Methodik für die Informationssicherheitsprüfung mit Auditwert (MIAUW)

Methodik für die Informationssicherheitsprüfung mit Auditwert (MIAUW)

MIAUW: Ein strukturierter Ansatz für zuverlässige Informationssicherheitsforschung

In einer Welt, in der die Cybersicherheitsrisiken immer komplexer werden und Rechtsvorschriften wie die NIS2-Richtlinie und der Cyber Resilience Act Unternehmen dazu zwingen, nachweislich “die Kontrolle zu haben”, reicht die Durchführung eines Penetrationstests (Pen-Test) nicht mehr aus. Die Frage ist nicht nur, ob ein Test durchgeführt wurde, sondern auch wie und mit welcher Sicherheit die Ergebnisse zuverlässig und reproduzierbar sind.

Aus diesem Grund wurde die Methodik für Informationssicherheitstests mit Prüfwert (MIAUW) entwickelt. Unter der Leitung von Brenno de Winter und in Zusammenarbeit mit Fachleuten aus der Praxis bietet diese offene Methodik einen strukturierten Rahmen für Penetrationstests, der es Unternehmen und Behörden ermöglicht, mit Sicherheit nachzuweisen, dass ihre Systeme auf überprüfbare, wiederholbare und transparente Weise getestet wurden.

Warum ist Miau etwas Besonderes?

Vielen herkömmlichen Penetrationstests fehlt ein standardisierter Ansatz, was zu variablen Ergebnissen und Unsicherheit über die Vollständigkeit der Studie führt. Meow ist darauf ausgelegt, dies zu ändern. Die Methodik stellt sicher, dass:

  • Jeder Schritt des Tests ist nachahmbar und unwiderlegbar.
  • Ein offizieller Bericht kann von einem Prüfer erstellt werden, damit externe Parteien die Gültigkeit der Studie bestätigen können.
  • Der Umfang, der Kontext und die Forschungstiefe sind klar dokumentiert.
  • Die Ergebnisse werden objektiv skaliert, so dass die Prioritäten deutlich werden.
  • Alle durchgeführten Tests und Ergebnisse sind wiederholbar, was Audits und Konformitätsprüfungen erleichtert.

Meow ist nicht nur ein weiterer Standard für Pen-Tests, sondern bietet eine ganzheitliche Methode, die sowohl technische als auch rechtliche Sicherheit schafft.

Open-Source als Grundlage für Transparenz und Zuverlässigkeit

Meow ist eine Open-Source-Methode, d. h. jeder kann auf die Prinzipien zugreifen, sie nutzen und verbessern. Dies gewährleistet nicht nur eine breite Unterstützung und Transparenz, sondern vermeidet auch die Abhängigkeit von kommerziellen Anbietern, die Tests und Ergebnisse in einer “Black Box” verstecken.

Open Source ist besonders effektiv in einem Ökosystem. Bei MIAUW haben wir eine Koalition der Willigen aus Parteien geschmiedet, denen der Ansatz gefiel. Das führte zu großartigen Partnerschaften und vor allem zu einer Menge Zusammenarbeit. Schließlich macht man so etwas nicht allein. Die Mitwirkung vieler Menschen macht MIAUW auch zu einer tollen Gemeinschaftsleistung. Zum Beispiel wurde auch eine Menge Arbeit geleistet: Jeroen Diel, Mischa van Geelen, Maaike Hielkema, Hans van de Looy und Victor Pous.

Der offene Charakter von Meow ermöglicht es Unternehmen und Regierungen:

  • Selbstkontrolle der Qualität von Forschung und Berichterstattung.
  • Zusammenarbeit mit unabhängigen Sachverständigen und Prüfern zur Validierung.
  • Leichtere Erfüllung von Compliance-Anforderungen, da die Methodik an internationalen Standards ausgerichtet ist.

Meow schließt sich wertvollen, bereits bestehenden Initiativen wie dem CCV Pentest-Gütesiegel an und bietet eine standardisierte und zuverlässige Methode zur Prüfung und Bewertung von Umfragen zur Informationssicherheit.

Technische Grundprinzipien von Meow

Die Methodik beruht auf einer Reihe von wesentlichen Grundsätzen, die sicherstellen, dass das Pentesting nicht nur technisch gründlich ist, sondern auch rechtlich und in Bezug auf die Rechnungsprüfung standhält.

Verwertbare und nachweisbare Forschung

Meow stellt sicher, dass alle durchgeführten Tests dokumentiert und überprüfbar sind. Dies bedeutet, dass:

  • Jeder Schritt des Tests wird mit Beweisen (z. B. Screenshots und Protokollen) untermauert.
  • Ein Prüfer kann die Studie überprüfen, ohne sie komplett neu erstellen zu müssen.
  • Es ist klar, wer was, wie und warum getestet hat.

Auf diese Weise entsteht ein Prüfpfad, mit dem die Organisationen den Aufsichtsbehörden nachweisen können, dass eine Prüfung korrekt und vollständig durchgeführt wurde.

Reproduzierbarkeit und Vergleich im Zeitverlauf

Meow ermöglicht es Sicherheitsteams, den Status eines Systems zu verschiedenen Zeitpunkten zu vergleichen. Dies ist entscheidend, da Schwachstellen nicht immer sofort entdeckt, sondern erst später aktiviert oder ausgenutzt werden.

  • In der Methodik wird festgehalten, welche Tests durchgeführt wurden und wie die Ergebnisse aussahen.
  • So kann eine Organisation leicht beurteilen, ob sich die Sicherheitslage verbessert oder verschlechtert.
  • Dies unterstützt das Prinzip der “kontinuierlichen Sicherheitsüberwachung”, wie es in NIS2 gefordert wird.

Richtliniengesteuerte Warnungen mit Geschäftsregeln

Nicht alle Schwachstellen sind gleich wichtig, und nicht jedes technische Problem stellt ein Geschäftsrisiko dar. Meow ermöglicht die Anwendung von Geschäftsregeln auf Pen-Test-Ergebnisse, so dass Benachrichtigungen und Berichte auf der Grundlage der für das Unternehmen relevanten Informationen gefiltert werden.

  • Unternehmen können selbst bestimmen, wann und zu welchen Anlässen Warnmeldungen generiert werden.
  • Auf diese Weise wird das “Rauschen” von Berichten mit geringem Risiko vermieden und der Schwerpunkt auf das gelegt, was wirklich wichtig ist.
  • Die Risiken werden in den richtigen geschäftlichen Kontext gestellt, so dass Management und Sicherheitsteams fundiertere Entscheidungen treffen können.

Miau in der Praxis: eine bessere Art des Pen-Tests

Miauw wird bereits in Sektoren eingesetzt, in denen Sicherheit und Konformität von entscheidender Bedeutung sind, z. B. in Behörden, im Gesundheitswesen und bei Finanzdienstleistungen. Durch eine Kombination aus technischen Tiefenprüfungen und Audit-Mechanismen stellt Miauw sicher, dass:

Die Forschung im Bereich der Informationssicherheit bietet nachweisbare Sicherheit und nicht nur eine subjektive Momentaufnahme.
Durch reproduzierbare Ergebnisse und eindeutige Prüfpfade können Unternehmen ihre Compliance- und Sicherheitsverantwortung besser erfüllen.
Die Pentest-Ergebnisse sind nicht von der Interpretation eines einzelnen Prüfers abhängig, sondern werden auf standardisierte Weise berichtet und validiert.

Otis als Maskottchen der MIAUW

Da das Akronym MIAUW an Katzen erinnert, war es nur logisch, eine Katze als Maskottchen zu haben. Das wurde Otis, der prächtige Kater von Brenno de Winter. Natürlich in einer Pose, in der er miaut. Als Charakterkater ist Otis wissbegierig, freundlich und sozial. Nebenbei ist er ein wenig dominant und scheut sich nicht, zu zeigen, dass er etwas will oder missbilligt. OpenKAT

Warum Meow die Sicherheit grundlegend verändern wird

Die Entwicklung von Meow ist eine direkte Reaktion auf die wachsende Nachfrage nach transparenten, wiederholbaren und überprüfbaren Pen-Tests. Durch die Anwendung dieser Methodik können Unternehmen nicht nur sicherer arbeiten, sondern auch gegenüber Aufsichtsbehörden, Kunden und internen Interessengruppen nachweisen, dass ihre Sicherheitsrichtlinien den höchsten Standards entsprechen.

Möchten Sie wissen, wie Miauw Ihrem Unternehmen helfen kann, Sicherheitstests auf die nächste Stufe zu heben? Setzen Sie sich mit uns in Verbindung, um herauszufinden, wie diese innovative Methodik zu einer zuverlässigen und nachweislich sicheren digitalen Umgebung beitragen kann.

Sind Sie bereit, Ihre Pentest-Strategie zu professionalisieren? Wir helfen Ihnen gerne dabei.