Concern
Was ist ein Concern?
Ein Concern im OSSTMM (Open Source Security Testing Methodology Manual) ist eine Sicherheitsauffälligkeit, die keine unmittelbare Ausnutzbarkeit aufweist, aber von etablierten Best Practices abweicht. Concerns gelten als Warnhinweis auf potenzielle Schwächen im Systemdesign oder der Konfiguration.
Technischer Hintergrund & Einordnung
OSSTMM unterscheidet:
-
Vulnerability = klar ausnutzbare Schwachstelle
-
Concern = potenzielles Risiko ohne akute Ausnutzbarkeit
Beispiele für Concerns:
-
Verwendung veralteter Softwareversionen
-
Konfiguration ohne TLS
-
Fehlende Header wie
X-Frame-OptionsoderContent-Security-Policy -
Unterschiedliche Patchstände in gleichartigen Systemen
Bedeutung in der Praxis
Ein „Concern“ deutet oft auf organisatorische Schwächen, veraltete Prozesse oder fehlende Governance hin – insbesondere:
-
Drift zwischen Soll- und Ist-Konfiguration
-
Sicherheitsrichtlinien werden nicht eingehalten
-
Mangelnde Automatisierung oder Kontrolle
Sie stellen kein unmittelbares Exploit-Ziel dar, aber in Kombination mit anderen Schwächen können sie eskalieren.
Standardbezug & Empfehlung
-
OSSTMM 3.x – Concerns werden gesondert dokumentiert
-
ISO 27005 – Risikobehandlung auch für „akzeptable Risiken“
-
BSI IT-Grundschutz – Hinweise auf Verbesserungspotenziale
-
Unternehmen sollten Concerns in den Risk Cycle aufnehmen, auch wenn kein Patch oder Fix erforderlich ist
Verwandte Begriffe
-
OSSTMM
-
Schwachstelle (Vulnerability)
-
Risikoanalyse
-
Security Drift
-
Governance
Beispiel aus der Praxis
Bei einem Audit wurde festgestellt, dass mehrere Server auf Windows Server 2012 liefen – ein veraltetes System ohne Extended Support. Obwohl keine aktive Schwachstelle bekannt war, wurde dies als „Concern“ dokumentiert und als Migrationsziel eingeplant.