Warum eigene Pentests für uns unverzichtbar sind
Ein Schreckensszenario, vor dem sich multinationale Weltkonzerne ebenso fürchten wie mittelständische Unternehmen, öffentliche Einrichtungen und Verwaltungen: Hacker haben sich Zutritt in die Computersysteme verschafft und diese lahmgelegt. Die Folgen sind in der Regel dramatisch und reichen von finanziellen Schäden, Daten- und Vertrauensverlust.
Heute häufen sich die Meldungen über Cyberkriminalität. Kein Wunder: Je beliebter und verbreiteter Cloud- und Webanwendungen werden, desto höher die Gefahr, dass Sicherheitslücken ausgenutzt und zum Einfallstor für Kriminelle werden. Für Unternehmen wird es daher immer wichtiger, sich zu 100 % auf die Sicherheit der eingesetzten Software-Lösungen verlassen zu können.
Damit wir mit unseren Lösungen ein Höchstmaß an Sicherheit bieten können, durchlaufen sie ein umfangreiches Testprogramm. Wir setzen auf eine testgetriebene Entwicklung (Test Driven Development, TDD). Das bedeutet, dass wir bereits vor der Entwicklung genau festlegen, welche Sicherheitstest unsere Software bestehen muss. So stellen wir sicher, dass der Code mit der ersten Zeile maximale Sicherheit in die Wiege gelegt bekommt.
Id-ware steht für bestmögliche Daten- und Informationssicherheit
Zusätzlich zu Lasttests führen wir automatische und manuelle Test durch. Um zu verhindern, dass unerwünschten Lizenzen in unseren Lösungen verwendet werden, kommt das Open-Source-Tool Dependency-check zum Einsatz. Mit unserer Software-Plattform nutzen Unternehmen also eine leistungsfähige und vor allem sichere Lösung für das Phyiscal Identity & Access Management zum Schutz ihrer Anlagen, Daten und Vermögenswerte.
Wir wissen um die wachsende Bedeutung sicherer Unternehmens- und Personendaten. Für uns ist daher ein eigenes Pentest-Team unerlässlich, um bestmögliche Daten- und Informationssicherheit gewährleisten zu können. Dessen wichtigste Aufgabe? Durch regelmäßige Penetrationstests (Pentests) unsere Lösungen auf Herz und Nieren überprüfen, Schwachstellen aufspüren und die Risiken für unsere Kunden minimieren.
Was sind Penetrationstests?
Ein Pentest ist ein simulierter Angriff auf ein IT-System sowie die IT-Infrastruktur, um potenzielle Angriffsflächen zu identifizieren und um einschätzen zu können, wie widerstandsfähig das System gegenüber Cyberangriffen ist. Anders gesagt: Dank unserer Pentests können wir Schwachstellen in unseren Lösungen finden und schließen, bevor sie entdeckt und ausgenutzt werden. Für unsere Kunden bedeuten die regelmäßig von unseren fachkundigen Experten durchgeführten Pentests ein Höchstmaß an Transparenz und Sicherheit!
Wie testen wir?
Unsere Experten führen sowohl automatische als auch manuelle Pentests durch. Ein automatisierter Pentest läuft mithilfe eines spezialisierten Tools ab und liefert standardisierte sowie reproduzierbare Ergebnisse, anhand derer sich die Sicherheit des Systems gut einschätzen lassen. Außerdem führt unser Team auch manuelle Pentests durch. Diese ermöglichen es, Fehler und Schwachstellen im Design der Webanwendung zu identifizieren, z. B. verursacht durch fehleranfällige Abläufe oder durch mögliche Parameter-Eingaben in Formularfeldern.
Bei unseren Pentests orientieren wir uns an dem „Top 10 Report“ des Open Web Application Security Project (OWASP). Die unabhängige Community, in der sich Firmen, Bildungseinrichtungen und Einzelpersonen aus der ganzen Welt engagieren, veröffentlicht seit 2013 die zehn größten Risiken und Angriffspunkte im Bereich Webanwendungen.
Um ein möglichst umfassendes Bild über die Sicherheit unserer Lösungen zu erhalten, setzen wir bei den Pentests auf die Verfahren „White Box“, Black Box“ und „Grey Box“. Die Unterschiede kurz erklärt:
- Pentest nach dem White-Box-Verfahren: Der Tester schlüpft in die Rolle eines Angreifers, der alle notwendigen Informationen, wie z. B. Netzwerkstruktur und Zugangsdaten, über das zu prüfende Zielsystem kennt.
- Pentest nach dem Black-Box-Verfahren: Beim Black-Box-Verfahren besitzt der Angreifer nur wenige Vorabinformationen über das zu prüfende Zielsystem. Da die benötigten Informationen, wie z. B. Netzwerk-Infrastruktur und Abwehrmechanismen zuerst beschafft werden müssen, liefert ein Pentest nach diesem Verfahren sehr realitätsnahe Ergebnisse.
- Pentest nach dem Grey-Box-Verfahren: Das Grey-Box-Verfahren kombiniert das White-Box- mit dem Black-Box-Verfahren. Der Angreifer besitzt keine Informationen über das zu prüfende Zielsystem. Die benötigten Informationen müssen wie beim Black-Box-Verfahren zuerst beschafft werden. Die gefundenen Informationen werden danach mit den realen Gegebenheiten verglichen. Im nächsten Schritt erhält der Angreifer die notwendigen Informationen, wie z. B. Netzwerkstruktur und Zugangsdaten, über das zu prüfende Zielsystem.
Wie Sie von unseren Pentests profitieren?
Die regelmäßigen, von unseren Experten durchgeführten Pentests bieten langfristigen Schutz und stellen sicher, dass unsere Lösungen immun sind gegen aktuelle Sicherheitslücken und Schwachstellen. Und natürlich schlägt unser Pentest-Team Maßnahmen vor, wie wir unsere Lösungen noch sicherer für Sie machen können.