Penetration Testing

Fuzzing entlarvt Schwachstellen in Standard- und Individual-Software

18.04.2011 | Autor / Redakteur: M.Sc. Peter Sakal / Stephan Augsten

Mit Fuzzing-Tools kann ein Penetration Tester mögliche Sicherheitslücken erkennen und beheben.
Mit Fuzzing-Tools kann ein Penetration Tester mögliche Sicherheitslücken erkennen und beheben.

Anwendungssicherheit ist für ganzheitliche Sicherheitsbetrachtungen ein zentrales Thema. Im ersten Schritt beauftragt das Unternehmen häufig einen externen Penetration Tester. Ressourcenschonend arbeitende und systematisch vorgehende Dienstleisters sollten dabei bevorzugt werden. Fuzzing ist ein wesentliches Qualitätsmerkmal zur Bewertung des Sicherheitsniveaus.

Systematische Penetrationstests

Viele KMU und große Unternehmen haben erkannt, dass die Identifizierung von Sicherheitslücken in Ihrer IT spezielle Sicherheits-Analysen erfordern. Wenn Entscheidungsträger wissen möchten, wie es um das IT-Sicherheitsniveau bestimmt ist, so geben sie Penetrationstests in Auftrag:

  • Können Daten aus meinem Unternehmen abfließen - durch Angriffe auf die IT-Systeme (Innen- und Außentäter)?
  • Sind in der Folge Wirtschaftsspionage und Sabotage möglich?
  • Einfache Penetrationstests (wie sie häufig angeboten werden) reichen nicht aus, um die Unternehmensgeheimnisse im Haus zu behalten und auch die Verfügbarkeit der – für den täglichen Betrieb notwendigen – IT-Systeme zu gewährleisten. Sicherheitsbewusste Unternehmen sollten bei der Beauftragung externer Penetrationstester auf den methodischen (!) Einsatz von Fuzzing bestehen; Vulnerability-Scanning zur Erkennung bereits bekannt gewordener Sicherheitslücken reicht nicht aus.

Eine solche Methodik wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der IT-Grundschutzkataloge auch kleinen und mittleren Unternehmen empfohlen. Aussagen wie “Unsere Consultants arbeiten kreativ” weisen auf ein willkürliches Vorgehen hin und sollten daher genauestens verifiziert werden.

Unter anderem sollten folgende Eckpunkte abgefragt und vertraglich festgelegt werden:

1. Vollständigkeit des Vorgehens: extern erreichbare Server, WLAN und Webanwendungen

2. Methodik des Vorgehens: Vulnerability Scanning, Threat Modeling, Fuzzing

3. Unabhängigkeit des Dienstleisters z.B. gegenüber Herstellern von Softwareprodukten- und Tools

4. Art und Form der Dokumentation und Ergebnispräsentation

5. Fähigkeit und Bereitschaft bei der Lösungsbehebung zu unterstützen

6. Referenzen für die geforderte Aufgabenstellung

7. Qualifikation der Mitarbeiter

Inhalt

 

Der Fuzzing-Prozess

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2050900 / Security-Testing)