Basiswissen Sicherheitstests

Table of contents

1. Cover
2. Über den Autor
3. Titel
4. Impressum
5. Vorwort
6. Danksagung
7. Inhaltsübersicht
8. Inhaltsverzeichnis
9. Einleitung
10. 1 Grundlagen des Testens der Sicherheit
    1. 1.1 Sicherheitsrisiken
    2. 1.1.1 Die Rolle der Risikobewertung beim Testen der Sicherheit
    3. 1.1.1.1 ISO 31000
    4. 1.1.1.2 Das Risiko im Detail
    5. 1.1.1.3 Grenzen der Risikobewertung
    6. 1.1.2 Ermittlung der Assets
    7. 1.1.2.1 Wert eines Assets
    8. 1.1.2.2 Der Ort eines Assets
    9. 1.1.2.3 Der Zugriff auf ein Asset
    10. 1.1.2.4 Der Schutz von einem Asset
    11. 1.1.3 Analyse von Verfahren der Risikobewertung
    12. 1.2 Informationssicherheitsrichtlinien und -verfahren
    13. 1.2.1 Verstehen von Informationssicherheitsrichtlinien und -verfahren
    14. 1.2.2 Analyse von Sicherheitsrichtlinien und -verfahren
    15. 1.3 Sicherheitsaudits und ihre Rolle beim Testen der Sicherheit
    16. 1.3.1 Zweck und Beispiele eines Sicherheitsaudits
    17. 1.3.2 Risikomodelle für den praktischen Umgang mit Sicherheitsrisiken
    18. 1.3.3 Mensch, Prozess und Technik
    19. 1.4 Was Sie in diesem Kapitel gelernt haben
11. 2 Zweck, Ziele und Strategien von Sicherheitstests
    1. 2.1 Einleitung
    2. 2.1.1 Unbefugtes Kopieren von Anwendungen oder Dateien
    3. 2.1.2 Fehler in der Zugangskontrolle
    4. 2.1.3 Cross-Site Scripting (XSS)
    5. 2.1.4 Pufferüberläufe
    6. 2.1.5 Dienstblockade (Denial of Service)
    7. 2.1.6 Man-in-the-Middle-Angriffe und Brechen von Verschlüsselungen
    8. 2.1.7 Logische Bombe
    9. 2.1.8 Code Injection (CI)
    10. 2.2 Der Zweck von Sicherheitstests
    11. 2.3 Der Unternehmenskontext
    12. 2.4 Ziele von Sicherheitstests
    13. 2.4.1 Informationsschutz und Sicherheitstests
    14. 2.4.2 Ermittlung von Sicherheitstestzielen
    15. 2.4.2.1 Betrachtung am Beispiel eines mittelständischen Unternehmens
    16. 2.5 Der Umfang von Sicherheitstests und die Überdeckung von Sicherheitstestzielen
    17. 2.5.1 Typische Phasen eines Sicherheitstests
    18. 2.5.2 Umfang von Sicherheitstests
    19. 2.6 Vorgehensweisen im Sicherheitstest
    20. 2.6.1 Bestandteile der Vorgehensweise im Sicherheitstest
    21. 2.6.2 Ursachen mangelhafter Sicherheitstests
    22. 2.6.2.1 Mangelndes Engagement der Führungsebene und fehlende Bereitstellung von Ressourcen
    23. 2.6.2.2 Mangelhafte Implementierung der Sicherheitstestvorgehensweise, fehlende Kompetenzen oder Werkzeuge
    24. 2.6.2.3 Fehlende Unterstützung seitens des Unternehmens oder der Stakeholder
    25. 2.6.2.4 Fehlendes Verständnis für Sicherheitsrisiken
    26. 2.6.2.5 Testvorgehensweise, Teststrategie und übergeordnete Richtlinien passen nicht zusammen
    27. 2.6.2.6 Fehlendes Verständnis für den Zweck des Systems und fehlende technische Informationen
    28. 2.6.3 Der Sicherheitstest als Business Case aus Sicht der Stakeholder
    29. 2.6.3.1 Sicherheitstest als Business Case
    30. 2.6.3.2 Stakeholder
    31. 2.7 Optimierung der Sicherheitstestpraktiken
    32. 2.7.1 Überdeckungsgrade für Sicherheitsrisiken
    33. 2.7.2 Überdeckungsgrade von Sicherheitsrichtlinien und Strategien für den Test
    34. 2.7.3 Überdeckungsgrade von Sicherheitsanforderungen für den Test
    35. 2.7.4 KPIs für die Wirksamkeit von Sicherheitstests
    36. 2.8 Was Sie in diesem Kapitel gelernt haben
12. 3 Sicherheitstestprozesse
    1. 3.1 Einleitung
    2. 3.1.1 Der Sicherheitstestprozess basierend auf dem Testprozess nach ISTQB®
    3. 3.1.2 Ausrichtung des Sicherheitstestprozesses an einem bestimmten Entwicklungslebenszyklusmodell
    4. 3.2 Planung von Sicherheitstests
    5. 3.2.1 Ziele der Sicherheitstestplanung
    6. 3.2.2 Das Sicherheitstestkonzept
    7. 3.3 Entwurf von Sicherheitstests
    8. 3.3.1 Entwurf von Sicherheitstests für Anwendungen
    9. 3.3.1.1 Sicherheitsmechanismen, -risiken und Schwachstellen
    10. 3.3.1.2 Dokumentation von Sicherheitstests
    11. 3.3.2 Entwurf von Sicherheitstests gestützt auf Richtlinien und Verfahren
    12. 3.4 Ausführung von Sicherheitstests
    13. 3.4.1 Schlüsselelemente und Merkmale einer effektiven Sicherheitstestumgebung
    14. 3.4.2 Bedeutung von Planung und Genehmigungen für Sicherheitstests
    15. 3.5 Bewertung von Sicherheitstests
    16. 3.6 Wartung von Sicherheitstests
    17. 3.7 Was Sie in diesem Kapitel gelernt haben
13. 4 Sicherheitstesten im Softwarelebenszyklus
    1. 4.1 Die Rolle der Sicherheit im Softwarelebenszyklus
    2. 4.1.1 Der Softwarelebenszyklus und Lebenszyklusmodelle
    3. 4.1.2 Sicherheit in den Phasen des Softwarelebenszyklus
    4. 4.1.3 Die Ermittlung von Sicherheitsanforderungen
    5. 4.1.4 Der Entwurf sicherer Software
    6. 4.1.5 Die Implementierung sicherer Software
    7. 4.1.6 Die Integration und Verifikation sicherer Software
    8. 4.1.7 Die Transition sicherer Software
    9. 4.1.8 Die Aufrechterhaltung der Sicherheit während des Betriebs
    10. 4.1.9 Sicherheitstesten im Softwarelebenszyklus
    11. 4.2 Die Rolle des Sicherheitstestens in der Anforderungsermittlung
    12. 4.3 Die Rolle des Sicherheitstestens beim Entwurf
    13. 4.4 Die Rolle des Sicherheitstestens während der Implementierung
    14. 4.4.1 Der statische Test von Softwarekomponenten
    15. 4.4.2 Der dynamische Test von Softwarekomponenten
    16. 4.4.2.1 Whitebox- und Glassbox-Sicherheitstests
    17. 4.4.2.2 Anforderungsbasierte und risikobasierte Sicherheitstests
    18. 4.4.2.3 Abdeckungsmaße zur Bewertung von Sicherheitstests
    19. 4.5 Die Rolle des Sicherheitstestens während der Integration & Verifikation
    20. 4.5.1 Sicherheitstests während der Komponentenintegration
    21. 4.5.2 Sicherheitstesten während des Systemtests
    22. 4.6 Die Rolle des Sicherheitstestens in der Transitionsphase
    23. 4.6.1 Sicherheitstesten im Abnahmetest
    24. 4.6.2 Definition und Pflege sicherheitsbezogener Abnahmekriterien
    25. 4.6.3 Zusätzliche Umfänge betrieblicher Abnahmetests
    26. 4.7 Die Rolle des Sicherheitstestens während Betrieb & Wartung
    27. 4.7.1 Sicherheitstesten als Regressions- und Fehlernachtest
    28. 4.7.2 Penetrationstest
    29. 4.8 Was Sie in diesem Kapitel gelernt haben
14. 5 Testen von Sicherheitsmechanismen
    1. 5.1 Systemhärtung
    2. 5.1.1 Das Konzept der Systemhärtung
    3. 5.1.2 Testen der Wirksamkeit der Mechanismen der Systemhärtung
    4. 5.2 Authentifizierung und Autorisierung
    5. 5.2.1 Authentizität und Authentisierung
    6. 5.2.2 Der Zusammenhang zwischen Authentifizierung und Autorisierung
    7. 5.2.3 Testen der Wirksamkeit von Authentifizierungs- und Autorisierungsmechanismen
    8. 5.3 Verschlüsselung
    9. 5.3.1 Das Konzept der Verschlüsselung
    10. 5.3.1.1 Kryptografische Grundprinzipien
    11. 5.3.1.2 Symmetrische Verschlüsselungen
    12. 5.3.1.3 Asymmetrische Verschlüsselungen
    13. 5.3.1.4 Hashverfahren
    14. 5.3.1.5 Transport Layer Security (TLS)
    15. 5.3.2 Testen der Wirksamkeit gängiger Verschlüsselungsmechanismen
    16. 5.3.2.1 Tests auf Designschwächen der Verschlüsselung
    17. 5.3.2.2 Tests auf Schwachstellen in der Implementierung
    18. 5.3.2.3 Prüfung auf Schwachstellen in der Konfiguration von Verschlüsselungssystemen
    19. 5.4 Firewalls und Netzwerkzonen
    20. 5.4.1 Konzepte von Firewalls
    21. 5.4.1.1 Paketfilterung
    22. 5.4.1.2 Proxy-Firewall (Vermittler)
    23. 5.4.1.3 Applikationsfilter
    24. 5.4.1.4 Dual-Homed Bastion
    25. 5.4.2 Testen der Wirksamkeit von Firewalls
    26. 5.4.2.1 Testen der Konfiguration einer Firewall
    27. 5.4.2.2 Portscans
    28. 5.4.2.3 Fehlerhafte Netzwerkpakete und Netzwerk-Fuzzing
    29. 5.4.2.4 Fragmentierungsangriffe
    30. 5.4.2.5 IT-Grundschutz einer Firewall
    31. 5.5 Angriffserkennung
    32. 5.5.1 Verstehen des Konzepts von Werkzeugen zur Angriffserkennung
    33. 5.5.2 Testen der Wirksamkeit von Werkzeugen der Angriffserkennung
    34. 5.5.3 Verfahren für die Anomalieerkennung zur Identifikation von Angriffen
    35. 5.6 Schadprogrammscans
    36. 5.6.1 Konzepte der Schadprogrammscanner
    37. 5.6.2 Testen der Wirksamkeit von Schadprogrammscannern
    38. 5.7 Datenmaskierung
    39. 5.7.1 Konzept der Datenmaskierung
    40. 5.7.1.1 Techniken der Datenmaskierung
    41. 5.7.1.2 Diskussion ausgewählter Techniken der Datenmaskierung
    42. 5.7.2 Testen der Wirksamkeit von Datenmaskierungsverfahren sowie maskierter Daten
    43. 5.8 Schulungen
    44. 5.8.1 Bedeutung von Sicherheitsschulungen
    45. 5.8.2 Testen der Wirksamkeit von Sicherheitsschulungen
    46. 5.8.2.1 Der Schulungsprozess
    47. 5.8.2.2 Szenarien während der Schulung
    48. 5.8.2.3 Wirksamkeit von Übungen und Prüfungen im Sicherheitstesten
    49. 5.9 Was Sie in diesem Kapitel gelernt haben
15. 6 Menschliche Faktoren beim Test der IT-Sicherheit
    1. 6.1 Motivation
    2. 6.2 Kommunikationsmodelle für Social Engineers
    3. 6.2.1 Kanalmodell nach Berlo
    4. 6.2.2 Kommunikationsquadrat nach Friedemann Schulz von Thun
    5. 6.2.3 Feedback nach den logischen Ebenen nach Dilts
    6. 6.2.4 Wertemodell nach Graves/Falter/Mottok
    7. 6.3 Verstehen der Angreifer
    8. 6.3.1 Der Einfluss des menschlichen Verhaltens auf Sicherheitsrisiken
    9. 6.3.2 Verstehen der Mentalität von Angreifern
    10. 6.3.3 Allgemeine Motive und Quellen für Angriffe auf Computersysteme
    11. 6.3.4 Angriffsszenarien und -motive
    12. 6.3.4.1 Erfassung und Authentifizierung
    13. 6.3.4.2 Reaktion bei Sicherheitsstörfällen
    14. 6.3.4.3 Analyse und Beweissicherung
    15. 6.4 Social Engineering
    16. 6.5 Sicherheitsbewusstsein
    17. 6.5.1 Die Bedeutung des Sicherheitsbewusstseins
    18. 6.5.2 Schärfung des Sicherheitsbewusstseins
    19. 6.6 Zwei Fallbeispiele
    20. 6.7 Reverse Social Engineering
    21. 6.8 Social Engineering Pentests
    22. 6.9 Was Sie in diesem Kapitel gelernt haben
16. 7 Auswertung von Sicherheitstests und Abschlussberichte
    1. 7.1 Auswertung von Sicherheitstests
    2. 7.2 Berichterstattung für Sicherheitstests
    3. 7.2.1 Abschlussbericht für Sicherheitstests
    4. 7.2.2 Sicherheitstestzwischenberichte
    5. 7.3 Wirksamkeit von Sicherheitstestberichten
    6. 7.4 Vertraulichkeit von Sicherheitstestergebnissen
    7. 7.5 Was Sie in diesem Kapitel gelernt haben
17. 8 Sicherheitstestwerkzeuge
    1. 8.1 Typen und Funktionen von Sicherheitstestwerkzeugen
    2. 8.1.1 Werkzeuge für dynamische Sicherheitstests
    3. 8.1.2 Statische und dynamische Sicherheitstestwerkzeuge
    4. 8.2 Werkzeugauswahl
    5. 8.2.1 Analysieren und Dokumentieren von Sicherheitstesterfordernissen
    6. 8.2.2 Open-Source-Werkzeuge und kommerzielle Produkte
    7. 8.3 Was Sie in diesem Kapitel gelernt haben
18. 9 Standards und Branchentrends
    1. 9.1 Sicherheitsteststandards und Sicherheitsnormen
    2. 9.1.1 Die Vor- und Nachteile der Verwendung von Standards und Normen
    3. 9.1.2 Anwendungsszenarien von Standards und Normen
    4. 9.1.2.1 BSI-Gesetz
    5. 9.1.2.2 DSGVO
    6. 9.1.2.3 BAIT/VAIT
    7. 9.1.3 Auswahl von Sicherheitsstandards und -normen
    8. 9.2 Anwenden von Sicherheitsstandards
    9. 9.3 Branchen- und andere Trends
    10. 9.4 Was Sie in diesem Kapitel gelernt haben
19. Anhang
    1. A Abkürzungen
    2. B Literaturverzeichnis
20. Fußnoten
21. Index