was bei Sicherheitstests zu beachten ist;
wie Ergebnisse bewertet werden;
welche ethischen Grundsätze gelten;
über die wichtigsten Open-Source-Tools;
wie damit Systeme und Dienste erkannt werden;
was TCP-Sequenznummern und Zeitstempel aussagen;
die Vor- und Nachteile von automatisierten Tests.
Sicherheitstests sind eine noch junge IT-Disziplin. Normen wie ISO 17799 oder das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) beschreiben zwar, wie der Schutz der Unternehmens-IT zu erhöhen ist, gehen jedoch kaum auf die praktischen Aspekte von Security-Tests ein.
Diese Lücke kann das "Open Source Security Testing Methodology Manual" (OSSTMM) schließen: Dieses Dokument stellt einen praktischen Leitfaden für Sicherheitstests dar und ist zu den gängigen Normen kompatibel.
Wie der Name vermuten lässt, ist die Anleitung offen für Verbesserungsvorschläge. Viele Erfahrungen von Security-Testern aus aller Welt sind bereits eingeflossen. Das Handbuch besteht aus der Methodik selbst sowie einigen Vorlagen für die Dokumentation der Testergebnisse und ist unter http://www.osstmm.org/ verfügbar.
Das OSSTMM befasst sich auch mit der objektiven Bewertung des Sicherheitsniveaus. Das Management des Unternehmens kann und muss nicht in der Lage sein, eine Liste von gefundenen Sicherheitslücken zu interpretieren. Es interessiert nur, wie sicher die Infrastruktur letztlich ist. Damit die Tester verbindliche Aussagen hierzu machen können, liefert die Vorgehenswei- se nach OSSTMM einen "Risk Assessment Value" (RAV): Die Überprüfung der in dem Dokument genannten Punkte ergibt einen Zahlenwert. Je näher dieser bei 100 liegt, desto sicherer ist das Untersuchungsobjekt. Der RAV berechnet sich im Grunde aus drei Eingangsvariabeln: dem Aufbau der Infrastruktur (Sichtbarkeit, Anzahl Systeme, Trusts), den zusätzlich getroffenen Sicherheitsmaßnahmen (zum Beispiel Redundanz, Verschlüsselung, Benutzerfreundlichkeit) sowie den festgestellten Sicherheitslücken.
