Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Tandem

Was ist Tandem (OSSTMM-Testtyp)?

Tandem ist ein definierter Testtyp im Rahmen des OSSTMM (Open Source Security Testing Methodology Manual), bei dem sowohl das prüfende Team als auch das Zielunternehmen über die Sicherheitsprüfung im Vorfeld informiert sind.

Im Gegensatz zu verdeckten Testformen (wie Blind oder Reversal) steht bei Tandem der transparente Austausch zwischen Prüfern und IT-Betrieb im Mittelpunkt. Ziel ist es, nicht nur Schwachstellen aufzudecken, sondern auch die Leistungsfähigkeit und Reaktionsfähigkeit interner Sicherheitssysteme wie SIEM und IDS/IPS praxisnah zu evaluieren und zu optimieren.

Wichtige Tandem-Ressourcen

  • OSSTMM-Testtypen
    → Klassifizierung von Prüfansätzen (z. B. Blind, Reversal, Grey Box, Tandem).

  • SIEM & IDS/IPS-Monitoring
    → Echtzeitbeobachtung von Systemverhalten während kontrollierter Tests.

  • Transparente Kommunikation
    → Abgestimmte Zeitfenster, vordefinierte Angriffsvektoren und Rückmeldekanäle.

  • Detection-Feintuning
    → Sofortiges Anpassen und Testen von Erkennungsregeln (Use Case Tuning).

  • SOC-Trainingskontext
    → Tandem-Tests eignen sich als Simulationsumgebung für Blue-Teams und Incident-Handler.

Anwendung in der Praxis

  • Simulierte Angriffe mit Rückmeldung: Tester kündigen geplante Aktivitäten an – SOC analysiert live.

  • Fehlalarme & Gaps: Ineffiziente Alerting-Logiken werden identifiziert und angepasst.

  • Protokollvergleich: Logs der Tester und der Zielsysteme werden nach Testschluss gemeinsam ausgewertet.

  • Awareness-Stärkung: Betriebsteams erhalten Feedback zu Reaktionszeiten und Maßnahmenqualität.

  • Kontrollierte Eskalationen: Testszenarien können in Echtzeit mitgeführt und gestoppt werden.

Verwandte Begriffe

Beispiel aus der Praxis

Ein Energieversorger plant einen Tandem-Test zur Bewertung seiner SOC-Abläufe. Das Prüferteam simuliert kontrollierte Angriffe wie Portscans, Credential-Stuffing und Exploits innerhalb vereinbarter Zeitfenster. Währenddessen beobachtet das SOC die Logdaten im SIEM, reagiert mit Alarmierungen und passt Correlation Rules an. Nach Abschluss werden die Testergebnisse und internen Reaktionen gemeinsam ausgewertet – mit dem Ziel, Detection-Gaps zu schließen und Response-Zeiten zu optimieren.

zum Glossar