IT-Security-Testing - ein Überblick

Datendiebstahl, Spionage oder Sabotage verursachten 2021 einen Schaden von rund 223 Milliarden Euro in der deutschen Wirtschaft. IT-Security-Testing ist daher für jedes Unternehmen unverzichtbar. Dieser Blogartikel bietet einen umfassenden Überblick über die Ansätze, Strategien, Tools und Best Practices im IT-Security Testing.



Was ist IT-Security-Testing?

IT-Security Testing ist eine Form des Software Testings. Dabei werden Gefahren, Risiken und Schwachstellen von IT-Systemen identifiziert und bewertet, die sonst signifikante Schäden für Unternehmen oder andere Nutzer verursachen könnten. IT-Security-Testing ist eine essenzielle Phase im Entwicklungszyklus einer Software und sorgt dafür, dass diese in der Praxis sicher und ausfallfrei funktioniert. Das kann manuell oder mit Hilfe automatisierter Testtools geschehen.



Warum ist IT-Security-Testing so wichtig?

Eine Studie im Auftrag des Digitalverbandes Bitcom zeigt, dass die wirtschaftlichen Schäden durch IT-Angriffe immer größer werden: 2018/2019 betrugen die Verluste deutschlandweit gut 100 Mrd. Euro, im Rekordjahr 2021 waren es bereits 223 Mrd. Euro. Von den mehr als 1.000 befragten Unternehmen gaben 84 Prozent an, Opfer von Cyberattacken gewesen zu sein.


Betroffene Unternehmen haben nicht nur mit den wirtschaftlichen Folgen von Systemausfällen zu kämpfen. Gerade wenn es um Kundendaten geht, schaden Cyberattacken vor allem dem Ansehen von Firmen. IT-Security-Testing kann die Risiken solcher Angriffe früh erkennen, sie beheben und damit die Wirtschafts- und Reputationsschäden senken. Daher sollten Entwicklerteams bereits mit dem IT-Security-Testing beginnen, während sie die Software entwickeln. Ebenso bedarf es aber einer langfristigen Teststrategie, denn das Sicherheitsumfeld für Software ändert sich kontinuierlich.


Wie lauten die Prinzipien des IT-Security-Testing?

IT-Security-Testing folgt einer Reihe an Prinzipien, die jede Software erfüllen sollte:


  • Vertrauliche Kundeninformationen: Unternehmen und Individuen sind dazu verpflichtet, Kundendaten geheim zu halten und vor dem Zugriff durch Unbefugte zu schützen


  • Unveränderliche Benutzerdaten: Für Dritte muss es ausgeschlossen sein, Daten im System zu verändern. Das betrifft zum Beispiel Benutzerrechte, Lizenzen oder Gruppenzugehörigkeiten


  • User authentifizieren: Viele Systeme brauchen Sicherheitsprozeduren, die die Identität der Benutzer verifizieren, zum Beispiel mit Hilfe von Passwortrichtlinien oder Sicherheitsfragen


  • Zugriffsrechte einschränken: Sicherheitsmechanismen autorisieren, über welche Zugriffsrechte ein Benutzer zum Beispiel auf Systemressourcen, Services, Programme, Daten und Features verfügt


  • Ständig verfügbare Daten: Benutzer sollen konstant auf die für sie wichtigen Informationen zurückgreifen können. Sicherheitslücken können allerdings zu einer Downtime führen. Unternehmen brauchen daher einen Plan, wie Daten im Falle eines Angriffs verfügbar bleiben


  • Nachweisbare Identität: Eine Firma muss darauf vertrauen können, dass externe Mitteilungen und Transaktionen von vertrauenswürdigen und realen Personen stammen. Ein Sicherheitssystem sollte daher zum Beispiel gescheiterte Anmeldeversuche nachverfolgen


Was sind die Ziele des IT-Security-Testing?

Unternehmen verfolgen mit Sicherheitstests gleich mehrere Ziele:


  • Tests identifizieren Bedrohungen innerhalb des IT-Systems


  • Sie helfen, die potenziellen Schwachstellen des Systems nach außen abzuschätzen


  • Sicherheitstests kalkulieren darüber hinaus die Wahrscheinlichkeit und die möglichen Schäden von Attacken


  • Die identifizierten Sicherheitsrisiken werden im Hinblick auf Sicherheitspläne und -investitionen priorisiert


  • Tester bieten Lösungen für die identifizierten Sicherheitslücken an



Welche Ansätze gibt es im IT-Security-Testing?

Im IT-Security-Testing gibt es verschiedene Herangehensweisen, um die Sicherheit von Systemen zu überprüfen:

Black Box, Grey Box oder White Box

Black Box Testing:

Beim Black Box Testing haben Tester keinerlei Informationen über den zu testenden Code oder interne Sicherheitsmechanismen. Sie versuchen, die Software mit allen möglichen Methoden zu knacken, die auch außenstehende Hacker verwenden würden. Dadurch sind die Testszenarien sehr realistisch, aber zeitintensiv. Zudem können Tester nur den Input und den Output, nicht aber die Mechanismen innerhalb des Systems beurteilen.



Grey Box Testing:

Bei diesem kombinierten Ansatz können Tester eingeschränkt auf Systeminformationen zugreifen. Ziel ist es, ein halb-transparentes Testobjekt fokussiert und effizient zu beurteilen.



White Box Testing:

Hierbei entwickeln Tester Verfahren basierend auf dem Quellcode einer Software. Das heißt, sie kennen die Struktur des Systems und können seine Funktionsweise während der Tests beobachten. Das ermöglicht sehr präzise und gezielte Kontrollen. Zudem können die Tests interne Schwachstellen des Systems aufdecken. Tester müssen hierfür allerdings umfangreich auf firmeninterne Informationen zurückgreifen können.

Dynamisches und statisches Testing:

Dynamic Application Security Testing (DAST)

Dynamische Tests simulieren eine ganze Bandbreite an möglichen Bedrohungen, während die Software läuft. Die Tester analysieren, wie das System auf diese Inputs reagiert. In der Regel kommt hier Black Box Testing zu Einsatz



Static Application Security Testing (SAST)

Statische Tests arbeiten hingegen mit dem Quellcode und den Applikationsdaten, während die Software ruht. Automatisierte Testtools suchen nach Konfigurationsfehlern und defekten Codeteilen. Das geht zwar schneller als dynamisches Testen, jedoch werden weniger und ausschließlich bekannte Unsicherheitsfaktoren identifiziert. Hierbei handelt es sich um einen White-Box-Ansatz.



Interactive Application Security Testing (IAST)

IAST kombiniert die Vorteile dynamischer und statischer Tests. Es analysiert den Code, während er läuft. Interaktives Testen zielt darauf ab, herauszufinden, ob Hacker bekannte Sicherheitslücken in der Praxis wirklich ausnutzen.



Welche Teststrategien werden beim IT-Security-Testing verwendet?

In der Praxis setzen Tester diese Ansätze in vielfältigen Strategien um, die sich auf unterschiedliche Sicherheitsprobleme konzentrieren

  • Verwundbarkeits-Scans sind automatisierte und tool-basierte Verfahren, die potenzielle Sicherheitsrisiken und systemische Schwachstellen aufdecken, bevor Hacker sie ausnutzen können. Unternehmen sollten solche Scans regelmäßig durchführen, da sich das Sicherheitsumfeld ständig ändert. Zudem sollten sie immer mehrere Tools verwenden, da ein Tool meist nicht alle potenziellen Sicherheitslücken abdeckt


  • Sicherheitsscans zeigen Schwachstellen und Fehlkonfigurationen in Systemen und Netzwerken auf. Dabei orientieren sich die Tester an etablierten Best Practices. Zudem bieten sie Maßnahmen an, um den erkannten Risiken entgegenzuwirken. Tools können solche Sicherheitsscans automatisieren


  • Ethisches Hacken simuliert realitätsnahe Hackerangriffe, ohne dabei dem System zu schaden. Eine beliebte Methode sind Penetrationstests (kurz: Pentests). Dabei untersuchen die Tester, wie existierende Sicherheitsmaßnahmen auf vermeintlich echte Attacken reagieren und können so unbekannte Schwachstellen identifizieren. Inzwischen können Tool diese Aufgabe übernehmen, was günstigere und regelmäßigere Pentests ermöglicht. Beim Red Teaming versucht ein Sicherheitsteam des Unternehmens, einen Testangriff abzuwehren, ohne zu wissen, wie dieser genau aussehen wird. Beim Purple Teaming läuft eine vorab festgelegte Angriffs- und Verteidigungsstrategie ab


  • Risikoschätzungen analysieren Sicherheitslücken innerhalb des Unternehmens. Dabei identifizieren die Tester nicht nur die Risiken, sondern schätzen zudem ein, wie wahrscheinlich sie sind, welche Ausmaße sie annehmen können und welche wirtschaftlichen Kosten eine Attacke haben könnte. Danach priorisieren sie die Sicherheitsrisiken und stellen Lösungsansätze zusammen, um die Risiken zu minimieren. Das hilft Unternehmen, einen gezielten Sicherheitsplan und ein entsprechendes Budget für notwendige Maßnahmen aufzustellen


  • Eine Sicherheitsrevision testet IT- Systeme in Hinblick auf Standards, Vorgaben und eine geltende Unternehmenspolitik. Tester orientieren sich vornehmlich am Quellcode und protokollieren die dort identifizierten Sicherheitslücken. • Einen ganzheitlichen Ansatz bietet das sogenannte Posture Assessment: Es kombiniert Ethisches Hacking, Sicherheitsscans und Risikoschätzungen. Damit eignet sich diese Methode nicht nur, um Schwachstellen aufzudecken, sondern auch um zu prüfen, wie effektiv die aktuellen Sicherheitskontrollen sind


  • Das Application Security Testing ist ein spezielles Verfahren für Apps. Seine Besonderheit: Es testet, analysiert und dokumentiert den Sicherheitsstatus von Apps während des gesamten Entwicklungszyklus. Application Security Testing kann somit Schwachstellen oft schon identifizieren, bevor die App auf den Markt kommt. Dadurch entsteht von Anfang an ein robusterer Quellcode.



Welche Tools werden im IT-Security-Testing eingesetzt?

Viele Tester nutzen inzwischen Tools, die IT-Security-Testing automatisieren. Ein paar der beliebtesten Tools stellen wir im Folgenden kurz vor:

Web Application Attack and Audit Framework (W3AF)

Web Application Attack and Audit Framework (W3AF) deckt mehr als 200 Sicherheitsprobleme ab und ist durch verschiedene Module erweiterbar. W3AF ist sowohl automatisch als auch manuell einsetzbar. Mit seiner intuitiven und niederschwelligen Funktionsweise eignet sich das Tool besonders für IT-Einsteiger.

SonarQube

Mit Hilfe statischer Analysen überprüft SonarQube den Code kontinuierlich auf Fehler und Sicherheitslücken und liefert dazu detaillierte Reports. Nutzer können vorab Bedingungen festlegen, die der Code bestehen soll. SonarQube funktioniert mit mehr als 20 Programmiersprachen. Darüber hinaus lässt es sich mit CI/CD-Tool verbinden und ist in Dev-Ops-Kulturen integrierbar.

NMAP

NMAP ist ein Open-Source Network Administration Tool, das vor allem Netzwerkbedingungen betrachtet. Es eignet sich für schnelle Sicherheitsanalysen großer IT-Netzwerke. NMAP führt hauptsächlich Pentests, Vulnerability Assessments und Network Discovery durch.

Wireshark

Dieses kostenlose Open-Source-Tool überprüft ebenfalls Netzwerke. Bei Wireshark geht es allerdings vornehmlich um den Datenverkehr in Netzwerken, zum Beispiel via Bluetooth oder Token Ring.

ZED Attact Proxy (ZAP)

Auch diese Multiplattform ist ein Open-Source-Tool. Es arbeitet mit automatisierten Sicherheitsscans während der Entwicklungs- und Testphase. Pentests lassen sich automatisch oder manuell ausführen. ZAP basiert auf Java. Das Tool eignet sich für Einsteiger und Experten.

Wapiti

Dieser Open-Source-Scanner testet Webapplikationen mit der Black Box Methode. Wapiti generiert ausführliche Reports und nutzt verschiedene Methoden, um User zu authentifizieren. Für dieses Tool brauchen Nutzer allerdings gewisse Coding-Erfahrungen.

SQLMap

Dieser Open-Source-Scanner testet Webapplikationen mit der Black Box Methode. Wapiti generiert ausführliche Reports und nutzt verschiedene Methoden, um User zu authentifizieren. Für dieses Tool brauchen Nutzer allerdings gewisse Coding-Erfahrungen.



Best Practices

Tester können sich an folgenden Best Practices orientieren:


  • Statisches und dynamisches Testen kombinieren: Statisches und dynamisches Testen haben jeweils ihre Vor- und Nachteile. Daher sollte eine Teststrategie das Beste aus beiden Welten enthalten


  • Zugangs- und Zugriffsrechte vergeben: Besonderes Augenmerk sollte auf der Authentifizierung und Autorisierung liegen. Firmen müssen zunächst entscheiden, wer Zugang erhält und welche Rechte damit verbunden sind. Tester überprüfen dann, ob die Authentifizierungsmechanismen funktionieren


  • Datensicherheit kontrollieren: IT-Security-Testing sollte sich prüfen, wie ein System Daten speichert, welche Daten für User sichtbar sind und wie gut der Datenverkehr verschlüsselt ist


  • Zugangspunkte testen: Vor allem bei Open-Access-Anwendungen können schnell Lücken entstehen, über die Hacker ins System gelangen. Eine Maßnahme wäre, konsequent die IP-Adressen von Usern zu überprüfen


  • Fehlercodes prüfen: Wenn eine Webseite Fehler generiert – wie zum Beispiel die Fehler 400, 404 oder 408 – dürfen die angezeigten Seiten keine relevanten Informationen für Hacker enthalten


  • Auf bösartige Scripts untersuchen: Hacker können solche Scripts ins System einschleusen, um die Software zu steuern oder zu manipulieren. Tester können beispielsweise überprüfen, wie lang der Input sein darf, den ein User auf einer Webseite eingeben kann. Begrenzt man diesen Input, können Hacker ein bösartiges Script weniger leicht einschleusen


  • Session Management: Hierbei kontrollieren Tester Transaktionszeiten oder die Zeit, bis das System einen User automatisch ausgeloggt


  • Kundenfunktionen checken: Das können zum Beispiel Zahlfunktionen oder der Upload von Daten durch User sein


  • Interne und externe Bedrohungen betrachten: In der Vorstellung vieler geht es bei IT-Sicherheit darum, einen klassischen Hackerangriff abzuwehren. Interne Bedrohungen dürfen beim IT-Security-Testing allerdings nicht zu kurz kommen. Dazu gehört es zum Beispiel, in der Belegschaft ein Bewusstsein für Cybersicherheit zu schaffen


  • Ein Sicherheitsmanagement aufstellen: Um dauerhaft die Sicherheit von Systemen zu garantieren, bedarf es einer Cybersicherheitspolitik und einem Testplan, die auf die Bedürfnisse der Firma angepasst sind. Generell sollten Unternehmen eine Testinfrastruktur haben, die automatisch und regelmäßig testet


  • DevSecOps: Wenn Entwickler, Security-Tester und Operationsteams eng zusammenarbeiten, lassen sich Sicherheitstests früh in den Entwicklungsprozess implementieren. In CI/CD-Pipelines sollte IT-Security-Testing daher immer einen prominenten Platz einnehmen


Fazit

Die Sicherheit von IT-Systemen zu garantieren, ist keine einfache Aufgabe. IT-Security-Testing darf daher in keiner Branche fehlen. Jedes Unternehmen braucht individuelle Lösungen, um sich vor den Gefahren im Netz zu schützen. Mittlerweile gibt es allerdings zahlreiche Methoden, Ansätze und Tools, so dass Firmen nur selten in der Lage sind, selbst für die Sicherheit ihrer Systeme zu sorgen. Für die meisten Unternehmen ist es daher sinnvoll, externe IT-Sicherheitsexperten hinzuzuziehen. Unsere ARINNAU-Qualitätsexperten beraten sie professionell und unverbindlich.

Share by: