Anwendungen werden zur Umsetzung von Geschäftsprozessen immer wichtiger und wachsen in ihrem Schutzbedarf. Gleichzeitig steigt die Anzahl an Schwachstellen (z.B. SQL Injection oder Cross-Site-Scripting). Bereits heute erfolgt eine Vielzahl von Angriffen über die Anwendungsebene. Etablierte IT-Sicherheitslösungen aus dem Bereich der Netzwerk- und Systemsicherheit (z.B. Firewalls) können vor diesen Angriffen nicht ausreichend schützen. Ein angemessenes Schutzniveau kann nur durch geeignete Maßnahmen in den Anwendungen selbst umgesetzt werden.

Unsere Dienstleistung

• Analytisches Verfahren, das die effiziente Untersuchung von Anwendungen unter Berücksichtigung internationaler Standards erlaubt
• Prüfung Ihrer Anwendungen auf Schwachstellen mit unterschiedlichen Prüftiefen
• Zertifizierung Ihrer Anwendung

Ihr Vorteil/Nutzen

Eine Prüfung und Zertifizierung kann die Sicherheit der Anwendung gemäß den Sicherheitsanforderungen gegenüber Dritten demonstrieren und erzeugt Vertrauen auf der Grundlage einer „Third Party Inspection“. Hieraus ergeben sich Vorteile, wie z.B.:

• Qualitätssicherung und auch -verbesserung des Quellcodes und Softwaredesigns sowie Standortbestimmung für interne Entwicklungsprozesse
• Sicherheit bei der Vergabe von Entwicklungsprojekten, wenn die Zertifizierung zum Ausschreibungs- und Vertragsbestandteil wird
• Stand der Technik wird bei regelmäßiger Überprüfung der Anwendung sichergestellt
• Vertrauensnachweis für die Marktpositionierung, da mit der Erteilung und Darstellung eines Zertifikats die besonderen Anstrengungen hinsichtlich der Sicherheitsmaßnahmen nach außen und innen dokumentiert werden und ein Wettbewerbsvorteil herausgestellt werden kann
• Vertrauenssicherung gegenüber überwachenden Institutionen, z.B. durch Nachweis von Compliant-Anforderungen oder Nachweis für die Innenrevision

Das Vorgehen

• Workshop oder Kickoff-Meeting, wobei der Untersuchungsgegenstand festgelegt und der Prüfablauf mit dem Kunden definiert wird
• Festlegung der technischen Sicherheitsanforderungen (Sicherheitsniveau)
• Sicherheitsanalysen und Penetrationstests von Musterinstallationen und Produktivinstallation der Anwendung Vor-Ort oder über das Internet mit unterschiedlichen Prüftiefen
• Black-/Grey- und White-Box-Tests: Während der Laufzeit wird ihre Anwendung manuell und automatisiert auf bekannte Schwachstellen überprüft. Zudem erfolgt eine Diagnose und Priorisierung von Schwachstellen nach OWASP „Top Ten Most Critical Web Application Security Vulnerabilities“
• Dynamische Anwendungs-Analyse: Während der Laufzeit werden die Datenflüsse inklusive aller Schnittstellen der Anwendung auf bekannte Schwachstellen überprüft. Zudem erfolgt eine Diagnose, Priorisierung und Lokalisierung von Schwachstellen im Bytecode
• Statische Quellcode-Analyse: Während und nach der Entwicklungszeit werden alle Codezeilen und Programmpfade der Anwendung offline auf bekannte Schwachstellen überprüft. Zudem erfolgt eine Diagnose, Priorisierung und Identifizierung von Schwachstellen im Quellcode
• Korrelation der ermittelten Ergebnisse mit den definierten Sicherheitsanforderungen; Bewertung der Ergebnisse im Rahmen einer Sicherheitsanalyse
• Erstellung eines ausführlichen Prüfberichts, der die Ergebnisse der Tests und Analysen erläutert

Das Ziel

• Objektive Identifizierung von Softwareschwachstellen und Sicherheitsrisiken der Anwendung
• Nachweis der Erfüllung von Sicherheits- und Compliant-Anforderungen gegenüber Dritten
• Bestätigung und Veröffentlichung der erfolgreich durchgeführten Prüfungen durch die Zertifizierungsstelle der TÜViT