:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: Crashtest Security Kontrollierte Zerstörung
Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Crashtests werden meistens mit der Autoindustrie in Verbindung gebracht. Hierbei wird eine Kollision von PKWs unter realistischen und kontrollierten Bedingungen mit andern Objekten (PKW, Mauer, Fußgänger etc.) durchgeführt. Das Ergebnis gibt Auskunft über die Wirksamkeit der im PKW eingebauten Sicherheitsmaßnahmen. Eine Art Crashtest führt auch das in München gegründete Startup Crashest Security durch, dass sich auf die Sicherheit von Webanwendungen spezialisiert hat.
Crashtest Security bietet mit seinem Produkt einen automatischen Penetrationstest für Web Applikationen an. Der User hat dabei mit technischen Details relativ wenig zu tun, da die Software quasi als Black Box agiert, welche nach Eingabe von Rahmenwerten alles weitere selbst durchführt und am Verarbeitungsende einen benutzerfreundlichen Report als PDF generiert. Damit ist es möglich, die eigene Anwendung einem Penetrationstest zu unterziehen, ohne sich erst in relevante Tools einzuarbeiten oder gar ein zertifizierter Pen-Tester zu sein. Der PDF-Report verwendet eine CVSS (Common Vulnerability Scoring System) Klassifizierung und nutzt so etablierte Standards, die für eine Behebung der gefunden Schwachstellen oft detaillierte Anweisungen geben. Crashtest Security will damit die Sicherheit auf ein neues Level heben und qualifizierte Security-Scans für jedwede Webanwendung ermöglichen, egal ob diese von einem Großunternehmen betrieben wird oder von einer kleinen GmbH.
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432706/original.jpg "Startpage im Web.")
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432707/original.jpg "Funktionsumfang der Produktvarianten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432708/original.jpg "Abfragemaske für die Registrierung der Free-Version von Crashtest Security.")
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432709/original.jpg "Bestätigung für die Dateneingabe und Aktivierung des Accounts per Mausklick auf den Link.")
Das Team
Das Team der Security-Enthusiasten aus München ist noch überschaubar. Mehrere Experten, entwickeln und betreiben das Produkt Crashtest Security. Dies sind unter anderem die vier Gründer Felix Brombacher, Janosch Maier, René Milzarek und Daniel Schosser. Gegründet wurde das Unternehmen im Februar 2017, mit Unterstützung verschiedener Startup-Mentoren. Eine kurze Vorstellung von Crashtest Security gibt Janosch Maier in einem Youtube-Video. Im März 2018 gewann das Startup auch mehre Investoren für die Umsetzung zukünftigen Herausforderungen hinzu – Security Insider berichtete hierzu bereits.
Das Team entwickelt sein Produkt stetig weiter. Aktuell wurde beispielsweise ein Test auf „File Inclusion“ eingebaut. Dieser erkennt, ob ggf. Probleme durch die Nutzung von eingebundenen Dateien entstehen könnten. Dies wäre dann der Fall, wenn es sich um eine Passwort-Datei des Servers handelt, welche einem Angreifer die unmittelbare Kontrolle des Systems erlauben würde.
Nutzungsarten
Wie Janosch Maier im Video vorstellte, kann man Crashtest Security auf zweierlei Arten nuten. Gratis, mit einem eingeschränkten Scan-Umfang und als kommerzielle Kauf-Software. Das Pricing wird dabei von dem zugrunde liegenden Funktionsumfang (Support-Level, on premises, on virtual private cloud, Automatisierungsgrad etc.) beeinflusst. Der Professional Mode ist bereits ab 99€ je Monat zu erhalten.
Interessant hier ist die Option „Automated scanning“, welche eine Integration in den eigenen Entwickler-Workflow erlaubt. Damit können neue Produktversionen automatisch auf Sicherheitsverletzungen getestet werden. Diese ermöglicht es dem Entwickler, eine permanente Sicherheitskontrolle in dem Entwicklungsprozess zu verankern und so Kunden- und Firmendaten zu schützen. Weitere Informationen zu den Produktpreisen und Produktmerkmalen sind in der Preisliste auf der Crashest Security Webseite aufgeführt.
Einer der großen Pluspunkte von Crashtest Security ist dabei, dass die automatisierte Überprüfung auf Schwachstellen schneller und auch deutlich preiswerter erfolgt, als durch einen menschlichen Security-Tester.
Crashtest Security in der Free-Version
Die ersten Übungsschritte mit Crashtest Security erfolgen analog zu vielen anderen Produkten. Man wählt auf der Webseite die Option „Sign up for free“ an und folgt dann den englischsprachigen Anweisungen. Zunächst wird ein Account angelegt und via E-Mail per Opt-in bestätigt. Nach einem Login kann man auch schon starten und ein Test-Projekt anlegen. Die Free Version unterliegt dabei folgenden Beschränkungen:
- ein Projekt
- maximal fünf Scans je Monat
- erlaubt ist ein „Production“-Scan
Über mehrere Abfragemenüs wird dann der jeweilige Scan-Umfang definiert. Sind die Definition abgeschlossen kann der Scanlauf gestartet werden. Auf dem Bildschirm werden dabei die erreichten Zwischenstände dargestellt und periodisch aktualisiert.
Am Ende des Scanlaufs, dessen Laufzeit vom Scan-Umfang und der Anwendungskomplexität bestimmt wird, erhält der Anwender eine komprimierte Übersicht. Zusätzlich wird die Option angeboten, die erkannten Findings als PDF-Datei herunterzuladen.
Im beigefügten Muster (Crashtest-Security_PDF-Datei) wurden für die untersuchte Instanz zwei Medium und drei Low Findings erkannt. Zu jedem der Findings enthält der PDF-Report eine Erklärung bereits, eine Risiko-Einschätzung und (sofern vorhanden), einen Hinweis wie die identifizierte Schwachstelle beseitigt werden kann. Der Report ist dabei so aufgebaut, dass auch ein Nicht-Fachmann die elementaren Informationen problemlos herauslesen kann.
Crashtest Security in der Professionellen/Enterprise-Version
Ein Umstieg auf die erweiterten Versionen ist für den Anwender leicht zu vollziehen. Die Schritte sind weitestgehend identisch – nur der Umfang der Optionen nimmt zu. Bei Crashtest Security legt man aber auch Wert auf die eigene Sicherheit. Erstellte Projekte können erst nach einer Sicherheitsabfrage gelöscht werden, um ein das Risiko eines versehentlichen Löschens zu minimieren.
Ebenso unterbindet man die Nutzung des Tools als Angriffswerkzeug auf fremde Domains. Ein Test verschiedener Funktionen ist nur dann möglich, wenn zuvor eine von Crashtest Security erstellte Semaphor-Datei auf dem zu untersuchenden System hinterlegt wird. Diese Datei wird im Zuge der Projektsettings, vor dem ersten Scanlauf erzeugt und muss sich auf dem Zielsystem befinden. Ist die Datei vorhanden und konnte erfolgreich verifiziert werden, startet der vorgegebene Scanlauf für die Applikation(en) der Domäne.
Abhängig vom ausgewählten Project-Type (Multi Page-Application, Application Programm Interface oder Single Page Application) starten die einzelnen Überprüfungen. Innerhalb des Project-Types ist es dann ausschlaggebend, welche Umgebung das Tool vorfindet. So entfällt beispielsweise der Test auf Schwachstellen für die „Transport Layer Security (TLS/SSL), wenn kein https zur Verfügung steht. Ein Scan durch Crashtest Security kann nach zehn Minuten fertig gestellt sein, aber auch mehrere Stunden benötigen – abhängig von der Komplexität der Umgebung.
Wer möchte, kann die aktuellen Zwischenergebnisse im Scan-Dashboard betrachten und schon erste Aussagen bewerten. Im Dashboard ist es möglich, die Findings zu einer Gruppierung (Fingerprinting, TLS/SSL, XSS, SQL Injection usw.) anzuzeigen, das Risiko der gefundenen Schwachstelle und durch einen weiteren Klick, bereits detaillierte Infos zu erhalten. Bei einer vorhandene CVE-Einordnung kann diese auch sofort am Bildschirm angezeigt werden. Diese Infos sind auch zum Nachlesen im erzeugten PDF-Report enthalten, das den Nutzer mit konstruktiven Ratschlägen versorgt und eine managementfähige Aussage für die Sicherheit einer Applikation bildet.
Die Schwachstellen / Findings (im Beispiel 20) werden komplett, in tabellarischer Auflistung, innerhalb des Dashboards angezeigt. Ebenso kann man auch den PDF-Report downloaden und sich daran machen, die Schwachstellen zu beheben und dabei auf die gelieferten Informationen zurückgreifen. Die beigefügte Report-Datei (pdf) enthält die gefundenen Überprüfungs-Ergebnisse für eine Muster-Anwendung, die mehrere Schwachstellen enthält.
Heutzutage ist es eher eine Fleißaufgabe, als eine technologische Herausforderung, Informationen zu Schwachstellen zu finden und wie diese zu beheben sind. Letzteres kann aber, abhängig von der jeweiligen Web-Anwendung durchaus einen Rattenschwanz von Einzelaufgaben nach sich ziehen. Und nicht selten, kann es auch passieren, dass durch eine Programmkorrektur oder Programmerweiterung weitere Schwachstellen eingebaut werden. Aber auch hier bietet sich das Tool von Crashtest Security an, um die Applikation erneut auf Schwachstellen abzuklopfen.
Fazit
Eine kontrollierte Zerstörung bzw. ein Angriff (wenn auch nur simuliert), macht Tools wie das von Crashtest Security überaus wertvoll, denn man findet schnell die Schwachstellen in der Programm-Konstruktion. Sicherheitslücken können so vor einer produktiven Nutzung eliminiert werden, bevor sie durch Cyberkriminelle ausgenutzt werden. Die Einfachheit in der Bedienung und der hilfreiche Output machen dieses Werkzeug zu einem empfehlenswerten Tool. Besonders für Entwickler, die Synergien nutzen wollen und das Wissen von Experten einfach integrieren möchten.
| Crashtest Security auf einen Blick | |
|---|---|
| Name | Crashtest Security |
| Webseite | https://crashtest-security.com/ |
| Geschäftsform | GmbH |
| Standort | 81671 München |
| Gründungszeitpunkt | Februar 2017 |
| Geschäftsführer | Felix Brombacher, Janosch Maier, René Milzarek, Daniel Schosser |
| Anzahl Mitarbeiter | ca. 10 |
| Security-Sparte | Automatische Sicherheitsanalyse von Web Anwendungen |
| Produkt | Crashtest Security |
| Innovation | Automatisiertes Security-Scannen für Applikationen |
| Unternehmens-Blog | https://blog.crashtest-security.com/ |
| Investitionen möglich | Anfragen ab November 2018 möglich |
| Startfinanzierung / Umsatz letztes Jahr | Seed Investment im März 2018 in sechsstelliger Höhe |
Artikelfiles und Artikellinks
(ID:45418876)
:quality(80)/p7i.vogel.de/wcms/eb/58/eb58ad2b626cfc8d36dfef997e6356d6/0108869219.jpeg "Veracode hat das Münchner Software-Sicherheits-Tool Crashtest Security erworben. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/37/48/3748c9e0693d76edea5c70f969410905/0113877146.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")