:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: Crashtest Security Kontrollierte Zerstörung
Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Crashtests werden meistens mit der Autoindustrie in Verbindung gebracht. Hierbei wird eine Kollision von PKWs unter realistischen und kontrollierten Bedingungen mit andern Objekten (PKW, Mauer, Fußgänger etc.) durchgeführt. Das Ergebnis gibt Auskunft über die Wirksamkeit der im PKW eingebauten Sicherheitsmaßnahmen. Eine Art Crashtest führt auch das in München gegründete Startup Crashest Security durch, dass sich auf die Sicherheit von Webanwendungen spezialisiert hat.
Crashtest Security bietet mit seinem Produkt einen automatischen Penetrationstest für Web Applikationen an. Der User hat dabei mit technischen Details relativ wenig zu tun, da die Software quasi als Black Box agiert, welche nach Eingabe von Rahmenwerten alles weitere selbst durchführt und am Verarbeitungsende einen benutzerfreundlichen Report als PDF generiert. Damit ist es möglich, die eigene Anwendung einem Penetrationstest zu unterziehen, ohne sich erst in relevante Tools einzuarbeiten oder gar ein zertifizierter Pen-Tester zu sein. Der PDF-Report verwendet eine CVSS (Common Vulnerability Scoring System) Klassifizierung und nutzt so etablierte Standards, die für eine Behebung der gefunden Schwachstellen oft detaillierte Anweisungen geben. Crashtest Security will damit die Sicherheit auf ein neues Level heben und qualifizierte Security-Scans für jedwede Webanwendung ermöglichen, egal ob diese von einem Großunternehmen betrieben wird oder von einer kleinen GmbH.
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432706/original.jpg "Startpage im Web.")
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432707/original.jpg "Funktionsumfang der Produktvarianten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432708/original.jpg "Abfragemaske für die Registrierung der Free-Version von Crashtest Security.")
:quality(80)/images.vogel.de/vogelonline/bdb/1432700/1432709/original.jpg "Bestätigung für die Dateneingabe und Aktivierung des Accounts per Mausklick auf den Link.")
Das Team
Das Team der Security-Enthusiasten aus München ist noch überschaubar. Mehrere Experten, entwickeln und betreiben das Produkt Crashtest Security. Dies sind unter anderem die vier Gründer Felix Brombacher, Janosch Maier, René Milzarek und Daniel Schosser. Gegründet wurde das Unternehmen im Februar 2017, mit Unterstützung verschiedener Startup-Mentoren. Eine kurze Vorstellung von Crashtest Security gibt Janosch Maier in einem Youtube-Video. Im März 2018 gewann das Startup auch mehre Investoren für die Umsetzung zukünftigen Herausforderungen hinzu – Security Insider berichtete hierzu bereits.
Das Team entwickelt sein Produkt stetig weiter. Aktuell wurde beispielsweise ein Test auf „File Inclusion“ eingebaut. Dieser erkennt, ob ggf. Probleme durch die Nutzung von eingebundenen Dateien entstehen könnten. Dies wäre dann der Fall, wenn es sich um eine Passwort-Datei des Servers handelt, welche einem Angreifer die unmittelbare Kontrolle des Systems erlauben würde.
Nutzungsarten
Wie Janosch Maier im Video vorstellte, kann man Crashtest Security auf zweierlei Arten nuten. Gratis, mit einem eingeschränkten Scan-Umfang und als kommerzielle Kauf-Software. Das Pricing wird dabei von dem zugrunde liegenden Funktionsumfang (Support-Level, on premises, on virtual private cloud, Automatisierungsgrad etc.) beeinflusst. Der Professional Mode ist bereits ab 99€ je Monat zu erhalten.
Interessant hier ist die Option „Automated scanning“, welche eine Integration in den eigenen Entwickler-Workflow erlaubt. Damit können neue Produktversionen automatisch auf Sicherheitsverletzungen getestet werden. Diese ermöglicht es dem Entwickler, eine permanente Sicherheitskontrolle in dem Entwicklungsprozess zu verankern und so Kunden- und Firmendaten zu schützen. Weitere Informationen zu den Produktpreisen und Produktmerkmalen sind in der Preisliste auf der Crashest Security Webseite aufgeführt.
Einer der großen Pluspunkte von Crashtest Security ist dabei, dass die automatisierte Überprüfung auf Schwachstellen schneller und auch deutlich preiswerter erfolgt, als durch einen menschlichen Security-Tester.
Crashtest Security in der Free-Version
Die ersten Übungsschritte mit Crashtest Security erfolgen analog zu vielen anderen Produkten. Man wählt auf der Webseite die Option „Sign up for free“ an und folgt dann den englischsprachigen Anweisungen. Zunächst wird ein Account angelegt und via E-Mail per Opt-in bestätigt. Nach einem Login kann man auch schon starten und ein Test-Projekt anlegen. Die Free Version unterliegt dabei folgenden Beschränkungen:
- ein Projekt
- maximal fünf Scans je Monat
- erlaubt ist ein „Production“-Scan
Über mehrere Abfragemenüs wird dann der jeweilige Scan-Umfang definiert. Sind die Definition abgeschlossen kann der Scanlauf gestartet werden. Auf dem Bildschirm werden dabei die erreichten Zwischenstände dargestellt und periodisch aktualisiert.
Am Ende des Scanlaufs, dessen Laufzeit vom Scan-Umfang und der Anwendungskomplexität bestimmt wird, erhält der Anwender eine komprimierte Übersicht. Zusätzlich wird die Option angeboten, die erkannten Findings als PDF-Datei herunterzuladen.
Im beigefügten Muster (Crashtest-Security_PDF-Datei) wurden für die untersuchte Instanz zwei Medium und drei Low Findings erkannt. Zu jedem der Findings enthält der PDF-Report eine Erklärung bereits, eine Risiko-Einschätzung und (sofern vorhanden), einen Hinweis wie die identifizierte Schwachstelle beseitigt werden kann. Der Report ist dabei so aufgebaut, dass auch ein Nicht-Fachmann die elementaren Informationen problemlos herauslesen kann.
Crashtest Security in der Professionellen/Enterprise-Version
Ein Umstieg auf die erweiterten Versionen ist für den Anwender leicht zu vollziehen. Die Schritte sind weitestgehend identisch – nur der Umfang der Optionen nimmt zu. Bei Crashtest Security legt man aber auch Wert auf die eigene Sicherheit. Erstellte Projekte können erst nach einer Sicherheitsabfrage gelöscht werden, um ein das Risiko eines versehentlichen Löschens zu minimieren.
Ebenso unterbindet man die Nutzung des Tools als Angriffswerkzeug auf fremde Domains. Ein Test verschiedener Funktionen ist nur dann möglich, wenn zuvor eine von Crashtest Security erstellte Semaphor-Datei auf dem zu untersuchenden System hinterlegt wird. Diese Datei wird im Zuge der Projektsettings, vor dem ersten Scanlauf erzeugt und muss sich auf dem Zielsystem befinden. Ist die Datei vorhanden und konnte erfolgreich verifiziert werden, startet der vorgegebene Scanlauf für die Applikation(en) der Domäne.
Abhängig vom ausgewählten Project-Type (Multi Page-Application, Application Programm Interface oder Single Page Application) starten die einzelnen Überprüfungen. Innerhalb des Project-Types ist es dann ausschlaggebend, welche Umgebung das Tool vorfindet. So entfällt beispielsweise der Test auf Schwachstellen für die „Transport Layer Security (TLS/SSL), wenn kein https zur Verfügung steht. Ein Scan durch Crashtest Security kann nach zehn Minuten fertig gestellt sein, aber auch mehrere Stunden benötigen – abhängig von der Komplexität der Umgebung.
Wer möchte, kann die aktuellen Zwischenergebnisse im Scan-Dashboard betrachten und schon erste Aussagen bewerten. Im Dashboard ist es möglich, die Findings zu einer Gruppierung (Fingerprinting, TLS/SSL, XSS, SQL Injection usw.) anzuzeigen, das Risiko der gefundenen Schwachstelle und durch einen weiteren Klick, bereits detaillierte Infos zu erhalten. Bei einer vorhandene CVE-Einordnung kann diese auch sofort am Bildschirm angezeigt werden. Diese Infos sind auch zum Nachlesen im erzeugten PDF-Report enthalten, das den Nutzer mit konstruktiven Ratschlägen versorgt und eine managementfähige Aussage für die Sicherheit einer Applikation bildet.
Die Schwachstellen / Findings (im Beispiel 20) werden komplett, in tabellarischer Auflistung, innerhalb des Dashboards angezeigt. Ebenso kann man auch den PDF-Report downloaden und sich daran machen, die Schwachstellen zu beheben und dabei auf die gelieferten Informationen zurückgreifen. Die beigefügte Report-Datei (pdf) enthält die gefundenen Überprüfungs-Ergebnisse für eine Muster-Anwendung, die mehrere Schwachstellen enthält.
Heutzutage ist es eher eine Fleißaufgabe, als eine technologische Herausforderung, Informationen zu Schwachstellen zu finden und wie diese zu beheben sind. Letzteres kann aber, abhängig von der jeweiligen Web-Anwendung durchaus einen Rattenschwanz von Einzelaufgaben nach sich ziehen. Und nicht selten, kann es auch passieren, dass durch eine Programmkorrektur oder Programmerweiterung weitere Schwachstellen eingebaut werden. Aber auch hier bietet sich das Tool von Crashtest Security an, um die Applikation erneut auf Schwachstellen abzuklopfen.
Fazit
Eine kontrollierte Zerstörung bzw. ein Angriff (wenn auch nur simuliert), macht Tools wie das von Crashtest Security überaus wertvoll, denn man findet schnell die Schwachstellen in der Programm-Konstruktion. Sicherheitslücken können so vor einer produktiven Nutzung eliminiert werden, bevor sie durch Cyberkriminelle ausgenutzt werden. Die Einfachheit in der Bedienung und der hilfreiche Output machen dieses Werkzeug zu einem empfehlenswerten Tool. Besonders für Entwickler, die Synergien nutzen wollen und das Wissen von Experten einfach integrieren möchten.
| Crashtest Security auf einen Blick | |
|---|---|
| Name | Crashtest Security |
| Webseite | https://crashtest-security.com/ |
| Geschäftsform | GmbH |
| Standort | 81671 München |
| Gründungszeitpunkt | Februar 2017 |
| Geschäftsführer | Felix Brombacher, Janosch Maier, René Milzarek, Daniel Schosser |
| Anzahl Mitarbeiter | ca. 10 |
| Security-Sparte | Automatische Sicherheitsanalyse von Web Anwendungen |
| Produkt | Crashtest Security |
| Innovation | Automatisiertes Security-Scannen für Applikationen |
| Unternehmens-Blog | https://blog.crashtest-security.com/ |
| Investitionen möglich | Anfragen ab November 2018 möglich |
| Startfinanzierung / Umsatz letztes Jahr | Seed Investment im März 2018 in sechsstelliger Höhe |
Artikelfiles und Artikellinks
(ID:45418876)
:quality(80)/p7i.vogel.de/wcms/eb/58/eb58ad2b626cfc8d36dfef997e6356d6/0108869219.jpeg "Veracode hat das Münchner Software-Sicherheits-Tool Crashtest Security erworben. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")