News

Prof. Dr. Jürgen Mottok, ZD.B Professor, LaS³ und Vorstandsmitglied des Bayerischen IT-Sicherheitsclusters e.V., ist Co-Autor des soeben erschienen Buches „Basiswissen Sicherheitstest“.

Systemsicherheit: Erst testen, dann härten

Von Matthias Kampmann

Tag für Tag flattern neue Meldungen über spektakuläre Computerverbrechen über die Medienticker. Im Jahr 2017 wurden 85 960 Fälle von Cybercrime zur Anzeige gebracht. Verursachte Schäden: 71,8 Millionen Euro. Jüngst erwischte es den Heise-Verlag. Ein Mitarbeiter wurde von einer authentisch anmutenden Spear-Phishing-E-Mail hinters Licht geführt. Er öffnete das angehängte Word-Dokument, und schon war Emotet, so der Name des Trojaners, im System und später im Firmennetz. Über 50 000 Euro war dieser Klick gemäß Einschätzung von Heise teuer. Daher fragt Prof. Dr. Jürgen Mottok, wissenschaftlicher Leiter des Laboratory for Safe and Secure Systems (LaS³) der Fakultät Elektro- und Informationstechnologie an der Ostbayerischen Technischen Hochschule (OTH): „Was ist heute der mit Abstand wichtigste Aspekt einer IT-Strategie? Eine verbesserte User Experience? Eine bessere funktionale Qualität? Die Nutzung von Cloud? Die Einführung neuer Vorgehensweisen wie ‚Agile‘ oder ‚DevOps‘? – Nein, es ist die IT-Sicherheit!“

Sicherheit sei ein vielschichtiges Qualitätsmerkmal, dessen Gesamtstatus durch das schwächste Glied der Kette definiert sei: nämlich durch den Menschen selbst. Jürgen Mottok nennt ein geradezu klassisches Beispiel, das auch heute immer noch weltweit meistgenutzte Passwort als Zeichenfolge „123456“. Solche Schwachstellen müssen nicht sein. Und wie findet man diese heraus? Eine bisher wenig im Rampenlicht stehende Teildisziplin ist das Sicherheitstesten, also das systematische Prüfen, inwieweit die Sicherheit eines Systems angemessen ist und durch entsprechende Konzepte nachhaltig garantiert werden kann: herausfinden, was und wo die schwächsten Glieder in einer Organisation sind und wie diese abgesichert werden können. Jürgen Mottok fasst zusammen: „Um Informationssicherheit erzielen zu können, müssen Systeme gehärtet werden. Um Verwundbarkeit zu ermessen, müssen sie getestet werden.“

Zusammen mit Frank Simon, Jürgen Grossmann, Christian Alexander Graf und Martin A. Schneider veröffentlichte Mottok jetzt das Buch „Basiswissen Sicherheitstests“ (dpunkt.verlag, ISBN: 978-3-86490-618-3). Gut ein Jahr haben die Autoren an ihrem Werk geschrieben und sich mehrmals zu redaktionellen Arbeiten in Berlin getroffen. Auf 414 Seiten beschäftigen sich die Spezialisten mit Grundlagen des Testens, einem Teilbereich des Software Engineering. Sie bemessen Sicherheitsanforderungen und -risiken und definieren Ziele und Strategien von Sicherheitstests. Aus der Perspektive des Softwarelebenszyklus beleuchten sie Sicherheitstestprozesse und testen ganz konkret Sicherheitsmechanismen. Um handlungsfähig zu bleiben, ist es wichtig zu wissen, wie die Daten, die während einem Sicherheitstest entstehen, ausgewertet werden. Ferner präsentiert das Buch eine Auswahl von Werkzeugen und Standards und beschäftigt sich mit menschlichen Faktoren wie die Anfälligkeit für Phishing-Betrug. Abrundend werden aktuelle Sicherheitstrends beschrieben. Jürgen Mottok: „Es ist wichtig, auf dem aktuellen Stand zu bleiben, denn den ersten Schritt gehen immer die Angreifer.“

Das Buch richtet sich an Softwaretester, Projektleiter, Informationssicherheitsbeauftragte, IT-Sicherheitsberater und Softwarearchitekten und -entwickler gleichermaßen. Denn hier geht es direkt in den Arbeitsalltag: „Das Buch soll helfen, Tests in der Praxis durchzuführen“, beschreibt Jürgen Mottok einen Nutzen. Außerdem lehnt es sich an den Lehrplan „ISTQB® Advanced Level Specialist – Certified Security Tester“ an. Bereichert wird es durch viele Beispiele, Literaturhinweise und Exkurse. Ob Kryptographie, das Programmieren sicherer Funktionen: Damit lässt sich die Test-Problematik einerseits selbst lernen, andererseits dient es als Begleitliteratur in der Ausbildung zum ISTQB® Certified Tester – Sicherheitstester.

Frank Simon, Jürgen Grossmann, Christian Alexander Graf, Jürgen Mottok, Martin A. Schneider: Basiswissen Sicherheitstests. Aus- und Weiterbildung zum ISTQB® Advanced Level Specialist – Certified Security Tester

Erschienen im Juni 2019, 414 Seiten, gebunden

dpunkt.verlag

ISBN Print: 978-3-86490-618-3

ISBN PDF: 978-3-96088-617-4

ISBN ePub: 978-3-96088-618-1

ISBN Mobi: 978-3-96088-619-8