Manuelles Testen

Ein langwieriger und kostspieliger Weg zur Gewährleistung der Sicherheit

Manuelles Testen

Das Testen mit Hilfe von manuell durchgeführten Penetrationstests gehört zu den grundlegenden Methoden der Sicherheitsüberprüfung. Diese Art des Testens ist äußerst effektiv, aber leider sehr zeitaufwändig und daher auch teuer.

Zu den Nachteilen manueller Penetrationstests gehören beispielsweise

  • Starke Abhängigkeit von der Erfahrung des Penetrationstesters
  • Vielzahl von Einzweck-Tools, die während der Tests eingesetzt werden
  • Schwierige Koordination bei der Durchführung von Tests im Team
  • Hohe Anforderungen an Systematik und Dokumentation
  • Zeitaufwendige Erstellung des Abschlussberichts

Während des Tests muss der Tester zunächst die verwendeten Technologien identifizieren und anschließend die Zielumgebung mappen, um alle Ressourcen und deren Eingaben aufzudecken. Der Tester kann diese Aktivitäten entweder vollständig manuell durchführen oder sich mit verschiedenen Einzweck-Skripten behelfen.

Anschließend muss der Tester manuell oder wiederum mit Hilfe spezieller Einzweck-Skripte die einzelnen Eingaben auf viele Arten von Schwachstellen testen. Wenn man bedenkt, dass es Hunderte bis Tausende solcher Eingaben gibt, ist es offensichtlich, dass diese Arbeit sehr zeitaufwändig ist und Dutzende bis Hunderte von Arbeitsstunden in Anspruch nehmen wird.

Da es keine detaillierten Checklisten gibt, die den Tester Schritt für Schritt durch den Test führen, hängt die Qualität der Tests stark von der Erfahrung und dem Wissen des jeweiligen Testers ab. Nur an ihm liegt es, wie vollständig die Tests durchgeführt werden und wie viele Schwachstellen letztendlich entdeckt werden. Daher ist es in der Regel nicht möglich, unerfahrene Tester ohne Aufsicht eines erfahreneren Kollegen einzusetzen.

Um bei der Arbeit den Überblick zu behalten und systematisch vorzugehen, muss der Tester verschiedene Diagramme der getesteten Umgebung erstellen und zahlreiche Notizen machen. Während des manuellen Testens entstehen außerdem viele unterstützende Daten wie Screenshots und Auszüge. Es liegt allein am Tester, wie es ihm gelingt, Ordnung und Übersicht in all den erstellten Materialien zu bewahren.

Bei größeren Projekten ist oft die Mitarbeit mehrerer Tester erforderlich. Mehrere Tester sollten gleichzeitig arbeiten können, ohne dass sich ihre Arbeit überschneidet oder Bereiche ungetestet bleiben. Dazu sollten sie Notizen und Dokumente effektiv teilen und einen Überblick über alle Aktivitäten der anderen Teammitglieder haben.

Es versteht sich von selbst, dass auch Manager die Kontrolle und den Überblick über den Testprozess haben sollten. Ohne eine Vielzahl von Tools – etwa spezielle Projektmanagement-Tools, die jedoch für diesen Zweck wenig geeignet sind – wäre das kaum möglich. Die Zusammenarbeit im Team ist daher eine der vielen Herausforderungen beim manuellen Testen.

Der Tester muss außerdem den Schweregrad jeder entdeckten Schwachstelle feststellen und sie ausführlich für die Mitarbeiter beschreiben, die für ihre Behebung zuständig sind. Er sollte detailliert beschreiben, wie sich die Schwachstelle äußert und wie sie wiederholt ausgelöst werden kann. Er sollte die Auswirkungen des Missbrauchs der Schwachstelle beschreiben und eine geeignete Abhilfemaßnahme vorschlagen. Der Text mit der Beschreibung der Schwachstelle sollte durch Verweise auf relevante Informationsquellen ergänzt werden.

Die Beschreibungen der einzelnen Befunde bilden am Ende des Tests die Grundlage für den Abschlussbericht, der noch um weitere notwendige Bestandteile ergänzt werden muss, darunter Einleitung, Inhaltsverzeichnis, Management-Zusammenfassung oder abschließende Zusammenfassung. Das Verfassen aller für den Abschlussbericht erforderlichen Texte ist oft zeitaufwändiger als das Testen selbst und nimmt nicht selten mehrere Dutzend Arbeitsstunden in Anspruch.

Schema_prace_bez_platformy.svg

Diese Informationen zeigen, dass Tester oft bis zu drei Viertel ihrer Arbeitszeit mit anderen Aufgaben als mit dem eigentlichen Testen verbringen und gleichzeitig ist die Durchführung von Penetrationstests ausschließlich mit vollautomatisierten Tools keine geeignete Lösung. Ohne ein spezialisiertes Tool, das automatisierte Tools und manuelles Testen effektiv verbindet, bleibt die Arbeit der Tester leider sehr ineffizient.

Wenn Sie die Effizienz manueller Tests durch die Verbindung mit automatisierten Tools steigern, einen besseren Überblick über einzelne Projekte erhalten, die Zusammenarbeit im Team verbessern oder die Erstellung von Abschlussberichten so weit wie möglich vereinfachen möchten, könnte die Penterep-Plattform genau die Lösung sein, die Ihnen dabei helfen kann. Die Penterep-Plattform bietet eine Reihe großartiger Features, die die Arbeit nicht nur von Penetrationstestern erheblich erleichtern und rationalisieren können.

Mehr über die Verbindung automatisierter Tests mit manuellen Tests erfahren