Suchen

Penetration Testing Fuzzing entlarvt Schwachstellen in Standard- und Individual-Software

| Autor / Redakteur: M.Sc. Peter Sakal / Stephan Augsten

Anwendungssicherheit ist für ganzheitliche Sicherheitsbetrachtungen ein zentrales Thema. Im ersten Schritt beauftragt das Unternehmen häufig einen externen Penetration Tester. Ressourcenschonend arbeitende und systematisch vorgehende Dienstleisters sollten dabei bevorzugt werden. Fuzzing ist ein wesentliches Qualitätsmerkmal zur Bewertung des Sicherheitsniveaus.

Firmen zum Thema

Mit Fuzzing-Tools kann ein Penetration Tester mögliche Sicherheitslücken erkennen und beheben.
Mit Fuzzing-Tools kann ein Penetration Tester mögliche Sicherheitslücken erkennen und beheben.
( Archiv: Vogel Business Media )

Systematische Penetrationstests

Viele KMU und große Unternehmen haben erkannt, dass die Identifizierung von Sicherheitslücken in Ihrer IT spezielle Sicherheits-Analysen erfordern. Wenn Entscheidungsträger wissen möchten, wie es um das IT-Sicherheitsniveau bestimmt ist, so geben sie Penetrationstests in Auftrag:

  • Können Daten aus meinem Unternehmen abfließen - durch Angriffe auf die IT-Systeme (Innen- und Außentäter)?
  • Sind in der Folge Wirtschaftsspionage und Sabotage möglich?
  • Einfache Penetrationstests (wie sie häufig angeboten werden) reichen nicht aus, um die Unternehmensgeheimnisse im Haus zu behalten und auch die Verfügbarkeit der – für den täglichen Betrieb notwendigen – IT-Systeme zu gewährleisten. Sicherheitsbewusste Unternehmen sollten bei der Beauftragung externer Penetrationstester auf den methodischen (!) Einsatz von Fuzzing bestehen; Vulnerability-Scanning zur Erkennung bereits bekannt gewordener Sicherheitslücken reicht nicht aus.

Eine solche Methodik wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der IT-Grundschutzkataloge auch kleinen und mittleren Unternehmen empfohlen. Aussagen wie “Unsere Consultants arbeiten kreativ” weisen auf ein willkürliches Vorgehen hin und sollten daher genauestens verifiziert werden.

Unter anderem sollten folgende Eckpunkte abgefragt und vertraglich festgelegt werden:

1. Vollständigkeit des Vorgehens: extern erreichbare Server, WLAN und Webanwendungen

2. Methodik des Vorgehens: Vulnerability Scanning, Threat Modeling, Fuzzing

3. Unabhängigkeit des Dienstleisters z.B. gegenüber Herstellern von Softwareprodukten- und Tools

4. Art und Form der Dokumentation und Ergebnispräsentation

5. Fähigkeit und Bereitschaft bei der Lösungsbehebung zu unterstützen

6. Referenzen für die geforderte Aufgabenstellung

7. Qualifikation der Mitarbeiter

Inhalt

  • Seite 1: Systematische Penetrationstests
  • Seite 2: Einsatz von Fuzzing
  • Seite 3: Fuzzing-Techniken
  • Seite 4: Chancen und Risiken

(ID:2050900)