Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

42
Framework darstellt und nicht den n-ten Port- oder Vulnerability-Scanner.
Wenn wir Bugs in den verwendeten
Programmen feststellen oder Ideen für Erweiterungen
haben, geben wir diese direkt in die Community zurück.
hakin9: Wer sind Benutzer von tajanas?
Tobias Glemser: Zum einen natürlich wir selbst. Zum
anderen setzten IT-Sicherheitsbeauftragte und IT-Revisoren
das Tool für regelmäßige Sicherheitsprüfungen
ihrer Netze ein.
hakin9: Für welche Fälle reichen Penetrationstests
nicht aus?
Tobias Glemser: Das hängt von der Zieldefinition des
Kunden ab, und was man unter einem Penetrationstest
versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht
nur in technische Audits wie Penetrationstests eingebunden,
sondern auch in prozessorientierte Beratungen und
Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz.
Dies ermöglicht es uns, in technischen Audits nicht nur
die technischen Lücken aufzuzeigen, sondern auch auf
fehlende oder mangelhafte Prozesse hinzuweisen und
konkrete Vorschläge zur Verbesserung zu geben.
hakin9: Können Sie uns ein konkretes Beispiel
nennen?
Tobias Glemser: Nehmen wir an, dass aus Wirtschaftlichkeitsgründen
nicht alle Server in einem Netz in ein
technisches Audit einbezogen werden, sondern nur eine
definierte Anzahl. Stellt man hier Schwachstellen fest,
so genügt es nicht, die erkannten Schwachstellen oder
gar Lücken zu schließen, sondern man muss sich fragen,
wie es zu den Schwachstellen kommen konnte. In
den seltensten Fällen haben hier Administratoren individuelle
Fehler gemacht, vielmehr scheinen offensichtlich
die Vorgaben zur Serverkonfiguration bzw. Härtung
nicht ausreichend zu sein bzw. diese in ein Information
Security Management System (ISMS) integriert zu sein.
Darauf weisen wir nachdrücklich in unseren Ergebnisberichten
hin, um eine Gesamtverbesserung zu erzielen
und unterstützen bei Bedarf auch bei der Umsetzung
der organisatorischen Anteile.
Geht man diesen Schritt nicht, werden erfahrungsgemäß
nur die Systeme verändert, bei denen im Test
Schwachstellen erkannt wurden. Der Verbesserung der
Gesamtsicherheit hilft dies dann allerdings nicht.
hakin9: Wie sieht eine Sicherheitsüberprüfung
mithilfe des Penetrationstests aus?
Tobias Glemser: Zunächst bedarf es einer klaren Zielvorstellung.
Entweder haben Kunden diese bereits,
oder sie wird im Rahmen eines Workshops gemeinsam
erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzugehen
und die Themen in verschiedenen Arbeitspaketen
abzuarbeiten. Im Rahmen eines Kick-Offs werden
die Beteiligten informiert und in den Ablauf integriert.
INTERVIEW
Nach der Durchführung erhält der Kunde einem umfassenden,
auf seine Umgebung und Realität angepassten
Ergebnisbericht, der im Rahmen eines Abschluss-
Workshops mit den technischen verantwortlichen
besprochen wird. Auf Wunsch erfolgt auch die Darstellung
vor dem Vorstand bzw. der Leitungsebene.
Das Spektrum eines Penetrationstests ist sehr vielfältig
und lässt sich nur schwer darstellen. Es handelt
sich dabei jedoch nicht zwingend um die „bekannten“
Prüfungen auf Serversysteme. Häufige Einfallstore für
Angreifer sind schlecht gesicherte lokale Netzwerke,
Client-Systeme oder auch Multifunktionsdrucker. Bei
Interesse finden sich Informationen z. B. in der Studie
Penetrationstests des BSI, dem Whitepaper Penetrationstests
der Tele-Consulting oder auch dem Whitepaper
Projektierung der Sicherheitsprüfung von Webanwendungen
der OWASP.
hakin9: Welche Pläne die IT-Sicherheit Branche
betreffend haben Sie noch vor?
Tobias Glemser: Abseits von technischen Audits versuchen
wir ganzheitliche Prozesse vor allem, aber nicht
nur in den IT-Abteilungen zu etablieren und dabei Administratoren
die Hilfestellungen zu geben, die sie dabei
benötigen. Als Sicherheitsberater oder auch Sicherheitsbeauftrager
eines Unternehmens nimmt man meist
die Rolle eines Kontrolleurs ein, der darauf achtet, dass
Regeln eingehalten werden. Hier ist ein Wandel erforderlich,
sowohl bei denen, die sich „Sicherheit“ auf die
Fahnen schreiben, als auch bei den Administratoren
und Verantwortlichen für Geschäftsbereiche und deren
Technik. Sicherheit darf nicht erst am Ende von neuen
Anwendungen, Produkten oder Projekten als Kontrollinstrument
einbezogen, sondern muss als integraler und
vor Allem unterstützender Bestandteil eines erfolgreichen
Produkts gesehen werden. Hier müssen auch und
vor allem Sicherheitsberater umdenken, um vorrangig
als Unterstützer, die sie sind, gesehen und akzeptiert
zu werden. Nur so begreifen die technisch verantwortlichen
Mitarbeiter Sicherheitsprüfungen nicht als Prüfungen
ihrer persönlichen Kompetenz, sondern als konkrete
Unterstützung für die Verbesserung vorhandener
Sicherheitsprozesse.
Im Bereich der technischen Schwachstellen werden
weiterhin Webanwendungen eine große Rolle spielen.
Daher bin ich seit geraumer Zeit beim Open Web Application
Security Project (OWASP), den meisten vermutlich
durch die OWASP Top 10 bekannt, ehrenamtlich
tätig und seit diesem Jahr im Board der deutschen Sektion.
Beim OWASP Stammtisch Stuttgart (und Stammtischen
in anderen Städten) tauschen sich hier auch
Menschen rund um das Thema zwanglos aus. Wer
Lust hat vorbeizukommen, kann sich auf der deutschen
OWASP Webseite informieren.
Wir bedanken uns für das Gespräch!
10/2010