Security Testing
Ein methodischer Ansatz zur Erkennung und Bewertung von Sicherheitslücken in Systemen, Anwendungen und Prozessen. Kombiniert automatisierte Scans, manuelle Tests und Risikoanalyse.
Klassifikation
- KomplexitätMittel
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Overtesting: Ressourcen werden auf low-impact-Findings verschwendet.
- Fehlende Integrationen führen zu Blindspots zwischen Tools.
- Unzureichende Nachverfolgung lässt gefundene Schwachstellen offen.
- Automatisierung für wiederholbare Basistests, manuelle Prüfungen für Business-Logik
- Threat-Modelling als Input für Test-Scope
- Integriere Findings automatisch in Ticket-Workflows
I/O & Ressourcen
- Quellcode oder Deployable Artefakte
- Zugangs- und Architekturinformationen
- Threat-Model und Compliance-Vorgaben
- Detaillierte Findings mit Priorisierung
- Remediation-Tasks und Verifizierungschecks
- Management- und Audit-Reports
Beschreibung
Security Testing ist eine strukturierte Methode zur Identifikation von Schwachstellen in Anwendungen, Infrastruktur und Entwicklungsprozessen. Sie kombiniert automatisierte Scans, manuelle Penetrationstests und threat-informed Reviews, um Risiken zu priorisieren und Korrekturen zu verifizieren. Anwendbar während Design, Implementierung und Betrieb zur Reduktion von Einbruchsrisiken.
✔Vorteile
- Frühe Entdeckung reduziert Korrekturkosten und Betriebsrisiko.
- Erhöhte Resilienz durch gezielte Härtung und Monitoring.
- Verbesserte Compliance- und Audit-Fähigkeit durch dokumentierte Tests.
✖Limitationen
- Automatisierte Scans finden nicht alle logischen Schwachstellen.
- Manuelle Tests sind zeit- und kostenintensiv.
- Falsche Priorisierung kann Fokus von kritischen Risiken ablenken.
Trade-offs
Metriken
- Anzahl gefundener kritischer Vulnerabilities
Zählt kritische Schwachstellen pro Testlauf zur Priorisierung.
- Mean Time to Remediate (MTTR) für Sicherheitsbefunde
Durchschnittszeit vom Fund bis zur Behebung.
- Coverage der automatisierten Scans
Prozentsatz der Komponenten/Endpunkte, die automatisiert geprüft werden.
Beispiele & Implementierungen
OWASP Top-10 Prüfung einer Web-App
Ein Team bewertet eine Webanwendung gegen die OWASP Top-10-Kategorien und dokumentiert Remediations.
Container-Image-Scan in CI
Automatisierte Scans prüfen Container-Images auf bekannte Vulnerabilities vor Deployment.
Red-Team-Übung
Ein externes Team simuliert Angriffe, um Erkennungslücken und organisatorische Reaktionen zu prüfen.
Implementierungsschritte
Einführung von automatisierten SAST/DAST-Scans in CI
Definition von Security-Akzeptanzkriterien und SLAs
Etablierung eines Prozessablaufs für manuelle Tests und Nachverfolgung
Regelmäßige Reviews und Retests nach Remediation
⚠️ Technische Schulden & Engpässe
Tech Debt
- Legacy-Komponenten ohne Testhooks
- Veraltete Test-Tooling-Pipelines
- Mangelnde Automatisierung bei wiederkehrenden Prüfungen
Bekannte Engpässe
Beispiele für Missbrauch
- Automatische Scans ohne Anpassung an spezifische Architektur
- Blockieren von Releases aufgrund unkritischer Findings
- Durchführung invasiver Tests in Produktionsumgebung ohne Koordination
Typische Fallen
- Unzureichende Testdaten führen zu falscher Sicherheit
- Fehlende Retesting-Prozesse nach Remediation
- Nicht-berücksichtigte Abhängigkeiten erzeugen Blindspots
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Zugriffsrechte für Staging/Prod-ähnliche Systeme
- • Zeitfenster für invasive Tests
- • Organisatorische Akzeptanz für PenTests