[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/wiki.edu.vn\/wiki12\/2020\/12\/27\/sicherheitstests-wikipedia\/#BlogPosting","mainEntityOfPage":"https:\/\/wiki.edu.vn\/wiki12\/2020\/12\/27\/sicherheitstests-wikipedia\/","headline":"Sicherheitstests – Wikipedia","name":"Sicherheitstests – Wikipedia","description":"before-content-x4 Sicherheitstests ist ein Prozess, der M\u00e4ngel in den Sicherheitsmechanismen eines Informationssystems aufdecken soll, die Daten sch\u00fctzen und die Funktionalit\u00e4t","datePublished":"2020-12-27","dateModified":"2020-12-27","author":{"@type":"Person","@id":"https:\/\/wiki.edu.vn\/wiki12\/author\/lordneo\/#Person","name":"lordneo","url":"https:\/\/wiki.edu.vn\/wiki12\/author\/lordneo\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/44a4cee54c4c053e967fe3e7d054edd4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/44a4cee54c4c053e967fe3e7d054edd4?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"Enzyklop\u00e4die","logo":{"@type":"ImageObject","@id":"https:\/\/wiki.edu.vn\/wiki4\/wp-content\/uploads\/2023\/08\/download.jpg","url":"https:\/\/wiki.edu.vn\/wiki4\/wp-content\/uploads\/2023\/08\/download.jpg","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/en.wikipedia.org\/wiki\/Special:CentralAutoLogin\/start?type=1x1","url":"https:\/\/en.wikipedia.org\/wiki\/Special:CentralAutoLogin\/start?type=1x1","height":"1","width":"1"},"url":"https:\/\/wiki.edu.vn\/wiki12\/2020\/12\/27\/sicherheitstests-wikipedia\/","wordCount":1338,"articleBody":"     (adsbygoogle = window.adsbygoogle || []).push({});before-content-x4Sicherheitstests ist ein Prozess, der M\u00e4ngel in den Sicherheitsmechanismen eines Informationssystems aufdecken soll, die Daten sch\u00fctzen und die Funktionalit\u00e4t wie beabsichtigt aufrechterhalten.[1]  Aufgrund der logischen Einschr\u00e4nkungen von Sicherheitstests ist das Bestehen des Sicherheitstestprozesses kein Hinweis darauf, dass keine Fehler vorliegen oder dass das System die Sicherheitsanforderungen angemessen erf\u00fcllt.  Typische Sicherheitsanforderungen k\u00f6nnen bestimmte Elemente der Vertraulichkeit, Integrit\u00e4t, Authentifizierung, Verf\u00fcgbarkeit, Autorisierung und Nicht-Zur\u00fcckweisung umfassen.[2]  Die tats\u00e4chlich getesteten Sicherheitsanforderungen h\u00e4ngen von den vom System implementierten Sicherheitsanforderungen ab.  Sicherheitstests als Begriff haben verschiedene Bedeutungen und k\u00f6nnen auf verschiedene Arten durchgef\u00fchrt werden.  Eine Sicherheitstaxonomie hilft uns daher, diese unterschiedlichen Ans\u00e4tze und Bedeutungen zu verstehen, indem sie eine Basisebene bereitstellt, auf der wir arbeiten k\u00f6nnen.Table of ContentsVertraulichkeit[edit]Integrit\u00e4t[edit]Authentifizierung[edit]Genehmigung[edit]Verf\u00fcgbarkeit[edit]Nicht-Zur\u00fcckweisung[edit]Taxonomie[edit]Siehe auch[edit]Verweise[edit]Vertraulichkeit[edit]Eine Sicherheitsma\u00dfnahme, die vor der Weitergabe von Informationen an andere Parteien als den beabsichtigten Empf\u00e4nger sch\u00fctzt, ist keineswegs die einzige M\u00f6glichkeit, die Sicherheit zu gew\u00e4hrleisten.Integrit\u00e4t[edit]Die Integrit\u00e4t von Informationen bezieht sich auf den Schutz von Informationen vor \u00c4nderungen durch Unbefugte  Eine Ma\u00dfnahme, mit der der Empf\u00e4nger feststellen kann, ob die von einem System bereitgestellten Informationen korrekt sind.Integrit\u00e4tsschemata verwenden h\u00e4ufig dieselben zugrunde liegenden Technologien wie Vertraulichkeitsschemata, umfassen jedoch normalerweise das Hinzuf\u00fcgen von Informationen zu einer Kommunikation, um die Grundlage f\u00fcr eine algorithmische Pr\u00fcfung zu bilden, anstatt die gesamte Kommunikation zu codieren.Um zu \u00fcberpr\u00fcfen, ob die richtigen Informationen von einer Anwendung zur anderen \u00fcbertragen werden.Authentifizierung[edit]Dies kann die Best\u00e4tigung der Identit\u00e4t einer Person, die Verfolgung der Herkunft eines Artefakts, die Sicherstellung, dass ein Produkt den Angaben in seiner Verpackung und Kennzeichnung entspricht, oder die Sicherstellung, dass ein Computerprogramm vertrauensw\u00fcrdig ist, umfassen.Genehmigung[edit]Der Prozess zum Bestimmen, dass ein Anforderer einen Dienst empfangen oder eine Operation ausf\u00fchren darf.Die Zugriffskontrolle ist ein Beispiel f\u00fcr eine Autorisierung.Verf\u00fcgbarkeit[edit]Sicherstellen, dass Informations- und Kommunikationsdienste erwartungsgem\u00e4\u00df einsatzbereit sind.Informationen m\u00fcssen autorisierten Personen zur Verf\u00fcgung gestellt werden, wenn sie diese ben\u00f6tigen.Nicht-Zur\u00fcckweisung[edit]In Bezug auf die digitale Sicherheit bedeutet Nicht-Zur\u00fcckweisung, sicherzustellen, dass eine \u00fcbertragene Nachricht von den Parteien gesendet und empfangen wurde, die behaupten, die Nachricht gesendet und empfangen zu haben.  Die Nicht-Zur\u00fcckweisung ist eine M\u00f6glichkeit, um sicherzustellen, dass der Absender einer Nachricht sp\u00e4ter nicht leugnen kann, die Nachricht gesendet zu haben, und dass der Empf\u00e4nger nicht leugnen kann, die Nachricht empfangen zu haben.Taxonomie[edit]Allgemeine Begriffe f\u00fcr die Durchf\u00fchrung von Sicherheitstests:Entdeckung – Der Zweck dieser Phase besteht darin, Systeme innerhalb des Geltungsbereichs und die verwendeten Dienste zu identifizieren.  Es ist nicht beabsichtigt, Schwachstellen zu erkennen, aber die Versionserkennung kann veraltete Versionen von Software \/ Firmware hervorheben und somit potenzielle Schwachstellen anzeigen.Schwachstellen\u00fcberpr\u00fcfungen – Nach der Erkennungsphase wird nach bekannten Sicherheitsproblemen gesucht, indem automatisierte Tools verwendet werden, um Bedingungen mit bekannten Schwachstellen abzugleichen.  Die gemeldete Risikostufe wird vom Tool automatisch ohne manuelle \u00dcberpr\u00fcfung oder Interpretation durch den Testanbieter festgelegt.  Dies kann durch ein auf Anmeldeinformationen basierendes Scannen erg\u00e4nzt werden, bei dem versucht wird, einige h\u00e4ufig auftretende Fehlalarme zu entfernen, indem die angegebenen Anmeldeinformationen zur Authentifizierung bei einem Dienst (z. B. lokalen Windows-Konten) verwendet werden.Schwachstellenanalyse – Hierbei werden mithilfe von Erkennungs- und Schwachstellen\u00fcberpr\u00fcfungen Sicherheitsl\u00fccken identifiziert und die Ergebnisse in den Kontext der zu testenden Umgebung gestellt.  Ein Beispiel w\u00e4re das Entfernen h\u00e4ufiger falsch positiver Ergebnisse aus dem Bericht und das Entscheiden von Risikostufen, die auf jede Berichtsfeststellung angewendet werden sollten, um das Gesch\u00e4ftsverst\u00e4ndnis und den Gesch\u00e4ftskontext zu verbessern.Sicherheitsbewertung – Baut auf der Schwachstellenbewertung auf, indem eine manuelle \u00dcberpr\u00fcfung hinzugef\u00fcgt wird, um die Gef\u00e4hrdung zu best\u00e4tigen, schlie\u00dft jedoch die Ausnutzung von Schwachstellen nicht ein, um weiteren Zugriff zu erhalten.  Die \u00dcberpr\u00fcfung kann in Form eines autorisierten Zugriffs auf ein System erfolgen, um die Systemeinstellungen zu best\u00e4tigen und Protokolle, Systemantworten, Fehlermeldungen, Codes usw. zu \u00fcberpr\u00fcfen. Bei einer Sicherheitsbewertung wird versucht, eine breite Abdeckung der getesteten Systeme zu erhalten, jedoch nicht die Tiefe der Exposition, zu der eine bestimmte Sicherheitsanf\u00e4lligkeit f\u00fchren k\u00f6nnte.Penetrationstest – Der Penetrationstest simuliert einen Angriff einer b\u00f6swilligen Partei.  Aufbauend auf den vorherigen Phasen und Ausnutzung gefundener Schwachstellen, um weiteren Zugriff zu erhalten.  Die Verwendung dieses Ansatzes f\u00fchrt zu einem Verst\u00e4ndnis der F\u00e4higkeit eines Angreifers, Zugriff auf vertrauliche Informationen zu erhalten, die Datenintegrit\u00e4t oder Verf\u00fcgbarkeit eines Dienstes und die jeweiligen Auswirkungen zu beeintr\u00e4chtigen.  Jeder Test wird mit einer konsistenten und vollst\u00e4ndigen Methodik angegangen, die es dem Tester erm\u00f6glicht, seine F\u00e4higkeiten zur Probleml\u00f6sung, die Ergebnisse einer Reihe von Tools und sein eigenes Wissen \u00fcber Netzwerke und Systeme zu nutzen, um Schwachstellen zu finden, die identifiziert werden k\u00f6nnten \/ k\u00f6nnten automatisierte Werkzeuge.  Bei diesem Ansatz wird die Angriffstiefe im Vergleich zum Sicherheitsbewertungsansatz untersucht, bei dem die breitere Abdeckung ber\u00fccksichtigt wird.Sicherheitsaudit – Angetrieben von einer Audit- \/ Risikofunktion, um ein bestimmtes Kontroll- oder Compliance-Problem zu untersuchen.  Diese Art des Engagements zeichnet sich durch einen engen Umfang aus und k\u00f6nnte einen der zuvor diskutierten Ans\u00e4tze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest) verwenden.Sicherheits\u00fcberpr\u00fcfung – \u00dcberpr\u00fcfung, ob branchen- oder interne Sicherheitsstandards auf Systemkomponenten oder Produkte angewendet wurden.  Dies wird in der Regel durch L\u00fcckenanalyse und Verwendung von Build- \/ Code-\u00dcberpr\u00fcfungen oder durch \u00dcberpr\u00fcfung von Entwurfsdokumenten und Architekturdiagrammen abgeschlossen.  Diese Aktivit\u00e4t verwendet keinen der fr\u00fcheren Ans\u00e4tze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest, Sicherheits\u00fcberpr\u00fcfung).Siehe auch[edit]Verweise[edit]     (adsbygoogle = window.adsbygoogle || []).push({});after-content-x4"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/wiki.edu.vn\/wiki12\/#breadcrumbitem","name":"Enzyklop\u00e4die"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/wiki.edu.vn\/wiki12\/2020\/12\/27\/sicherheitstests-wikipedia\/#breadcrumbitem","name":"Sicherheitstests – Wikipedia"}}]}]