Fotolia

Wie Resultate von Websicherheitstests beeinflusst werden

Oft liefern Penetrationstests oder Schwachstellenscans bei Webapplikationen ganz beruhigende Ergebnisse. Das kann täuschen, wenn Abwehrmaßnahmen die Resultate beeinflussen.

Sicherheitstests von Webanwendungen und Penetrationstests sollen in erster Linie aussagekräftige Ergebnisse liefern. Immer wieder laufen solche Tests aber vermeintlich unter Regeln wie Deep Inspection oder Full Disclosure ab – die Realität sieht allerdings anders aus.

Bei der Beurteilung der Websicherheit existieren immer zwei Seiten. Einerseits sollen Sicherheitslücken gefunden und demzufolge auch behoben werden. Andererseits soll die eigene Infrastruktur geschützt werden. Diese beiden Ziele liegen allerdings unter Umständen im Widerspruch zueinander. Das kann in Testergebnissen resultieren, die nicht mit der Realität übereinstimmen.

Die wichtigste Entscheidung ist, ob die Sicherheitskontrollen, die in Firewalls, Intrusion Prevention Systeme und Web Application Firewalls integriert sind, während der Schwachstellen-Scans und der Penetrationstests aktiv bleiben. Diese Schutzfunktionen sind Teil der Infrastruktur, sollten sie also aktiv bleiben? Wenn aber alle Schwachstellen in der Webumgebung gefunden werden sollten, sollten sie vielleicht im Vorfeld deaktiviert werden.

Abwehrlösungen können Tests stoppen

Schutzmaßnahmen wie Systeme zum Verhindern von Denial-Of-Service-Attacken, von Port Scans oder Exploits können einen Netzwerk- oder Webschwachstellen-Scanner stoppen und eine erfolgreichen Testangriff verhindern. Selbst Kontrollen im Perimeter, etwa die Beschränkung von Bandbreite können Sicherheitstests blockieren oder Resultate verfälschen. Das gilt etwa dann, wenn HTTP-Request-Fehler auftauchen und keine weiteren Test durchgeführt werden. So entsteht möglicherweise ein falsches Gefühl der Sicherheit.

Es klingt wie ein vernünftiger Ansatz, solche Kontrollen vorab zu deaktivieren. Das kann die Effizienz der Tests und die Anzahl entdeckter Schwachstellen erhöhen. Im Alltag bestehen Netzwerk- und Sicherheitsverantwortliche oft darauf, dass solche Maßnahmen aktiv bleiben. Oft werden diese Verantwortlichen von ihren Mitarbeitern oder Vorgesetzten unterstützt.

Allerdings stellt sich die Frage, wie viele Schwachstellen in den Netzwerken lauern und wegen dieser Beschränkungen nicht gefunden wurden. Es werden etwa immer wieder einfache Lücken übersehen, die anschließend einen weitreichenden Dateneinbruch ermöglichen.

Sicherheitsexperten und Pentester werden immer wieder auf solche Beschränkungen stoßen. Sollten solche Probleme im Alltag auftauchen, sollte dies im jeweiligen Bericht vermerkt werden. Hier sollte vermerkt werden, dass einige Test geblockt wurden oder nicht möglich waren – zusammen mit einer Empfehlung, diese Tests bei künftigen Überprüfungen mit durchzuführen.

Was sollen Tests von Webanwendungen erreichen?

Alles kommt auf eine Fragestellung zurück: Was soll mit dem Check der Sicherheit der Web-Applikationen erreicht werden? Sollen die IT und die Sicherheitskontrollen überprüft werden oder geht es um das Finden von Schwachstellen in den Applikationen? Da es sich dabei um zwei verschiedene Dinge handelt, sollten sie entsprechend unterschiedlich überprüft werden. Außerdem sollte die Geschäftsführung darüber informiert werden, welche Tests durchgeführt werden und warum welche Entscheidungen getroffen wurden.

Solche Probleme kommen etwa häufig bei Phishing-Tests vor. Wenn angenommen wird, dass Phishing-Angriffe sowieso blockiert werden und nicht beim Endnutzer ankommen, dann ist alles in Ordnung. Was aber, wenn doch eine bösartige E-Mail durch die Verteidigung schlüpft? In diesem Fall erweitern sich die Tests auf die Anwender im Unternehmen. Technische Checks oder die Überprüfung von Anwendern sind zwei unterschiedliche Testszenarien, die unterschiedlich behandelt werden müssen.

Audit-Berichte wie SSAE16 oder SOC 2 klingen beeindruckend, oft versuchen Anbieter oder Entwickler ihre Endkunden davon zu überzeugen. Das muss in Bezug auf die Websicherheit nicht immer zutreffen. Spezielle technische Checks wie SQL Injections, Passwortsicherheit oder das Nutzer-Session-Management können fehlen.

Häufig wird vorausgesetzt, dass wenn der Sicherheitsbericht in positives Ergebnis liefert, dass dann die Webumgebung auch sicher ist. Das muss dann aber nicht zwangsläufig den Tatsachen entsprechen. Das wirft die Frage auf: Wie glaubhaft sind Berichte zu Schwachstellen- und Penetrationstests? Welche Garantien kann ein Bericht geben, wenn es keine Informationen über die Einschränkungen gibt? Solange diese nicht erwähnt werden und der Test nicht ohne Einschränkungen durchgeführt werden kann, zeigen die Websicherheitsreports nicht die ganze Wahrheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risiken bei automatisierten Schwachstellenscans

Schwachstellen bei Webanwendungen finden

Schwachstellen auf Webseiten erlauben Datendiebstahl

 

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close