Manche Normen können überraschen, sogar positiv. Die österreichische ÖNORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik Österreich zu werfen. Die Vorversion der ÖNORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als ÖNORM der definierte … [Read more…]
Das Content Security Program der Motion Picture Association (MPA) legt in ihren Content Security Best Practices Common Guidelines (Version 4.10 vom 8. Februar 2022) Sicherheitsanforderungen in drei Bereichen fest: Management System Physical Security Digital Security In den Anforderungen an das Management System wird in der Nummer MS-2.1 in der Kategorie Risk Management die Durchführung von … [Read more…]
Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Als Penetrationstester sollte dabei jedoch nie das eigentliche Ziel aus den Augen verloren werden: die Identifikation aller Einstiegspunkte bzw. Sicherheitslücken in einem Zielsystem. Die Liste von Schwachstellen kann sehr lang und unübersichtlich werden. Um einem Auftraggeber aber mitzuteilen, welche Schwachstellen zuerst … [Read more…]
It is worth mentioning that automated methods are much faster in performing the security analysis. Alavi, Bessler und Massoth 2018 Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchführung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht … [Read more…]
Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben): „Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. … [Read more…]
Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. Während bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein böswilliger externer Angreifer hätte. … [Read more…]
In der Oktober-Ausgabe der iX aus dem Heise-Verlag ist mein erster Artikel im Print-Bereich erschienen: Momentaufnahme – Was Penetrationstests erreichen können Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab… https://www.heise.de/select/ix/2016/10/1475741089664718
Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle … [Read more…]
Vor kurzem wurde mir in einem Beratungsgespräch die Frage gestellt, ob man nach einem Penetrationstest eine Garantie bekommt, dass eine geprüfte Anwendung absolut sicher ist. Die Frage ist natürlich aus der Sicht eines Kunden verständlich. Wer je nach Aufwand vielleicht mehrere Tausend Euro für eine Sicherheitsanalyse ausgibt, erwartet zumindest unterschwellig, dass alle möglichen Schwachstellen identifiziert … [Read more…]
Die Kosten eines Penetrationstests sind primär von zwei Faktoren abhängig: Vom Aufwand und vom Tagessatz. 1. Der zeitliche Aufwand eines Penetration Tests Die Dauer eines Penetrationstests ist abhängig von der Größe und Komplexität einer Anwendung oder einer IT-Infrastruktur. Grundsätzlich gibt es keine pauschalen Schätzwerte und es kommt immer auf den Einzelfall an. Angebote ohne vorherige … [Read more…]
