{"id":7152,"date":"2020-10-29T13:31:59","date_gmt":"2020-10-29T12:31:59","guid":{"rendered":"https:\/\/enginsight.com\/?p=7152"},"modified":"2023-07-27T11:01:15","modified_gmt":"2023-07-27T09:01:15","slug":"tuev-sued-bestaetigt-enginsight-secured-by-design","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/tuev-sued-bestaetigt-enginsight-secured-by-design\/","title":{"rendered":"T\u00dcV S\u00fcd best\u00e4tigt: Enginsight secured by design"},"content":{"rendered":"<p>Als Hersteller von IT-Security-Software f&#xFC;hlen wir uns in besonderem Ma&#xDF;e verpflichtet, in der Programmierung der Software dem Aspekt Sicherheit den h&#xF6;chsten Stellenwert einzur&#xE4;umen. Deshalb haben wir uns dazu entschieden, die Software komplett selbst in Jena zu entwickeln und keine Development-Aufgaben auszulagern oder Drittsoftware einzubinden. So haben wir stets alle Z&#xFC;gel in der Hand und k&#xF6;nnen Security by Design nicht nur behaupten, sondern t&#xE4;glich leben.<\/p>\n\n\n\n<p>Dass wir mit unserer Strategie auf dem richtigen Weg sind, hat uns jetzt in einem Code Review der <a href=\"https:\/\/www.tuvsud.com\/de-de\" target=\"_blank\" rel=\"noreferrer noopener\">T&#xDC;V S&#xFC;d<\/a> best&#xE4;tigt. Ziel der &#xDC;berpr&#xFC;fung des Quellcodes war, Schwachstellen in der Implementierung aufzudecken, die potenziell von Angreifern ausgenutzt werden k&#xF6;nnen und so die Sicherheit der Anwendung gef&#xE4;hrden. Der T&#xDC;V S&#xFC;d konnte in den &#xFC;ber 100.000 Zeilen Code unserer API keine kritischen oder als high klassifizierten Sicherheitsl&#xFC;cken feststellt werden.<\/p>\n\n\n\n<p><strong>In ihrem ausf&#xFC;hrlichen Reporting gab uns der T&#xDC;V S&#xFC;d lediglich vier Hinweise zur &#xDC;berpr&#xFC;fung, die als medium klassifiziert wurden.<\/strong><\/p>\n\n\n\n<p>Die vom T&#xDC;V &#xFC;berpr&#xFC;fte API ist unser zentrales und wichtigstes Softwaremodul, &#xFC;ber das die gesamte Kommunikation aller Module abgewickelt wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Security-Scores<\/h2>\n\n\n\n<p>Bei der Bewertung griff der T&#xDC;V S&#xFC;d auf die folgenden Rankingstufen zur&#xFC;ck:<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><tbody><tr><td><strong>Range<\/strong><\/td><td><strong>Bewertung<\/strong><\/td><td><strong>Beschreibung<\/strong><\/td><\/tr><tr><td>9.0 &#x2013; 10.0<\/td><td>Critical<\/td><td>Diese Arten von <a href=\"https:\/\/enginsight.com\/de\/schwachstellenmanagement\/\">Schwachstellen <\/a>sollten sofort auf ihre Auswirkungen auf das Unternehmen &#xFC;berpr&#xFC;ft werden. In der Regel deutet diese Einstufung darauf hin, dass eine Schwachstelle existiert und leicht dazu benutzt werden k&#xF6;nnte, die Vertraulichkeit, Integrit&#xE4;t und\/oder Verf&#xFC;gbarkeit ernsthaft zu beeintr&#xE4;chtigen.<\/td><\/tr><tr><td>7.0 &#x2013; 8.9<\/td><td>High<\/td><td>Diese Arten von Schwachstellen m&#xFC;ssen kurzfristig auf ihre Auswirkungen auf das Unternehmen gepr&#xFC;ft werden. Eine Bewertung in diesem Bereich deutet darauf hin, dass eine Schwachstelle mit geringer bis mittlerer Komplexit&#xE4;t ausgenutzt werden k&#xF6;nnte und eine m&#xE4;&#xDF;ige oder hohe Auswirkung auf die Vertraulichkeit, Integrit&#xE4;t und\/oder Verf&#xFC;gbarkeit haben k&#xF6;nnte.<\/td><\/tr><tr><td>4.0 &#x2013; 6.9<\/td><td>Medium<\/td><td>Diese Schwachstellen sollten auch hinsichtlich ihrer Auswirkungen auf das Gesch&#xE4;ft bewertet werden, aber die Bewertung zeigt, dass diese Art von Schwachstellen m&#xF6;glicherweise nur mit erh&#xF6;htem Aufwand ausgenutzt werden kann oder nur geringe Auswirkungen auf die Vertraulichkeit, Integrit&#xE4;t und\/oder Verf&#xFC;gbarkeit hat.<\/td><\/tr><tr><td>0.1 &#x2013; 3.9<\/td><td>Low<\/td><td>Diese Schwachstellen sollten ebenfalls evaluiert werden, aber aus der Evaluierung der Basismerkmale geht hervor, dass die Ausnutzung dieser Schwachstellen wahrscheinlich nur geringe negative Auswirkungen auf die Vertraulichkeit, Integrit&#xE4;t und\/oder Verf&#xFC;gbarkeit hat.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:39px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Testumgebung<\/h2>\n\n\n\n<p>Bei ihrem Code Review orientierte sich der T&#xDC;V S&#xFC;d an den vom CREST 2007 herausgegebenen Richtlinien &#x201E;A Guide for Running an Effective Penetration Testing Programme&#x201C;. Fundiert sind die Testmethoden und Ergebnisse durch die von BSI, OWASP, OSSTMM, NIST, PCI sowie SWIFT ver&#xF6;ffentlichen Sicherheitsstandards.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p>Zum Einsatz kamen die folgenden Tools:<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><tbody><tr><td>ESLint with security plugins<\/td><td>JavaScript linter<\/td><\/tr><tr><td>SonarQube<\/td><td>Static application security testing (SAST) tool for various languages and frameworks<\/td><\/tr><tr><td>semgrep<\/td><td>Static application security testing (SAST) tool for various languages and frameworks<\/td><\/tr><tr><td>graudit<\/td><td>Static application security testing (SAST) tool for various languages and frameworks<\/td><\/tr><tr><td>ShiftLeft Scan<\/td><td>Static application security testing (SAST) tool for various languages and frameworks<\/td><\/tr><tr><td>NodeJsScan<\/td><td>Static application security testing (SAST) tool for Node.js applications<\/td><\/tr><tr><td>npm audit<\/td><td>Software composition analysis (SCA) tool for Javas-cript applications<\/td><\/tr><tr><td>Kali Linux<\/td><td>Various tools from Kali Linux distribution<\/td><\/tr><tr><td>T&#xDC;V S&#xDC;D proprietary scripts<\/td><td>&#xA0;<\/td><\/tr><\/tbody><\/table><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Als Hersteller von IT-Security-Software f&#xFC;hlen wir uns in besonderem Ma&#xDF;e verpflichtet, in der Programmierung der Software dem Aspekt Sicherheit den h&#xF6;chsten Stellenwert einzur&#xE4;umen. Deshalb haben wir unsere Software dem T&#xDC;V S&#xFC;d zu einem Code Review vorgelegt. Das Ergebnis best&#xE4;tigt, dass wir auf dem richtigen Weg sind.<\/p>\n","protected":false},"author":8,"featured_media":7154,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[1],"tags":[70,75,170],"class_list":["post-7152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-inside-enginsight","tag-enginsight","tag-it-security","tag-security-by-design"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/7152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=7152"}],"version-history":[{"count":0,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/7152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/7154"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=7152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=7152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=7152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}