Penetration Tests bestätigen hohe Sicherheit unserer Software- und ICT-Lösungen
Als Software-Hersteller und Hosting-Provider sind uns sichere Daten, eine sichere IT-Infrastruktur und sichere Software-Lösungen ganz besonders wichtig. Neben unserem gut etablierten und nach ISO 27001 zertifizierten Informationssicherheits-Managementsystem (ISMS) gehören dazu auch regelmässige Sicherheits-Checks unserer Lösungen. Raffaele Sorra, Head of ICT und Informationssicherheitsbeauftragter von EGELI Informatik, gibt nachfolgend einen Einblick in die Ergebnisse der letzten so genannten «Penetration Tests».
Um die hohen Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit in unseren Software- und ICT-Lösungen sicherzustellen, lassen wir regelmässig Sicherheits-Checks durchführen. Im Rahmen von Penetration Tests (oder kurz «Pentests») werden IT-Systeme in verschiedenen Verfahren auf Schwachstellen überprüft. Für solche Security-Assessments arbeiten wir mit Compass Security zusammen. Dabei handelt es sich um ein auf Security Assessments und forensische Untersuchungen spezialisiertes Unternehmen mit Standorten in der Schweiz, Deutschland und Kanada.
In den Pentests können unterschiedliche Methoden, wie beispielsweise Manual Hacking (simulierte Angriffe), automatisierte Stresstests, Vulnerability-Scans oder auch Reverse Engineering zur Anwendung kommen. Dabei wird über mehrere Tage durch externe Experten evaluiert, welche Sicherheitsmechanismen in den Lösungen eingebaut sind und welche zusätzlichen Massnahmen die Sicherheit weiter erhöhen könnten. Die Erkenntnisse daraus fliessen immer wieder in unsere Software- und ICT Engineering-Teams ein, um die Security der Systeme weiter zu verbessern.
Aktuell führen wir pro Jahr jeweils 2-3 Pentests mit unterschiedlichen Schwerpunkten und Methoden durch. Dabei werden Systeme vor der produktiven Freigabe auf Herz und Nieren getestet oder die Resilienz bestehender Systeme überprüft. Die Security-Assessments des letzten halben Jahres bestätigen erneut die hohen Sicherheitsstandards unserer Software-Lösungen und IT-Infrastrukturen, wobei der Fokus auf folgenden Lösungen lag:
- Penetration Tests der Dienste, welche gegen das Internet exponiert sind
- Hardening Review der Security-Konfiguration von Windows- und Linuxsystemen
- Manual Hacking einer Web-Applikation als Individuallösung eines Grosskunden
- Manual Hacking einer massgeschneiderten Schnittstelle (API) eines Grosskunden
- Review der Azure Kubernetes Service-Infrastruktur von einer unserer Software-Lösungen
- Manual Hacking des neuen Identity-Providers unserer Digitalisierungsplattform elego
Die Experten von Compass Security ermittelten insgesamt 91 Findings:
- In 4 der 6 untersuchten Lösungen wurden keine kritischen Findings gefunden. Diese Systeme wiesen nur Schwachstellen mit mittlerer und tiefer Kritikalität auf.
- Mit nur 5 Findings hoher Kritikalität* haben wir ein gutes Resultat in den Pentests erreicht. Diese wurden mit höchster Priorität innert kürzester Zeit behoben.
- Die 38 mittleren und 48 tiefen Findings wurden besprochen, weiter priorisiert und mit geeigneten Massnahmen aktiv behandelt. Innerhalb einiger Monate konnten alle Punkte grösstenteils abgeschlossen werden oder wurden ins Release Management als langfristige Verbesserungsmöglichkeit aufgenommen.
Einmal mehr haben uns diese Pentests aufgezeigt, dass es sich lohnt, in gute Prozesse, eine durchdachte Lösungsarchitektur, einen hohen Patch-Level und nicht zuletzt in eine ISO 27001-Zertifizierung zu investieren. Zudem zahlen sich auch die Investitionen in verschiedene sicherheitsrelevante Aus- und Weiterbildungen unserer Technik- und Entwicklungs-Teams aus. Trotzdem bleibt Informationssicherheit ein hoch dynamisches Thema und benötigt immer wieder auch einen externen Blick auf die Systeme. Entsprechend arbeiten wir auch weiterhin kontinuierlich daran, unseren Kunden sichere Software- und ICT-Lösungen bieten zu können.
* Die Spezialisten von Compass Security dokumentieren gefundene Schwachstellen in drei Stufen der Kritikalität:
- Hohe Kritikalität: Die Ausnutzung ist einfach und führt zu hohen Privilegien und/oder tangiert viele Benutzer oder das System kann mit geringem Aufwand kontrolliert werden.
- Mittlere Kritikalität: Wird die Schwachstelle mit anderen Schwachstellen kombiniert, kann dies zu höheren Rechten führen, wobei das Ausnutzen der Schwachstelle einen hohen Aufwand erfordert.
- Tiefe Kritikalität: Die Ausnutzung der Schwachstelle erlaubt keine höheren Privilegien, es werden aber Informationen preisgegeben, beispielsweise zu genutzten Technologien/Produkten und Versionen.
Beitragsbild: Pixabay