Tag für Tag flattern neue Meldungen über spektakuläre Computerverbrechen über die Medienticker. Im Jahr 2017 wurden 85.960 Fälle von Cybercrime zur Anzeige gebracht. Verursachte Schäden: 71,8 Millionen Euro.
Jüngst erwischte es den Heise-Verlag. Ein Mitarbeiter wurde von einer authentisch anmutenden Spear-Phishing-E-Mail hinters Licht geführt. Er öffnete das angehängte Word-Dokument und schon war Emotet, so der Name des Trojaners, im System und später im Firmennetz. Über 50.000 Euro war dieser Klick gemäß Einschätzung von Heise teuer.
IT-Sicherheit als wichtigster Aspekt der IT-Strategie
Daher fragt Prof. Dr. Jürgen Mottok, wissenschaftlicher Leiter des Software Engineering Laboratory for Safe and Secure Systems (LaS3) der Fakultät Elektro- und Informationstechnik an der Ostbayerischen Technischen Hochschule Regensburg (OTH Regensburg): „Was ist heute der mit Abstand wichtigste Aspekt einer IT-Strategie? Eine verbesserte User Experience? Eine bessere funktionale Qualität? Die Nutzung von Cloud? Die Einführung neuer Vorgehensweisen wie ‚Agile‘ oder ‚DevOps‘? – Nein, es ist die IT-Sicherheit!“
Sicherheit sei ein vielschichtiges Qualitätsmerkmal, dessen Gesamtstatus durch das schwächste Glied der Kette definiert sei: nämlich durch den Menschen selbst. Prof. Dr. Mottok nennt ein geradezu klassisches Beispiel: das auch heute immer noch weltweit meistgenutzte Passwort als Zeichenfolge „123456“. Solche Schwachstellen müssen nicht sein.
Teildisziplin Sicherheitstesten
Und wie findet man diese Schwachstellen heraus? Eine bisher wenig im Rampenlicht stehende Teildisziplin ist das Sicherheitstesten, also das systematische Prüfen, inwieweit die Sicherheit eines Systems angemessen ist und durch entsprechende Konzepte nachhaltig garantiert werden kann: herausfinden, was und wo die schwächsten Glieder in einer Organisation sind und wie diese abgesichert werden können.
Prof. Dr. Mottok fasst zusammen: „Um Informationssicherheit erzielen zu können, müssen Systeme gehärtet werden. Um Verwundbarkeit zu ermessen, müssen sie getestet werden.“
Basiswissen rund um Sicherheitstests
Zusammen mit Dr. Frank Simon, Dr.-Ing. Jürgen Großmann, Christian Alexander Graf und Martin A. Schneider veröffentlichte Prof. Dr. Mottok das Buch „Basiswissen Sicherheitstests“ (dpunkt.verlag, ISBN: 978-3-86490-618-3). Gut ein Jahr haben die Autoren an ihrem Werk geschrieben und sich mehrmals zu redaktionellen Arbeiten in Berlin getroffen.
Auf 414 Seiten beschäftigen sich die Spezialisten mit Grundlagen des Testens, einem Teilbereich des Software Engineering. Sie bemessen Sicherheitsanforderungen und -risiken und definieren Ziele und Strategien von Sicherheitstests. Aus der Perspektive des Softwarelebenszyklus beleuchten sie Sicherheitstestprozesse und testen ganz konkret Sicherheitsmechanismen. Um handlungsfähig zu bleiben, ist es wichtig zu wissen, wie die Daten, die während einem Sicherheitstest entstehen, ausgewertet werden.
Ferner präsentiert das Buch eine Auswahl von Werkzeugen und Standards und beschäftigt sich mit menschlichen Faktoren wie die Anfälligkeit für Phishing-Betrug. Abrundend werden aktuelle Sicherheitstrends beschrieben. Prof. Dr. Mottok: „Es ist wichtig, auf dem aktuellen Stand zu bleiben, denn den ersten Schritt gehen immer die Angreifer.“
Praxisnah und hilfreich im Arbeitsalltag
Das Buch richtet sich an Softwaretesterinnen und -tester, Projektleitende, Informationssicherheitsbeauftragte, IT-Sicherheitsberatende, Softwarearchitektinnen und -architekten sowie Softwareentwicklerinnen und -entwickler gleichermaßen. Denn hier geht es direkt in den Arbeitsalltag: „Das Buch soll helfen, Tests in der Praxis durchzuführen“, beschreibt Prof. Dr. Jürgen Mottok einen Nutzen. Außerdem lehnt es sich an den Lehrplan „ISTQB® Advanced Level Specialist – Certified Security Tester“ an.
Bereichert wird die Publikation durch viele Beispiele, Literaturhinweise und Exkurse. Ob Kryptografie, das Programmieren sicherer Funktionen: Damit lässt sich die Test-Problematik einerseits selbst lernen, andererseits dient es als Begleitliteratur in der Ausbildung zum ISTQB® Certified Tester – Sicherheitstester.
Frank Simon, Jürgen Grossmann, Christian Alexander Graf, Jürgen Mottok, Martin A. Schneider: Basiswissen Sicherheitstests. Aus- und Weiterbildung zum ISTQB® Advanced Level Specialist – Certified Security Tester Erschienen im Juni 2019, 414 Seiten, gebunden. dpunkt.verlag
ISBN Print: 978-3-86490-618-3 // ISBN PDF: 978-3-96088-617-4 // ISBN ePub: 978-3-96088-618-1 // ISBN Mobi: 978-3-96088-619-8
