Penetrationstest

---

Anforderungen

Im Rahmen eines Penetrationstests soll mit Hilfe automatisierter Analyseverfahren eine externe WebApplikation der openESG GmbH sicherheitstechnisch überprüft werden. Dabei sollen die Schutz- und Erkennungsmaßnahmen auf Schwächen, sowie auf Optimierungspotentiale hin untersucht werden. Ziel ist es, bestehende Risiken zu erkennen und unter Berücksichtigung ihres Gefährdungspotentials zu bewerten. Nach dieser Erfassung sollen zudem Möglichkeiten und Empfehlungen zur priorisierten Beseitigung der identifizierten Schwachstellen dargestellt werden.
 

Leistungen & Lösungen

Die Controlware GmbH, als einer der führenden Anbieter von Netzwerkinfrastruktur und ITSicherheitslösungen im DACH Verbund, bietet im Rahmen ihres Lösungsschwerpunkts Informationssicherheit die hierfür erforderlichen Dienstleistungen an. Das nachstehend detailliert erläuterte Dienstleistungspaket enthält die technischen und organisatorischen Maßnahmen zur Durchführung einer exakt auf die Bedürfnisse der openESG GmbH abgestimmten Sicherheitsuntersuchung. Im Zuge der durchzuführenden Untersuchungen wird die Einhaltung der dem aktuellen Stand der Technik entsprechenden Security Best-Practices geprüft. Dies erfolgt – sofern nicht anders abgesprochen – unter Berücksichtigung der Vorgaben des Bundesministeriums für Sicherheit in der Informationstechnik (BSI). Weiterhin kommen je nach Ausrichtung der durchzuführenden Tests weitere Frameworks und Standards, zum Beispiel die des Open Web Application Security Projects (OWASP) zur Überprüfung von Web-Applikationen, zum Einsatz. Es handelt sich um einen mehrstufigen Penetrationstest, der wie folgt untergliedert ist:

Penetrationstest „Web-Service API-Endpunkten“

• Unauthentisierte Port- und Schwachstellen-Scans Untersuchung und Abgleich gefundener Dienste und Schwachstellen mit Schwachstellen Datenbanken, CVEs und CVSS Scores
• Unauthentisierter Penetrationstest der Web-Applikationen
• Authentisierter Penetrationstest der Web-Applikationen
• Untersuchung hinsichtlich Web- und Logik-Schwachstellen
• Risikobasierte Anwendung von Exploits nach Absprache

Im Zuge des Penetrationstests werden Sicherheitslücken exemplarisch mit Hilfe von Exploits ausgenutzt und sicherheitstechnische Untersuchungen gegen gängige Produkte und Protokolle durchgeführt. Die Sicherheitslücken werden jedoch nicht ohne Rücksprache ausgenutzt, wenn es absehbar ist, dass es zu Dienst- oder Systemausfällen kommen kann. Für die Untersuchung werden im markführende Produkte sowie verschiedene Open Source-Werkzeuge, die mitunter auf der Penetration Testing-Distribution „Kali Linux“ zu finden sind, eingesetzt. Ziel ist es, bestehende Risiken und Sicherheitslücken existierender Applikationen zu erkennen sowie unter Berücksichtigung ihres Gefährdungspotentials zu bewerten. Es erfolgt eine Schwachstellen-Bewertung unter Berücksichtigung der kundenabhängigen IT-Infrastruktur. Hierbei werden insbesondere Schwachstellen mit dem subjektiv größten Risiko zur Ausnutzung von Sicherheitslücken herausgearbeitet sowie konkrete Handlungsempfehlungen zur Beseitigung ausgesprochen.

 

Vorteile & Nutzen

Als Ergebnis der Überprüfung erhält der Auftraggeber einen umfangreichen Abschlussbericht, welcher die gewonnenen Informationen in übersichtlicher Form nachvollziehbar zusammenfasst und darstellt. Die Dokumentation kann elektronisch und/oder in gedruckter Form übergeben werden.

Seiten:

• Information Security