­ne und fasst das Test­ergeb­nis auf einer abs­trak­ten Ebe­ne zusam­men. Ziel des Kapi­tels stellt die kom­pri­mier­te Zusam­men­fas­sung der Ana­ly­se dar und gibt das Sicher­heits­le­vel des Test­ob­jekts wie­der. Der Text rich­tet sich an Füh­rungs­kräf­te und Ent­schei­der, um eine Ent­schei­dungs­grund­la­ge für die nächs­ten Schrit­te ein­zu­lei­ten.

Ergeb­nis­über­sicht

Bei der tech­ni­schen Über­sicht wer­den die Ergeb­nis­se für Exper­ten tabel­la­risch zusam­men­ge­fasst. Zusätz­lich wer­den die resul­tie­ren­den Maß­nah­men bzw. Emp­feh­lun­gen zu jeder Sicher­heits­schwach­stel­le wie­der­ge­ge­ben. Ziel des Kapi­tels stellt eine Über­sicht der Test­ergeb­nis­se dar.

All­ge­mei­ne Infor­ma­tio­nen zur Ana­ly­se

Das Kapi­tel Pro­jekt­über­sicht stellt detail­lier­te Infor­ma­tio­nen zum Test­ob­jekt, Kate­go­rie sowie der Test­me­tho­dik bereit. Ziel des Kapi­tels ist die Nach­voll­zieh­bar­keit der Ana­ly­se, um eine ziel­ge­rich­te­te Behe­bung der Schwach­stel­len zu ermög­li­chen. Wei­ter­hin wer­den im Unter­ka­pi­tel Metho­dik die Test­schwer­punk­te der vor­lie­gen­den Ana­ly­se doku­men­tiert, um ein Abgleich des Test­um­fangs sowie ‑tie­fe zu ermög­li­chen.

Test­ergeb­nis

Schwer­punkt des Abschluss­be­richts stel­len die Ergeb­nis­se der Ana­ly­se dar. In die­sem Kapi­tel wer­den detail­lier­te Infor­ma­tio­nen zu den iden­ti­fi­zier­ten Schwach­stel­len dar­ge­legt. Details zum Auf­bau der Test­ergeb­nis­se wer­den im Fol­gen­den gege­ben.

Anhang

Der Anhang eines jeden Abschluss­be­richts ent­hält wei­ter­füh­ren­de tech­ni­sche Infor­ma­tio­nen oder selbst-ent­wi­ckel­te Skripts oder Schad­code, um die Nach­voll­zieh­bar­keit und den Nach­test der iden­ti­fi­zier­ten Schwach­stel­len zu ermög­li­chen. Dar­über hin­aus wer­den Infor­ma­tio­nen zur Ein­stu­fung des Sicher­heits­ni­veaus und des Schwe­re­grads der Schwach­stel­len gege­ben.

Test­ergeb­nis­se

Die Doku­men­ta­ti­on der Ergeb­nis­se, die wäh­rend des Ana­ly­se­zeit­raums iden­ti­fi­ziert wer­den, ori­en­tie­ren sich bei der Smart­TECS Cyber Secu­ri­ty GmbH dem fol­gen­den Sche­ma. Abwei­chun­gen fin­den aus­schließ­lich statt, wenn es die Test­art oder Doku­men­ta­ti­on erfor­dert.

Beschrei­bung

Die Beschrei­bung legt den Kon­text dar, in dem sich die Schwach­stel­le inner­halb des betrof­fe­nen Sys­tems ein­ord­nen lässt. Es wer­den wei­ter­hin Hin­ter­grund­in­for­ma­tio­nen zur Kate­go­rie der Schwach­stel­le ange­ge­ben.

Schwe­re­grad

Der Schwe­re­grad einer Schwach­stel­le dient der Grund­la­ge für einen orga­ni­sa­to­ri­schen Schwach­stel­len­ma­nage­ment­pro­zess und kann für eine Prio­ri­sie­rung genutzt wer­den. Die Smart­TECS Cyber Secu­ri­ty GmbH ori­en­tiert sich hier­bei am CVSS-Score (Com­mon Vul­nerabi­li­ty Scoring Sys­tem) und kate­go­ri­siert Schwach­stel­len nach den fol­gen­den Schwe­re­gra­den: nied­rig, mit­tel, hoch und kri­tisch.

Ergeb­nis

Das Ergeb­nis beschreibt die kon­kre­ten Aus­wir­kun­gen der Aus­nut­zung der Schwach­stel­le auf das Test­ob­jekt durch einen Angrei­fer. Zusätz­lich wird ein Pro­of-of-Con­cept für den Nach­weis der Aus­nutz­bar­keit der Schwach­stel­le auf einem sehr tech­ni­schen Niveau erstellt und doku­men­tiert. Die­ses dient dem Exper­ten zur Repro­duk­ti­on der Schwach­stel­len.

Behe­bung

Die Maß­nah­men­emp­feh­lung gibt eine detail­lier­te und kon­kre­te Erklä­rung zur Behe­bung der Schwach­stel­le wie­der.

Refe­ren­zen

Abschlie­ßend wer­den wei­ter­füh­ren­de Links und Infor­ma­tio­nen zu der Schwach­stel­le bzw. zu deren Behe­bung zur Ver­fü­gung gestellt.