edit

Security Testing

• Je besser der Kunde weiss, was er will, desto besser kann man arbeiten
• Security Testing erstellt nur einen Report, fixt die Probleme nicht selbst
  • Gleich wie bei Revision einer AG
  • Glaubwürdikeit würde verloren gehen
• Warum wird getestet?
  • Intrinsische Motivation: Firma möchte Sicherheit bieten
  • Gesetze (z.B. für Paypment-Processor) - Compliance
  • ISMS: ISO-Standard Gedöns
• Nicht nur negative Testfälle dokumentieren!
  • Dass man z.B. nachweisen kann, wie der Zustand der Software zum Zeitpunkt des Tests ist
• Security Tester macht keine Risikobeurteilung! -> Er schätzt nicht potentielle Schäden, dafür müsste er das Business verstehen
  • Nur gewichtete Schwachstellen
  • Kunde macht Risikoschätzung (ISMS)
• Review: Informationen offenlegen (z.B. Firewall-config) und prüfen, anstatt von aussen die Firewall zu testen ohne Vorwissen
• Social Engineering Test: Wieviele % fallen herein?