Security Audit: Penetrationstest Webapplikation

Security Audit: Penetrationstest Webapplikation Bild: Legacy Notes

    Wie kann ein Unternehmen nachweisen, dass es sein Versprechen in Bezug auf Datensicherheit einhält? Ein von unabhängiger Stelle durchgeführter Pentest hat im Fall von Legacy Notes, dem Dienstleister für digitale Nachlassplanung, gezeigt, dass die Kundendaten in guten Händen sind.

    Die bei Legacy Notes hinterlegten Da­ten könnten persönlicher nicht sein. Es handelt sich um Kundeninformationen in Form von vorsorge- und nachlassrelevanten Daten wie Vorsorgeauftrag und Patienten­verfügung, Bankkonten und Versicherungen, soziale Netzwerke oder auch Bestattungs­wünsche. Sämtliche dieser Angaben und Anweisungen für den Nachlass liegen verschlüsselt an ei­nem sicheren, zentralen Ort, sind auffindbar, jederzeit und von überall zugänglich und ggf. veränderbar. Sie können gezielt mit Angehö­rigen und sonstigen Vertrauenspersonen ge­teilt werden – entweder sofort oder erst nach dem Tod.

    Freundliche Hacker am Werk
    Bei einem gemeinsamen Kick-off-Meeting zwischen den Cyber-Security-Spezialisten von Terreactive und Legacy Notes wurden Ab­lauf und Umfang der anzuwendenden Tests für die öffentlich zugängliche Webapplika­tion definiert. Die Penetrationsversuche ziel­ten darauf ab, mögliche Schwachstellen im System aufzuspüren und zu identifizieren. Es wurde berücksichtigt, dass sowohl poten­zielle externe Angreifer als auch solche mit bestehender Kundenbeziehung versuchen, unerlaubt an fremde Daten zu gelangen. Pa­rallel zu den Tests wurden die Ergebnisse sämtlicher Untersuchungsschritte analysiert und in einem Auditbericht dokumentiert.

    Audit für Transparenz und Sicherheit
    Nach Abschluss der Tests wurden in der Ab­schlussbesprechung Auditbericht und Pro­jektresultate präsentiert. Mit einer Massnah­menempfehlung zur Behebung von Risiken wurde das Projekt abgeschlossen. «Der Pentest von Terreactive bestärkt uns in unserem zentralen Kundenversprechen: ‹Wir bieten Ihnen die Datensicherheit, die wir uns auch für unsere eigenen Daten auf Legacy Notes wünschen.›» – so Thomas Jaggi, Mit­gründer und Geschäftsführer von Legacy Notes. Die Cyberkriminalität nimmt ständig zu und deren Vorgehensweise wird immer raffinier­ter. Sensible Kundendaten sind ein wertvol­les, uns anvertrautes Gut und dürfen nicht in falsche Hände geraten. Gerade bei von ex­tern zugänglichen Webapplikationen emp­fiehlt es sich daher, regelmässig wiederkeh­rende Audits einzuplanen. So werden in strukturierter Form Schwachstellen identifi­ziert und fortlaufend behoben. «Die langjährigen Geschäftsbeziehungen der Terreactive im Umfeld mit hochsensib­len Daten von Banken, Behörden und Versi­cherungen gaben uns das Vertrauen, auf den richtigen Partner für die Auditierung zu set­zen», betont Thomas Jaggi.

    Ein gutes Gefühl
    Penetrationstests gelten als effizientes Werkzeug, um die Sicherheit von Applika­tionen zu durchleuchten und den Status quo zu hinterfragen. Im Falle von Legacy Notes herrscht nun die Gewissheit, dass sowohl bei der grundsätzlichen Architektur als auch bei der technischen Umsetzung die richtigen Entscheide getroffen wurden. Für die Kun­den ist dies ein wichtiges Signal. Sicherheit versprechen ist einfach, Sicherheit liefern ist anspruchsvoll.

    Zusatznutzen

    • Im Zuge des Penetrationstests wurden noch weitere sicherheitsrelevante Fragen in Bezug auf Zugriffsregeln von Kunden und deren eingesetzte Stellvertreter geklärt.
    • Eine weitere positive Folgeerscheinung eines Audits ist die gesteigerte Security-Awareness bei Mitarbeitenden.
    • Die Einbettung der Onlinezahlung muss möglichst nahe an der Applikation bleiben, damit kein Zweifel an der Vertrauenswür­digkeit aufkommt. Gleichzeitig muss sie aber gut isoliert werden, um Angriffe über den Zahlungsdienstleister auszuschliessen. Beim Projektabschluss wurden Varianten besprochen, wie diese Anforderung umge­setzt werden kann.

    Vorgehensweise Penetrationstest
    Terreactive setzt unter anderem auf Appli­cation Security Verification Standard (ASVS) gemäss Open Web Application Security Pro­ject (OWASP). Der ASVS ist eine Sammlung von etablierten Best Practices für die sichere Implementation von Webapplikationen. Die Überprüfung kategorisiert die Umsetzung der Best Practices am Untersuchungsgegen­stand in:

    • Erfüllt oder nicht erfüllt.
    • Nicht anwendbar, z. B. wenn die zu prü­fende Funktionalität gar nicht vorhanden ist.
    • Nicht prüfbar, z. B. wenn einzelne Themen von Beginn an vom Prüfumfang ausge­schlossen wurden.

    Legacy Notes ist der persönliche, sichere und unabhängige Begleiter für die digitale Nachlassplanung. Legacy Notes erleichtert die administrative Arbeit und unterstützt die Liebsten, wenn man selber dazu nicht mehr in der Lage ist. Man kann auf einfache Art den Nachlass regeln, wichtige Daten sichern und die Handhabung seiner digitalen Accounts bestimmen. Die Vision: Kein Mensch verlässt diese Welt, ohne alles für seine Liebsten geregelt zu haben. ■

    terreActive AG, CH-5001 Aarau
    +41 (0)62 834 00 55
    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!, www.security.ch

    Soziale Netzwerke

     

    Fractal Verlag GmbH

      +41 61 683 88 76

      Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!