|  |
Wir haben für alle möglichen und unmöglichen Situationen in unserem Land Ämter und Positionen installiert - nur einen CIO, einen Chief Information Officer haben wir nicht. Das ist ein großer Mangel - und der soll nun endlich behoben werden. Was dieser CIO dann zu sagen hat, steht noch in den Sternen. Ob er evtl. Richtlinien für die Computerwahl in allen Ämtern zuständig sein soll - das alles wird man der Stellenausschreibung entnehmen können.
Peter Welchering
Wir konnten mit Peter Welchering sprechen, der sich in das Thema gut eingearbeitet hat.
Entwicklungszyklus In nahezu allen Bereichen, in denen komplexe Systeme betrieben oder entwickelt werden, gehören Testphasen ganz selbstverständlich in den Entwicklungszyklus. Kein seriöser Softwarehersteller liefert Software an seine Kunden aus, ohne sie vorher ausgiebig zu testen, kein Fahrzeug kommt ohne Crashtest auf die Straße. Dennoch wurden in der Vergangenheit in vielen Unternehmen Systeme, die für IT-Sicherheit kritisch sind, installiert, ohne eine abschließende Sicherheitsüberprüfung durchzuführen.
Das Firmennetzwerk - eine Entwicklung, die getestet werden muss
Patrick Hof, Penetrationstester
Das Defizit bei der Überprüfung der IT-Sicherheit in Unternehmen beruht meist auf dem Missverständnis, dass nur Unternehmen, die etwas entwickeln, auch testen müssen. Hierbei wird übersehen, dass das Unternehmensnetzwerk meist als eigenes, unternehmensinternes Produkt anzusehen ist. Die meisten großen Unternehmen führen inzwischen regelmäßig Pentests durch, um sicherzustellen, dass durch Änderungen an ihren Systemen nicht neue Sicherheitslöcher in die IT-Infrastruktur gerissen wurden. Auch kleine Unternehmen erkennen vermehrt diese Lücke in ihrem IT-Entwicklungszyklus und führen Tests ein, um dadurch ihre IT-Sicherheit zu stärken.
Doch auch über Netzwerkprüfungen hinaus bietet Pentesting Herstellern von Produkten mit IT-Sicherheitsrelevanz an, gezielt einen Produkttest durchzuführen. Hierdurch können Hersteller ihre eigenen Tests durch kompetentes Know-How im Bereich IT-Sicherheit aufwerten. Näheres hierzu ist unter Produkttests zu finden.
Trotz der Individualität eines jeden Pentests kann der Ablauf durch die vier Phasen Reconnaissance, Enumeration, Exploitation und Documentation charakterisiert werden. Unter Reconnaissance versteht man die Informationsbeschaffung vor einem Angriff. Bei der Enumeration werden mögliche Angriffsvektoren identifiziert. Die gefundenen Schwachstellen werden in der Exploitation ausgenutzt. Bei der Documentation werden zunächst sämtliche Schritte festgehalten und schließlich auf dieser Grundlage ein ausführlicher Bericht erstellt. Während der Angriffssimulation werden diese Phasen in einem Kreislauf wiederholt durchlaufen, um so in den verschiedenen Netzwerksegmenten die relevanten Ergebnisse aufzeigen zu können. Genaue Informationen zu den einzelnen Phasen sind unter den Links der Illustration zu finden.
http://www.redteam-pentesting.de
Auf Schloß Dagstuhl im Hochwald findet derzeit bis zum 13.9. 2007 noch ein Seminar statt, bei dem sich 30 Leute aus der Industrie und der Forschung zusammengefunden haben, um über Handys der Zukunft zu diskutieren. Vieles wird man noch einbauen können - vieles von dem wo wir noch keine Ahnung haben.
Prof. Bernt Schiele
Wir sprachen mit dem Organisator der Veranstaltung, Professor Bernt Schiele von der TU Darmstadt. Er erzählte uns, dass man mit dem Handy eine Ortsbestimmung machen will, die nicht unbedingt über GPS realisiert wird. Vielleicht fotografiert man mit dem Handy ein Haus und die Datenbank findet heraus, wo das Haus steht. Natürlich muss da noch viel Arbeit in die Datenbank gesteckt werden.
| | | |
|
