oose.
🎄 Vom 23.12. bis 10.01. sind wir nur eingeschränkt erreichbar – rechnet daher mit möglichen Verzögerungen. Wir wünschen frohe Weihnachtstage und einen guten Rutsch ins neue Jahr! ✨
Deutsch

Security

Sicherheit lässt sich nicht im Nachhinein in eine Anwendung programmieren oder testen. Sie lässt sich auch nicht von Anfang an final aufsetzen, so dass man sich später keine Gedanken mehr machen muss. Stattdessen sollten Sicherheitskonzepte bereits früh im Projekt vorgesehen und kontinuierlich berücksichtigt werden. Verstehe kritische Konzepte der IT-Sicherheit und arbeite mit Methoden, mit denen du deine Anwendungen abhärten und deine Daten schützt. Teste die Sicherheit deiner Anwendungen auf Herz und Nieren - oder lass uns das für dich erledigen!

Wir bieten zu diesem Thema auch englischsprachige Seminare an.

Zur englischen Seite

Dienstleistungen

  • Bedrohungsanalyse

    Bei einer Bedrohungsanalyse wird das System aus Sicht potentieller Angreifer betrachtet. Dieses Format hat sich in vielen und vollkommen unterschiedlichen Projekten bewährt: Vom Alkoholmessgerät über mobile Webanwendungen bis hin zu Kommunikationsprotokollen oder Zugangsprozessen zu privaten Schlüsseln für Softwaresignaturen kann diese Art des strukturierten Brainstormings angewendet werden.

    Dabei wird das Methodenwissen unserer Security-Expert:innen mit dem Fach- und Projektwissen der am Projekt beteiligten Personen vereint. Grundlage für die folgende Bedrohungsanalyse ist ein gemeinsames Verständnis der zu schützenden Systemwerte („Assets“). Hier werden alle Systemwerte zusammengetragen und anschließend grob priorisiert. Eine weitere wichtige Vorbereitung ist, herauszufinden mit welchen Angreifern auf die herausgearbeiteten Systemwerte zu rechnen ist und welche Motive diese Angreifer verfolgen. Je nach Komplexität der Anwendung werden die durch Brainstorming identifizierten Motive auf 5-10 Hauptmotive zusammengefasst. Für jedes Hauptmotiv wird nun ein Angriffsbaum erstellt. Das Hauptmotiv ist der Wurzelknoten und jeder Weg vom Blatt zu diesem Wurzelknoten stellt letztendlich sehr detailliert einen möglichen Angriff auf einen oder mehrere Systemwerte dar. Abschließend werden für die als kritisch eingestuften Angriffspfade Vorschläge für Gegenmaßnahmen ausgearbeitet. Diese Maßnahmen werden final in Abwägung ihres erwarteten Sicherheitszugewinns für das System und dem geschätzten erforderlichen Aufwand priorisiert.

  • Penetrationstest

    Gerne helfen wir dir, die Sicherheit deiner Anwendungen zu testen. Dabei analysieren wir zum Beispiel das Fingerprinting des Webservers oder Informationen, die über Suchmaschinen gefunden werden können sowie Hinweise über weitere Dienste die auf deine öffentlichen Webservern laufen. Wir überprüfen, ob veraltete, verwundbare oder unsicher konfigurierte Dienste und Anwendungen auf den Servern ausgeführt werden, alte Backups vorhanden sind oder weitere, möglicherweise undokumentierte Admin-Interfaces existieren. Die Authentifizierungsmechanismen deine Anwendung werden auf ihre Stärke und Umgehbarkeit überprüft. Wir suchen nach Wegen, die es möglich machen mit bestimmten Privilegien, wie beispielsweise eine klar definierte Rolle, Aktionen auszuführen oder Daten zu lesen, die einer höher privilegierten Rolle vorbehalten sein sollten.

    Unsere Expert:innen suchen systematisch nach Stellen, an denen sich über Benutzereingaben Code in die Anwendung schleusen lässt. Hiermit werden unter anderem die Sicherheitslücken Cross Site Scripting (XSS), SQL Injection, XML Injection, Command Injection oder LDAP Injection aufgedeckt. Weiterhin testen wir mittels Fuzzing, ob sich deine Anwendung im Fehlerfall korrekt verhält und beispielsweise keine sensiblen Informationen in Fehlermeldungen preisgibt. Solltest du kryptografische Verfahren einsetzen, werden wir diese ebenfalls unter die Lupe nehmen.