Angriff ist die beste Verteidigung
Kommentare

Um zu überprüfen, ob Softwaresysteme den Anforderungen entsprechen, gibt es verschiedene Testarten. Doch durch die zunehmende Vernetzung (Stichwort IoT) und die Auslagerung von Anwendungen in die Cloud werden vor allem Security-Anforderungen immer wichtiger. Man denke nur an die Sicherheitslücke in Connected Cars aus dem letzten Jahr: Sicherheitsforscher konnten in das Uconnect Infotainment-System eines Jeeps gelangen und darüber die Firmware umschreiben – und das Ganze nicht etwa per direkter Verbindung, sondern wireless von Zuhause aus.

Penetrationstest als Teil des Qualitätsmanagements

Henning Ziegler stellt in seiner Session „Angriff ist die beste Verteidigung“ die steile These auf, dass Entwickler derzeit bei den einfachsten Security-Grundlagen versagen. Woran das liegt? Security liegt schlichtweg nicht im Fokus, viel wichtiger ist das Look & Feel. Ein weiterer Gedanke ist, dass die eigene Website doch viel zu klein und uninteressant sei, um angegriffen zu werden. Falsch! An Security muss direkt von Projektbeginn an gedacht werden!

IMG_1836

Traditionelle Testverfahren laufen hier oft ins Leere. Getreu dem Motto „Angriff ist die beste Verteidigung“ haben sich für diesen Zweck mit der Zeit Penetrationstests etabliert. In einem Penetrationstest schlüpft der Tester in die Rolle des Angreifers und versucht die Sicherheitsmaßnahmen des zu testenden Softwaresystems zu umgehen und Sicherheitslücken aufzudecken. Für die vorhergehende automatisierte Überprüfung eignet sich beispielsweise eine Kombination aus dem Testing-Tool OWASP, Selenium und BDD.

IMG_1838

Penetrationstests sind eigentlich im Grunde genommen ein gezieltes Test and Error, so Ziegler.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -