eRecht24 Siegel

WEBSICHERHEIT

Mehr Sicherheit für Ihre Website und Ihr Unternehmen


INVESTIEREN SIE IN DIE SICHERHEIT IHRES UNTERNEHMENS

Stabile Websicherheit braucht Struktur. Wir beraten sowohl Unternehmen als auch öffentliche Verwaltungen und unterstützen bei der Findung der richtigen Sicherheitsstrategie für Entwickler und Anwender.

Wir führen Penetrationstests und Codeanalysen nach Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch und entwickeln zielführende Sicherheitslösungen.


PENETRATIONSTEST


Der beste Weg sich vor potenziellen Angriffen zu schützen ist der, Ihre Webapplikation und Ihre Unternehmensprozesse aus Sicht eines Angreifers zu betrachten. Solche Tests werden auch Penetrationstests genannt.

Bei einem Penetrationstest werden strukturiert sämtliche Angriffsvektoren getestet und protokolliert. Mit Hilfe eines Penetrationstests lassen sich also Sicherheitslücken aus den verschiedenen Ebenen aufdecken um im Anschluss gezielte Gegenmaßnahmen einleiten zu können.

Es ist eine Investition in die Sicherheit Ihres eigenen Unternehmens oder Ihrer eigenen Person.


Qualitativ

Unsere Analyse berücksichtigt alle 5 Ebenen im Klassifizierungsschema zur Organisation von Sicherheit in Webanwendungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und folgt den Empfehlungen des Open Web Application Security Projects (OWASP).

Effizient

Hinsichtlich unserer langjährigen Erfahrung in den Bereichen Webentwicklung und Websicherheit sowie durch den Einsatz leistungsfähiger Werkzeuge, führen wir den Penetrationstest mit hoher Effizienz und Zuverlässigkeit durch.

Gemeinsam

Der Penetrationstest wird in enger Abstimmung mit Ihnen durchgeführt. Das beginnt mit dem Erstgespräch und endet mit dem Ergebnisbericht und den Maßnahmenempfehlungen. So haben Sie von Beginn an eine transparente Übersicht zum Testablauf.

Websicherheit Penetrationstest Monitor

Die Testebenen

Schwachstellen, die auf Implementierungs- und Konfigurationsfehler zurückzuführen sind (Ebenen 1 und 3), sind nur ein Teil des Problems. Ein breites Einfallstor für Angreifer verbirgt sich häufig in fehlerhaft umgesetzter Businesslogik. Daher betrachten wir auch die logische und die semantische Ebene sowie den richtigen Einsatz von verfügbaren Sicherheitstechniken (Ebenen 2, 4 und 5).

Unser Penetrationstest betrachtet die Anwendungssicherheit ganzheitlich!


00 | NETZWERK & HOST

Die Absicherung von Host und Netzwerk liegt zwar nicht im Verantwortungsbereich der Web Application Security, ist aber wichtig, Abhängigkeiten zu den darüber liegenden Ebenen zu berücksichtigen.

01 | SYSTEM

Absicherung der auf der Systemplattform eingesetzten Software. Beispiele: Mangelnder Zugriffsschutz in der Datenbank, Fehler in der Konfiguration des Webservers.

02 | TECHNOLOGIE

Richtige Wahl und sicherer Einsatz von Technologie. Beispiele: Unverschlüsselte Übertragung sensitiver Daten, Ungenügende Randomness von Token.


03 | IMPLEMENTIERUNG

Vermeiden von Programmierfehlern, die zu Schwachstellen führen. Beispiele: Cross-Site Scripting, SQL-Injection, Session Riding.

04 | LOGIK

Absicherung von Prozessen und Workflows als Ganzes. Beispiel: Angreifbarkeit des Passworts durch nachlässig gestaltete "Passwort vergessen"-Funktion.

05 | SEMANTIK

Schutz vor Täuschung und Betrug. Beispiel: Gebrauch von Popups u.ä. erleichtern Phishing-Angriffe


GEMEINSAM STARK

Durch unsere langjährigen Partnerschaften mit etablierten Anbietern, sind wir in der Lage, Ihnen effiziente und nachhaltige Lösungen und Produkte anbieten zu können.


Cloud Services Made in Germany
Kerio Authorized-Partner Logo
eset Authorized-Partner Logo
PSW-Group Partner
Terra Partner
PLANETHOLDING Sourcecodeanalyse

SOURCECODEANALYSE


Unsere leistungsfähige Sourcecodeanalyse deckt sicherheitsrelevante Programmierfehler an typischen, identifizierbaren Stellen im Code und in der Konfiguration auf. Die Analyse wird entwicklungsbegleitend durchgeführt.


DIE ANALYSE

Die Analyse umfasst beispielsweise:

  • Server-Konfiguration (web.xml, web.config, config.php etc.)
  • Nutzung von Validatoren
  • Cross Site Scripting (XSS) durch fehlerhafte Response-Datenvalidierung im erzeugten HTML
  • SQL-Injection, LDAP-Injection, XPATH-Injection, sonstige Command-Injection
  • Unsichere API-Aufrufe
  • Unsicheres Session-Management inkl. Cookie-Definition
ERGEBNIS & BEST PRACTICES

Nach unserer Analyse erhalten Sie einen umfassenden Report, in dem jede auffällige Sektion beschrieben wird und die dazu korrespondierenden Stellen im Source Code aufzeigt. Zu den Problemstellungen geben wir Ihnen Hilfestellung zur Lösung der Probleme. Somit sollte Ihr Entwickler in der Lage sein, die Identifikation und Behebung der Probleme durchzuführen.

OPTIONEN

Der Penetrationstest wird in enger Abstimmung mit Ihnen durchgeführt. Das beginnt mit dem Erstgespräch und endet mit dem Ergebnisbericht und den Maßnahmenempfehlungen. So haben Sie von Beginn an eine transparente Übersicht zum Testablauf.

  • Workshops: Wir bieten optional zur Sourcecodeanalyse auch Workshops, in denen gemeinsam die optimalen Lösungsansätze erarbeitet werden.
  • Secure Coding Guidelines: Wir erstellen aus den abgeleiteten Entwicklungsregeln und -vorgaben ein Programmierleitfaden. Dieser Guideline wird selbstverständlich nach den Richtlinien Ihres Corporate Designs erstellt.

HABEN SIE SCHON EIN PROJEKT IM SINN?

Wir beraten Sie gerne.

Durch unser umfangreiches Leistungsportfolio sind wir in der Lage, Ihnen eine ganzheitliche und erfolgsversprechende Lösung zu bieten. Gerne unterstützen wir Sie bei Ihrem nächsten Vorhaben!


Schreiben Sie uns

SICHERHEITSSCHULUNGEN


Unsere Schulungen werden als Inhouse-Seminare direkt bei Ihnen vor Ort durchgeführt. Die Schulungen werden ständig an der aktuellen Entwicklung und an die Zielgruppe angepasst.


Warum ist Websicherheit so wichtig?

Was wäre, wenn Ihr Webshop nicht mehr erreichbar ist?
Der finanzielle Schaden eines solchen Angriffs wäre enorm.

Was wäre, wenn interne Dokumente, bspw. über Ihre Einkaufspreise, öffentlich gemacht werden?
Sie müssten reihenweise anrufenden Kunden erklären, wie Ihr Verkaufspreis zustande gekommen ist.

Was wäre, wenn auf Ihrer Webpräsenz nur noch das Banner einer Hackergruppe zu sehen ist?
Solch ein Imageschaden kann Sie noch Jahre verfolgen.

Wie gehen Sie damit um, wenn vertrauliche Kundendaten wie E-Mails, Telefonnummern oder Adressen öffentlich unter Ihrem Namen zur Verfügung stehen?

Diese Beispiele sind Realität und finden täglich statt. Es ist eine Frage der Zeit bis Sicherheitslücken ausfindig gemacht und von Hackern ausgenutzt werden. Wir beraten sowohl Unternehmen als auch Verwaltungen und unterstützen bei der Findung der richtigen Sicherheitsstrategie.

Websicherheit Sicherheitsschulungen