Belastungs- und Dienstausfallpr├╝fung

Welcher Last k├Ânnen Ihre Systeme standhalten?

Was ist eine Belastungs- und Dienstausfallpr├╝fung?

Die Verf├╝gbarkeit mancher IT-Systeme ist besonders wichtig. Stehen sie still, kann dies weitreichende Auswirkungen haben. Nicht nur Stillstand, sondern auch langsam antwortende Systeme sind unerw├╝nschte Situationen. Sie k├Ânnen eintreten durch stark gestiegene Nutzerzahlen, Programmierfehler, mangelhafte Ressourcen oder auch DoS-Angriffe von Hackern. Aber wie viele Anfragen kann ein System standhalten und ist es f├╝r Hacker einfach m├Âglich ein System auszuschalten? Darauf gibt die Belastungs- und Dienstausfallpr├╝fung von aramido eine Antwort.

Stresstests simulieren eine hohe Anzahl von gleichzeitigen Nutzerzugriffen auf ein System. Durch die realistische Nachbildung von Zugriffen kann gemessen werden, wie viele Nutzer eine Anwendung gleichzeitig unterst├╝tzen kann. Die Belastungspr├╝fung erfolgt stufenweise und es wird st├Ąndig die Auslastung unterschiedlicher Systemkomponenten gemessen.

Eine Verf├╝gbarkeitspr├╝fung kann zudem im Kontext von Hackern und ihren Bot-Netzen durchgef├╝hrt werden. B├Âsartige Akteure k├Ânnen durch eine gro├če Menge von Anfragen oder dem Aufrufen ressourcenintensiver Endpunkte ein System derart beeinflussen, dass es nicht mehr verf├╝gbar ist.

Ein Belastungstest ist vielseitig einsetzbar und erstreckt sich ├╝ber verschiedene Arten von Systemen, die ├╝ber ein Netzwerk erreichbar sind. Dies schlie├čt traditionelle Websites mit Front- und Backend-Strukturen, moderne Single-Page-Applications (SPAs) sowie technische Schnittstellen mit ein.

  • Benchmarken Sie Ihre Systeme
  • Erkennen Sie Flaschenh├Ąlse
  • Wehren Sie DoS-Angriffe ab
  • Pr├╝fen Sie die Leistungsf├Ąhigkeit der Systeme
  • Optimieren Sie die Nutzung von Ressourcen
alt text
Abbildung 1 Beispiel unterschiedlicher Metriken eines Belastungstests, der am Ende zum Ausfall der Anwendung f├╝hrte.

Wann brauche ich einen Stresstest?

Im Internet sind Angriffe auf die Verf├╝gbarkeit von Systemen jederzeit und weltweit m├Âglich. Ziehen Sie einen Belastungstest in folgenden Situationen in Betracht:

  • Ein System muss hochverf├╝gbar sein.
  • Wichtige Ereignisse oder Ver├Âffentlichungen stehen bevor und es ist unklar, wie ein System reagieren wird.
  • Loadbalancer, Cache-Systeme und Content Delivery Networks (CDN) sollen die Verf├╝gbarkeit gew├Ąhrleisten.
  • Unerwartete Ausf├Ąlle von Systemen sind eingetreten.
  • ├änderungen in der Technologie oder der Umgebung finden statt.
  • Ein System soll einer Mindestanzahl an Benutzern standhalten k├Ânnen.

Stellen Sie sicher, dass Sie die Belastbarkeit Ihrer Systeme kennen, um ungeplanten Ausf├Ąllen und den damit verbundenen finanziellen Sch├Ąden zuvorkommen.

Belastungstests in drei Schritten

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Ziele der Pr├╝fung werden diskutiert.
  • Der Umfang, Ort und Zeitraum wird festgelegt.
  • Freigaben der verantwortlichen Stellen werden angefordert.
  • Ansprechpartner w├Ąhrend der Pr├╝fung werden kommuniziert.

Dieses Treffen bildet die Grundlage f├╝r eine effiziente und umfassende Durchf├╝hrung des Belastungstests und der Dienstausfallpr├╝fung. Im Anschluss findet die sorgf├Ąltige Vorbereitung der Pr├╝fungsphase statt.

2

In der Hauptphase der Pr├╝fung wird die Verf├╝gbarkeit des Systems untersucht:

  • Zuvor festgelegte Test-Suiten, die das Nutzerverhalten abbilden, werden vielfach wiederholt.
  • DoS-Angriffe werden durchgef├╝hrt, um Schwachstellen in der Verf├╝gbarkeit zu identifizieren.
  • Die Netzwerk- und Serverinfrastruktur wird analysiert und auf m├Âgliche Flaschenh├Ąlse gepr├╝ft.
  • Alle Schritte und Ergebnisse werden pr├Ązise f├╝r den Pr├╝fbericht dokumentiert.
3

Gemeinsame Ergebnisbesprechung, bei welcher die Ergebnisse der Pr├╝fungen und Handlungsempfehlungen vorgestellt werden.

  • Pr├Ąsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlung: Es werden konkrete Empfehlungen gegeben, sodass der gew├╝nschte Verf├╝gbarkeitsgrad erreicht werden kann.
  • Diskussion: Gemeinsam wird ├╝ber die n├Ąchsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende der Pr├╝fungen und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielf├Ąltigen Produktportfolio von aramido fort.

Konformit├Ąt mit Verf├╝gbarkeitsstandards

Eine Vielzahl an Normen fordert die Gew├Ąhrleistung der Verf├╝gbarkeit technischer Systeme. Die Norm ISO 27001 beinhaltet die Verf├╝gbarkeitssicherung als wichtiges Thema im Prozess des Risikomanagements. Ebenso macht die EU-Datenschutz-Grundverordnung (DSGVO) Vorgaben an die Robustheit von Systemen. Weitere Compliancen-Anforderungen werden durch die ISO/IEC 20000-3, ISO/IEC 24765, NIST 800-53 und FIPS-199 festgelegt.

Umfangreiche Pr├╝fung der Anwendung

Ein Belastungstest orientiert sich an verschiedenen Vorgehensweisen und Standards, um eine gr├╝ndliche und standardisierte Pr├╝fung der Sicherheitslage sicherzustellen. Im Folgenden sind Pr├╝fungen aufgelistet, welche typischerweise bei einem Belastungstest durchgef├╝hrt werden:

  • Durchsicht der Infrastrukturplanung, um potenzielle Flaschenh├Ąlse zu entdecken.
  • Test unterschiedlicher Lastkurven, um den maximalen Lastausfallpunkt eines Systems zu bestimmen.
  • Spitzenlast-Tests, um die Elastizit├Ąt von Systemen zu beurteilen.
  • Auslastung der Bandbreite einzelner Komponenten der Netzwerk- und Serverinfrastruktur.
  • Auslastung der Rechenleistung einzelner Komponenten der Serverinfrastruktur.
  • Missbrauch und Umgehung vorhandener Caching-Mechanismen.
  • Umgehung von eingesetzten Loadbalancern.

Halten Ihre Systeme steigenden Nutzerzahlen stand? Wie sind sie gegen DoS-Angriffe gewappnet? Mit einer Belastungs- und Dienstausfallpr├╝fung finden wir fr├╝hzeitig und effizient Schw├Ąchen in der Verf├╝gbarkeit.

Stresstest anfragen

aramido ist Ihr qualifizierter Partner f├╝r Sicherheitspr├╝fungen

  • Tiefgreifende Sicherheitsanalyse: Unsere Pr├╝fungen gehen ├╝ber einen blo├čen Belastungstest hinaus. Die Informationssicherheitsberater von aramido f├╝hren manuelle und automatisierte Tests durch und nutzen kreativ Angriffsvektoren, um Wege f├╝r die Herbeif├╝hrung von Dienstversagen zu finden. Dies erm├Âglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langj├Ąhriger Erfahrung und aktuellem Wissen ├╝ber die neuesten Bedrohungen und Angriffstechniken.
  • Ma├čgeschneiderte Ans├Ątze: Wir passen unsere Tests auf die individuellen Bed├╝rfnisse Ihrer Systeme an.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitsl├╝cken zu erkennen.
  • Preiswerte Sicherheitspr├╝fung: Wir bieten professionelle Leistungen zu sehr guten, markt├╝blichen Konditionen an.
  • Verst├Ąndliche Berichte: Unsere Berichte sind klar strukturiert und verst├Ąndlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverl├Ąssige Partnerschaft: Wir stehen Ihnen nicht nur w├Ąhrend des Tests zur Seite, sondern sind Ihr Ansprechpartner f├╝r alle Fragen der Informationssicherheit.
  • Benchmarken Sie Ihre Systeme
  • Erkennen Sie Flaschenh├Ąlse
  • Wehren Sie DoS-Angriffe ab
  • Pr├╝fen Sie die Leistungsf├Ąhigkeit der Systeme
  • Optimieren Sie die Nutzung von Ressourcen

Artikel zum Thema

Armin Harbrecht

Am 19.07.2016 ver├Âffentlicht.

Penetrationstest-Angebot von aramido Opfer einer DDoS-Attacke?

Bei DDoS-Attacken versuchen An­grei­fer eine Web­an­wen­dung ge­zielt zu ├╝ber­las­ten. Unsere Ser­ver-Logs lie├čen den Ver­dacht auf­kom­men, selbst davon be­trof­fen zu sein. (weiterlesen)


Moritz Kaumanns

Am 01.02.2021 ver├Âffentlicht.

Sicherheitswarnung: Amazon Secret Key ├Âffentlich einsehbar (CVE-2020-28199)

Eine Sicher­┬ş┬şheits┬ş┬ş­l├╝cke in einem Amazon Pay Plugin f├╝r Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)


Andreas Sperber

Am 28.01.2017 ver├Âffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher k├Ân­nen sich am 1. und 2. Febru­ar ├╝ber In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)


Armin Harbrecht

Am 14.11.2016 ver├Âffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man h├Ąufig die Frage, was die Kosten f├╝r einen Penetrationstest sind. Die Antwort h├Ąngt von verschiedenen Faktoren ab. (weiterlesen)


Andreas Sperber

Am 19.09.2016 ver├Âffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-L├­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)