:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit über den Development Lifecycle hinweg Software Security Testing nach OWASP
Sicherheitstests sind in der Welt der Softwaretests eine eigene Disziplin. Für das Web Application Testing stellt das OWASP ein anerkanntes Rahmenwerk bereit, das beim Aufbau einer unternehmensweiten Testkultur sowie ganz konkreter Prozesse helfen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Das Open Web Application Security Project (OWASP) ist bekannt für Rahmenwerke, Projekte, Checklisten und Software, die sich speziell mit der Sicherheit von Webanwendungen befassen. Dementsprechend bezieht sich auch des OWASP Testing Guide auf Webapplikationen. Die darin enthaltenen Grundlagen sind mit Blick auf Ablauf und Dimensionen aber auch für Offline-App-Entwickler und -Tester interessant.
Der Guide gliedert sich grob in drei Teile: Zunächst werden die Grundlagen und Voraussetzungen für erfolgreiches Testing aufgespannt, die auch Inhalt dieses Artikels sind. Im nächsten Teil wird das OWASP Testing Framework vermittelt, das ein konkretes Phasenmodell vorstellt und dies auch im Software Development Life Cycle (SDLC) verortet. Der dritte Teil wird dann noch konkreter und zeigt detailliert auf, wie auf einzelne Bedrohungen getestet wird (beispielsweise „Testing for weak password policy”).
Die weiteren Teile sollten Sie an die Hand nehmen, wenn Sie ganz konkret mit der Implementierung von Security-Tests beginnen. Zunächst sollte aber klar sein, was überhaupt getestet werden muss, wer das wann erledigt und welche grundsätzlichen Techniken überhaupt zur Verfügung stehen – und zwar auf Management-Level.
Einleitung
Eine erste wichtige Frage lautet, was überhaupt getestet werden soll. Als ITler neigt man ja schnell zu einer rein technischen Sichtweise. Für sichere Software gilt jedoch wie schon beim Entwicklungsprozess: Es geht um Menschen, Prozesse und Technologie. Denn alle drei Teile können für Sicherheitslücken sorgen, ein falsch qualifizierter Mitarbeiter oder ein Prozess ohne Puffer ebenso wie eine unsichere Bibliothek.
Die nächste große Frage gilt dem Wann. Traditionell wird getestet, sobald ein gewisses Entwicklungsstadium erreicht ist, ein „testbares Produkt” vorliegt. Das OWASP empfiehlt kontinuierliches Testen über den gesamten SDLC. Eher weiche Aspekte wie Mitarbeiter und Prozesse lassen sich teils freilich bereits vor der ersten Zeile Code testen.
Entwickler führen während des Codens ohnehin Smoke-/Unit-Tests durch und je mehr Code entsteht und integriert wird, desto größer wird auch die Testoberfläche. Bis schließlich die Software als Ganzes zur Verfügung steht und der eigenständige, traditionelle Testing-Workflow einsetzen kann – hier verdingen sich dann eher die Tester, nicht mehr die Entwickler. Wichtig ist vor allem, andauernde Tests von Vornherein in den SDLC einzuplanen.
An dritter Stelle steht schließlich die Frage: Was soll überhaupt erreicht werden? Das sollte bereits klar sein, bevor ein Test gefahren wird. Die Ableitung von Zielen, von konkreten Anforderungen und letztlich Tests muss über die reichlich vorhandenen Ressourcen laufen. Das OWASP behandelt diesen Themenbereich sehr ausführlich.
In Kürze aber heißt das einfach: Es sollen alle verfügbaren Ressourcen wie Gefährdungslisten (OWASP Top 10), nationale Regulierungen (IT-Grundschutz in Deutschland) und sonstige Rahmenwerke hinzugezogen werden. Einerseits um vollständig, andererseits um kompatibel mit marktüblichen Standards zu sein. Wichtig hier: Alle Ziele und Test- und Sicherheitsanforderungen müssen detailliert dokumentiert werden.
Prinzipien/Mindset
Wie auch bei vielen anderen Publikationen legt das OWASP viel Wert auf die richtige Einstellung zum Thema, ein grundlegendes Verständnis oder wie es im Management gerne heißt Mindset. Dazu werden zwölf Prinzipien aufgestellt, die man durchaus im Hinterkopf behalten sollte. Viele sind weitestgehend selbsterklärend, daher hier nur in aller Kürze:
- No Silver Bullet: Es gibt nicht die eine ultimative Waffe in Form eines Vulnerability Scanners oder sonst einer Tool-Lösung – Sicherheit ist ein Prozess, kein Produkt.
- Strategisch, nicht taktisch: Nicht bloß am Ende testen und patchen, sondern über den gesamten SDLC Security-Testing-Prozesse implementieren.
- SDLC is King: Es gibt etablierte SDLC-Frameworks, die genutzt werden und die Richtung klar vorgeben sollten.
- Oft und früh testen: Auf lange Sicht sind früh erkannte Bugs günstiger zu beseitigen und sorgen für weniger Verzögerungen im SDLC.
- Security-Anforderungen verstehen: Die unterschiedlichen Sicherheitsanforderungen einzelner Phasen und Bestandteile, zum Beispiel durch nationale Vorgaben, sollten sauber dokumentiert werden.
- Richtige Sichtweise entwickeln: Schauen Sie über den Tellerrand, denken Sie wie ein Hacker – wie könnte die Software missbraucht werden?
- Das Subjekt verstehen: Die Dokumentation der Software (Anforderungen, Flussdiagramme, Use-/Misuse-Cases etc.) sollte ausführlich und formal erstellt und Testern zugänglich gemacht werden.
- Die richtigen Tools: Security-Testing-Werkzeuge sind oft hoch spezialisiert und sollten entsprechend sorgfältig ausgewählt werden.
- Der Teufel steckt im Detail: Oberflächliche Black-Box-Tests vermitteln schnell falsche Sicherheit – Hacker verbeißen sich gerne in Details, folglich sollten dies auch die Tester.
- Quellen nutzen: Wann immer möglich, sollte mit dem Source Code getestet werden, nicht bloß Black-Box-Tests mit Binaries.
- Metriken entwickeln: Für die langfristige Beurteilung und Verbesserung des Security-Testing-Prozesses sollten Metriken aufgestellt werden, die zum Beispiel quantitative Merkmale wie Anzahl der gefundenen Sicherheitsprobleme, aber auch weiche Merkmale wie nicht vorhandene Skills beim Personal aufzeigen.
- Dokumentation: Alle Aktivitäten und Resultate sollten formal festgehalten werden. Wer hat wann was gemacht und was dabei herausgefunden? Da kreatives Schreiben nicht unbedingt die Kernkompetenz von Testern und Entwicklern darstellt, empfiehlt das OWASP konkrete Vorlagen.
Techniken
Das OWASP unterscheidet vier unterschiedliche Test-Arten oder -Techniken, die jeweils Vor- und Nachteile haben, unterschiedlich geschulte Mitarbeiter erfordern und vorzugsweise in Kombination eingesetzt werden sollten – was aber nicht immer möglich ist.
Manuelle Inspektionen und Reviews
Die Technik der Wahl hier: Fragen. Es geht darum, Prozesse und Personal daraufhin zu testen, ob die nötigen Skills vorhanden sind, ob Prozesse richtig umgesetzt werden, ob der jeweilige Produktionsschritt und die Sicherheitsbelange verstanden werden, ob die Dokumentation ordnungsgemäß durchgeführt wird und so weiter.
Solche Tests können früh in den SDLC implementiert werden, erfordern keinerlei technologische Unterstützung, fördern (bestenfalls) das Teamwork und sind flexibel – daher aber auch sehr zeitintensiv. Zudem sind sie massiv von den zwischenmenschlichen Fähigkeiten der jeweiligen Tester abhängig.
Threat Modeling
Dieser eher neue Ansatz ist kein Garant für gute, sichere Software, sondern verhindert eher Überraschungen der Marke „Wieso haben wir das nicht kommen sehen?” Es geht darum, die Software nicht als Entwickler oder Tester zu betrachten, sondern als Hacker. Das OWASP vergleicht es mit dem Requirements Assessment: Risk Assessment soll Modelle für den Missbrauch erschaffen und so Mitigationsstrategien eröffnen. Technische Hilfe für diese Tests gibt es zum Beispiel von der Carnegie Mellon University.
Source Code Reviews
Quelltext-Untersuchungen sind unerlässlich für Software-Sicherheit. Sie bringen eine unvergleichliche Vollständigkeit in die Untersuchungen, sind sehr akkurat, lassen sich recht früh im SDLC unterbringen und im besten Falle sind sie auch sehr schnell. Dafür bedarf es jedoch hoch qualifizierter Reviewer. Auf der Seite der Nachteile stehen Runtime-Fehler und möglicherweise zugehörige, nicht quelloffene Bibliotheken – so werden komplette Quellcodebegutachtungen nur bei eigenen Projekten und hundertprozentiger Open Source Software funktionieren.
Penetration Testing
Pen-Testing ist der Klassiker. Bei diesem Black-Box-Testing geht es darum, eine Software von außen anzugreifen, zu penetrieren – sich also als feindlicher Hacker zu betätigen. In der Netzwerksicherheit können Pen-Tests sehr gut dafür sorgen, dass typische Angriffe nicht funktionieren, Script-Kiddies keine Chance haben und die Software allgemein ordentlich funktioniert. Solche Tests können, auch dank hoch integrierter Werkzeugkästen wie Metasploit, von verhältnismäßig niedrig qualifiziertem Personal übernommen werden und laufen sehr zügig ab. Allerdings lassen sie sich erst ganz am Ende des SDLC durchführen – zu spät für das Konzept kontinuierlichen Testens.
Reporting
Alle Testplanungen, Black- und White-Box-Tests und alle erhobenen Daten sind nichts wert, wenn nicht auch ein vernünftiges Reporting daraus resultiert. Es müssen die anfangs festgehaltenen Ziele und Anforderungen mit den erhobenen Daten abgeglichen und auf ein verständliches Maß gebracht werden.
Beispielsweise ist es gut und schön, Sicherheitslücken im Source Code Review gefunden und über Pen-Tests bestätigt zu haben. Aber wie bedrohlich ist dieser Bug überhaupt? Für die gesamte Risikoanalyse, die neben besserem Code natürlich ebenso ein Ziel des ganzen Security Testings ist, müssen wie üblich Ist- mit Soll-Daten zusammengebracht werden. Auch rein quantitative Werte wie die Anzahl gefundener Bugs können hier einfließen, um eine allgemeine Aussage über die Qualität von Software zu machen.
Darüber hinaus führt das Reporting auch zu Aussagen über die Qualität des SDLC beziehungsweise des Security Testings selbst: Wie schneidet beispielsweise nur via Black-Box-Testing (etwa externe Pen-Tester) geprüfte Software im Vergleich mit nach allen Regeln der Kunst geprüfter Software ab? Bringt der komplexe Testing-Prozess tatsächlich messbare Vorteile?
Das OWASP gibt noch allerhand konkrete Hinweise, welche Daten für welche Zielgruppen vermittelt werden sollten; beispielsweise wie sich gefundene Bugs auf Geschäftsvorfälle auswirken können. Letztlich geht es einfach darum, auch die unliebsame Aufgabe des Reportings mit der gleichen Sorgfalt zu planen und zu betreiben, wie das eigentliche Testing. Reports sind gewissermaßen die Schnittstelle zwischen Technikern (Tester, Entwickler) und Managern (CIO, CISO, IT-SiBe) – und eine API würde man ja auch mit entsprechender Muße angehen.
(ID:45787231)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930830/original.jpg "Unter dem Shift-Left-Ansatz versteht man das Vorziehen eines Prozessschritts in eine frühere Phase des Prozessablaufs, beim Shift-Left-Testing also zum Beispiel das Testen von Software in einem frühen Entwicklungsstadium. (gemeinfrei)")