TÜV Süd bestätigt: Enginsight secured by design

Inhalt

Als Hersteller von IT-Security-Software fühlen wir uns in besonderem Maße verpflichtet, in der Programmierung der Software dem Aspekt Sicherheit den höchsten Stellenwert einzuräumen. Deshalb haben wir uns dazu entschieden, die Software komplett selbst in Jena zu entwickeln und keine Development-Aufgaben auszulagern oder Drittsoftware einzubinden. So haben wir stets alle Zügel in der Hand und können Security by Design nicht nur behaupten, sondern täglich leben.

Dass wir mit unserer Strategie auf dem richtigen Weg sind, hat uns jetzt in einem Code Review der TÜV Süd bestätigt. Ziel der Überprüfung des Quellcodes war, Schwachstellen in der Implementierung aufzudecken, die potenziell von Angreifern ausgenutzt werden können und so die Sicherheit der Anwendung gefährden. Der TÜV Süd konnte in den über 100.000 Zeilen Code unserer API keine kritischen oder als high klassifizierten Sicherheitslücken feststellt werden.

In ihrem ausführlichen Reporting gab uns der TÜV Süd lediglich vier Hinweise zur Überprüfung, die als medium klassifiziert wurden.

Die vom TÜV überprüfte API ist unser zentrales und wichtigstes Softwaremodul, über das die gesamte Kommunikation aller Module abgewickelt wird.

Security-Scores

Bei der Bewertung griff der TÜV Süd auf die folgenden Rankingstufen zurück:

RangeBewertungBeschreibung
9.0 – 10.0CriticalDiese Arten von Schwachstellen sollten sofort auf ihre Auswirkungen auf das Unternehmen überprüft werden. In der Regel deutet diese Einstufung darauf hin, dass eine Schwachstelle existiert und leicht dazu benutzt werden könnte, die Vertraulichkeit, Integrität und/oder Verfügbarkeit ernsthaft zu beeinträchtigen.
7.0 – 8.9HighDiese Arten von Schwachstellen müssen kurzfristig auf ihre Auswirkungen auf das Unternehmen geprüft werden. Eine Bewertung in diesem Bereich deutet darauf hin, dass eine Schwachstelle mit geringer bis mittlerer Komplexität ausgenutzt werden könnte und eine mäßige oder hohe Auswirkung auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit haben könnte.
4.0 – 6.9MediumDiese Schwachstellen sollten auch hinsichtlich ihrer Auswirkungen auf das Geschäft bewertet werden, aber die Bewertung zeigt, dass diese Art von Schwachstellen möglicherweise nur mit erhöhtem Aufwand ausgenutzt werden kann oder nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit hat.
0.1 – 3.9LowDiese Schwachstellen sollten ebenfalls evaluiert werden, aber aus der Evaluierung der Basismerkmale geht hervor, dass die Ausnutzung dieser Schwachstellen wahrscheinlich nur geringe negative Auswirkungen auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit hat.

Testumgebung

Bei ihrem Code Review orientierte sich der TÜV Süd an den vom CREST 2007 herausgegebenen Richtlinien „A Guide for Running an Effective Penetration Testing Programme“. Fundiert sind die Testmethoden und Ergebnisse durch die von BSI, OWASP, OSSTMM, NIST, PCI sowie SWIFT veröffentlichen Sicherheitsstandards.

Zum Einsatz kamen die folgenden Tools:

ESLint with security pluginsJavaScript linter
SonarQubeStatic application security testing (SAST) tool for various languages and frameworks
semgrepStatic application security testing (SAST) tool for various languages and frameworks
grauditStatic application security testing (SAST) tool for various languages and frameworks
ShiftLeft ScanStatic application security testing (SAST) tool for various languages and frameworks
NodeJsScanStatic application security testing (SAST) tool for Node.js applications
npm auditSoftware composition analysis (SCA) tool for Javas-cript applications
Kali LinuxVarious tools from Kali Linux distribution
TÜV SÜD proprietary scripts 
Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

IT-Security-Events 2020

Auch 2020 bleibt IT-Sicherheit ein Themenfeld von großer Relevanz. Entsprechend viele Messen, Kongresse und Konferenzen, die sich mit dem IT-Security auseinandersetzen, stehen in den Startlöchern.

Weiterlesen »
Mann am Laptop prüft IT-Sicherheit

Certification Authority Authorization

Mit Hilfe der Certification Authority Authorization (CAA) können Domaininhaber bestimmen, welche Zertifizierungsstellen Zertifikate für Ihre Domains ausstellen dürfen. Dieses Verfahren wird auch als CA-Pinning bezeichnet.

Weiterlesen »
Enginsight Logo