Übersicht Für Projektleiter Anwendungssicherheit Kryptographie Penetrationstests Schulungen & Artikel Java EN

Sicherheitstests, Sicherheitsuntersuchungen, Penetrationstests (Pentests)

Technische Sicherheitsuntersuchungen sind ein wichtiger Baustein für die Gesamtsicherheit von Systemen. Dabei kommt es nicht darauf an, ob es sich hierbei um reine IT-Systeme wie zum Beispiel einen Internet-Server handelt. Auch die Remote-Steuerungsoberfläche einer Heizungsanlage hat kritische Ansprüche an funktionierende Sicherheitsmaßnahmen.

Wenngleich Sicherheitsuntersuchungen keinen Sicherheitsprozess ersetzen, müssen sie Teil dieses Prozesses sein und liefern wichtige Hinweise auf fehlende Sicherheitsmaßnahmen oder gar kritische Sicherheitslücken. In der Konsequenz ergeben sich so neben der Beseitigung von Sicherheitslücken auch Anpassungen am Entwicklungs- oder Unternehmensprozess, so dass man entsprechende Sicherheitslücken dauerhaft vermeiden kann.

Zum grundlegenden Verständnis des Begriffs Pentest sei gesagt, dass die Begriffe Sicherheitstest, Sicherheitsuntersuchung und Penetrationstest in der Praxis oftmals simultan verwendet werden. Der eigentliche Pentest meint die technische Prüfung aus Angreifer-Sicht (Hacker resp. Cracker) mit dem Endziel in ein System tatsächlich einzudringen oder eine entsprechende Möglichkeit dazu nachzuweisen.

Ein erfolgloser Pentest bzw. unauffälliger Sicherheitstest stellt jedoch keinen Beweis für die Sicherheit eines Systems dar. Ein Pentest ist lediglich als eine Art "Stichprobe" zu verstehen, die zudem nur in einem zeitlich begrenzten Rahmen stattfindet und auch über zukünftige Änderungen keine Aussage treffen kann.

Durchführung

Wir sind fokussiert auf Web-Technologien, Web-Anwendungen und Web-Services. Dazu zählen Web-Shops, Internet-Dienste, Cloud-Anwendungen sowie sonstige Web-Frontends und zugehörige Backend-Systeme, aber auch entsprechende Komponenten als Bestandteil von integrierten Produkten.

Durch unsere Tests decken wir neben einem Grundscan über offene Dienste und eventuelle Schwachstellen, speziell im Web-Bereich auftretende Lücken ab, zum Beispiel Code Injection oder Cross-Site-Scripting (vgl. OWASP/s.u.). Auf diese Weise helfen wir nicht nur technische Sicherheitslücken zu finden, sondern beispielsweise auch Fehler bei der Systemarchitektur oder bei organisatorischen Maßnahmen wie dem Patch-Management.

Orientierungshilfen

Die folgenden Verweise sollen dem geneigten Leser als Hilfen dienen, um das Thema Sicherheitstests besser nachvollziehen zu können und weitere Anregungen zu erhalten:

Unterstützung bei Security-Findings oder Security-Incidents

Wir bieten ebenfalls Beratung zu Verständnisfragen bei Findings oder möglichen Lösungen zur Behebung gefundener Sicherheitslücken (Incident Handling).

Falls Hotfixes notwendig sind, helfen wir Ihnen gerne sofort und unmittelbar bei der Abwägung von Maßnahmen und dem Finden einer Lösung.

Sonderleistungen

Wir bieten des Weiteren folgende Dienstleistungen an. Gerne beraten wir Sie in einem Erstgespräch unverbindlich über die Möglichkeiten einer Zusammenarbeit in folgenden Bereichen: