Sicherheits- ­überprüfungen mit System

Das OSSTMM (Open Source Security Testing Methodology Manual) ist eine Methode für Sicherheitsüberprüfungen und wurde im Jahre 2001 erstmals von ISECOM (Institute for Security and Open Methodologies) veröffentlicht und seitdem konsequent weiterentwickelt.

Im Gegensatz zu strategischen Standards, in welchen Risikoanalysen nur mittels Abschätzen (Eintrittswahrscheinlichkeit mal Schadenausmass) durchgeführt werden, wird beim OSSTMM die Sicherheit technisch getestet. Dies bietet eine ungewohnte Genauigkeit und Messbarkeit der Sicherheit.

Mit dem OSSTMM kann auch die Konformität zu anderen Standards wie zum Beispiel BS7799, ISO/IEC 17799/27001, SOX 302/404 und BSI Grundschutz hinsichtlich der technischen Umsetzung gemessen werden. Ein weiterer Punkt ist die Überprüfung auf Einhaltung von gesetzlichen Anforderungen, welche beim OSSTMM auch berücksichtigt wird - sei es die Verantwortung für Informationssicherheit oder auch der Datenschutz. Das OSSTMM ist kompatibel und konform mit Gesetzen weltweit.

Der Hauptfokus des OSSTMM liegt auf der Methodik, ohne dass Tools oder Programme zur Überprüfung vorgeschrieben werden. Die OSSTMM-Methode ist skalierbar, da Rahmenbedingungen und Anforderungen auch bei neuen und unbekannten Technologien angewendet werden können. Da der Tester sich verpflichtet, im OSSTMM verankerte Verhaltensregeln und die Methodik einzuhalten, kann sichergestellt werden, dass die Sicherheitsüberprüfungen nachvollziehbar, reproduzierbar und vergleichbar sind. Im Prinzip ist es egal, welche Firma eine Sicherheitsüberprüfung nach OSSTMM durchführt, die Tests werden mit der Anwendung der Methodik direkt vergleichbar.

Es spielt keine Rolle, was getestet wird, denn das Untersuchungsobjekt kann skaliert werden. Egal, ob nur eine Applikation oder ein Systemverbund betrachtet wird, die Resultate können miteinander verglichen werden. Dazu dient die Berechnungsformel des Risk Assessment Values (RAV). Bei der RAV-Kalkulation werden drei Werte berücksichtigt: die operative Sicherheit - sprich Sichtbarkeit der Systeme (Visibility), Vertrauensstellungen (Trusts) sowie Interaktionsmöglichkeiten (Dienste), der Kontrollausgleich, implementierte Sicherheitsmechanismen sowie die aktuelle Sicherheit, detektierte und verifizierte Risiken (Gewichtung nach Bedrohungspotenzial). Die RAVs definieren die natürliche Degradation des Sicherheitsniveaus mittels eines Prozentwerts, welcher über die Zeit abnimmt. Die Degradation entsteht dadurch, dass ständig neue Technologien und neue Angriffsvektoren entwickelt werden, aber auch Umsysteme sich immer wieder verändern.

Wer den jeweiligen Minimalwert des RAV vorgibt, kann damit die Einhaltung des vorgegebenen Sicherheitsniveaus elegant überprüfen.

ISECOM bietet unter anderem folgende Zertifizierungsmöglichkeiten an: den «OSSTMM Professional Security Tester» (OPST) und den auf die Auswertung der Testergebnisse spezialisierten «OSSTMM Professional Security Analyst» (OPSA).

Nutzen von OSSTMM: Quantifizierbarkeit der Sicherheit ermöglicht direkten Vergleich innerhalb eines Untersuchungsbereiches, Konsistenz - eine von anderen Testern durchgeführte Sicherheitsüberprüfung sollte die gleichen Resultate liefern, Gültigkeit der Resultate geht über die Gegenwart hinaus, was proaktives statt reaktives Handeln ermöglicht, Qualität der Sicherheitsüberprüfung beruht auf dem Können der Tester anstatt auf Produkten, Tools oder Marken, Vollständigkeit und Präzision der Sicherheitsüberprüfung, Compliance mit Gesetzen, Standards und Richtlinien, Zertifizierungsmöglichkeit des Personals.