Security Icon Security

Sicherheit lässt sich nicht im Nachhinein in eine Anwendung programmieren oder testen. Sie lässt sich auch nicht von Anfang an final aufsetzen, so dass man sich später keine Gedanken mehr machen muss. Stattdessen sollten Sicherheitskonzepte bereits früh im Projekt vorgesehen und kontinuierlich berücksichtigt werden. Verstehen Sie kritische Konzepte der IT-Sicherheit und arbeiten Sie mit Methoden,

⚠️ Die Website befindet sich gerade im Umbau

Wo gehobelt wird, da fallen Späne... wir fegen zwar gerade fleißig durch, aber die Wartungsarbeiten an unserer Website nehmen noch etwas Zeit in Anspruch. Meldet euch gerne unter +49 (40) 414250-0 telefonisch, falls etwas nicht wie gewünscht funktioniert.

Seminare

Security

Dienstleistungen

  • Bedrohungsanalyse

    Bei einer Bedrohungsanalyse wird das System aus Sicht potentieller Angreifer betrachtet. Dieses Format hat sich in vielen und vollkommen unterschiedlichen Projekten bewährt: Vom Alkoholmessgerät über mobile Webanwendungen bis hin zu Kommunikationsprotokollen oder Zugangsprozessen zu privaten Schlüsseln für Softwaresignaturen kann diese Art des strukturierten Brainstormings angewendet werden.

    Dabei wird das Methodenwissen unserer Security-Experten mit dem Fach- und Projektwissen der am Projekt beteiligten Personen vereint. Grundlage für die folgende Bedrohungsanalyse ist ein gemeinsames Verständnis der zu schützenden Systemwerte („Assets“). Hier werden alle Systemwerte zusammengetragen und anschließend grob priorisiert. Eine weitere wichtige Vorbereitung ist, herauszufinden mit welchen Angreifern auf die herausgearbeiteten Systemwerte zu rechnen ist und welche Motive diese Angreifer verfolgen. Je nach Komplexität der Anwendung werden die durch Brainstorming identifizierten Motive auf 5-10 Hauptmotive zusammengefasst. Für jedes Hauptmotiv wird nun ein Angriffsbaum erstellt. Das Hauptmotiv ist der Wurzelknoten und jeder Weg vom Blatt zu diesem Wurzelknoten stellt letztendlich sehr detailliert einen möglichen Angriff auf einen oder mehrere Systemwerte dar. Abschließend werden für die als kritisch eingestuften Angriffspfade Vorschläge für Gegenmaßnahmen ausgearbeitet. Diese Maßnahmen werden final in Abwägung ihres erwarteten Sicherheitszugewinns für das System und dem geschätzten erforderlichen Aufwand priorisiert.

  • Penetrationstest

    Gerne helfen wir Ihnen, die Sicherheit Ihrer Anwendungen zu testen. Dabei analysieren wir zum Beispiel das Fingerprinting des Webservers oder Informationen, die über Suchmaschinen gefunden werden können sowie Hinweise über weitere Dienste die auf Ihren öffentlichen Webservern laufen. Wir überprüfen, ob veraltete, verwundbare oder unsicher konfigurierte Dienste und Anwendungen auf den Servern ausgeführt werden, alte Backups vorhanden sind oder weitere, möglicherweise undokumentierte, Admin-Interfaces existieren. Die Authentifizierungsmechanismen Ihrer Anwendung werden auf ihre Stärke und Umgehbarkeit überprüft. Wir suchen nach Wegen, die es möglich machen mit bestimmten Privilegien, wie beispielsweise eine klar definierte Rolle, Aktionen auszuführen oder Daten zu lesen, die einer höher privilegierten Rolle vorbehalten sein sollten.

    Unsere Experten suchen systematisch nach Stellen, an denen sich über Benutzereingaben Code in die Anwendung schleusen lässt. Hiermit werden unter anderem die Sicherheitslücken Cross Site Scripting (XSS), SQL Injection, XML Injection, Command Injection oder LDAP Injection aufgedeckt. Weiterhin testen wir mittels Fuzzing, ob sich Ihre Anwendung im Fehlerfall korrekt verhält und beispielsweise keine sensiblen Informationen in Fehlermeldungen preisgibt. Sollten Sie kryptografische Verfahren einsetzen, werden wir diese ebenfalls unter die Lupe nehmen.