Management Summaries als Herausforderung Marc Ruef | 20.07.2009 Viele junge Leute kommen auf mich zu und fragen, wie sie ebenfalls Security Consultant bzw. Penetration Tester werden können (http://www.computec.ch/news.php?item.240). Sie fügen oftmals hastig hinzu, welche technischen Fähigkeiten sie sich die letzten Jahre angeeignet hätten. Sei dies nun ein tiefschürfendes Verständnis für Betriebssysteme, Programmierung, Netzwerk oder Reverse Engineering. Technische Details sind das, was in erster Linie begeistert. Wahrlich ist das Wissen auf dieser Ebene massgeblich, um als technischer Auditor arbeiten zu können. Schliesslich muss man die Materie verstehen, um auf ihrer Ebene Schwächen identifizieren und angehen zu können. Gerne wird aber übersehen, dass technisches Wissen alleine einem Kunden nur in den seltensten Fällen von Nutzen ist. So will er zum Beispiel die technischen Resultate in wirtschaftlichem Zusammenhang sehen. Welche Schwachstelle ist für das Unternehmen am gefährlichsten und welchen finanziellen Aufwand lohnt sich einzugehen, um diese intelligent adressieren zu können? Ein jedes Dokument, das wir verfassen, enthält ein sogenanntes Executive Summary. In diesem werden auf 1-2 Seiten die wichtigsten Punkte des eigentlichen Tests für das Management zusammengefasst. Es ist nicht leicht, die technischen Details eines 120 Seiten umfassenden Reports in diesen wenigen Abschnitten zusammenzufassen. Jeder Techniker tut sich schwer damit, will er denn nur ungern die vielen ausgeklügelten Details seines Schaffens vernachlässigen. Das geht selbst mir heute noch so, obwohl ich in den letzten 10 Jahren hunderte Management Summaries geschrieben habe. Das Schreiben eines solchen Management Summaries erfordert ein hohes Mass an Abstraktionsvermögen: Die wichtigsten Details müssen priorisiert, selektiv wahrgenommen und gruppiert werden. Nur durch eine solche strikte Zusammenfassung ist es möglich, das Niveau der Dokumentation konsistent zu halten und dem technisch halt oftmals wenig interessierten Leser den dennoch wichtigen Roten Faden zu bieten. In den Management Summaries wird nach Möglichkeiten ebenfalls die finale Bewertung des Tests ausgewiesen. Wir pflegen dabei prosaische Deklarationen wie "gut" oder "teilweise genügend" einzusetzen (andere Firmen versuchen mit auf den ersten Blick schwierig einzuordnenden Kennzahlen zu arbeiten). Wenn sich dies nicht für einen gesamten Test, der vielleicht aus gänzlich unterschiedlichen Modulen bestanden hat, umsetzen lässt, werden die einzelnen Testmodule bewertet (z.B. Netzwerkbasierter Vulnerability Scan, Firewall Rule Review, Config Review, Source Code Analyse und Prozess Review). Das primäre Zielpublikum des Management Summaries sind Entscheidungsträger, die sich in erster Linie eine Befehlsweitergabe gewohnt sind. Sie bestimmen, welche Anforderungen den IT-Mitarbeitern auferlegt sind und welche Mittel diesen zur Verfügung stehen, um diese Ziele zu erreichen. Da eine technische Sicherheitsüberprüfung in erster Linie die Qualität der Arbeit der Empfänger dieser Befehle begutachtet und man nur ungern diese exponieren will, erfordert das Schreiben eines Summaries grosses diplomatisches und politisches Geschickt. Schliesslich will man niemandem in den Rücken fallen und sich damit einer längerfristige Kooperation berauben. Ein gutes Beispiel einer diplomatischen Überlegung ist, neben der ehrlichen Bewertung der geprüften Komponente ebenfalls auf die positiven Aspekte des Tests hinzuweisen. Auch wenn man sich als Penetration Tester darüber freut, dass man in einer Applikation einen komplexen und schwerwiegenden Fehler gefunden hat, sollte man sich ebenso die Zeit nehmen, um die guten Punkte des Zielsystems hinzuweisen (z.B. sehr schlichte Fehlermeldungen, sauberes User-Handling). Wird denn zum Beispiel ausschliesslich eine kritische Schwachstelle (z.B. SQL-Injection) in einem spezifischen Bereich gefunden, die anderen Bereiche weisen jedoch keine Schwächen auf, so sollte man kein pauschales "ungenügend" vergeben. Viel besser sind alle bedient, wenn man den Sachverhalt mit "teilweise gut" skizziert. Eine solche Einstufung zeigt, dass die Integration weitestgehend zufriedenstellend umgesetzt wurde. Dass halt nur in einem oder wenigen Punkten Mängel festgestellt werden mussten. Diese sollten explizit erwähnt werden. Ein gut geschriebenes Executive Summary entscheidet schlussendlich darüber, ob die Sicherheitsüberprüfung positiv aufgenommen wird und ob weitere Schritte unternommen werden, um die Situation noch zu verbessern. Schlussendlich geht es darum, dass die Entscheidungsträger Ressourcen zubilligen, um die offenen Punkte angehen zu lassen. Die dafür notwendige Überzeugungsarbeit ist damit genauso wichtig, wie das Wissen darum, wie nun eine Pufferüberlauf-Schwachstelle ausgenutzt werden kann oder mit welcher optionalen TCP-Flagge der TCP/IP-Stack eines spezifischen Betriebssystems zu Erliegen gebracht werden kann.