Es vergeht kaum ein Tag, an dem nicht eine neue Sicherheitsschwachstelle in bestehenden Softwaresystemen bekannt wird. Dem gegenüber gewinnt das Thema Sicherheit auch aus Kundensicht immer mehr an Gewicht und entwickelt sich beständig weiter zum Top-Qualitätsmerkmal von Softwaresystemen. Das ISTQB bietet daher seit 2017 einen Kurs zum Certified Tester Sicherheitstester an, der nun seit November 2018 vom German Testing Board für den deutschen Markt lokalisiert vorliegt. Inhaltlich streift der Sicherheitstester viele Bereiche der Sicherheit, ohne den Bezug zum Testen zu verlieren. In dieser Kombination gibt es am Markt wenig Vergleichbares.

Verteilt auf neun Kapitel werden folgende Bereiche angesprochen:

Kapitel 1 beginnt mit der grundlegenden Notwendigkeit für das Sicherheitstesten: Das Vorhandensein von Sicherheitsrisiken. Außerdem wird das Konzept der Informationssicherheitsrichtlinien vorgestellt, das sich in der Praxis diesen Sicherheitsrisiken entgegenstellt. Das Sicherheitsaudit, dem der Sicherheitstest zuarbeitet, analysiert letztlich das nach Bereinigung der Wirkung der Richtlinien effektive Sicherheitsrisiko.

Konkret um den Sicherheitstest geht es in Kapitel 2: Neben dem Zweck und dem Ziel wird hier auf die Vielschichtigkeit von Sicherheit und den damit verbundenen Sicherheitstests hingewiesen. Es werden hier erste Ideen zu Vorgehensweisen von Sicherheitstests aufgezeigt.

Kapitel 3 geht danach auf diese Vorgehensweisen mittels Beschreibung konkreter Sicherheitstestprozesse ein. Hierbei wird die Nähe zum klassischen ISTQB-Testen und dem fundamentalen Testprozess begründet und die jeweiligen Folgeschritte Planung, Entwurf, Ausführung und Bewertung für den Sicherheitstest durchdekliniert.

Kapitel 4 projiziert den Sicherheitstest und den zugrundeliegenden Prozess dann auf den Software-Entwicklungsprozess. Die dortigen Phasen Anforderungsermittlung, Entwurf, Implementierung, Test und Betrieb werden hier um wichtige Aspekte des Sicherheitstestens angereichert.

Mit den Kernthemen des Sicherheitstestens beschäftigt sich Kapitel 5: Wie können Systeme gehärtet werden? Wie sehen sichere Authentifizierungen und Autorisierungen aus? Welche Verschlüsselungsverfahren sind heute üblich, und welche effektiven Infrastrukturen wie Firewalls und Netzwerkzonen gibt es? Kontrastiert wird dies durch aufdeckende Technologien wie Angriffserkennungen, Malware-Scans und Datenmaskierungen sowie die Wichtigkeit der präventiven Arbeit in Form von Schulungen.

Menschliche Faktoren beim IT-Sicherheitstest sind das Thema in Kapitel 6: Warum und wie denken und arbeiten Angreifer? Wie funktioniert Social Engineering und welche Rolle spielt das allgemeine Sicherheitsbewusstsein von Mitarbeitern für eine möglichst hohe IT-Gesamtsicherheit? Im Mittelpunkt von Kapitel 7 steht die Auswertung von Sicherheitstests, die Aufbereitung ihrer Ergebnisse in Abschlussberichten, und welche besonderen Anforderungen an die Sicherheitstestergebnisse bezüglich der Berichterstattung gestellt werden.

In Kapitel 8 dreht sich alles um die Beschreibung einiger typischer Beispiele unterstützender Sicherheitstestwerkzeuge für Sicherheitstester, und es werden auf Basis einer aufgezeigten Werkzeugklassifikation Methoden zur Werkzeugauswahl erläutert.

Kapitel 9 beschließt den Syllabus mit einer Einführung in für den Sicherheitstester besonders relevante Standards und Branchentrends. Eine Übersicht gibt Auskunft darüber, über welche
Informationskanäle welche Arten von Informationen ein Sicherheitstester erlangen kann und sollte.

Der Lehrplan „Syllabus Advanced Level Specialist – Security Tester – DE“ steht hier zum Download bereit.

Aktuell arbeiten bereits mehrere Trainingsanbieter an entsprechendem Trainingsmaterial, um dann vom GTB autorisierte Trainings anzubieten. Die GTB-Webseite wird darüber zeitnah informieren.