Belastungs- und Dienstausfallprüfung

Welcher Last können Ihre Systeme standhalten?

Was ist eine Belastungs- und Dienstausfallprüfung?

Die Verfügbarkeit mancher IT-Systeme ist besonders wichtig. Stehen sie still, kann dies weitreichende Auswirkungen haben. Nicht nur Stillstand, sondern auch langsam antwortende Systeme sind unerwünschte Situationen. Sie können eintreten durch stark gestiegene Nutzerzahlen, Programmierfehler, mangelhafte Ressourcen oder auch DoS-Angriffe von Hackern. Aber wie viele Anfragen kann ein System standhalten und ist es für Hacker einfach möglich ein System auszuschalten? Darauf gibt die Belastungs- und Dienstausfallprüfung von aramido eine Antwort.

Stresstests simulieren eine hohe Anzahl von gleichzeitigen Nutzerzugriffen auf ein System. Durch die realistische Nachbildung von Zugriffen kann gemessen werden, wie viele Nutzer eine Anwendung gleichzeitig unterstützen kann. Die Belastungsprüfung erfolgt stufenweise und es wird ständig die Auslastung unterschiedlicher Systemkomponenten gemessen.

Eine Verfügbarkeitsprüfung kann zudem im Kontext von Hackern und ihren Bot-Netzen durchgeführt werden. Bösartige Akteure können durch eine große Menge von Anfragen oder dem Aufrufen ressourcenintensiver Endpunkte ein System derart beeinflussen, dass es nicht mehr verfügbar ist.

Ein Belastungstest ist vielseitig einsetzbar und erstreckt sich über verschiedene Arten von Systemen, die über ein Netzwerk erreichbar sind. Dies schließt traditionelle Websites mit Front- und Backend-Strukturen, moderne Single-Page-Applications (SPAs) sowie technische Schnittstellen mit ein.

  • Benchmarken Sie Ihre Systeme
  • Erkennen Sie Flaschenhälse
  • Wehren Sie DoS-Angriffe ab
  • Prüfen Sie die Leistungsfähigkeit der Systeme
  • Optimieren Sie die Nutzung von Ressourcen
alt text
Abbildung 1 Beispiel unterschiedlicher Metriken eines Belastungstests, der am Ende zum Ausfall der Anwendung führte.

Wann brauche ich einen Stresstest?

Im Internet sind Angriffe auf die Verfügbarkeit von Systemen jederzeit und weltweit möglich. Ziehen Sie einen Belastungstest in folgenden Situationen in Betracht:

  • Ein System muss hochverfügbar sein.
  • Wichtige Ereignisse oder Veröffentlichungen stehen bevor und es ist unklar, wie ein System reagieren wird.
  • Loadbalancer, Cache-Systeme und Content Delivery Networks (CDN) sollen die Verfügbarkeit gewährleisten.
  • Unerwartete Ausfälle von Systemen sind eingetreten.
  • Änderungen in der Technologie oder der Umgebung finden statt.
  • Ein System soll einer Mindestanzahl an Benutzern standhalten können.

Stellen Sie sicher, dass Sie die Belastbarkeit Ihrer Systeme kennen, um ungeplanten Ausfällen und den damit verbundenen finanziellen Schäden zuvorkommen.

Belastungstests in drei Schritten

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Ziele der Prüfung werden diskutiert.
  • Der Umfang, Ort und Zeitraum wird festgelegt.
  • Freigaben der verantwortlichen Stellen werden angefordert.
  • Ansprechpartner während der Prüfung werden kommuniziert.

Dieses Treffen bildet die Grundlage für eine effiziente und umfassende Durchführung des Belastungstests und der Dienstausfallprüfung. Im Anschluss findet die sorgfältige Vorbereitung der Prüfungsphase statt.

2

In der Hauptphase der Prüfung wird die Verfügbarkeit des Systems untersucht:

  • Zuvor festgelegte Test-Suiten, die das Nutzerverhalten abbilden, werden vielfach wiederholt.
  • DoS-Angriffe werden durchgeführt, um Schwachstellen in der Verfügbarkeit zu identifizieren.
  • Die Netzwerk- und Serverinfrastruktur wird analysiert und auf mögliche Flaschenhälse geprüft.
  • Alle Schritte und Ergebnisse werden präzise für den Prüfbericht dokumentiert.
3

Gemeinsame Ergebnisbesprechung, bei welcher die Ergebnisse der Prüfungen und Handlungsempfehlungen vorgestellt werden.

  • Präsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlung: Es werden konkrete Empfehlungen gegeben, sodass der gewünschte Verfügbarkeitsgrad erreicht werden kann.
  • Diskussion: Gemeinsam wird über die nächsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende der Prüfungen und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielfältigen Produktportfolio von aramido fort.

Konformität mit Verfügbarkeitsstandards

Eine Vielzahl an Normen fordert die Gewährleistung der Verfügbarkeit technischer Systeme. Die Norm ISO 27001 beinhaltet die Verfügbarkeitssicherung als wichtiges Thema im Prozess des Risikomanagements. Ebenso macht die EU-Datenschutz-Grundverordnung (DSGVO) Vorgaben an die Robustheit von Systemen. Weitere Compliancen-Anforderungen werden durch die ISO/IEC 20000-3, ISO/IEC 24765, NIST 800-53 und FIPS-199 festgelegt.

Umfangreiche Prüfung der Anwendung

Ein Belastungstest orientiert sich an verschiedenen Vorgehensweisen und Standards, um eine gründliche und standardisierte Prüfung der Sicherheitslage sicherzustellen. Im Folgenden sind Prüfungen aufgelistet, welche typischerweise bei einem Belastungstest durchgeführt werden:

  • Durchsicht der Infrastrukturplanung, um potenzielle Flaschenhälse zu entdecken.
  • Test unterschiedlicher Lastkurven, um den maximalen Lastausfallpunkt eines Systems zu bestimmen.
  • Spitzenlast-Tests, um die Elastizität von Systemen zu beurteilen.
  • Auslastung der Bandbreite einzelner Komponenten der Netzwerk- und Serverinfrastruktur.
  • Auslastung der Rechenleistung einzelner Komponenten der Serverinfrastruktur.
  • Missbrauch und Umgehung vorhandener Caching-Mechanismen.
  • Umgehung von eingesetzten Loadbalancern.

Halten Ihre Systeme steigenden Nutzerzahlen stand? Wie sind sie gegen DoS-Angriffe gewappnet? Mit einer Belastungs- und Dienstausfallprüfung finden wir frühzeitig und effizient Schwächen in der Verfügbarkeit.

Stresstest anfragen

aramido ist Ihr qualifizierter Partner für Sicherheitsprüfungen

  • Tiefgreifende Sicherheitsanalyse: Unsere Prüfungen gehen über einen bloßen Belastungstest hinaus. Die Informationssicherheitsberater von aramido führen manuelle und automatisierte Tests durch und nutzen kreativ Angriffsvektoren, um Wege für die Herbeiführung von Dienstversagen zu finden. Dies ermöglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langjähriger Erfahrung und aktuellem Wissen über die neuesten Bedrohungen und Angriffstechniken.
  • Maßgeschneiderte Ansätze: Wir passen unsere Tests auf die individuellen Bedürfnisse Ihrer Systeme an.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitslücken zu erkennen.
  • Preiswerte Sicherheitsprüfung: Wir bieten professionelle Leistungen zu sehr guten, marktüblichen Konditionen an.
  • Verständliche Berichte: Unsere Berichte sind klar strukturiert und verständlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverlässige Partnerschaft: Wir stehen Ihnen nicht nur während des Tests zur Seite, sondern sind Ihr Ansprechpartner für alle Fragen der Informationssicherheit.
  • Benchmarken Sie Ihre Systeme
  • Erkennen Sie Flaschenhälse
  • Wehren Sie DoS-Angriffe ab
  • Prüfen Sie die Leistungsfähigkeit der Systeme
  • Optimieren Sie die Nutzung von Ressourcen

Artikel zum Thema

Armin Harbrecht

Am 19.07.2016 veröffentlicht.

Penetrationstest-Angebot von aramido Opfer einer DDoS-Attacke?

Bei DDoS-Attacken versuchen An­grei­fer eine Web­an­wen­dung ge­zielt zu über­las­ten. Unsere Ser­ver-Logs ließen den Ver­dacht auf­kom­men, selbst davon be­trof­fen zu sein. (weiterlesen)


Niklas Fuhrberg

Am 26.08.2024 veröffentlicht.

Was ist die NIS-2-Richtlinie? (Teil 1)

Durch die steigende Zahl an Cyberangriffen reagiert die EU mit neuen Maßnahmen. Hierzu zählt die NIS-2, die neue Anforderungen an Unternehmen stellt. (weiterlesen)


Niklas Fuhrberg

Am 19.08.2024 veröffentlicht.

NIS-2: Was müssen Unternehmen tun? (Teil 3)

Als erstere Schritte sollten Verantwortlichkeiten im Unternehmen festgelegt werden. Neben einer koordinierenden Stelle, beispielsweise einem Informationssicherheitsbeauftragten, muss auch die Geschäftsleitung ganz konkrete Pflichte wahrnehmen. (weiterlesen)


Moritz Kaumanns

Am 01.02.2021 veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­­­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)


Andreas Sperber

Am 28.01.2017 veröffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher kön­nen sich am 1. und 2. Febru­ar über In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)