OSSTMM

Was ist OSSTMM?

Das Open Source Security Testing Methodology Manual (OSSTMM) ist ein weltweit anerkannter Methodikstandard zur strukturierten Durchführung von Security-Audits und Sicherheitstests. Es bietet ein fundiertes Framework zur Bewertung von Sicherheitsmaßnahmen in technischen, physischen und menschlichen Bereichen. OSSTMM legt großen Wert auf Objektivität, Transparenz und Wiederholbarkeit der Tests, weshalb es in vielen Unternehmen und bei Penetrationstest-Anbietern als Grundlage für methodisches Vorgehen dient.

Anders als viele normative Standards (z. B. ISO/IEC 27001) ist OSSTMM explizit technikorientiert und definiert klare Testschritte, Bewertungsmetriken und Rollenmodelle. Die Methodik ist modular aufgebaut und kann flexibel an Organisationen unterschiedlicher Größen angepasst werden. Veröffentlicht und gepflegt wird OSSTMM vom Institute for Security and Open Methodologies (ISECOM).

Testbereiche

OSSTMM strukturiert Sicherheitsprüfungen in fünf Kernbereiche:

• Information Security (Data Networks)
  → Firewalls, IDS, VPN, IP-Routing, Datenübertragung

• Process Security
  → Sicherheitsrichtlinien, Zugriffskontrollen, Protokollierung

• Internet Technology Security (Wireless)
  → WLAN, Bluetooth, RFID

• Physical Security
  → Zutrittsschutz, Kameras, physische Zugangssperren

• Human Security
  → Awareness, Social Engineering, Verhaltensanalysen

Testmethoden und Rollen

OSSTMM differenziert verschiedene Testtypen:

• Black Box: Tester kennt keine Interna

• White Box: Tester kennt Systemarchitektur und Konfiguration

• Grey Box: Teilinformationen liegen vor

• Blind / Double Blind: Betreiber kennt Zeitpunkt/Umfang nicht

• Tandem / Reversal: Zusammenarbeit oder Rollenwechsel mit internen Teams

Bewertungsmetriken

Ein zentrales Bewertungskriterium ist der Risk Assessment Value (RAV), der objektiv misst:

• Visibility: Welche Informationen kann ein Angreifer sammeln?

• Access: Welche Zugänge bestehen?

• Trust: Wie sehr werden Aktionen dem System erlaubt?

• Control: Wie stark ist der Schutzmechanismus?

• Audit: Wie nachvollziehbar sind Aktivitäten?

Diese Faktoren fließen in quantifizierbare Sicherheitsmetriken ein, wodurch Vergleiche und Reifegradanalysen ermöglicht werden.

Verwandte Begriffe

• Penetration Testing

• Grey Box

• Ethical Hacking

• Security Audit

• RAV Score

• Scoping

• Security Maturity Model

Beispiel aus der Praxis

Ein Telekommunikationsunternehmen nutzt OSSTMM, um in einem Rechenzentrum sowohl physische als auch netzwerktechnische Sicherheit systematisch zu evaluieren. In einem Double-Blind-Ansatz testet ein externes Red-Team die Sicherheitskontrollen unter realistischen Bedingungen. Nach Auswertung der Visibility- und Access-Metriken ergibt sich ein niedriger RAV-Wert für den WLAN-Bereich, woraufhin zusätzliche Authentifizierung und Logging-Maßnahmen implementiert werden.