Als Hersteller von IT-Security-Software fühlen wir uns in besonderem Maße verpflichtet, in der Programmierung der Software dem Aspekt Sicherheit den höchsten Stellenwert einzuräumen. Deshalb haben wir uns dazu entschieden, die Software komplett selbst in Jena zu entwickeln und keine Development-Aufgaben auszulagern oder Drittsoftware einzubinden. So haben wir stets alle Zügel in der Hand und können Security by Design nicht nur behaupten, sondern täglich leben.
Dass wir mit unserer Strategie auf dem richtigen Weg sind, hat uns jetzt in einem Code Review der TÜV Süd bestätigt. Ziel der Überprüfung des Quellcodes war, Schwachstellen in der Implementierung aufzudecken, die potenziell von Angreifern ausgenutzt werden können und so die Sicherheit der Anwendung gefährden. Der TÜV Süd konnte in den über 100.000 Zeilen Code unserer API keine kritischen oder als high klassifizierten Sicherheitslücken feststellt werden.
In ihrem ausführlichen Reporting gab uns der TÜV Süd lediglich vier Hinweise zur Überprüfung, die als medium klassifiziert wurden.
Die vom TÜV überprüfte API ist unser zentrales und wichtigstes Softwaremodul, über das die gesamte Kommunikation aller Module abgewickelt wird.
Security-Scores
Bei der Bewertung griff der TÜV Süd auf die folgenden Rankingstufen zurück:
| Range | Bewertung | Beschreibung |
| 9.0 – 10.0 | Critical | Diese Arten von Schwachstellen sollten sofort auf ihre Auswirkungen auf das Unternehmen überprüft werden. In der Regel deutet diese Einstufung darauf hin, dass eine Schwachstelle existiert und leicht dazu benutzt werden könnte, die Vertraulichkeit, Integrität und/oder Verfügbarkeit ernsthaft zu beeinträchtigen. |
| 7.0 – 8.9 | High | Diese Arten von Schwachstellen müssen kurzfristig auf ihre Auswirkungen auf das Unternehmen geprüft werden. Eine Bewertung in diesem Bereich deutet darauf hin, dass eine Schwachstelle mit geringer bis mittlerer Komplexität ausgenutzt werden könnte und eine mäßige oder hohe Auswirkung auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit haben könnte. |
| 4.0 – 6.9 | Medium | Diese Schwachstellen sollten auch hinsichtlich ihrer Auswirkungen auf das Geschäft bewertet werden, aber die Bewertung zeigt, dass diese Art von Schwachstellen möglicherweise nur mit erhöhtem Aufwand ausgenutzt werden kann oder nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit hat. |
| 0.1 – 3.9 | Low | Diese Schwachstellen sollten ebenfalls evaluiert werden, aber aus der Evaluierung der Basismerkmale geht hervor, dass die Ausnutzung dieser Schwachstellen wahrscheinlich nur geringe negative Auswirkungen auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit hat. |
Testumgebung
Bei ihrem Code Review orientierte sich der TÜV Süd an den vom CREST 2007 herausgegebenen Richtlinien „A Guide for Running an Effective Penetration Testing Programme“. Fundiert sind die Testmethoden und Ergebnisse durch die von BSI, OWASP, OSSTMM, NIST, PCI sowie SWIFT veröffentlichen Sicherheitsstandards.
Zum Einsatz kamen die folgenden Tools:
| ESLint with security plugins | JavaScript linter |
| SonarQube | Static application security testing (SAST) tool for various languages and frameworks |
| semgrep | Static application security testing (SAST) tool for various languages and frameworks |
| graudit | Static application security testing (SAST) tool for various languages and frameworks |
| ShiftLeft Scan | Static application security testing (SAST) tool for various languages and frameworks |
| NodeJsScan | Static application security testing (SAST) tool for Node.js applications |
| npm audit | Software composition analysis (SCA) tool for Javas-cript applications |
| Kali Linux | Various tools from Kali Linux distribution |
| TÜV SÜD proprietary scripts |
