Pentest von Anwendungen

Penetrationstest für Anwendungen

Pentest von Individualsoftware

IT-Sicherheit zieht sich durch den gesamten Software-Lebenszyklus. Von der ersten Anforderung und Designentscheidung, über die Softwareentwicklung bis hin zu Test und Betrieb.

Viele Organisationen orientieren sich bei der Entwicklung neuer Anwendungen am Security Development Lifecycle (SDL), um von Anfang an qualitativ hochwertige und sichere Software zu erstellen. Die Durchführung eines Penetrationstests (kurz Pentest) erfolgt i.d.R. bevor eine Software bzw. Änderungen daran produktiv gesetzt werden und ist ein wesentlicher Bestandteil des SDL.

Ihr Ansprechpartner für Pentests

IT-Sicherheit bei der viadee

Alle unsere Leistungen und Themen im Bereich IT-Sicherheit und sichere Softwareentwicklung auf einen Blick.

Kontakt Pentests

Nehmen Sie über unser Kontaktformular direkt Kontakt mit unseren Pentest-Expert:innen auf.

Stunde der Wahrheit

Der Pentest ist somit die Stunde der Wahrheit, ob die Sicherheitsziele für die Anwendung in Zusammenspiel mit den Nachbarsystemen in der Produktionsumgebung bzw. in einer produktionsnahen Umgebung erreicht wurden.

Vermeiden Sie unangenehme Überraschungen und finden Sie mit unserem Angebot „Pentest von Anwendungen“ heraus, ob und wenn ja, welche Sicherheitslücken in Ihrer Individualsoftware existieren. Bei der Auswahl der für Sie passenden Pentest-Vorgehensweise helfen wir Ihnen gerne.

Die Grundlagen der viadee Pentests

Methodik

Als Kunde haben Sie einen Anspruch darauf, dass alle wesentlichen Aspekte wie vereinbart geprüft werden. In Kundenprojekten und auch internen Projekten haben wir gute Erfahrungen mit einer strukturierten Vorgehensweise mit explorativen Anteilen gesammelt. 

Gemeinsam wählen wir eines der beiden etablierten Verfahren:

Somit haben Sie die Gewissheit, dass wesentliche Aspekte wie z.B. Authentifizierung und Autorisierung explizit beleuchtet werden und auch Sicherheitsaspekte abseits des üblichen Weges betrachtet werden.

Zielgerichtete Analyse

Für unsere Sicherheitsexpert:innen sind Pentests weit mehr als reine Port-Scans und das Ausführen von vorgefertigten Skripten und Standard-Tools gegen eine Testumgebung. Durch unsere jahrelangen und vielfältigen Projekterfahrungen im Bereich der Individual-Softwareentwicklung können wir gezielt Bereiche in ihrer Anwendung untersuchen, die anfällig sind für Schwachstellen und somit zu einer potenziellen Sicherheitslücke werden können.

Generell kann ein Pentest in drei unterschiedlichen Ausprägungen durchgeführt werden.

  • Ein Black-Box-Test bietet reale Bedingungen, wie bei einem Angriff durch Angreifer, da weder der Quellcode noch Informationen zur Systemumgebung bekannt sind.

  • Bei einem Grey-Box-Test erhalten unsere Tester:innen vorher z.B. einen Einblick in die Fachlichkeit und Funktionen des Systems sowie dessen Laufzeitumgebung. Der Quellcode steht den Pentester:innen hingegen nicht zur Verfügung.

  • Für einen White-Box-Test erweitert sich der Wissensvorsprung für unsere Mitarbeiter:innen durch die Bekanntgabe des Quellcodes und Architektur- sowie Dokumentationsunterlagen. Ein dediziertes Secure Code Review findet nicht statt.

Bei einem Grey-Box Test und vor allem beim White-Box Test profitieren Sie von der Entwicklungserfahrung unserer Tester:innen. Der Test wird deutlich effizienter, bzw. im verfügbaren Zeitraum erreichen wir eine bessere Testabdeckung.

Fachliches Verständnis

Aus langjähriger Erfahrung wissen wir, dass insbesondere fachliche Sicherheitslücken („business flaws“) wie z.B. das Ausführen von unzulässigen fachlichen Funktionen an bestimmten Stellen im Geschäftsprozess, im Betrieb gravierende Auswirkungen haben können. Aus diesem Grund stimmen wir uns mit Ihren Fachexpert:innen der Anwendung ab und legen einen besonderen Wert auf die Prüfung derartiger fachlicher Szenarien.

Umfang und Inhalt

Zunächst legen wir gemeinsam mit Ihnen die Ziele und den Umfang und Inhalt des Sicherheitstests fest.

Soll eine einzelne Anwendung oder ein Zusammenspiel aus verschiedenen Anwendungen betrachtet werden? Liegt der Fokus auf der sicheren Konfiguration von Containern und Betriebssystemen? Soll die korrekte Konfiguration von Virtualisierungslösungen, wie VMWare oder HyperV, und Cloudplattformen, wie Kubernetes, Openshift, AWS, GCP oder Azure, geprüft werden oder gar eine Prüfung des gesamten Unternehmensnetzwerks stattfinden?

Das sagen unsere Kund:innen

"Die Zusammenarbeit mit dem viadee-Team war eine sehr positive Erfahrung. Der gesamte Prozess verlief reibungslos und effizient. Hervorzuheben sind die Flexibilität meiner Kollegen bei viadee, ihre Anpassungsfähigkeit und ihre Bereitschaft, auf unvorhergesehene Änderungen zu reagieren. Darüber hinaus waren wir äußerst zufrieden mit der Struktur und Klarheit der Ergebnisse, die sie uns präsentierten. Die Berichte waren sehr gut strukturiert und erleichterten uns damit das Anstoßen von Folgeprozessen. Insgesamt würde ich sie weiterempfehlen aufgrund ihrer Professionalität, Flexibilität und der Qualität ihrer Arbeit. Ich freue mich darauf, in Zukunft wieder mit ihnen zusammenzuarbeiten."

– Maika Peters, Technical Outsourcing Managerin bei Eucon Group

Die Vorgehensweise der viadee bei Pentests

Als nächstes folgen wir einer bewährten Vorgehensweise, bei der Sie stets einen Einblick über Fortschritt und Zwischenergebnisse bekommen.

Vorgehensweise der viadee bei Pentests grafisch dargestellt.

Vorbereitung und Abgrenzung

Bevor ein Pentest durchgeführt werden kann, grenzen wir den Prüfgegenstand mit Ihnen ab. Dazu besprechen wir welche Teile des Software-Systems analysiert werden sollen und welche Schnittstellen bzw. angebundenen Systeme nicht Bestandteil des Pentests sind.

Bei einem Grey-Box- oder White-Box-Test erfolgt durch Sie zudem eine kurze Einführung in das System, die fachlichen Prozesse sowie etwaige Besonderheiten, auf die Sie besonders Wert legen.

Durchführung

Automatisierte Tests

Im zweiten Schritt arbeiten unsere Expert:innen mit den Werkzeugen auf Ihrer Anwendung, die Angreifer:innen häufig bei automatisierten Angriffen einsetzen. Durch diese voll- bzw. teilautomatisierten Tests können offensichtliche Schwachstellen herausgefunden werden, die Angreifenden als potenzielle Einfallstore in Ihre Anwendung dienen können.

Manuelle Tests

Nach der automatisierten Analyse Ihrer Anwendung erfolgt im dritten Schritt die manuelle Überprüfung anhand des zuvor abgestimmten Pentest-Verfahrens, d.h. OWASP ASVS bzw. OWASP WSTG. Wenn Fokusbereiche im Rahmen der Abstimmung definiert wurden, z.B. der Themenblock Authentifizierung, dann werden diese bei der manuellen Überprüfung besonders berücksichtigt.

Zwischenbericht und Diskussion von Teilergebnissen

In einem kurzen Zwischenbericht besprechen wir mit Ihnen die bereits gefundenen Sicherheitslücken und stimmen mit Ihnen die Ausrichtung für den weiteren Pentest ab.

Exploratives Testen

Im letzten aktiven Schritt des Pentests werden zuvor gefundene Schwachstellen aufgegriffen und explorativ weiterentwickelt. Hierbei kommt insbesondere die Expertise unserer Expert:innen im Bereich der Individualsoftwareentwicklung zum Einsatz, um zielgerichtet und effizient zu überprüfen, ob weitere Sicherheitslücken und damit ein Risiko für Ihre Anwendung entstehen können.

Abschluss

Abschließend wird ein Bericht mit allen gefundenen Sicherheitslücken und den Schritten zur Reproduktion eben dieser verfasst. Im Bericht werden die Sicherheitslücken anhand eines Risikobewertungsmodells (DREAD) eingestuft und adäquate Handlungsempfehlungen werden angeführt. Ebenfalls enthält der Bericht alle Informationen zum Nachstellen der Befunde. Gerne präsentieren wir den Bericht vor Ort, erläutern die Inhalte im Detail und beantworten Ihre Fragen.

optional: Re-Test

Nach dem Test ist vor dem Test: Die beseitigten Sicherheitslücken können in einem optionalen Re-Test erneut überprüft werden.

Ihr Nutzen

Arbeit mit Expert:innen

Profitieren Sie von der Erfahrung unserer Expert:innen, die sowohl ihre methodischen Kenntnisse als auch ihr technisches Wissen und ein Verständnis der Fachlichkeit in den Pentest einbringen.

Sicherheit

Kennen Sie die Sicherheitslücken ihrer Anwendung und beheben Sie diese, bevor Angreifer sie ausnutzen können.

Vertrauen

Mit dem Pentest erhalten Sie einen Bericht über das erreichte Sicherheitsniveau. Diesen Nachweis können Sie auch den Nutzern und Ihren Kunden zur Verfügung stellen und somit das Vertrauen in Ihre Anwendung stärken.

Sie suchen einen Partner für Pentests oder haben Fragen?

Kommen wir ins Gespräch