Unsere Services

Security Tests

Sicherheitstests sind im Grunde eine Art von Softwaretest, die durchgeführt werden, um zu überprüfen, ob die Anwendung oder im erweiterten Sinne das Produkt gesichert ist oder nicht. Es wird geprüft, ob die Anwendung anfällig für Angriffe ist, sei es durch das Internet - auch als Cyber Attacken bekannt - oder durch direkten Zugriff - auch als physikalische Angriffe bezeichnet. Im Zeitalter der Digitalisierung, in einer Zeit, in der sensible Informationen und Daten in digitaler Form verfügbar sind, ist die Notwendigkeit, Software auf Sicherheit zu testen, hoch und ein Faktor, der in die wirtschaftliche Kalkulation der Software-Entwicklung eingeht. Denn Mängel in der Sicherheit der Software haben direkten Einfluss auf die Geschäftsfähigkeit Software-getriebener Unternehmen.
Was ist ein Security Test?
Sicherheitstests sind ein Prozess, der darauf abzielt, Schwachstellen in den Sicherheitsmechanismen eines Informationssystems aufzudecken, die die Daten schützen und die Funktionalität wie beabsichtigt aufrechterhalten. Typische Sicherheitsanforderungen können spezifische Elemente der Vertraulichkeit, Integrität, Authentifizierung, Verfügbarkeit, Autorisierung und der Privatsphäre umfassen. Die tatsächlich getesteten Sicherheitsanforderungen hängen von den durch das System implementierten Sicherheitsanforderungen ab. Sicherheitsprüfung als Begriff hat eine Reihe verschiedener Bedeutungen und kann auf verschiedene Weise abgeschlossen werden. Eine solche Sicherheitstaxonomie hilft uns, diese verschiedenen Ansätze und Bedeutungen zu verstehen, indem sie eine Basisebene bietet, von der aus wir arbeiten können.
Warum Security Tests?
Obwohl Sicherheit in der Vergangenheit als ein nice-to-have Feature betrachtet wurde, durch Risikomanagement abgeschätzt wurde, ob in die Sicherheit der Software ebenfalls investiert wird, so ist Sicherheit heute ein notwendiges Feature, das aus dem Design von Software-basierten Produkten nicht mehr wegzudenken ist. Das hat zwei Ursachen; auf der einen Seite ist das Bewusstsein für IT-Sicherheit gestiegen. Kunden und Nutzer von Software-Produkten - sei es im B2B Bereich, sei es im B2C Bereich - sind über die Konsequenzen aufgeklärt, die mit dem Missbrauch von sensiblen Informationen, Kunden- oder Firmendaten verbunden sind. Als Hersteller oder Vertreiber von Software-Produkten kommt man heutzutage nicht mehr drum herum, eine gute Antwort auf die Frage “Wie sieht es mit der Sicherheit aus” zu haben, auch wenn es ein Kostenfaktor in der Entwicklung ist. Auf der anderen Seite forciert der Gesetzgeber die Mindestanforderungen an IT-Sicherheit durch unterschiedlichste Datenschutz- und Datensicherheitsbestimmungen. In der aktuellen Fassung des IT-Sicherheitsgesetzes aus dem Bundesanzeiger heißt es:
Betreiber Kritischer Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen Mindestanforderungen an IT-Sicherheit erfüllen und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Mit anderen Worten, Software-Produkte in bestimmten Domänen müssen bereits heute gewisse Anforderungen der Sicherheit laut Gesetzgeber erfüllen. Ein Trend, den Ausbau auch auf andere Domänen bis hin zum Privatanwender sowohl auf nationaler als auch auf EU-Ebene voranzubringen, ist ganz klar ersichtlich.
Was ist die Herausforderung bei Security Tests?
Ein Sicherheitstest ist nicht nur ein Penetrationstests, der die bekannteste Form des Sicherheitstestens darstellen. Ein Penetrationstest, umgangssprachlich als Pen-Test, Pentest oder Ethical Hacking bezeichnet, ist eine autorisierte simulierte Cyber-Attacke auf ein Computersystem, die durchgeführt wird, um die Sicherheit der Applikation oder des Systems zu bewerten. Der Test wird eingesetzt, um sowohl Schwachstellen (auch als Vulnerabilities bezeichnet), einschließlich der Möglichkeit, dass Unbefugte Zugang zu den Funktionen und Daten des Endgeräte oder Systems erhalten könnten, als auch Stärken zu identifizieren, wodurch eine vollständige Risikobewertung vollzogen werden kann.

Ein Sicherheitsaudit ist eine systematische Bewertung der Sicherheit des Informationssystems eines Unternehmens, indem gemessen wird, wie gut es einer Reihe von festgelegten Kriterien entspricht. Bei einem gründlichen Audit wird in der Regel die Sicherheit der physischen Konfiguration und Umgebung des Systems, der Software, der Informationsverarbeitungsprozesse und der Benutzerpraktiken bewertet. Sicherheitsaudits werden häufig dazu verwendet, die Einhaltung gesetzlicher Vorschriften im Zuge von Gesetzen (wie HIPAA, SHIELD, CCPA, DSGVO, BSI Grundschutz, ISO/IEC 27001) festzustellen, die festlegen, wie Unternehmen mit Informationen umgehen müssen.

Während Penetrationstests als auch Sicherheitsaudits in der Regel auf Software-basierte Systeme, die bereits im Produktivbetrieb sind, angewendet werden, kristallisiert sich zunehmend der Trend des Continuous Security Testings heraus, dass die Sicherheit der einzelnen Software-Anwendungen und die Integration dieser in das System, bereits als Teil der agilen Software-Entwicklung berücksichtigt und im Vorfeld, d.h. bevor die Software-Komponente oder das Software-Feature beim Kunden zum Einsatz kommt, systematisch überprüft wird. Die Vorteile des Continuous Security Testings sind offensichtlich:
  • Schwachstellen der Software werden im Vorfeld identifiziert. Somit muss nicht erst ein Super-GAU geschehen, bis die Schwachstelle gefunden und beseitigt wird.
  • Aufgrund des frühen und kontinuierlichen Sicherheitstestens, ist die Komplexität der Software überschaubar, so dass sowohl automatisierbare als auch manuelle Testverfahren geeignet sind.
Insbesondere die Kombination von automatisierten und manuellen Tests beispielsweise durch statische/dynamische Code-Analyse zeigt sich in der Praxis als sehr erfolgreich und führt zu einer Software, die Secure-by-Design ist. Secure-by-Design wird immer mehr zum Mainstream-Entwicklungsansatz, um die Sicherheit und den Datenschutz von Softwaresystemen zu gewährleisten. Bei diesem Ansatz wird die Sicherheit von Grund auf in die Software eingebaut und beginnt mit einem robusten Architekturentwurf. Entscheidungen über den Entwurf von Sicherheitsarchitekturen basieren häufig auf bekannten Sicherheitsmustern (security patterns), die als wiederverwendbare Techniken zur Erreichung bestimmter Qualitätsziele definiert sind. Sicherheitsmuster bieten Lösungen zur Durchsetzung der notwendigen Anforderungen an Authentifizierung, Autorisierung, Vertraulichkeit, Datenintegrität, Datenschutz, Verantwortlichkeit, Verfügbarkeit und Datensicherheit, selbst wenn das System angegriffen wird.
Warum ditCraft?
Sicherheit steckt in der DNA von ditCraft. Das Unternehmen ist aus der Erkenntnis entstanden, dass 87% aller Sicherheitsschwachstellen von Software-Produkten aufgrund von fehlendem oder mangelhaftem Software-Testen entstanden sind. Hätte man im Vorfeld der Implementierung auf Prinzipien des Continuous Security Testings gesetzt, wäre der Großteil der Sicherheitslücken nicht entstanden. Es ist diese Erkenntnis, die unsere Experten antreibt, unseren Kunden beim Software-Testen zu helfen. Wir haben uns auf das Continuous Security Testing spezialisiert und beraten unsere Kunden in der optimalen Umsetzung einer DevOps- und Software-Qualitätssicherungsstrategie, die auch die Sicherheitsanforderungen heutiger Software und Systeme berücksichtigt. Wir integrieren automatisierte Sicherheitstests in bereits bestehende CI/CD Pipelines und übernehmen manuelle Tests dort, wo unsere Kunden keine Personalkapazitäten oder Expertise aufbringen. Dabei schrecken wir nicht vor Code zurück, der kryptographische Funktionen enthält oder für isolierte Ausführungsumgebungen wie ARM’s TrustZone oder Intels SGX geschrieben wurde.

Sollten Sie Interesse an Security Tests haben, möchten Sie sich einen Überblick über die Möglichkeiten für Ihr IT-Unternehmen verschaffen, kontaktieren Sie uns doch über unser Kontaktformular oder vereinbaren Sie ein Beratungsgespräch über unseren Kalender.
Testimonials

Warum Kunden uns vertrauen

"Software Testing as a Service ist eine perfekte Lösung für Teams, die immer zwischen Feature-Entwicklung und 100%iger Code-Qualität jonglieren. ditCraft ermöglicht es unseren Entwicklern, sich auf den geschäftlichen Mehrwert zu konzentrieren, ohne Kompromisse bei der Code-Qualität einzugehen."
Nitin Maslekar, PhD
Beets&Roots, CTO
"Unsere Lösungen für Fintech- und Versicherungskunden erfordern aufgrund der Rechts- und Sicherheitsvorschriften der Branchen die Gewährleistung einer hohen Softwarequalität. ditCraft's Kompetenz im On-Demand-Software-Testing half uns, die Qualitätsanforderungen unserer Kunden problemlos zu erfüllen."
Florian Eismann
techdepartment ACS GmbH, Partner
"Code-Reviews und Merge-Requests sind ein wichtiger Teil unserer Software-Entwicklung, um eine gute Code-Qualität zu gewährleisten. Mit ditCraft haben wir einen professionellen Sparring-Partner gefunden, um Code-Review-Prozess zu implementieren, der uns hilft, neue Funktionen schneller auszuliefern und trotzdem die hohen Anforderungen zu erfüllen, die wir an unsere produktive Code-Basis stellen."
David Weber
Nooxit, CEO
”Das Team ditCraft ist äußerst professionell, clever und freundlich! Wir hatten ein ausführliches Einführungsgespräch, bei dem wir die vielen subtilen Nuancen unserer Smart Contracts erläuterten. ditCraft hat das Ziel unseres Systems leicht erfasst und war in der Lage, ein ausgezeichnetes high-level Review unseres Protokolls zu liefern. Wir waren so beeindruckt, dass wir ditCraft jetzt auf monatlicher Basis  einsetzen.”
Jonathan Clark
Wildcards, Founder
“Ich könnte nicht glücklicher mit ditCraft sein. Der Audit war umfassend und professionell. Es war klar, dass sie sich wirklich die Zeit genommen hatten, das Projekt gründlich zu verstehen. Sie haben Fehler gefunden, die mir nach sechs Monaten Arbeit nicht in den Sinn gekommen waren. Es ist ein Vergnügen, mit ihnen zusammenzuarbeiten und ich empfehle sie gern weiter."
Andrew Stanger
Realitycards, Founder
“Die kontinuierliche Weiterentwicklung unserer ERP Lösung erfordert flexible und schnelle Releasewechsel. (...) ditCraft hat mit tollem Einsatz und KnowHow den Continuous Delivery Prozess für uns automatisiert und somit optimiert. Das ditCraft Team hat das umfangreiche Konzept zielführend umgesetzt. Die Kommunikation während des gesamten Projekts war klasse."
Torben Ulrich
Tacoss, Softwareentwickler
Jetzt unverbindlich testen

Optimieren Sie Ihr Software-Testing

Gehen Sie auf Augenhöhe mit Branchenführern wie Google, Netflix und Facebook. Unsere Experten unterstützen Sie beim Testen Ihrer Software und helfen Ihnen, Ihr Unternehmen auf das nächste Level zu bringen.