Suchen

Security-Startups im Blickpunkt: Crashtest Security Kontrollierte Zerstörung

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann.

Firmen zum Thema

Sicherheitslücken lassen sich mit simulierten Angriffen auf Webanwendungen schon vor einer produktiven Nutzung finden und eliminieren, bevor sie durch Cyberkriminelle ausgenutzt werden.
Sicherheitslücken lassen sich mit simulierten Angriffen auf Webanwendungen schon vor einer produktiven Nutzung finden und eliminieren, bevor sie durch Cyberkriminelle ausgenutzt werden.
(© Taras-Livyy - stock.adobe.com)

Crashtests werden meistens mit der Autoindustrie in Verbindung gebracht. Hierbei wird eine Kollision von PKWs unter realistischen und kontrollierten Bedingungen mit andern Objekten (PKW, Mauer, Fußgänger etc.) durchgeführt. Das Ergebnis gibt Auskunft über die Wirksamkeit der im PKW eingebauten Sicherheitsmaßnahmen. Eine Art Crashtest führt auch das in München gegründete Startup Crashest Security durch, dass sich auf die Sicherheit von Webanwendungen spezialisiert hat.

Crashtest Security bietet mit seinem Produkt einen automatischen Penetrationstest für Web Applikationen an. Der User hat dabei mit technischen Details relativ wenig zu tun, da die Software quasi als Black Box agiert, welche nach Eingabe von Rahmenwerten alles weitere selbst durchführt und am Verarbeitungsende einen benutzerfreundlichen Report als PDF generiert. Damit ist es möglich, die eigene Anwendung einem Penetrationstest zu unterziehen, ohne sich erst in relevante Tools einzuarbeiten oder gar ein zertifizierter Pen-Tester zu sein. Der PDF-Report verwendet eine CVSS (Common Vulnerability Scoring System) Klassifizierung und nutzt so etablierte Standards, die für eine Behebung der gefunden Schwachstellen oft detaillierte Anweisungen geben. Crashtest Security will damit die Sicherheit auf ein neues Level heben und qualifizierte Security-Scans für jedwede Webanwendung ermöglichen, egal ob diese von einem Großunternehmen betrieben wird oder von einer kleinen GmbH.

Bildergalerie
Bildergalerie mit 17 Bildern

Das Team

Das Team der Security-Enthusiasten aus München ist noch überschaubar. Mehrere Experten, entwickeln und betreiben das Produkt Crashtest Security. Dies sind unter anderem die vier Gründer Felix Brombacher, Janosch Maier, René Milzarek und Daniel Schosser. Gegründet wurde das Unternehmen im Februar 2017, mit Unterstützung verschiedener Startup-Mentoren. Eine kurze Vorstellung von Crashtest Security gibt Janosch Maier in einem Youtube-Video. Im März 2018 gewann das Startup auch mehre Investoren für die Umsetzung zukünftigen Herausforderungen hinzu – Security Insider berichtete hierzu bereits.

Das Team entwickelt sein Produkt stetig weiter. Aktuell wurde beispielsweise ein Test auf „File Inclusion“ eingebaut. Dieser erkennt, ob ggf. Probleme durch die Nutzung von eingebundenen Dateien entstehen könnten. Dies wäre dann der Fall, wenn es sich um eine Passwort-Datei des Servers handelt, welche einem Angreifer die unmittelbare Kontrolle des Systems erlauben würde.

Nutzungsarten

Wie Janosch Maier im Video vorstellte, kann man Crashtest Security auf zweierlei Arten nuten. Gratis, mit einem eingeschränkten Scan-Umfang und als kommerzielle Kauf-Software. Das Pricing wird dabei von dem zugrunde liegenden Funktionsumfang (Support-Level, on premises, on virtual private cloud, Automatisierungsgrad etc.) beeinflusst. Der Professional Mode ist bereits ab 99€ je Monat zu erhalten.

Interessant hier ist die Option „Automated scanning“, welche eine Integration in den eigenen Entwickler-Workflow erlaubt. Damit können neue Produktversionen automatisch auf Sicherheitsverletzungen getestet werden. Diese ermöglicht es dem Entwickler, eine permanente Sicherheitskontrolle in dem Entwicklungsprozess zu verankern und so Kunden- und Firmendaten zu schützen. Weitere Informationen zu den Produktpreisen und Produktmerkmalen sind in der Preisliste auf der Crashest Security Webseite aufgeführt.

Einer der großen Pluspunkte von Crashtest Security ist dabei, dass die automatisierte Überprüfung auf Schwachstellen schneller und auch deutlich preiswerter erfolgt, als durch einen menschlichen Security-Tester.

Ergänzendes zum Thema
Im Gespräch mit Janosch Maier, Geschäftsführer und Mitgründer von Crashtest Security

Security Insider: Herr Maier, wie kam es zur Gründung von Crashtest Security und dem Zusammenspiel von vier Experten?

Janosch Maier: René Milzarek, Daniel Schosser und ich haben in unserem Informatik Studium gemeinsam die Vorlesung Secure Coding besucht. Dabei haben wir in einem Team eine Online Banking Anwendung entwickelt, und mussten dann die Banken der anderen Teams hacken. Der Prozess, die Sicherheitslücken zu finden und zu dokumentieren, war hauptsächlich händische Arbeit. Daraus entstand die Idee, ein Tool zu entwickeln, welches das automatisiert. Mit Felix Brombacher haben wir dann einen Wirtschaftswissenschaftler mit in unser Team genommen, der sein Hauptaugenmerk auf die Themen Vertrieb und Marketing legt, damit wir ungestört die Software entwickeln können.

Security Insider: Security in der Programmentwicklung ist ein Thema, bei dem einiges an Nachholbedarf existiert. Soll Crashtest Security das menschliche Know how ablösen oder Wissenslücken ausgleichen und den Programmierer unterstützen?

Maier: Zu sagen, wir wollen das menschliche Wissen ersetzen, wäre vermessen. Was wir bieten ist eine Software, welche den Entwickler schon während der Programmierung unterstützt Sicherheitslücken zu finden und dazu befähigt diese zu schließen. Damit stoßen wir auch einen Lernprozess an, damit Programmierfehler, welche zu Sicherheitslücken führen, nicht wieder begangen werden.

Security Insider: Hr. Maier, Cyberkriminelle attackieren immer das am leichtesten angreifbare Ziel. Oft war dies das Betriebssystem selbst. Wie schätzen Sie die Security-Zukunft ein? Rücken Anwendungen verstärkt in den Mittelpunkt der Angriffe?

Maier: Eindeutig. Web Anwendungen werden immer häufiger genutzt und stellen eine der größten Gefahren für Unternehmen dar. Meist werden Sicherheitstests nur sporadisch und manuell durchgeführt, was dazu führt, dass der Großteil der Anwendungen ungetestet veröffentlicht wird. Dies muss sich ändern. In Zukunft sind automatisierte Tests, kombiniert mit regelmäßigen manuellen Tests, unabdingbar um Kunden und Firmendaten zu schützen.

Security Insider: Crashtest Security ist erfreulich einfach zu verwenden. Wenn ein Kunde aber trotzdem die Verifikation seiner Web-Anwendungen nicht selbst durchführen will, wie können Sie unterstützen?

Janosch Maier: Die Verifikation der Web-Anwendung muss aus rechtlicher Sicht durch den Kunden durchgeführt werden. Hier unterstützen wir gerne in Form einer Online-Demo und gehen alle notwendigen Schritte gemeinsam durch.

Security Insider: Welche Pläne haben Sie für Crashtest Security – wie geht es weiter, mit welchen Features kann der Nutzer noch rechnen?

Maier: Crashtest Security soll der am einfachsten zu bedienende und einzurichtenden Sicherheitsscanner auf dem europäischen Markt werden. Zur CEBIT haben wir unseren API Scanner veröffentlicht um nun auch mobile und IOT Anwendungen scannen zu können. Außerdem arbeiten wir an einer neuartigen Technologie um Single Page Anwendungen automatisiert zu scannen, Machine Learning Algorithmen um noch besser und schneller scannen zu können, sowie einer Möglichkeit Applikations-Logiken auch automatisiert zu testen.

Crashtest Security in der Free-Version

Die ersten Übungsschritte mit Crashtest Security erfolgen analog zu vielen anderen Produkten. Man wählt auf der Webseite die Option „Sign up for free“ an und folgt dann den englischsprachigen Anweisungen. Zunächst wird ein Account angelegt und via E-Mail per Opt-in bestätigt. Nach einem Login kann man auch schon starten und ein Test-Projekt anlegen. Die Free Version unterliegt dabei folgenden Beschränkungen:

  • ein Projekt
  • maximal fünf Scans je Monat
  • erlaubt ist ein „Production“-Scan

Über mehrere Abfragemenüs wird dann der jeweilige Scan-Umfang definiert. Sind die Definition abgeschlossen kann der Scanlauf gestartet werden. Auf dem Bildschirm werden dabei die erreichten Zwischenstände dargestellt und periodisch aktualisiert.

Am Ende des Scanlaufs, dessen Laufzeit vom Scan-Umfang und der Anwendungskomplexität bestimmt wird, erhält der Anwender eine komprimierte Übersicht. Zusätzlich wird die Option angeboten, die erkannten Findings als PDF-Datei herunterzuladen.

Im beigefügten Muster (Crashtest-Security_PDF-Datei) wurden für die untersuchte Instanz zwei Medium und drei Low Findings erkannt. Zu jedem der Findings enthält der PDF-Report eine Erklärung bereits, eine Risiko-Einschätzung und (sofern vorhanden), einen Hinweis wie die identifizierte Schwachstelle beseitigt werden kann. Der Report ist dabei so aufgebaut, dass auch ein Nicht-Fachmann die elementaren Informationen problemlos herauslesen kann.

Bildergalerie
Bildergalerie mit 17 Bildern

Crashtest Security in der Professionellen/Enterprise-Version

Ein Umstieg auf die erweiterten Versionen ist für den Anwender leicht zu vollziehen. Die Schritte sind weitestgehend identisch – nur der Umfang der Optionen nimmt zu. Bei Crashtest Security legt man aber auch Wert auf die eigene Sicherheit. Erstellte Projekte können erst nach einer Sicherheitsabfrage gelöscht werden, um ein das Risiko eines versehentlichen Löschens zu minimieren.

Ebenso unterbindet man die Nutzung des Tools als Angriffswerkzeug auf fremde Domains. Ein Test verschiedener Funktionen ist nur dann möglich, wenn zuvor eine von Crashtest Security erstellte Semaphor-Datei auf dem zu untersuchenden System hinterlegt wird. Diese Datei wird im Zuge der Projektsettings, vor dem ersten Scanlauf erzeugt und muss sich auf dem Zielsystem befinden. Ist die Datei vorhanden und konnte erfolgreich verifiziert werden, startet der vorgegebene Scanlauf für die Applikation(en) der Domäne.

Abhängig vom ausgewählten Project-Type (Multi Page-Application, Application Programm Interface oder Single Page Application) starten die einzelnen Überprüfungen. Innerhalb des Project-Types ist es dann ausschlaggebend, welche Umgebung das Tool vorfindet. So entfällt beispielsweise der Test auf Schwachstellen für die „Transport Layer Security (TLS/SSL), wenn kein https zur Verfügung steht. Ein Scan durch Crashtest Security kann nach zehn Minuten fertig gestellt sein, aber auch mehrere Stunden benötigen – abhängig von der Komplexität der Umgebung.

Wer möchte, kann die aktuellen Zwischenergebnisse im Scan-Dashboard betrachten und schon erste Aussagen bewerten. Im Dashboard ist es möglich, die Findings zu einer Gruppierung (Fingerprinting, TLS/SSL, XSS, SQL Injection usw.) anzuzeigen, das Risiko der gefundenen Schwachstelle und durch einen weiteren Klick, bereits detaillierte Infos zu erhalten. Bei einer vorhandene CVE-Einordnung kann diese auch sofort am Bildschirm angezeigt werden. Diese Infos sind auch zum Nachlesen im erzeugten PDF-Report enthalten, das den Nutzer mit konstruktiven Ratschlägen versorgt und eine managementfähige Aussage für die Sicherheit einer Applikation bildet.

Die Schwachstellen / Findings (im Beispiel 20) werden komplett, in tabellarischer Auflistung, innerhalb des Dashboards angezeigt. Ebenso kann man auch den PDF-Report downloaden und sich daran machen, die Schwachstellen zu beheben und dabei auf die gelieferten Informationen zurückgreifen. Die beigefügte Report-Datei (pdf) enthält die gefundenen Überprüfungs-Ergebnisse für eine Muster-Anwendung, die mehrere Schwachstellen enthält.

Heutzutage ist es eher eine Fleißaufgabe, als eine technologische Herausforderung, Informationen zu Schwachstellen zu finden und wie diese zu beheben sind. Letzteres kann aber, abhängig von der jeweiligen Web-Anwendung durchaus einen Rattenschwanz von Einzelaufgaben nach sich ziehen. Und nicht selten, kann es auch passieren, dass durch eine Programmkorrektur oder Programmerweiterung weitere Schwachstellen eingebaut werden. Aber auch hier bietet sich das Tool von Crashtest Security an, um die Applikation erneut auf Schwachstellen abzuklopfen.

Ergänzendes zum Thema
Security-Startups gesucht!

Security-Insider präsentiert innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern.

Wir stehen bei der Suche nach den interessantesten IT-Security-Startups aus dem deutschsprachigen Raum bereits mit vielen Verbänden, Inkubatoren, Acceleratoren und Universitäten in Kontakt. Aber wenn Sie ein Startup aus dem Bereich der IT-Sicherheit kennen, oder selbst Gründer eines solchen jungen Unternehmens sind, das nicht älter als drei Jahre ist und das wir unbedingt kennenlernen sollten, dann schreiben Sie uns!

Fazit

Eine kontrollierte Zerstörung bzw. ein Angriff (wenn auch nur simuliert), macht Tools wie das von Crashtest Security überaus wertvoll, denn man findet schnell die Schwachstellen in der Programm-Konstruktion. Sicherheitslücken können so vor einer produktiven Nutzung eliminiert werden, bevor sie durch Cyberkriminelle ausgenutzt werden. Die Einfachheit in der Bedienung und der hilfreiche Output machen dieses Werkzeug zu einem empfehlenswerten Tool. Besonders für Entwickler, die Synergien nutzen wollen und das Wissen von Experten einfach integrieren möchten.

Crashtest Security auf einen Blick
Name Crashtest Security
Webseite https://crashtest-security.com/
Geschäftsform GmbH
Standort 81671 München
Gründungszeitpunkt Februar 2017
Geschäftsführer Felix Brombacher, Janosch Maier, René Milzarek, Daniel Schosser
Anzahl Mitarbeiter ca. 10
Security-Sparte Automatische Sicherheitsanalyse von Web Anwendungen
Produkt Crashtest Security
Innovation Automatisiertes Security-Scannen für Applikationen
Unternehmens-Blog https://blog.crashtest-security.com/
Investitionen möglich Anfragen ab November 2018 möglich
Startfinanzierung / Umsatz letztes Jahr Seed Investment im März 2018 in sechsstelliger Höhe

Artikelfiles und Artikellinks

(ID:45418876)

Über den Autor