MENU

Web Application Security: Optimaler Schutz gegen Angriffe auf Webanwendungen

Mithilfe von Penetrationstests Risiken minimieren & die Sicherheit Ihrer Webanwendung erhöhen

Sind Webanwendungen nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Diese gefährden neben sensiblen Kundendaten auch interne Unternehmensnetzwerke.

Mithilfe bedarfsgerechter Penetrationstests (Pentests) unterstützen wir Sie dabei, Ihre Webanwendung bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Unsere Expertinnen und Experten überprüfen etablierte Sicherheitsmaßnahmen, ermitteln konkrete Risiken und identifizieren Schwachstellen. 

Darüber hinaus führen sie Untersuchungen auf Netzwerkebene (Port- und Schwachstellenscans) durch, so dass auch das zugrundeliegende Backendsystem (Webserver) auf dessen Sicherheit hin überprüft wird. Die Ergebnisse unserer Untersuchungen erhalten Sie in Form eines ausführlichen Berichts, der unter anderem auch Handlungsempfehlungen zur Behebung von Schwachstellen enthält.

Web Application Security: Penetrationstests gegen Webanwendungen Web Application Security: Penetrationstests gegen Webanwendungen Web Application Security: Penetrationstests gegen Webanwendungen Web Application Security: Penetrationstests gegen Webanwendungen

Unsere Leistungen: Drei Level der Untersuchung

Web Application Security – Leistungen: Spot Check Level 1 Web Application Security – Leistungen: Spot Check Level 1 Web Application Security – Leistungen: Spot Check Level 1 Web Application Security – Leistungen: Spot Check Level 1

Spot Check

Level 1

Stichprobenartige Einschätzung des Sicherheitsniveaus Ihrer Anwendung hinsichtlich Schwachstellen.


Stichprobe / Erste Einschätzung

Web Application Security – Leistungen: Regular Pentest Level 2 Web Application Security – Leistungen: Regular Pentest Level 2 Web Application Security – Leistungen: Regular Pentest Level 2 Web Application Security – Leistungen: Regular Pentest Level 2

Regular Pentest

Level 2

Untersuchung zur Einschätzung der Sicherheit, zur Ermittlung der am häufigsten auftretenden Risiken und Schwachstellen für Webanwendungen.


Für die meisten Anwendungen

Web Application Security – Leistungen: Advanced Pentest Level 3 Web Application Security – Leistungen: Advanced Pentest Level 3 Web Application Security – Leistungen: Advanced Pentest Level 3 Web Application Security – Leistungen: Advanced Pentest Level 3

Advanced Pentest

Level 3

Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch schwer ausnutzbare Risiken und Schwachstellen ermittelt, insbesondere durch mehr Testfälle.

Hohes Sicherheitsniveau

Ihre Vorteile auf einen Blick

  • Prüfung Ihrer Webanwendung nach anerkannten Standards
  • Untersuchungen auf Netzwerkebene (Port- und Schwachstellenscans) inklusive
  • Identifizierung von Schwachstellen / Reduzierung von IT-Risiken
  • Kontinuierliche Verbesserung der IT-Sicherheit Ihrer Webanwendung
  • Objektiver Nachweis über die IT-Sicherheit Ihres Produktes
  • Penetrationstests gemäß dem Black-, Gray- oder White-Box-Ansatz
Web Application Security: Prüfgebiete

Das wird untersucht

Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird die jeweilige Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.

Der Fokus liegt dabei auf den nachfolgenden Bereichen:

  • Ein- & Ausgabevalidierung: Werden Benutzer-Eingabedaten nicht ausreichend validiert, können Injection-Schwachstellen (z. B. Cross-Site Scripting (XSS), XML External Entities (XXE), SQL-Injection,) u.a. zu Datenverlust, -verfälschung oder Systemübernahme (Remote-Code-Execution) führen. Durch gezielte Injection-Angriffe wird versucht Schadcode in die Anwendung einzuschleusen.
     
  • Authentifizierung / Session Management: Durch Fehler in der Authentisierung und dem Session Management können Angreifer ggf. die Identität anderer Nutzer übernehmen, bspw. mittels Bruteforce Angriffen, schwacher Sitzungs-IDs oder dem Einsatz unsicherer Passwörter.
     
  • Zugriffskontrolle (Autorisierung) / Mandantentrennung: Werden Zugriffsrechte für authentifizierte Nutzer nicht korrekt umgesetzt, können Angreifer u. U. auf Funktionen oder Daten anderer Nutzer zugreifen. Hierzu zählen auch mandantenübergreifende Zugriffe.
     
  • DatensicherheitEs muss sichergestellt werden, dass die Webanwendung so konfiguriert wird, dass Zugriffe ausschließlich über die vorgesehenen, abgesicherten/verschlüsselten Kommunikationspfade möglich sind. Der Zugriff auf nicht benötigte Ressourcen und Funktionen ist daher einzuschränken (z. B. mittels Cookie-Flags, HTTP Security Header).
     
  • Sicherheitsrelevante Fehlkonfiguration / HärtungDurch Nutzung von Komponenten mit bekannten Schwachstellen, Standard-Konten, ungenutzte (Beispiel-, Test-)Seiten oder Fehlkonfigurationen etc. kann es möglich sein, unerlaubten Zugriff auf sensible Informationen oder das zugrundeliegende System (Web Server) zu erlangen.
     
  • Geschäfts-/AnwendungslogikBei mehrstufigen abgebildeten Geschäftsprozessen muss darauf geachtet werden, dass die umgesetzte Anwendungslogik nicht missbräuchlich verwendet werden kann (z. B. Ausbruch aus einem vorgesehenen Registrierungsprozess).
     
  • Herausgabe sicherheitsrelevanter Informationen (Information Gathering/Disclosure)Webseiten und Rückantworten von Webanwendungen und Web-Services können sicherheitsrelevante Informationen beinhalten (bspw. Versionsangaben), mit deren Hilfe Angreifer Sicherheitsmechanismen umgehen und Schwachstellen ausnutzen können.
     
  • Kryptografie / SSL und TLS: Informationen, die zwischen dem Client des Benutzers und dem Server ausgetauscht werden, müssen ausreichend verschlüsselt und geschützt werden. Liegen bspw. Schwachstellen in der SSL/TLS-Konfiguration vor, so steigt die Wahrscheinlichkeit, dass potenzielle Angreifer übertragene Daten mitlesen (Vertraulichkeit), Daten manipulieren (Integrität) sowie sich unbefugt als legitime Vertrauensperson bzw. Dienst ausgeben können (Authentizität) und auf diese Weise erfolgreich beispielsweise Man-in-the-Middle-Angriffe durchführen.
     
  • Untersuchungen auf Netzwerkebene: Beim Penetrationstest ist eine Überprüfung auf Netzwerkebene des Webservers der Webanwendung (eine IP-Adresse) inklusive. Es werden Portscans, eine Überprüfung der SSL/TLS Konfiguration sowie Schwachstellenscans durchgeführt.
     
  • DatenschutzNeben technischen Prüfungen können z.B. auch die Nutzungsbedingungen (AGBs) einer Webanwendung auf datenschutzrechtliche Aspekte hin überprüft werden.
Web Application Security: Abschlussbericht

Das enthält der Abschlussbericht

Alle Ergebnisse einer Prüfung werden dem Auftraggeber in Form eines ausführlichen Abschlussberichtes zur Verfügung gestellt.

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
     
  • Management/Executive SummaryZusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
     
  • RisikobewertungZuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
     
  • Übersichtliche DarstellungÜbersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
     
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-ConceptZu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
     
  • Auswertung automatisierter TestsDie Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
     
  • Maßnahmenempfehlung zur Behebung der SchwachstelleZu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
     
  • ReferenzenSofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
     
  • Technische AnhängeSofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Ablauf eines Web Application Security Pentests

  

Ablauf Web Application Security Pentest: Vorbereitung & Kickoff Ablauf Web Application Security Pentest: Vorbereitung & Kickoff Ablauf Web Application Security Pentest: Vorbereitung & Kickoff Ablauf Web Application Security Pentest: Vorbereitung & Kickoff

Klärung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen. 

Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse

Ermittlung grundlegender Informationen über den Untersuchungsgegenstand.

Ablauf Web Application Security Pentest: Durchführung Penetrationstests Ablauf Web Application Security Pentest: Durchführung Penetrationstests Ablauf Web Application Security Pentest: Durchführung Penetrationstests Ablauf Web Application Security Pentest: Durchführung Penetrationstests

Untersuchung der ausgewählten Webanwendung auf Basis der gesammelten Informationen.

Ablauf Web Application Security Pentest: Abschlussbericht Ablauf Web Application Security Pentest: Abschlussbericht Ablauf Web Application Security Pentest: Abschlussbericht Ablauf Web Application Security Pentest: Abschlussbericht

Zusammenfassung aller Ergebnisse der Prüfung in Form eines Abschlussberichtes. 


Ablauf Web Application Security Pentest: Re-Test (Optional) Ablauf Web Application Security Pentest: Re-Test (Optional) Ablauf Web Application Security Pentest: Re-Test (Optional) Ablauf Web Application Security Pentest: Re-Test (Optional)

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen. 

  


Häufig gestellte Fragen (FAQ):

Welche Test-Methoden bieten wir an?
  • Black-Box
    Pentest ohne Zusatzinformationen
     
  • Grey-Box (Standard)
    Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
     
  • White-Box
    Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode
An welchen Standards orientiert TÜViT sich bei der Durchführung von Penetrationstests?

Die Vorgehensweise der TÜViT-Experten orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt.

Wie lange dauert ein Test?

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Was kostet ein Pentest?

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) ab, so dass sich folgende Preise ergeben: Spot Check ab 3.900€; Regular Pentest ab 7.900€; Advanced Pentest ab 14.900€.

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

  

Gerald Krebs

Global Account Manager

+49 201 8999-411
Fax : +49 201 8999-666

g.krebs@tuvit.de

Alexander Padberg

Sales Manager

+49 201 8999-614
Fax : +49 201 8999-666

a.padberg@tuvit.de

Weitere Leistungen

Penetrationstests

Als zertifizierter IT-Sicherheitsdienstleister für Penetrationstests identifizieren wir organisatorische und technische Sicherheitslücken.
Weiterlesen

System- und Netzwerksicherheit

Häufigstes Angriffsziel von Hackern sind die IT-Systeme und Netzwerke von Unternehmen. Um Angriffe möglichst früh zu erkennen, bietet TÜViT Penetrationstests auf System- und Netzwerkebene an.
Weiterlesen

Advanced Persistent Threats

Advanced Persistent Threats (APT) sind hochentwickelte und gezielte Angriffe, die im Verborgenen agieren, um keine sichtbaren Spuren zu hinterlassen. TÜViT bietet verschiedene Module, um Advanced Persistent Threats vorzubeugen.
Weiterlesen

Mobile Security

Schutz von mobilen Geräten und Inhalten mit dem modularen Ansatz von TÜViT: von der Analyse Ihrer Mobile-Strategie bis hin zur Prüfung Ihrer Apps.
Weiterlesen

Enhanced Security Services

TÜViT bietet Enhanced Security Services an, um Ihr IT-Sicherheitsniveau kontinuierlich hoch zu halten: von Monitoring und Re-Testing bis hin zu Red-Teaming und Advanced Persistent Threats.
Weiterlesen

Industrial Security

Im Rahmen von Industrie 4.0 nimmt die Vernetzung von Systemen zur Prozessteuerung, Fertigung und Automatisierung drastisch zu. Dadurch steigen auch Herausforderungen in puncto Sicherheit. TÜViT bietet Security-Checks und Penetrationstests, um Sicherheitsschwachstellen in Ihrer Produktionsinfrastruktur zu reduzieren.
Weiterlesen

SQ-Best-Practice-Zertifizierungsverfahren

TÜViT bietet mit der Sicherheitstechnischen Qualifizierung (SQ) ein standardisiertes und flexibles Zertifizierungsverfahren, das eine ganzheitliche Betrachtung von Produkten und vernetzten Systemlösungen ermöglicht.
Weiterlesen

Router-Sicherheit: BSI TR-03148

Mit der BSI TR-03148 für "Secure Broadband Router" können Sie als Hersteller nachweisen, dass Ihre Breitband-Router die durch das BSI definierten Sicherheitsanforderungen erfüllen. Wir prüfen die Umsetzung der TR und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung nach BSI TR-03148.
Weiterlesen

CyberSecurity Certified (CSC)

Sie sind Hersteller eines CIoT-Produktes und möchten die Sicherheit Ihres (Smart-Home-)Gerätes durch einen unabhängigen Dritten bestätigen lassen? Dann begleiten wir Sie auf Ihrem Weg zum erfolgreichen CSC-Zertifikat.
Weiterlesen

Beschleunigte Sicherheitszertifizierung (BSZ)

Mit der BSZ belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat – schnell, planbar und mit geringem Dokumentationsaufwand.
Weiterlesen