Abstracts

Wie Keyword Driven Testing Security Tests automatisiert, skalierbar und sprinttauglich macht“

Klassische Penetrationstests kommen im heutigen Tempo der Cyberbedrohungen oft nicht mehr hinterher – sie sind zu selten, zu manuell und zu wenig integriert. Keyword Driven Security Testing schlägt hier eine Brücke: Es überträgt das bewährte Prinzip aus der Testautomatisierung in die IT-Security-Welt und macht Sicherheitsprüfungen skalierbar, reproduzierbar und für QS-Teams zugänglich – auch ohne tiefes Hacker-Know-how.

Jeder Schritt eines Angriffs – vom initialen Port Scan über das Ausnutzen einer Sicherheitslücke bis hin zur Datenexfiltration – wird dabei als Robot Framework Keyword modelliert. Diese lassen sich versionieren, kombinieren und mit Data Driven Testing dynamisch parametrieren. So entstehen vollständige, wiederholbare Angriffsketten, die in Echtzeit auf Kontext reagieren: HTTP-Responses, Logeinträge oder Session-Tokens werden noch im selben Durchlauf analysiert und als Payload nachgeladen.
In unserem Vortrag zeigen wir, wie daraus ein modularer Security-Baukasten entsteht, mit dem sich aktuelle Schwachstellen – darunter bekannte oder bis dato noch unbekannte Sicherheitslücken – automatisiert nachweisen lassen: in Web-Anwendungen, Windows- und Linux-Diensten, GitLab-Instanzen, Office-Makros oder proprietärer Software.
Dabei orchestrieren Robot-Framework-Workflows etablierte Penetrationtest-Tools wie Metasploit, Burp Suite, OWASP ZAP, Nmap und Nessus entlang der MITRE ATT&CK-Taktiken und der OWASP Top 10.

Wir berichten aus einem aktuellen Forschungsprojekt und realen Kundenprojekten, demonstrieren Live-Durchläufe, bewerten Aufwand und Nutzen gegenüber klassischen Penetrationtests und zeigen, wie sich dieses Vorgehen elegant in eine bestehende Testautomatisierungsarchitekturen und DevSecOps-Pipelines integrieren lässt.
Das Ergebnis: Kontinuierliche Risikoindikatoren, verlässliche Prüfungen schon auf dem Entwickler-Desktop – und Security als festes Element der Qualitätssicherung.