Projektauftrag

IT-Systeme, Services und digitale Produkte sind zunehmend Angriffen über das Internet ausgesetzt. Dabei werden neben der Durchführung von automatisierten Schwachstellenscans oftmals auch gezielt Firmen oder ihre Produkte von Angreifern ins Visier genommen. Die regelmäßige Überprüfung der Sicherheit ist eine Voraussetzung für die effektive Abwehr von Cyber Attacken. Unentdeckte Schwachstellen können zur Bedrohung werden und es Angreifern ermöglichen, tief in Unternehmensnetze vorzudringen und an Kundendaten oder geistiges Eigentum zu gelangen. Ebenso besteht das Risiko, dass kritische Geschäftsprozesse manipuliert oder wichtige Services beeinträchtigt werden. Wie gut die bereits getroffenen Sicherheitsmaßnahmen wirklich sind, lässt sich objektiv nur durch eine Überprüfung von erfahrenen Sicherheitsexperten feststellen.

Aufgabe der ITCS Firma

  • Definition des Inspection Scopes und der Zielsetzung
  • Intelligence Gathering und Threat Modelling
  • Schwachstellenanalyse und Entwicklung von Exploits
  • Durchführung von Exploits und Dokumentation über Screenshots/Videos
  • Erstellung eines detaillierten Inspection Reports mit Risk Rating und Empfehlungen zur Behebung, sowie einer Management Summary
  • Gemeinsame Debriefing Session mit Kunden

Vorgehen bei der Umsetzung

Es wurde in einem gemeinsamen Kundenmeeting die Zielsetzung definiert. Dazu gehören die zu überprüfenden Systeme, Einschränkungen hinsichtlich der Aktivitäten und Techniken (Denial of Service, Fuzzing, SQL Injections, etc.) sowie die Menge und Art der Informationen die wir über das Ziel erhalten (Black/Grey/White Box Testing).

Nach einer Freigabe durch den Kunden (Letter of Authorization) wurden innerhalb des definierten Testzeitraums zahlreiche Techniken zur Identifikation von Sicherheitsschwachstellen angewandt und Exploits entwickelt. Abschließend wurde das Zielsystem wieder bereinigt und Reports erstellt, welche neben der allgemeinen Bewertung der identifizierten Schwachstellen auch persönliche Empfehlungen der Tester enthielt. Dadurch wurde eine realitätsnahe Bewertung erreicht, um das Risiko einer Attacke und deren Auswirkungen besser einschätzen zu können.

Kundennutzen

  • Professionelle Überprüfung des eigenen Softwareprodukts auf Sicherheitslücken durch OSCP-zertifizierte Sicherheitsexperten
  • Realitätsnahe Simulation eines gut ausgebildeten und motivierten Angreifers, der sich zum Ziel gesetzt hat, sensible Daten zu extrahieren oder weiter in das Kundensystem vorzudringen
  • Erhalt eines detaillierten technischen Reports mit klaren Empfehlungen zur Absicherung des Softwareprodukts sowie zu Secure Coding best-practices
  • Möglichkeit zur direkten Befragung des Sicherheitsexperten / PenTesters zum Vorgehen und Empfehlungen zur sicheren Softwareentwicklung
  • Nachweis einer externen Überprüfung für Zertifizierungen und Erfüllung der Sorgfaltspflicht (due diligence)

„Die laufende Durchführung von Penetrationstests unserer Produkte ist wesentlich, um unseren Kunden und Partnern die höchstmögliche Datensicherheit, Verfügbarkeit und Stabilität der Lösungen zu gewährleisten. Hierbei unterstützt uns BearingPoint nicht nur in der Planung – durch ein maßgeschneidertes Konzept – sondern vielmehr durch eine sehr professionelle Durchführung und Aufbereitung der Testergebnisse. Die so entdeckten Optimierungspotenziale wurden zusätzlich durch umfangreiches technisches Fachwissen untermauert und mögliche Szenarien aufgezeigt. Mit diesen Erkenntnissen können wir unsere Produkte nun noch besser absichern bzw. zukünftig noch sicherer entwickeln.“

Dr. Andreas Opelt, CMO – Member of the Executive Board, Saubermacher Dienstleistungs AG