Web Application Security: Pentests gegen Webanwendungen

Haben Sie Fragen oder Anmerkungen? Kontaktieren Sie uns!

Mit Penetrationstests Risiken minimieren & die Sicherheit Ihrer Webanwendung erhöhen

Sind Webanwendungen nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Diese gefährden neben sensiblen Kundendaten auch interne Unternehmensnetzwerke.

Mithilfe bedarfsgerechter Penetrationstests (Pentests) unterstützen wir Sie dabei, Ihre Webanwendung bestmöglich gegen Cyberattacken und Daten­dieb­stähle abzusichern. Unsere Expert:innen überprüfen etablierte Sicher­heits­maß­nahmen, ermitteln konkrete Risiken und identifizieren Schwachstellen. 

 

  Bestmöglicher Schutz Ihrer Webanwendung vor Cyberangriffen

Durch Penetrationstests decken wir Schwachstellen und potenzielle Sicherheitslücken Ihrer Webanwendung auf, bevor es andere tun. 
 

  Umfassende Untersuchung Ihrer Anwendung auch auf Netzwerkebene

Mittels Port- & Schwachstellenscans überprüfen wir ebenso die Sicherheit des zugrundeliegenden Backendsystems (Webserver) der Webanwendung. 
 

  Aussagekräftiger Prüfbericht samt Handlungsempfehlungen

Alle Ergebnisse erhalten Sie in Form eines ausführlichen Prüfberichts, inklusive passender Handlungsempfehlungen zur Behebung von Schwachstellen. 

  

Was ist ein Penetrationstest (kurz: Pentest)?

Ein Pentest ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von IT-Systemen, Netzwerken und Anwendungen überprüft wird. Ziel ist es, frühzeitig potenzielle Schwachstellen und Angriffspunkte ausfindig zu machen, bevor diese durch Cyberkriminelle genutzt werden können. Zum Einsatz kommen dabei Methoden und Mittel, die auch echte Angreifer verwenden würden. 
  

  

Penetrationstests für sichere Webanwendungen: Ihre Vorteile auf einen Blick

Vorteile Pentest Webanwendung: Identifizierung von Schwachstellen & Sicherheitslücken Vorteile Pentest Webanwendung: Identifizierung von Schwachstellen & Sicherheitslücken Vorteile Pentest Webanwendung: Identifizierung von Schwachstellen & Sicherheitslücken Vorteile Pentest Webanwendung: Identifizierung von Schwachstellen & Sicherheitslücken

Angreifern einen Schritt voraus  
Pentests identifizieren Sicherheitslücken & Schwachstellen, bevor Kriminelle diese für ihre Zwecke nutzen können. 

 

Vorteile Pentest Webanwendung: Höhere Sicherheit, geringere Risiken Vorteile Pentest Webanwendung: Höhere Sicherheit, geringere Risiken Vorteile Pentest Webanwendung: Höhere Sicherheit, geringere Risiken Vorteile Pentest Webanwendung: Höhere Sicherheit, geringere Risiken

IT-Sicherheit erhöhen, Risiken mindern
Pentests helfen Ihnen dabei, die Sicherheit Ihrer Web­anwendung zu verbessern & Angriffsrisiken zu senken.

 

Vorteile Pentest Webanwendung: Basierend auf anerkannten Standards Vorteile Pentest Webanwendung: Basierend auf anerkannten Standards Vorteile Pentest Webanwendung: Basierend auf anerkannten Standards Vorteile Pentest Webanwendung: Basierend auf anerkannten Standards

Pentests auf Basis anerkannter Standards 
Unsere Expert:innen prüfen die Sicherheit Ihrer Web­an­wendung nach anerkannten Standards & Richtlinien. 

 

Vorteile Pentest Webanwendung: Stärkeres Vertrauen bei Kunden & Geschäftspartnern Vorteile Pentest Webanwendung: Stärkeres Vertrauen bei Kunden & Geschäftspartnern Vorteile Pentest Webanwendung: Stärkeres Vertrauen bei Kunden & Geschäftspartnern Vorteile Pentest Webanwendung: Stärkeres Vertrauen bei Kunden & Geschäftspartnern

Vertrauen bei Kunden & Geschäftspartnern
Eine unabhängige Sicherheitsanalyse Ihrer Webanwendung stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.

 

Vorteile Pentest Webanwendung: Sicherheit auf allen Webanwendungs-Ebenen Vorteile Pentest Webanwendung: Sicherheit auf allen Webanwendungs-Ebenen Vorteile Pentest Webanwendung: Sicherheit auf allen Webanwendungs-Ebenen Vorteile Pentest Webanwendung: Sicherheit auf allen Webanwendungs-Ebenen

Sicherheit auf allen Webanwendungs-Ebenen
Neben dem Frontend überprüfen unsere Expert:innen auch die Sicherheit des Backendsystems (Webserver).

 

Vorteile Pentest Webanwendung: Konzentration auf Ihr Tagesgeschäft Vorteile Pentest Webanwendung: Konzentration auf Ihr Tagesgeschäft Vorteile Pentest Webanwendung: Konzentration auf Ihr Tagesgeschäft Vorteile Pentest Webanwendung: Konzentration auf Ihr Tagesgeschäft

Konzentration auf Ihr Tagesgeschäft
Fokussieren Sie sich auf Ihr Business, während unsere Expert:innen Ihre Anwendung unter die Lupe nehmen.

 

Vorteile Pentest Webanwendung: Kontinuierliche Verbesserung Vorteile Pentest Webanwendung: Kontinuierliche Verbesserung Vorteile Pentest Webanwendung: Kontinuierliche Verbesserung Vorteile Pentest Webanwendung: Kontinuierliche Verbesserung

Kontinuierliche Verbesserung 
Mithilfe von Penetrationstests decken Sie Verbesserungs­potenziale Ihrer Webanwendung auf. 

Vorteile Pentest Webanwendung: Schutz vor finanziellen & Reputations-Schäden Vorteile Pentest Webanwendung: Schutz vor finanziellen & Reputations-Schäden Vorteile Pentest Webanwendung: Schutz vor finanziellen & Reputations-Schäden Vorteile Pentest Webanwendung: Schutz vor finanziellen & Reputations-Schäden

Schutz vor finanziellen & Reputationsschäden 
Prävention statt Rehabilitation: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor. 

Unsere Leistungen: 3 Arten von Pentests gegen Webanwendungen

  

Pentests gegen Webanwendungen – Leistungen: Spot Check Pentests gegen Webanwendungen – Leistungen: Spot Check Pentests gegen Webanwendungen – Leistungen: Spot Check Pentests gegen Webanwendungen – Leistungen: Spot Check

  

Spot Check 
– Level 1

Stichprobenartige Einschätzung des Sicherheits­niveaus Ihrer Anwendung hinsichtlich Schwach­stellen.


Stichprobe / Erste Einschätzung

 

Pentests gegen Webanwendungen – Leistungen: Regular Pentest Pentests gegen Webanwendungen – Leistungen: Regular Pentest Pentests gegen Webanwendungen – Leistungen: Regular Pentest Pentests gegen Webanwendungen – Leistungen: Regular Pentest

  

Regular Pentest
– Level 2

Untersuchung zur Einschätzung der Sicherheit, zur Ermittlung der am häufigsten auftretenden Risiken und Schwachstellen für Webanwendungen.


Für die meisten Anwendungen

 

Pentests gegen Webanwendungen – Leistungen: Advanced Pentest Pentests gegen Webanwendungen – Leistungen: Advanced Pentest Pentests gegen Webanwendungen – Leistungen: Advanced Pentest Pentests gegen Webanwendungen – Leistungen: Advanced Pentest

  

Advanced Pentest
– Level 3

Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch schwer ausnutzbare Risiken und Schwach­stellen ermittelt, insbesondere durch mehr Testfälle.


Hohes Sicherheitsniveau

  

Ablauf eines Pentests gegen eine Webanwendung

  

Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff

1.

Vorbereitung & Kickoff

Klärung technischer & orga­ni­sa­to­rischer Besonderheiten sowie der Voraussetzungen. 

Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse

2.

Informationsbeschaffung & Analyse

Ermittlung grundlegender Informationen über den Untersuchungsgegenstand.

Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests

3.

Durchführung Penetrationstests

Untersuchung der ausgewählten Webanwendung auf Basis der gesammelten Informationen.

Ablauf Pentest gegen Webanwendungen: Abschlussbericht Ablauf Pentest gegen Webanwendungen: Abschlussbericht Ablauf Pentest gegen Webanwendungen: Abschlussbericht Ablauf Pentest gegen Webanwendungen: Abschlussbericht

4.

Abschlussbericht

Zusammenfassung aller Ergebnisse der Prüfung in Form eines Abschluss­berichtes. 


Ablauf Pentest gegen Webanwendung: Re-Test (Optional) Ablauf Pentest gegen Webanwendung: Re-Test (Optional) Ablauf Pentest gegen Webanwendung: Re-Test (Optional) Ablauf Pentest gegen Webanwendung: Re-Test (Optional)

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen. 

  

Das wird untersucht

Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird die jeweilige Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.
  

Zugriffskontrolle (Autorisierung) / Mandantentrennung: Werden Zugriffsrechte für authentifizierte Nutzer nicht korrekt umgesetzt, können Angreifer u. U. auf Funktionen oder Daten anderer Nutzer zugreifen. Hierzu zählen auch mandantenübergreifende Zugriffe.

 

Authentifizierung / Session Management: Durch Fehler in der Authentisierung und dem Session Management können Angreifer ggf. die Identität anderer Nutzer übernehmen, bspw. mittels Bruteforce Angriffen, schwacher Sitzungs-IDs oder dem Einsatz unsicherer Passwörter.

 

Ein- & Ausgabevalidierung: Werden Benutzer-Eingabedaten nicht ausreichend validiert, können Injection-Schwachstellen (z. B. Cross-Site Scripting (XSS), XML External Entities (XXE), SQL-Injection,) u.a. zu Datenverlust, -verfälschung oder Systemübernahme (Remote-Code-Execution) führen. Durch gezielte Injection-Angriffe wird versucht Schadcode in die Anwendung einzuschleusen.

 

Datensicherheit: Es muss sichergestellt werden, dass die Webanwendung so konfiguriert wird, dass Zugriffe ausschließlich über die vorgesehenen, abgesicherten/verschlüsselten Kommunikationspfade möglich sind. Der Zugriff auf nicht benötigte Ressourcen und Funktionen ist daher einzuschränken (z. B. mittels Cookie-Flags, HTTP Security Header).

 

Sicherheitsrelevante Fehlkonfiguration / Härtung: Durch Nutzung von Komponenten mit bekannten Schwachstellen, Standard-Konten, ungenutzte (Beispiel-, Test-)Seiten oder Fehlkonfigurationen etc. kann es möglich sein, unerlaubten Zugriff auf sensible Informationen oder das zugrundeliegende System (Web Server) zu erlangen.

 

Geschäfts-/Anwendungslogik: Bei mehrstufigen abgebildeten Geschäftsprozessen muss darauf geachtet werden, dass die umgesetzte Anwendungslogik nicht missbräuchlich verwendet werden kann (z. B. Ausbruch aus einem vorgesehenen Registrierungsprozess).

 

Herausgabe sicherheitsrelevanter Informationen (Information Gathering/ Disclosure): Webseiten und Rückantworten von Webanwendungen und Web-Services können sicherheitsrelevante Informationen beinhalten (z.B. Versions­angaben), mit deren Hilfe Angreifer Sicherheitsmechanismen umgehen und Schwachstellen ausnutzen können.

 

Kryptografie / SSL und TLS: Liegen Schwachstellen in der SSL/TLS-Konfiguration vor, steigt die Wahrscheinlichkeit, dass potenzielle Angreifer übertragene Daten mitlesen (Vertraulichkeit), manipulieren (Integrität) sowie sich unbefugt als legitime Vertrauensperson/Dienst ausgeben können (Authentizität) und auf diese Weise z.B. erfolgreich Man-in-the-Middle-Angriffe durchführen.

 

Untersuchungen auf Netzwerkebene: Beim Penetrationstest ist eine Überprüfung auf Netzwerkebene des Webservers der Webanwendung (eine IP-Adresse) inklusive. Es werden Portscans, eine Überprüfung der SSL/TLS Konfiguration sowie Schwachstellenscans durchgeführt.

Datenschutz: Neben technischen Prüfungen können z.B. auch die Nutzungsbedingungen (AGBs) einer Webanwendung auf datenschutzrechtliche Aspekte hin überprüft werden.

Häufig gestellte Fragen (FAQ):

Was beinhaltet der Abschlussbericht?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜV IT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.
Welche Test-Methoden bieten wir an?
  • Black-Box
    Pentest ohne Zusatzinformationen
  • Grey-Box (Standard)
    Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
  • White-Box
    Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode
An welchen Standards orientiert TÜVIT sich bei der Durchführung von Penetrationstests?

Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt.

  

Was kostet ein Pentest?

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung. 
 

Jetzt individuelles Angebot anfordern

Wie lange dauert ein Pentest?

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Alexander Padberg

Sales Manager

+49 201 8999-614
a.padberg@tuvit.de

Gerald Krebs

Global Account Manager

+49 201 8999-411
g.krebs@tuvit.de

Weitere Leistungen