Fortify: Effektivität von Penetrationstests wird überschätzt

08.05.2007
Nach einer Untersuchung von Fortify Software werden im Zuge so genannter Blackbox-Tests im Schnitt nur 25 Prozent aller kritischen Programmierschnittstellen einer Applikation überprüft.

Viele Softwareentwickler in Unternehmen beurteilen die Wirksamkeit von Penetrationstests für Applikationen falsch. Zu diesem Schluss kommt Fortify, Anbieter von Lösungen zum Erkennen und Beheben von Softwareschwachstellen, in seinem aktuellen Report "Misplaced Confidence in Application Penetration Testing". Ziel der Untersuchung war, herauszufinden, welche Erwartungen Entwickler in so genannte Blackbox-Tests setzen. Dabei handelt es sich um Penetrationstests, die Anwendungen während ihrer Laufzeit mit simulierten Attacken auf Schwachstellen überprüfen, deren Prüfroutinen aber keine Kenntnis über die Funktionsweise des zu überprüfenden Systems haben. Im Rahmen der Studie wurden in Sachen Penetrations-Testing erfahrene IT-Mitarbeiter in unterschiedlichen Organisationen zu ihrer jeweiligen Einschätzung befragt und parallel dazu die dafür eingesetzten Tools untersucht. Zu diesem Zweck hat Fortifys Forschungsteam eigenen Angaben zufolge automatisierte und manuelle Penetrationstests – unter anderem mit Hilfe von zwei der drei marktführenden Tools – an fünf gängigen Testapplikationen vorgenommen.

Das Resultat: Im Schnitt wurden lediglich 25 Prozent der sicherheitskritischen Programmierschnittstellen einer Applikation überprüft. Am besten schnitt dem Report zufolge ein Tool ab, das während des Testlaufs durchschnittlich 29 Prozent der fünf Applikationen überprüfte. Wie bei Unternehmen gängige Praxis, versuchten die Sicherheitsforscher anschließend, mit manuellen Testprozeduren nachzubessern - mit dem Ergebnis, dass letztlich insgesamt 48 Prozent des Codes überprüft wurden. Entsprechend blieb mehr als die Hälfte der Programmierschnittstellen unkontrolliert und damit potenziell verwundbar.

Zudem ließ sich laut Studie mit Hilfe des Fortify-Tools "Tracer" nachweisen, dass selbst bei den geprüften APIs (Application Programming Interfaces) Sicherheitslücken – allen voran SQL-Injection- sowie Cross-Site-Scripting-Schwachstellen – nicht erkannt wurden. Tracer liefert laut Anbieter Informationen zur Vollständigkeit und Genauigkeit von Tests sowie dazu, welche APIs nicht geprüft wurden.

Viele Tester gingen irrtümlicherweise davon aus, dass automatisierte sowie manuell vorgenommene Blackbox-Tests ihre Anwendungen umfassend auf Sicherheitslücken prüfen, so Jacob West, Manager bei der Security Research Group von Fortify. So äußerten sich mehr als 58 Prozent der Befragten davon überzeugt, dass ihre Applikationen durch Penetrationstests hinreichend kontrolliert und dabei mindestens 61 Prozent aller sicherheitskritischen APIs einer Applikation überprüft werden. 46 Prozent der Tester waren der Meinung, dass Blackbox-Tests 81 Prozent der kritischen Programmierschnittstellen erfassen. "In der wichtigen Phase der Applikationsentwicklung ist es aber äußerst wichtig, wirklich alle Code-Segmente der Anwendung zu überprüfen", mahnt West.

Nach Ansicht von Chenxi Wang, Chefanalytiker bei Forrester Research, liegt es in der Natur von Blackbox-Tests, dass dabei viel geraten werden muss. Daher seien Penetrationstests häufig weniger effektiv, als sie sein könnten. Um Angriffe durch Hacker simulieren zu können, die über Fachwissen zu den einzelnen Codefunktionen verfügen, empfiehlt er, Black-Box-Tests mit einigem White-Box-Wissen zu kombinieren. "Die Option, während eines Tests die Aktivitäten innerhalb der Applikation zu beobachten, kann für Tester äußerst nützlich sein", erläutert Wang. So könnten Unternehmen die Effizienz der Tests erhöhen und zudem Kosten sparen. (kf)