Schloss

IT-Sicherheit mit Perlensee

1. Websicherheit / Sicherheit von Webanwendungen
1.1. Sie brauchen:
1.2. Wir bieten:
2. Konkrete Leistungen
2.1. Penetrationstests
2.2. Mehr Sicherheit durch Leistung
3. Schulungen
4. Softwareentwicklung
5. Datensicherung

1. Websicherheit / Sicherheit von Webanwendungen

Systeme, welche Webanwendungen anbieten, als auch die Benutzer derselben sind vielen Einwirkungen ausgesetzt. Die Angreifer solcher Systeme haben einen vehementen Vorteil gegenüber den Entwicklern: Sie müssen in der Regel nur eine Schwachstelle entdecken - die Entwickler hingegen müssen versuchen, alle bekannten Schwachstellen zu sichern und neue (zukünftige) zu vermeiden.

Ein Beispiel, wie eine solche Attacke aussehen kann, finden Sie unter EvilPayLoads.

1.1. Sie brauchen:

  • Identifikation von Schwachstellen
  • Bestätigung der IT-Sicherheit durch einen externen Dritten
  • Erhöhung der Sicherheit der organisatorischen/personellen Infrastruktur

1.2. Wir bieten:

  • Schnelle, kostengünstige und unkomplizierte Einschätzung der Sicherheit Ihrer Applikationen
  • Umfassende Überprüfung der Sicherheit Ihrer Webapplikationen bzw. der Arbeit Ihrer IT-Abteilung oder Ihrer externen Dienstleister
  • Formalistische und ganzheitliche Lösungsansätze (für Ihre IT-Abteilung oder Ihren externen Dienstleister)
  • Oder einfach ganze Lösungen (inkl. Refactoring und einer Untersuchung angebundener Systeme)
  • Validierung der Qualitätsmanagementprozesse

2. Konkrete Leistungen

2.1. Penetrationstests

Kostenfreie Bedarfsanalyse

Durch einen BlackBox-Penetrationstest verschaffen wir uns einen ersten Eindruck über die Sicherheit Ihrer Webapplikation. In den meisten Fällen finden wir bereits hierdurch Sicherheitslücken.

Bei Interesse helfen wir Ihnen anschließend gerne mit unseren untenstehenden Leistungen weiter, z.B. bei einer schnellen Absicherung des Systems mittels einer Web Application Firewall oder dem Erstellen eines speziell auf Sie zugeschnittenen Maßnahmenkatalogs. Die bei der Bedarfsanalyse gefundenen Hinweise auf Sicherheitslücken können auch durch die folgenden, weiterführenden Tests genau identifiziert werden.

BlackBox Penetration Test

In einem vorher abgesprochenen Zeitfenster werden Attacken auf ein von Ihnen bereitgestelltes Testsystem durchgeführt. Sie erhalten einen ausführlichen Bericht über die gefundenen Sicherheitslücken und über Möglichkeiten derer Beseitigung. Hierfür werden keinerlei Informationen über die Anwendung benötigt: ein Angriff wie im richtigen Leben.

Einen vorkonfektionierten BlackBox Penetration Test können Sie bei uns ab EUR 199,- buchen.

Abhängig von dem Umfang Ihrer Applikation erhalten Sie gerne auch ein individuelles Angebot.

Die Tests orientieren sich an der Studie ↑"Durchführungskonzept für Penetrationstests" des ↑Bundesamtes für Sicherheit in der Informationstechnologie (BSI) und dem Artikel ↑"Web Application Penetration Testing" des ↑Open Web Application Security Project (OWASP). Getestet wird sowohl automatisiert als auch manuell.

GreyBox Penetration Test

Unser GreyBox Penetration Test basiert auf einer Struktur- und Prozessanalyse Ihrer Webanwendung. Die Abläufe und die Geschäftslogik werden erfasst, die Datenbewegungen werden analysiert. Aufgrund der Analyseergebnisse können später mittels Refactoring Abläufe zusammengefasst und der Gesamtanteil des Quellcodes minimiert werden. Als GreyBox wird die Webanwendung nicht nur von außen untersucht wie bei dem BlackBox Test, es wird jedoch auch kein reiner Quellcode-Audit unternommen wie etwa bei einem WhiteBox Test. Ferner werden die kritischsten Schwachstellen anhand der Analyse identifiziert und die Penetration an diesen Stellen konzentriert. Ein Refactoring kann mithilfe der Ergebnisse des GreyBox Tests mit geringerem Aufwand im Anschluss durchgeführt werden.

Das Angebot richtet sich nach dem Aufkommen von Quellcode und ist ab EUR 0,99 pro Zeile (SLOC) erhältlich.

WhiteBox Penetration Test

Ein WhiteBox Penetration Test simuliert den Angriff durch Innentäter wie z.B. ehemalige Angestellte. Diese kennen die interne Organisationsstruktur, verfügen evtl. sogar über von Kollegen gestohlene Zugangsdaten sowie den Quellcode der Applikation. Durch einen individuellen, auf Ihr Unternehmen zugeschnittenen Fragenkatalog werden die internen Abläufe erfasst und anschließend ausgewertet. Ein Audit des Quelltextes garantiert Ihnen Sicherheit in großem Umfang.

Das Angebot richtet sich nach dem Aufkommen von Quellcode und ist ab EUR 0,99 pro Zeile (SLOC) erhältlich.

2.2. Mehr Sicherheit durch Leistung

Absicherung per Web Application Firewall

Wir erstellen eine schnelle, umfassende Analyse Ihrer Webserverprotokolle und der zu schützenden Anwendung und generieren daraus iterativ ein komplettes Regelsystem für die Web Application Firewall mod_security. Das verschafft Ihrer Entwicklungsabteilung Zeit, die Schwachstellen in Ihrer Anwendung in Ruhe zu tilgen und bietet auch im Nachhinein eine zusätzliche Verteidigungslinie.

Ein Angebot erhalten Sie auf Anfrage.

Erstellen eines individuellen Maßnahmenkatalogs

Auf der Grundlage des ↑Maßnahmenkatalogs des ↑BSI erstellen wir für Ihre Entwicklungs- oder Qualitätssicherungsabteilung einen individuell auf Ihre Anwendung zugeschnittenen Maßnahmenkatalog, welcher die Anforderungen an Sicherheit und Robustheit der Anwendung in wenigen, prägnanten Regeln festlegt und darüber hinaus als Grundlage für ein Refactoring dienen kann.

Ein Angebot erhalten Sie auf Anfrage.

3. Schulungen

Schulung im Paket

Wir konzipieren maßgeschneiderte Schulungen anhand der bei Ihnen gefundenen Sicherheitsprobleme.

Schulungen einzeln

  • Sichere Programmierung in C, C#, Java, Perl, PHP, Python
  • Konzepte der Sicherheit in Webanwendungen (Malicious Content Mitigation)
  • Datenbanksicherheit
  • Gefahren des Internets für Benutzer mit einem Sinn für Sicherheit/Awareness

Tresor

4. Softwareentwicklung

Entwicklung/Refactoring von sicheren Anwendungen:

Die ein- und ausgehenden Daten werden kanalisiert, es wird eine zentrale Datenvalidierung und ein zentraler Weitergabefilter als fester Bestandteil der Anwendung erstellt. Die Nebeneffekte wie ausführliche Dokumentation, sauberer Code und einfache, leicht verständliche Methoden tragen in hohem Maße zu besserer Wartbarkeit der Anwendung bei.

Näheres unter Softwareentwicklung

5. Datensicherung

Eine robuste und zuverlässige Datensicherungslösung ist im falschen Augenblick Gold wert! Unter Verwendung von ↑BackupPC, einem Free And Open Source Software-Projekt in Perl ist es möglich bei geringen Kosten eine vollautomatische Datensicherung, die zudem hochkonfigurabel ist, aufzusetzen. Ihre Administratoren werden selbstverständlich angeleitet, wie im schlimmsten Fall vorzugehen ist und wie und in welchem Intervall die sog. recovery parties zu organisieren sind.