Pentest von Anwendungen
Die Stunde der Wahrheit
mehr zu unserem Leistungsspektrum im Bereich IT-SicherheitPentest von Anwendungen
IT-Sicherheit zieht sich durch den gesamten Software-Lebenszyklus. Von der ersten Anforderung und Designentscheidung, über die Softwareentwicklung bis hin zu Test und Betrieb.
Viele Organisationen orientieren sich bei der Entwicklung neuer Anwendungen am Security Development Lifecycle (SDL), um von Anfang an qualitativ hochwertige und sichere Software zu erstellen. Die Durchführung eines Penetrationstests (kurz Pentest) erfolgt i.d.R. bevor eine Software bzw. Änderungen daran produktiv gesetzt werden und ist ein wesentlicher Bestandteil des SDL.
Stunde der Wahrheit
Der Pentest ist somit die Stunde der Wahrheit, ob die Sicherheitsziele für die Anwendung in Zusammenspiel mit den Nachbarsystemen in der Produktionsumgebung bzw. in einer produktionsnahen Umgebung erreicht wurden.
Vermeiden Sie unangenehme Überraschungen und finden Sie mit unserem Angebot „Pentest von Anwendungen“ heraus, ob und wenn ja, welche Sicherheitslücken in Ihrer Individualsoftware existieren. Bei der Auswahl der für Sie passenden Pentest-Vorgehensweise helfen wir Ihnen gerne.
Ansprechperson
Dr. Tobias Heide
Tel: +49 251 777770
Zielgerichtete Analyse
Für unsere Sicherheitsexpert:innen sind Pentests weit mehr als reine Port-Scans und das Ausführen von vorgefertigten Skripten und Standard-Tools gegen eine Testumgebung. Durch unsere jahrelangen und vielfältigen Projekterfahrungen im Bereich der Individual-Softwareentwicklung können wir gezielt Bereiche in ihrer Anwendung untersuchen, die anfällig sind für Schwachstellen und somit zu einer potenziellen Sicherheitslücke werden können.
Generell kann ein Pentest in drei unterschiedlichen Ausprägungen durchgeführt werden.
- Ein Black-Box-Test bietet reale Bedingungen, wie bei einem Angriff durch Angreifer, da weder der Quellcode noch Informationen zur Systemumgebung bekannt sind.
- Bei einem Grey-Box-Test erhalten unsere Tester vorher z.B. einen Einblick in die Fachlichkeit und Funktionen des Systems sowie dessen Laufzeitumgebung. Der Quellcode steht den Pentestern hingegen nicht zur Verfügung.
- Für einen White-Box-Test erweitert sich der Wissensvorsprung für unsere Mitarbeiter:innen durch die Bekanntgabe des Quellcodes und Architektur- sowie Dokumentationsunterlagen. Ein dediziertes Secure Code Review findet nicht statt.
Bei einem Grey-Box Test und vor allem beim White-Box Test profitieren Sie von der Entwicklungserfahrung unserer Tester. Der Test wird deutlich effizienter, bzw. im verfügbaren Zeitraum erreichen wir eine bessere Testabdeckung.
Fachliches Verständnis
Aus langjähriger Erfahrung wissen wir, dass insbesondere fachliche Sicherheitslücken („business flaws“) wie z.B. das Ausführen von unzulässigen fachlichen Funktionen an bestimmten Stellen im Geschäftsprozess, im Betrieb gravierende Auswirkungen haben können. Aus diesem Grund stimmen wir uns mit Ihren Fachexperten der Anwendung ab und legen einen besonderen Wert auf die Prüfung derartiger fachlicher Szenarien.
Umfang und Inhalt
Zunächst legen wir gemeinsam mit Ihnen die Ziele und den Umfang und Inhalt des Sicherheitstests fest.
Soll eine einzelne Anwendung oder ein Zusammenspiel aus verschiedenen Anwendungen betrachtet werden? Liegt der Fokus auf der sicheren Konfiguration von Containern und Betriebssystemen? Soll die korrekte Konfiguration von Virtualisierungslösungen, wie VMWare oder HyperV, und Cloudplattformen, wie Kubernetes, Openshift, AWS, GCP oder Azure, geprüft werden oder gar eine Prüfung des gesamten Unternehmensnetzwerks stattfinden?
Unsere Vorgehensweise
Als nächstes folgen wir einer bewährten Vorgehensweise, bei der Sie stets einen Einblick über Fortschritt und Zwischenergebnisse bekommen.
Bevor ein Pentest durchgeführt werden kann, grenzen wir den Prüfgegenstand mit Ihnen ab. Dazu besprechen wir welche Teile des Software-Systems analysiert werden sollen und welche Schnittstellen bzw. angebundenen Systeme nicht Bestandteil des Pentests sind.
Bei einem Grey-Box- oder White-Box-Test erfolgt durch Sie zudem eine kurze Einführung in das System, die fachlichen Prozesse sowie etwaige Besonderheiten, auf die Sie besonders Wert legen.
Automatisierte Tests
Im zweiten Schritt arbeiten unsere Expert:innen mit den Werkzeugen auf Ihrer Anwendung, die Angreifer häufig bei automatisierten Angriffen einsetzen. Durch diese voll- bzw. teilautomatisierten Tests können offensichtliche Schwachstellen herausgefunden werden, die Angreifern als potenzielle Einfallstore in Ihre Anwendung dienen können.
Manuelle Tests
Nach der automatisierten Analyse Ihrer Anwendung erfolgt im dritten Schritt die manuelle Überprüfung anhand des zuvor abgestimmten Pentest-Verfahrens, d.h. OWASP ASVS bzw. OWASP WSTG. Wenn Fokusbereiche im Rahmen der Abstimmung definiert wurden, z.B. der Themenblock Authentifizierung, dann werden diese bei der manuellen Überprüfung besonders berücksichtigt.
In einem kurzen Zwischenbericht besprechen wir mit Ihnen die bereits gefundenen Sicherheitslücken und stimmen mit Ihnen die Ausrichtung für den weiteren Pentest ab.
Exploratives Testen
Im letzten aktiven Schritt des Pentests werden zuvor gefundene Schwachstellen aufgegriffen und explorativ weiterentwickelt. Hierbei kommt insbesondere die Expertise unserer Expert:innen im Bereich der Individualsoftwareentwicklung zum Einsatz, um zielgerichtet und effizient zu überprüfen, ob weitere Sicherheitslücken und damit ein Risiko für Ihre Anwendung entstehen können.
Abschließend wird ein Bericht mit allen gefundenen Sicherheitslücken und den Schritten zur Reproduktion eben dieser verfasst. Im Bericht werden die Sicherheitslücken anhand eines Risikobewertungsmodells (DREAD) eingestuft und adäquate Handlungsempfehlungen werden angeführt. Ebenfalls enthält der Bericht alle Informationen zum Nachstellen der Befunde. Gerne präsentieren wir den Bericht vor Ort, erläutern die Inhalte im Detail und beantworten Ihre Fragen.
optional: Re-Test
Nach dem Test ist vor dem Test: Die beseitigten Sicherheitslücken können in einem optionalen Re-Test erneut überprüft werden.
Methodik
Als Kunde haben Sie einen Anspruch darauf, dass alle wesentlichen Aspekte wie vereinbart geprüft werden. In Kundenprojekten und auch internen Projekten haben wir gute Erfahrungen mit einer strukturierten Vorgehensweise mit explorativen Anteilen gesammelt.
Gemeinsam wählen wir eines der beiden etablierten Verfahren:
Somit haben Sie die Gewissheit, dass wesentliche Aspekte wie z.B. Authentifizierung und Autorisierung explizit beleuchtet werden und auch Sicherheitsaspekte abseits des üblichen Weges betrachtet werden.
Ihr Nutzen
- Kennen Sie die Sicherheitslücken ihrer Anwendung und beheben Sie diese, bevor Angreifer sie ausnutzen können.
- Profitieren Sie von der Erfahrung unserer Expert:innen, die sowohl ihre methodischen Kenntnisse als auch ihr technisches Wissen und ein Verständnis der Fachlichkeit in den Pentest einbringen.
- Mit dem Pentest erhalten Sie einen Bericht über das erreichte Sicherheitsniveau. Diesen Nachweis können Sie auch den Nutzern und Ihren Kunden zur Verfügung stellen und somit das Vertrauen in Ihre Anwendung stärken.
Das sagen andere über uns
"Die Zusammenarbeit mit dem viadee-Team war eine sehr positive Erfahrung. Der gesamte Prozess verlief reibungslos und effizient. Hervorzuheben sind die Flexibilität meiner Kollegen bei viadee, ihre Anpassungsfähigkeit und ihre Bereitschaft, auf unvorhergesehene Änderungen zu reagieren. Darüber hinaus waren wir äußerst zufrieden mit der Struktur und Klarheit der Ergebnisse, die sie uns präsentierten. Die Berichte waren sehr gut strukturiert und erleichterten uns damit das Anstoßen von Folgeprozessen. Insgesamt würde ich sie weiterempfehlen aufgrund ihrer Professionalität, Flexibilität und der Qualität ihrer Arbeit. Ich freue mich darauf, in Zukunft wieder mit ihnen zusammenzuarbeiten."
– Maika Peters, Technical Outsourcing Managerin bei Eucon Group
Agile Methoden 
Business Process Management 
Clean Code 
Cloud 
IT-Sicherheit 
Java & Architektur 
Legacy IT 
Frontend-Entwicklung 
Robotic Process Automation 
Software-Qualitätssicherung