Isn’t business continuity part of security?
Andrea Covello
Vor nicht allzulanger Zeit habe ich in einem Meeting mit einem Kunden folgenden Ausspruch gehört: “IT Sicherheit ist keine Wissenschaft”. Der Urheber wollte damit ausdrücken, dass ein gewisses Mass an gesundem Menschenverstand und geistiger Flexibilität notwendig ist, um in der Praxis knifflige Probleme in dem Sektor lösen zu können. Ohne der Wissenschaft gesunden Menschenverstand abzusprechen, versteht sich.
Tatsächlich ist unser Tätigkeitsbereich ein sonderbares Feld. Die klassische theoretische Informatik ist ein durchaus akademischer Sektor, was sich auch im Hinblick auf die Spezialisten in vielen Gebieten auswirkt. Betrachtet man aber den Bereich der Informationssicherheit, so fällt auf, dass diese Klassifizierung hier nur bedingt gilt oder sogar widerlegt wird. Viele bekannte und anerkannte Experten auf dem Gebiet kommen nicht aus einem akademischen Umfeld, sondern aus dem Hobbybereich. Viele erfolgreiche Karrierepfade bekannter Hacker und Securityexperten haben mit einem C64 (oder vergleichbaren Gerätschaften) und einem Akustikkoppler/Modem begonnen. Jahrelange “Praxiserfahrung” sind in unserer Branche oftmals mehr wert, als ein Hochschulabschluss – ein Phänomen, dass ich auch in meinem Blogbeitrag How to Hire a Hacker im August 2010 schon angesprochen habe.
Daraus ergibt sich die Frage: Wer ist denn nun qualifiziert, um ein Unternehmen im Hinblick auf IT-Sicherheit zu beraten oder einen Penetration Test durchzuführen? Durch das Fehlen von klaren Qualifikationsmerkmalen, wird die Auswahl eines Partners zu einer unabsehbaren Lotterie. Anstatt der Qualität der Arbeit wird, mangels Referenzen, die Preise der Dienstleistungen oder hohle Marketingphrasen als Entscheidungsgrundlage missbraucht. Das endet nicht selten in verlorenem Geld, verschwendeter Zeit und einem falschen Gefühl der Sicherheit – oder im schlimmsten Fall einer unsichereren Umgebung als zuvor. Scharlatane, die ein Stück vom IT-Security Kuchen möchten, existieren zuhauf.
Das jüngste und möglicherweise prominenteste Beispiel dafür, ist der Fall von LIGATT Security und Gregory Evans. Mittels Falschaussagen, Täuschung und Plagiatrie hat es Evans sogar mehrmals ins nationale Fernsehen, unter anderem auf CNN und Bloomberg geschafft. Der hohe Fall von Evans kam erst kürzlich, als Unbekannte die gesamten E-Mails des “Worlds #1 Hackers” veröffentlichten und so dessen, teils schockierend betrügerischen, Machenschaften ins Licht der Öffentlichkeit zerrten. Wieviele zahlende Kunden Evans über die Jahre hinweg mit seiner Quacksalberei zum Narren hielt, kann zu diesem Zeitpunkt nur erahnt werden.
Während der Fall LIGATT ein Extremfall ist, so passieren unglückliche Missverständnisse durchaus häufiger. Nicht zuletzt aus diesem Grund prüfen unsere Kundenberater bei der Offertstellung immer nach, dass die geforderte Dienstleistung auch wirklich dem entspricht, was der Kunde als Endresultat möchte. Ein unzufriedener Kunde, der sich über den hohen Preis eines vollumfänglichen Penetration Tests wundert, weil er eigentlich nur eine einzelne Webapplikation auf grobe Schnitzer prüfen wollte, dies aber nicht klar artikulierte, ist nicht wünschenswert.
Verschiedene Bemühungen existieren, um diesen Missständen entgegenzutreten. Im Webapplikationsbereich hat sich das Open Web Application Security Project besonders hevorgetan, dass klare Richtlinien und konkrete Guidelines zum Entwickeln und Überprüfen von Webapplikationen geschaffen hat. Während die verfügbaren Dokumentationen sicherlich weit davon weg sind, ein perfektes und unfehlbares Referenzwerk darzustellen, hat OWASP damit einen wichtigen Schritt getan: Sowohl Kunden und Entwicklern als auch Testern einen gemeinsamen Nenner zu geben, der definiert, wie Webapplikationssicherheit auszusehen hat, welche Arten von Schwachstellen existieren und wie sie entdeckt und vermieden werden können. Perfektion ist vernachlässigbar, ein klares Verständnis, um was es geht, ist hingegen essentiell.
Während OWASP für die Überprüfung von Webapplikationen auf technischer Ebene eine solide Wahl darstellt, so war ein Standard für reguläre Penetration Tests lange nicht existent. Bestehende Versuche in diese Richtung, wie sie zum Beispiel in OSSTMM (Open Source Security Testing Methodology Manual) zu sehen sind, stellen für die meisten professionellen Tester heute aber keine ernstzunehmende Variante dar.
Um diesem Problem entgegenzutreten, formierte sich bereits Ende 2010 ein Gremium von insgesamte sieben erfahrenenen, internationalen Branchenspezialisten, um einen einheitlichen und fachlich akkuraten Standard zu schaffen. Der Name ist simpel und naheliegend: Penetration Testing Execution Standard. Die Ankündigung des Pentest Standards an der vergangenen Shmoocon in Washington stiess in der Branche auf grossen Anklang.
Der Penetration Testing Standard verfolgt das Ziel, sowohl Kunden wie auch Dienstleistern eine gemeinsame Basis für die Durchführung von technisch sinnvollen und akkuraten Penetration Tests zur Verfügung zu stellen. Während ein Standard niemals alle möglichen Szenarien abdecken kann, die im Rahmen einer solchen Überprüfung auftreten, geht es hier um einen allgemein akzeptierten Grad an technischen Überprüfung, der notwendig ist, um eine akkurate und nützliche Aussage zur Sicherheit des Prüfobjektes zu treffen. In weiteren Modulen definiert der Pentest Standard höhere “Levels”, die komplexere und aufwendigere Tests beschreiben und formalisieren. Ein weiteres Ziel ist es, Abgabedokumente und Reporting im Allgemeinen zu standardisieren und den Transfer von wichtigen, oft kritischen Informationen sicherzustellen und zu verbessern.
Der Pre-Alpha Release des PTES ist seit kurzer Zeit öffentlich verfügbar. Feedback ist erwünscht und kann direkt an die Mitglieder des Boards gerichtet werden.
Our experts will get in contact with you!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Our experts will get in contact with you!