Menü
Startseite

Bild: Thapana/AdobeStock

Software-Qualitätskriterium Sicherheit

Prüfung mit eigenem Test-Center, Pen-Tests und Hackathons

Auctores legt großen Wert auf Sicherheit bei Entwicklung und Betrieb seiner Anwendungen. Deshalb prüfen wir Codequalität und Sicherheit der Software mit Hilfe eines eigenen Penetrationstest-Frameworks. Dies geschieht durch automatisierte sowie durch spezifische, von Mitarbeitern durchgeführte Tests. Zusätzlich ziehen wir externe Unternehmen für weitere Sicherheitsüberprüfungen heran.

Moderne Software ist hoch komplex, besteht aus enormen Codemengen – und sie „lebt“. Neue Anforderungen, zusätzliche Funktionen oder Anpassungen an neue Systeme sorgen dafür, dass ein Website-CMS oder eine App ebenso wie eine kundenspezifische Anwendung ständig aktualisiert werden. Zugleich nutzt derartige Software externe Programm-Bibliotheken, die den gleichen Bedingungen unterworfen sind. So ist es kaum noch möglich, Qualität und Sicherheit des Programmcodes „von Hand“ zu prüfen. Auctores begegnet dieser Herausforderung mit einem eigenen Testcenter zur automatisierten Kontrolle.

Die Qualität des Programmcodes ist ein wichtiger Aspekt für die Stabilität einer Software. Zugleich erleichtern gut strukturierter Code und das Einhalten von Entwicklungskonventionen die Wartung der Programme. Die Weiterentwicklung ist ebenfalls einfacher und zeitsparender möglich. Deshalb setzt Auctores auf dieser Ebene mehrere Tools ein. Diese klopfen neuen Code bereits in der Entwicklungsumgebung ab, aber auch bei der kontinuierlichen Integration neuer Komponenten in laufende Software. Damit lassen sich neben klassischen „Bugs“ fehlerhafte logische Strukturen und sicherheitsrelevante Fehler aufspüren. Zusätzlich geben diese Tools Tipps zum Optimieren des Codes.

Penetrationstests und Hackathons

In einer vernetzten Welt, die Prozesse zunehmend ins Internet verlagert, ist es wichtig, Programme gegen Angriffe von außen und Datenmanipulation abzusichern. Mit Hilfe von Penetrationstests lassen sich solche Angriffsszenarien durchspielen. Hierzu nutzen wir ein eigenes Penetrations-Framework, um solche Tests kurzfristig und regelmäßig durchzuführen.

Für externe Prüfungen beauftragen wir oder Kunden, die eine Anwendung einsetzen wollen, darauf spezialisierte Unternehmen. Diese versuchen, die Software auf unterschiedlichen Ebenen und mit verschiedenen Strategien zu „knacken“. Die Spanne reicht hier vom Austesten, ob offizielle Nutzer sich erhöhte Zugriffsprivilegien verschaffen oder an nicht für sie bestimmte Daten kommen können, bis hin zu „kalten“ Angriffen von außen. Bei diesen versuchen die Tester, in das für sie unbekannte System, zu dem sie auch keine Zugangsdaten haben, einzubrechen.

Zudem will Auctores künftig auch die Schwarm-Intelligenz der weltweiten Entwicklergemeinde nutzen. Angedacht sind dafür Hackathons als „Testlabor“. Ein Hackathon ist ein „Hacking Marathon“ – eine Veranstaltung, bei der die Teilnehmer innerhalb einer begrenzten Zeitspanne gemeinsam versuchen, technische Probleme zu lösen. In diesem Fall soll es darum gehen, Sicherheitslücken zu entdecken und zu stopfen.

Schadensbegrenzung im Ernstfall

Aufgrund der Komplexität moderner Software ist es unvermeidlich, dass eine Anwendung auch Fehler enthält, die trotz mehrfach gestaffelter Prüfungen erst im laufenden Betrieb auffallen – gerade, wenn diese Anwendung laufend weiterentwickelt wird. Hier kommt es dann darauf an, erkannte Fehler schnellstmöglich zu beheben, alle Betroffenen unverzüglich zu informieren und die Fehlerursache als weiteren Prüfpunkt ins Testprotokoll aufzunehmen, damit sich der Fehler nicht wiederholen kann. Im Fall einer Sicherheitslücke setzt Auctores deshalb auf offene Kommunikation und rasche Reaktion, um das Problem zu lösen.

Die 10 größten Sicherheitsprobleme für Web-Applikationen

Die OWASP Foundation stellt jedes Jahr eine Top-Ten-Liste der größten Sicherheitsprobleme zusammen. Die Wertung berücksichtigt neben der Häufigkeit auch das jeweilige Risiko und die Gefahr, dass eine Sicherheitslücke einfach ausgenutzt werden kann. Für das Jahr 2021 hat OWASP diese Liste stark überarbeitet, drei neue Punkte aufgenommen, bei vier älteren Schwerpunkt und Bezeichnung geändert sowie die Reihenfolge entsprechend der Bedrohlichkeit angepasst. Die zehn größten Probleme sind aktuell:

  1. defekte Zugangskontrolle
  2. Verschlüsselungsmängel
  3. Injektion von Daten und Befehlen
  4. unsicheres Design
  5. fehlerhafte Sicherheitskonfiguration
  6. verwundbare und veraltete Komponenten
  7. Identifizierungs- und Authentifizierungsmängel
  8. Software- und Datenintegritätsmängel
  9. Fehler in der Sicherheitsprotokollierung und -überwachung
  10. Fälschen serverseitiger Anfragen

« zurück