Penetration Tester - Wie definieren

Penetration Tester

Wie definieren

Stefan Friedli
von Stefan Friedli
am 10. August 2017
Lesezeit: 12 Minuten

Die älteren Semester unter unseren Lesern können sich vielleicht noch erinnern, an die langen Usenet- und Forumsdiskussionen darum, was denn nun ein Hacker ist. Die Abgrenzung zum sogenannten Cracker war dabei genauso relevant wie die Debatte, ob sich denn überhaupt jemand selber als Hacker bezeichnen dürfe, oder ob diese Anmassung den Urheber automatisch als Lamer identifiziert. Allgemein gibt es viel Lingo, die Raum zur Interpretation lässt: Die Begriffe Whitehat, Blackhat und Greyhat wurden oftmals zur Identifikation der ethischen Grundhaltung einer Person genutzt. Aber gerade beim letzteren Begriff, dem Greyhat, geht jede Definition wiederum in einer Masse von Abstufungen moralischer Ambiguität verloren.

Begriffsdiskussionen heute

Auch wenn diese Diskussionen heute abgeflacht sind, so streitet man sich immer noch gerne über Wörter: Mit dem Begriff Cyber wurde in dermassen vielen Marketing-Pitches so sensationalistischer Art um sich geworfen, dass viele Infosec-Profis heute noch nahezu allergisch darauf reagieren – obwohl der Begriff für die breite Öffentlichkeit, inklusive der Geschäftsleitungen und Verwaltungsräte der Firmen für die sie arbeiten, geläufiger und verständlicher wäre als Informationssicherheit oder die Abkürzung Infosec.

Die Diskussion um einheitliche Begriffe geht weiter als man denken möchte: Generische Jobtitel wie Security Analyst sind geläufig, sagen aber wenig aus über die effektiven Kompetenzen, die dessen Träger mitbringt: Das Feld der Informationssicherheit ist derart breit, dass sogar erfahrene Generalisten klar ersichtliche Stärken und Schwächen mitbringen. Gerade bei Stellenausschreibungen wird dann oftmals nicht genau klar, was der Analyst denn nun alles können soll: Um Vulnerability Assessments durchzuführen werden ganz klar andere Vorkenntnisse erfordert als für die Sicherung von forensischen Beweismitteln – zwei Beispiele für Tätigkeiten, die beide durchaus der Rolle eines Security Analysts zugewiesen werden können. Auch dieses Problem gab es schon früher, in den weniger formellen Zeiten der Security- und Hackercommunity. Eine wirklich Lösung gab es nicht, auch wenn mit Geek Code, einem Codeformat von Robert A. Hayden, in 1993 zumindest ein Lösungsansatz dafür propagiert wurde, wie man die eigene Ausrichtung einigermassen kompakt darstellen könnte. Bei dermassen vielen Unklarheiten wundert es auch nicht, dass die Definition von Jobtiteln dann auch irgendwann seltsame Blüten treibt: Das Stichwort, das an dieser Stelle gar nicht mehr Beachtung erhalten soll als die pure Nennung, lautet Thought Leader.

-----BEGIN GEEK CODE BLOCK-----
GED/J d-- s:++>: a--
C++(++++) ULU++ P+ L++
E---- W+(-) N+++ o+ K+++ w--- O-
M+ V--
PS++>$ PE++>$
Y++ PGP++ t-
5+++ X++ R+++>$
TV+ b+ DI+++ D+++ G+++++ e++  h r--
y++**
------END GEEK CODE BLOCK------

Dabei wäre eine gewisse Klarheit im Bereich der Cybersecurity durchaus wichtig. Missverständliche oder gänzlich ausbleibende interne Kommunikation ist einer der Kerngründe für falsche Strategieentscheide bezüglich Investitionen in die Sicherheit von Informationssystemen in Schweizer Unternehmen. Abhilfe schaffen soll ein neues Dokument des National Institute of Standards and Technology (NIST), das National Initiative for Cybersecurity Education Cybersecurity Workforce Framework (NICE).

Das 135-seitige Dokument macht einen strukturierten Versuch, die Terminologie für Jobtitel, Kompetenzen und Aufgaben zu vereinheitlichen und damit eine standardisierte Sprache zu schaffen. Diese Standardisierung ist richtig und wichtig, damit auch über Firmen- oder Landesgrenzen hinaus von denselben Dingen gesprochen werden kann. Auch im Hinblick auf Ausbildungen, Arbeitszeugnisse oder andere Leistungsausweise stellen die codierten Fähigkeitsbeschreibungen einen Schritt nach vorne dar. Standardisierung heisst aber nicht zwingend, dass Komplexität reduziert wird. Vielmehr soll eine mögliche Mehrdeutigkeit eliminiert werden, die ansonsten zu Missverständnissen führen könnte.

Eine Standardisierung von Begrifflichkeiten bringt auch mit sich, dass man unter Umständen gewisse Änderungen an der eigenen Kommunikation zu bewältigen hat. So war es auch für den Author des vorliegenden Beitrages etwas seltsam anmutend, dass die Aufgabe der Durchführung von Sicherheitsprüfungen (T0266, Perform penetration testing as required for new or updated applications) den Rollen des Secure Software Assessor (SP-DEV-002) oder des Exploitation Analysts (AN-EXP-001) zugeschrieben werden. Bei näherer Betrachtung sind die Rollenbeschreibungen aber durchaus von Interesse. Wenden wir uns doch einmal dem Exploitation Analyst zu, der dem klassischen Penetration Tester, wie wir ihn bei der scip AG verstehen, am ehesten gleichkommt. Die Definition des NISTs erfolgt in tabellarischer Form. Im Sinne der Analyse haben wir die entsprechenden Tasks, Knowledge-Items, Skills und Abilities nachfolgend zusammengeführt:

Beispiel Exploitation Analyst

Beschreibung

Collaborates to identify access and collection gaps that can be satisfied through cyber collection and/or preparation activities. Leverages all authorized resources and analytic techniques to penetrate targeted networks.

Tasks

Knowledge

Skills

Abilities

Obschon die Liste etwas lang gerät, beschreibt sie erstaunlich akkurat viele der Kernkompetenzen, die von einem guten Penetration Tester – oder eben von einem Exploitation Analyst – erwartet werden. Man mag den vereinzelten Tabellen von Wissens- und Fähigkeitselementen zwar vorwerfen, dass sich ihr Detailgrad stark unterscheidet, alles in allem bietet NIST SP 800-181 aber eine nützliche Ressource, um Funktionen innerhalb des Fachgebietes akkurater, und vor allem uniformer, zu umschreiben.

Fazit

Ob sich das NICE Framework und die Rollenbeschreibung in dieser Form durchsetzen können und bald zu eindeutigen Job Descriptions führen, ist fraglich. Vielen Organisationen fehlt, nach wie vor, ganz grundsätzlich der Überblick über die eigenen Anforderungen, den Sicherheitsbedarf und die eigenen Ressourcen.

Trotzdem: Ein Schritt in die richtige Richtung ist das Papier allemal, wenn auch schon nur um einen Überblick über die vielfältige Natur der Informationssicherheit und der ihr unterliegenden Rollen und Aufgaben zu erhalten.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv