OSSTMM

Das Open Source Security Testing Methodology Manual ist ein De-Facto-Standard zur Durchführung von Security Audits mit strukturierten Testtypen und Bewertungsmethoden.OSSTMM definiert methodische Ansätze für fünf Testkategorien: Informations-Reconnaissance, Human Testing, Physical Security, Wireless, Daten-Netzwerksicherheit und Process Security. Es unterscheidet zwischen verschiedenen Testtypen wie Black Box, White Box, Grey Box, Blind, Double Blind, Tandem, Reversal und orientiert sich an objektiven Bewertungsmetriken wie dem „RAV“ (Risk Assessment Value). In OSSTMM wird ein lückenloser Auditprozess beschrieben—von Scoping, Rule-Definition, Datensammlung, Testdurchführung bis hin zur Berichterstellung—unter Berücksichtigung von Professionalität, Ethik und Transparenz. Die Methodik fördert ein wiederholbares und skalierbares Vorgehen, das sowohl technische Schwachstellen als auch organisatorische Aspekte (z. B. Policies, Awareness) bewertet.