IT-Sicherheits-Webcheck (Penetrationstest Website / Webanwendung)
Ein IS-Webcheck überprüft Webauftritte mit automatisierten und manuellen Verfahren auf Schwachstellen. Ziel ist es, Sicherheitslücken zu identifizieren und den Betreibern Empfehlungen zur Verbesserung der Sicherheit zu geben.
Was wird getestet?
Websites verwenden in der Regel Webserver, Webanwendungen und Datenbanken. Sicherheits-Gateways wie Paketfilter und Web Application Firewalls sind gängige Schutzmechanismen für Webauftritte, bieten aber keinen vollständigen Schutz. Sie können durch Fehlkonfigurationen oder neue Angriffsmethoden kompromittiert werden. Zudem sind sie oft generisch konfiguriert und können die spezifischen Sicherheitsbedürfnisse einzelner Anwendungen übersehen. Daher ist es entscheidend, die Webanwendung selbst so sicher wie möglich zu gestalten, um eine robuste Verteidigung gegen potenzielle Angriffe zu gewährleisten.
Vorteile eines Webchecks
- Kosteneffizienz:
Im Vergleich zu umfangreicheren Tests, die z.B. eine Analyse des Quellcodes und der Hintergrundsysteme beinhalten, sind Penetrationstests für Webanwendungen kostengünstiger und liefern dennoch wichtige Erkenntnisse über die Sicherheit. Die Kosten liegen typischerweise zwischen 3000 und 7000 €, ein Bruchteil der Kosten eines echten Angriffs. - Skalierbarkeit:
Wenn Ihr Unternehmen wächst und möglicherweise weitere Webanwendungen entwickelt, können die grundlegenden Erkenntnisse aus den ersten Webanwendungstests genutzt werden, um neue Anwendungen von Anfang an effizienter abzusichern. - Geringe Auswirkungen auf den Geschäftsbetrieb:
Web Checks sind in der Regel nicht invasiv und können oft ohne nennenswerte Unterbrechung des Tagesgeschäfts durchgeführt werden, was sie zu einem praktischen ersten Schritt macht.
Was beinhaltet ein Webcheck?
Bei der Durchführung eines Webchecks konzentrieren wir uns auf die Webanwendung und nicht auf das vorgeschaltete Sicherheitsgateway, da ein Test mit aktivem Sicherheitsgateway weniger eindeutige Ergebnisse über die Sicherheit der Webanwendung selbst liefert.
Vor dem eigentlichen Test findet ein Vorgespräch statt, in dem alle relevanten technischen Details und Rahmenbedingungen geklärt werden. Dabei wird auch besprochen, ob die Webanwendung intern oder bei einem externen Dienstleister gehostet wird.
Während des Tests ist es wichtig, dass ein qualifizierter Ansprechpartner kontinuierlich zur Verfügung steht. So können Rückfragen zeitnah geklärt und potentielle Sicherheitsrisiken sofort geschlossen werden. Obwohl die Tests grundsätzlich nicht destruktiv sind, kann es durch Fehlkonfigurationen oder entdeckte Schwachstellen zu Systemausfällen oder gar Datenverlusten kommen. Daher ist es wichtig, dass aktuelle Datensicherungen vorhanden sind und die betroffenen Kunden bzw. Mitarbeiter im Vorfeld über die Tests informiert werden. Unter bestimmten Voraussetzungen kann alternativ ein Testsystem verwendet werden.
Was bekomme ich im Ergebnis?
Bericht:
Nach Abschluss des IS-Webchecks wird ein umfassender Bericht erstellt, der alle relevanten Erkenntnisse und Ergebnisse enthält. Dieser Bericht wird den beteiligten Parteien zur Verfügung gestellt und alle darin enthaltenen Informationen werden streng vertraulich behandelt.
Der Bericht kategorisiert die gefundenen Schwachstellen nach ihrer Kritikalität und erläutert die Risiken anhand von Beispielen. Darüber hinaus enthält der Bericht Empfehlungen für allgemeine und spezifische Sicherheitsmaßnahmen zur Behebung der festgestellten Schwachstellen.
Prüfzeichen:
Als Nachweis dafür, dass Sie einen Webcheck durchgeführt haben, können Sie ein Prüfsiegel erhalten. Damit zeigen Sie Ihren Stakeholdern, dass Sie die Sicherheit Ihrer Website ernst nehmen.
Abgrenzung
Ein Webcheck ist eine Momentaufnahme und sollte zumindest in regelmäßigen Abständen, spätestens aber nach grundlegenden Änderungen der Komponenten wiederholt werden, um eine nachhaltige Sicherheit zu gewährleisten. Penetrationstests wie Webchecks können daher nie eine vollständige Garantie für die Aufdeckung aller Schwachstellen bieten. Sie erhöhen jedoch das Sicherheitsniveau Ihrer Anwendungen und Systeme deutlich.
Aufbauend auf dem Webcheck empfehlen sich zusätzliche Testmethoden wie vertiefende Penetrationstests inkl. Codeanalyse und Prüfung der Hintergrundsysteme.