Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
42<br />
Framework darstellt und nicht den n-ten Port- oder Vulnerability-Scanner.<br />
Wenn wir Bugs in den verwendeten<br />
Programmen feststellen oder Ideen für Erweiterungen<br />
haben, geben wir diese direkt in die Community zurück.<br />
hakin9: Wer sind Benutzer von tajanas?<br />
Tobias Glemser: Zum einen natürlich wir selbst. Zum<br />
<strong>and</strong>eren setzten IT-Sicherheitsbeauftragte und IT-Revisoren<br />
das Tool für regelmäßige Sicherheitsprüfungen<br />
ihrer Netze ein.<br />
hakin9: Für welche Fälle reichen Penetrationstests<br />
nicht aus?<br />
Tobias Glemser: Das hängt von der Zieldefinition des<br />
Kunden ab, und was man unter einem Penetrationstest<br />
versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht<br />
nur in technische Audits wie Penetrationstests eingebunden,<br />
sondern auch in prozessorientierte Beratungen und<br />
Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz.<br />
Dies ermöglicht es uns, in technischen Audits nicht nur<br />
die technischen Lücken aufzuzeigen, sondern auch auf<br />
fehlende oder mangelhafte Prozesse hinzuweisen und<br />
konkrete Vorschläge zur Verbesserung zu geben.<br />
hakin9: Können Sie uns ein konkretes Beispiel<br />
nennen?<br />
Tobias Glemser: Nehmen wir an, dass aus Wirtschaftlichkeitsgründen<br />
nicht alle Server in einem Netz in ein<br />
technisches Audit einbezogen werden, sondern nur eine<br />
definierte Anzahl. Stellt man hier Schwachstellen fest,<br />
so genügt es nicht, die erkannten Schwachstellen oder<br />
gar Lücken zu schließen, sondern man muss sich fragen,<br />
wie es zu den Schwachstellen kommen konnte. In<br />
den seltensten Fällen haben hier Administratoren individuelle<br />
Fehler gemacht, vielmehr scheinen offensichtlich<br />
die Vorgaben zur Serverkonfiguration bzw. Härtung<br />
nicht ausreichend zu sein bzw. diese in ein Information<br />
Security Management System (ISMS) integriert zu sein.<br />
Darauf weisen wir nachdrücklich in unseren Ergebnisberichten<br />
hin, um eine Gesamtverbesserung zu erzielen<br />
und unterstützen bei Bedarf auch bei der Umsetzung<br />
der organisatorischen Anteile.<br />
Geht man diesen Schritt nicht, werden erfahrungsgemäß<br />
nur die Systeme verändert, bei denen im Test<br />
Schwachstellen erkannt wurden. Der Verbesserung der<br />
Gesamtsicherheit hilft dies dann allerdings nicht.<br />
hakin9: Wie sieht eine Sicherheitsüberprüfung<br />
mithilfe des Penetrationstests aus?<br />
Tobias Glemser: Zunächst bedarf es einer klaren Zielvorstellung.<br />
Entweder haben Kunden diese bereits,<br />
oder sie wird im Rahmen eines Workshops gemeinsam<br />
erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzugehen<br />
und die Themen in verschiedenen Arbeitspaketen<br />
abzuarbeiten. Im Rahmen eines Kick-Offs werden<br />
die Beteiligten informiert und in den Ablauf integriert.<br />
INTERVIEW<br />
Nach der Durchführung erhält der Kunde einem umfassenden,<br />
auf seine Umgebung und Realität angepassten<br />
Ergebnisbericht, der im Rahmen eines Abschluss-<br />
Workshops mit den technischen verantwortlichen<br />
besprochen wird. Auf Wunsch erfolgt auch die Darstellung<br />
vor dem Vorst<strong>and</strong> bzw. der Leitungsebene.<br />
Das Spektrum eines Penetrationstests ist sehr vielfältig<br />
und lässt sich nur schwer darstellen. Es h<strong>and</strong>elt<br />
sich dabei jedoch nicht zwingend um die „bekannten“<br />
Prüfungen auf Serversysteme. Häufige Einfallstore für<br />
Angreifer sind schlecht gesicherte lokale Netzwerke,<br />
Client-Systeme oder auch Multifunktionsdrucker. Bei<br />
Interesse finden sich Informationen z. B. in der Studie<br />
Penetrationstests des BSI, dem Whitepaper Penetrationstests<br />
der Tele-Consulting oder auch dem Whitepaper<br />
Projektierung der Sicherheitsprüfung von Webanwendungen<br />
der OWASP.<br />
hakin9: Welche Pläne die IT-Sicherheit Branche<br />
betreffend haben Sie noch vor?<br />
Tobias Glemser: Abseits von technischen Audits versuchen<br />
wir ganzheitliche Prozesse vor allem, aber nicht<br />
nur in den IT-Abteilungen zu etablieren und dabei Administratoren<br />
die Hilfestellungen zu geben, die sie dabei<br />
benötigen. Als Sicherheitsberater oder auch Sicherheitsbeauftrager<br />
eines Unternehmens nimmt man meist<br />
die Rolle eines Kontrolleurs ein, der darauf achtet, dass<br />
Regeln eingehalten werden. Hier ist ein W<strong>and</strong>el erforderlich,<br />
sowohl bei denen, die sich „Sicherheit“ auf die<br />
Fahnen schreiben, <strong>als</strong> auch bei den Administratoren<br />
und Verantwortlichen für Geschäftsbereiche und deren<br />
Technik. Sicherheit darf nicht erst am Ende von neuen<br />
Anwendungen, Produkten oder Projekten <strong>als</strong> Kontrollinstrument<br />
einbezogen, sondern muss <strong>als</strong> integraler und<br />
vor Allem unterstützender Best<strong>and</strong>teil eines erfolgreichen<br />
Produkts gesehen werden. Hier müssen auch und<br />
vor allem Sicherheitsberater umdenken, um vorrangig<br />
<strong>als</strong> Unterstützer, die sie sind, gesehen und akzeptiert<br />
zu werden. Nur so begreifen die technisch verantwortlichen<br />
Mitarbeiter Sicherheitsprüfungen nicht <strong>als</strong> Prüfungen<br />
ihrer persönlichen Kompetenz, sondern <strong>als</strong> konkrete<br />
Unterstützung für die Verbesserung vorh<strong>and</strong>ener<br />
Sicherheitsprozesse.<br />
Im Bereich der technischen Schwachstellen werden<br />
weiterhin Webanwendungen eine große Rolle spielen.<br />
Daher bin ich seit geraumer Zeit beim Open Web Application<br />
Security Project (OWASP), den meisten vermutlich<br />
durch die OWASP Top 10 bekannt, ehrenamtlich<br />
tätig und seit diesem Jahr im Board der deutschen Sektion.<br />
Beim OWASP Stammtisch Stuttgart (und Stammtischen<br />
in <strong>and</strong>eren Städten) tauschen sich hier auch<br />
Menschen rund um das Thema zwanglos aus. Wer<br />
Lust hat vorbeizukommen, kann sich auf der deutschen<br />
OWASP Webseite informieren.<br />
Wir bedanken uns für das Gespräch!<br />
10/2010