Der Kunde ist König ... Manchmal eher schlecht als recht Marc Ruef | 30.11.2009 Als ich das erste Mal als professioneller Penetration Tester zu arbeiten begann, war das alles noch Neuland. Man war froh überhaupt jemanden zu finden, der derlei Arbeiten in sauberer Weise für Geld bereit zu machen ist. Von der breitflächigen Umsetzung oder Etablierung von Standards war nicht die Rede. Eine schöne Zeit, die man aktiv mitprägen konnte. Mittlerweile gibt es verschiedene Standards, die sich bezüglich der Umsetzung und Prüfung von Sicherheitslösungen verbreiten konnten. Alle haben sie ihre Daseinsberechtigung. Auch wenn ich bei solchen Diskussionen gut und gerne betone, dass Standardisierungen nie die Individualität der jeweiligen Probleme aus den Augen verlieren dürfen. Was nützen einem die besten Checklisten, wenn diese offensichtlich an den Problemen vorbeiarbeiten? Auch wir pflegen ein standardisiertes Vorgehen für Sicherheitsüberprüfungen einzusetzen. Durch ein eigens angefertigtes Expertensystem sehen wir uns in der Lage, Tests reproduzierbar und transparent anzugehen. Dabei ist es weitestgehend unabhängig, wer von unserem Pentester-Team die Aufgabe zu bewältigen hat. Die Betrachtungen sind in ihren Grundzügen stets die Gleichen. Erst wenn es um Rafinesse und Details geht, dann kommt die Individualität des Testers ins Spiel. Dass ein jeder unserer Mitarbeiter ein hohes Mass an geistiger Flexibilität mitbringt, ist den Anstellungsprozeduren zu verdanken. Unsere Arbeiten haben sich stetig verbessert. Heutige Reports bieten ein umfassendes Mehr an Informationen, die vor vielen Jahren aufgrund der fehlenden Automatisierbarkeit innerhalb der gegebenen Zeit gar nicht zusammengetragen werden hätten können. Schwachstellen versuchen wir auf unterschiedlichen Ebenen zu besprechen. Finden wir beispielsweise eine Pufferüberlauf-Schwachstelle in einem quelloffenen Produkt, drucken wir den betroffenen Quelltext ab, illustrieren den Angriff durch einen Mitschnitt mit einem Protocol Analyzer und listen die jeweiligen Kapitel der Standards auf, die die gegebene Diskussion ebenfalls adressieren würden. Der Kunde erhält also ein wahres Kompendium, das ihm die bestmögliche Ausgangslage für weitere Recherchen oder Gegenmassnahmen bieten können soll. Darauf sind wir stolz. Unsere Kunden schlafen nicht und vor allem grössere Firmen sind naturbedingt davon abhängig, dass sie klar strukturierte Prozesse und Standards etablieren können. Der Trend entwickelt sich aber in einigen Firmen zunehmends in jene Richtung, dass die internen Prozesse das Vorgehen externer Tester bis ins Detail spezifizieren wollen. Da muss man dann plötzlich mit internen Dokumentvorlagen, Risikobewertungen und Checklisten arbeiten. Gerade wenn es um hochgradig technische Penetration Tests geht, bin ich ein strikter Gegner dieses Vorgehens. Einerseits sind Sicherheitsüberprüfungen nicht das Kerngeschäft solcher Kunden - Zum Beispiel Banken und Versicherungen. Es sind meistens nur irgendwelche IT Security und Compliancy Abteilungen, die innerhalb der Geschäftsprozesse derlei Arbeiten und Projekte begleiten. Aus diesem Grund fehlt ihnen das aktuelle Wissen und die solide Weitsicht, weshalb gut und gerne archaische Modelle postuliert werden. Vor einiger Zeit mussten wir einen Penetration Test mit einer internen Vorlage durchführen, wobei das Resultat dieser Arbeiten etwa der Qualität entsprochen hat, die wir 2003 hingebracht haben (damals top, heute eher weniger). Wir wurden also mehrere Jahre in unserer Qualität zurückgeworfen. Zudem wird mit dem vordefinierten Handlungsspielraum der Betrachtungswinkel des Testers eingeschränkt. Es ist gar nicht mehr möglich, "Out of the Box" zu denken - Und dies ist eigentlich der Grund, warum man ein externes Team an Penetration Testern einspannt. Durch das stumpfe Abarbeiten der oberflächlichen oder lückenhaften Checklisten lässt sich sodann nur mittelmässige Qualität erreichen. Wird ein Partner eingespannt, dessen Qualität seiner Arbeiten unterdurchschnittlich ist, kann man sie anheben. Alle anderen Partner sind aber dazu verdammt, im Einheitsbrei mitzuschwimmen. Zudem müssen sie Zeit in Betrachtungen investieren, die von vornherein als nichtig hätten taxiert und die Aufwände stattdessen auf die wirklich wichtigen Bereiche hätten fokussiert werden können. "Der Kunde ist König - Sie wünschen, wir spielen", heisst es ja eigentlich. Doch manchmal weiss der Kunde halt nicht, was ihm wirklich gut tun würde. In diesen Fällen liegt es sodann am externen Partner, die aufgezwängten Einschränkungen aufzuzeigen und die Vorteile einer unabhängigen Prüfung herauszuheben. Manche Kunden sehen sich in der Lage, dieser Diskussion zu folgen und ihre Lehren daraus zu ziehen. Andere sind gefangen in einem Wirrwarr von Prozesse und Standards, die sie hinter vorgehaltener Hand nicht mal vor sich selbst rechtfertigen können. Schade, denn durch diese Art von Bürokratie geht jener Teil eines Penetration Tests verloren, den man als wahre Kunst bezeichnen könnte.