Wie oft — und wie dramatisch — Software-Tester versagen


Dass es wirklich höchste Zeit wird, auch die Effektivität von Software-Testern systematisch zu kontrollieren, zeigt eine ganz unglaubliche Sicherheitslücke, die im Februar 2015 in gleich mehreren Tausend per Internet zugänglicher Anwendun­gen entdeckt wurde:

Wie die Computerwoche schrieb, handelte es sich um Konfigurationsfehler die zur Folge hatten, dass — im Prinzip wenigstens — jeder Internet-Nutzer mehrere Millionen Kundendaten nach Name, Adresse, E-Mail und Kreditkartennummer im Internet nicht nur abrufen, sondern auch manipulieren konnte.

Von den zahlreichen Entwicklern dieser vielen Anwendungen war ganz offensicht­lich keinerlei ernsthafter Sicherheitstest durchgeführt worden.

Will da noch jemand behaupten, sie hätten professionell genug gearbeitet?

Und ganz offensichtlich hat auch niemand unter den Verantwortlichen ernsthaft ge­prüft, wie vollständig der Test, für den sie bezahlt hatten, denn nun eigentlich war.

Glaubt die Software-Industrie wirklich, sich derart dilettantisches Vorgehen noch lange leisten zu können?
 

Advertisements
Post a comment or leave a trackback: Trackback URL.

Comments

  • Gebhard Greiter  On February 16, 2015 at 6:25 pm

     
    Wie systematisch Cyber-Kriminelle durch Software-Tester nicht entdeckte Sicherheitslücken ausnutzen, zeigt ein Anfang 2015 entdeckter Bankraub, der knapp 1 Mrd. USD Schaden verursacht hat verteilt auf zahlreiche elektronische Einbrüche über 2 Jahre hinweg bei etwa 100 Finanzinstituten.

    Quelle: Kasperskys Bericht
     

    • Gebhard Greiter  On February 18, 2015 at 1:28 pm

       
      Interessant noch: Wie berichtet wird, war es jenen Bankräubern egal, welche Software in den Finanzinstituten lief. Etwa jeder zweite Versuch, so ein System anzugreifen, war erfolgreich (was selbst Sicherheitsexperten überrascht hat).

      Software-Tester können von derartigen Erfolgsraten nur träumen. Schlimmer noch: Keiner ihrer Auftraggeber erwartet solch hohe Erfolgsraten von ihnen.

      Dass sie dennoch möglich sind — über unterschiedlichste Systeme in etwa 30 Ländern auf der ganzen Welt hinweg — kann gar nicht anders interpretiert werden als zu sagen: End-to-End Tester sind noch weit davon entfernt, so professionell zu testen, wie es ganz offensichtlich möglich ist.
       

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: