Häufig gestellte Fragen – FAQ

Hier liefern wir Antworten auf Fragen, die uns häufig gestellt werden.
Für weitere Informationen oder an dieser Stelle nicht behandelte Fragen, stehen wir gerne zu Ihrer Verfügung..

Fragen
Wir testen alle Arten von Webanwendungen. Konkret bedeutet dies: Websites / Intranet, mobile Anwendungen, SaaS-Programme, APIs.
Unter ‚Anwendung‘ verstehen wir alles, was die Anwendungs- bzw. Software-Ebene betrifft. Unser Fokus geht damit über die Sicherheit von mobilen Anwendungen hinaus.
Natürlich ist es wichtig, dass Sie auf ein sicheres Hosting zählen können, doch leider ist dies für den Schutz Ihrer Plattform nicht ausreichend. Fehlerhafte Codierungen in Ihrer Anwendung öffnen Angreifern Tür und Tor. Solche Angriffe können zu Unterbrechungen, missbräuchlicher Verwendung des Inhalts wie auch zu Datenklau führen.
Aktuellen Schätzungen zufolge weisen 80 Prozent aller Webanwendungen mindestens eine kritische Sicherheitslücke auf.
Alle Websites stehen potenziell im Visier von Cyberangriffen, auch solche, die gar keine vertraulichen Daten beherbergen.
Die Motivation der Hacker kann ganz unterschiedlicher Natur sein: Zu Übungszwecken, um Ihren Server zu übernehmen, um eine schadhafte Website darauf zu beherbergen oder einfach nur so, zum Spaß.
Wordpress-Seiten sind ein besonders beliebtes Angriffsziel. Einige automatisierte Angriffe werden großflächig angelegt auf Zehntausenden von Websites durchgeführt.
Mit Scansoftware können automatisierte Sicherheitsanalysen durchgeführt werden. Diese Programme sind in der Lage, eine gewisse Anzahl bekannter Schwachstellen aufzuspüren. Es handelt sich dabei um eine erste Absicherung.

Ein Sicherheitsaudit beruht hingegen auf halbautomatisiert wie auch manuell ausgeführten Penetrationstests. Jedes Audit wird auf die spezifischen Bedürfnisse des jeweiligen Kunden zugeschnitten und richtet sich nach der technischen und funktionellen Architektur seiner Plattform. Mit manuellen Tests können Schwachstellen aufgespürt werden, die vom Schwachstellenscan nicht erfasst werden (z. B. logische Schwachstellen). Sie ermöglichen auch eine tiefergehende Analyse und nutzen die erkannten Schwachstellen aus, um deren Auswirkungen zu untersuchen.
Web Application Firewalls (WAF) schützen Webanwendungen vor Angriffen, ohne jedoch Sicherheitslücken zu korrigieren. Ein erfahrener Angreifer kann WAFs zudem umgehen.
Mit Penetrationstests können Sicherheitslücken Ihrer Website oder Ihrer Software auf Anwendungsebene korrigiert werden.

Für einen optimalen Schutz empfehlen wir Ihnen, beide Ansätze zu kombinieren.
Interne Angriffe sind eine ernstzunehmende Gefahr, deren Auswirkungen einer Organisation teuer zu stehen kommen können. Bei internen Angreifern kann es sich um böswillige Angestellte handeln, die ihrer Unzufriedenheit freien Lauf lassen oder nach Anerkennung trachten.

Doch auch externe Angreifer können Login- und Passwortinformationen von Angestellten erspähen und Zugriff auf Ihre Anwendungen nehmen. In diesem Fall ist es entscheidend, dass deren Funktionalitäten angemessen geschützt sind, um das Schadenausmaß möglichst einzuschränken.
Moderne Cyberangriffe kombinieren oft Hacking-Techniken mit Social-Engineering-Ansätzen. Dabei verwenden die Angreifer betrügerische Mittel, um Informationen zu erschleichen, beispielsweise Phishing-Mails oder betrügerische Anrufe. Sie können sogar physisch in ihre Geschäftsräume eindringen.

Die Reaktion Ihrer Mitarbeitenden auf solche Betrugsversuche zu testen, ist eine gute Möglichkeit, wirksame Sicherheitsmaßnahmen zu ergreifen, bei denen auch die Schwachstelle „Mensch“ berücksichtigt wird.
Für die Sicherheit von Webanwendungen verwenden wir die OWASP-Methoden. Dabei gehen wir in vier Schritten vor: Erkennung, Mapping, Discovery, Exploitation. Unsere technischen Experten verfügen über die GWAPT-Zertifizierung und begeistern sich für neue Entwicklungen in diesem Bereich. Außerdem sind sie bestrebt, ihre Kenntnisse laufend zu verbessern.

Im Hacking hat die Innovation kein Ende, deshalb wenden wir einen Großteil unserer Zeit dafür auf, neue Sicherheitslücken und neue, innovative Angriffstaktiken aufzuspüren.
Auf diese Frage gibt es nur eine ehrliche Antwort und die lautet: nein. Es gibt kein Nullrisiko.

Die erforderlichen Sicherheitsmaßnahmen variieren auch mit dem Risiko, dem Ihre Anwendungen ausgesetzt sind. Wir beraten Sie, um unter Berücksichtigung Ihrer Zielsetzungen und Ihres Budgets ein angemessenes Sicherheitsniveau zu erreichen.
Wir erstellen einen umfassenden Auditbericht, in dem wir aufführen, was wir wie getestet haben, welche Schwachstellen wir dabei gefunden haben und wie sie ausgenutzt werden können. Unser Bericht enthält Screenshots, Auszüge aus gestohlenen Daten und Szenarien, um die Angriffe nachvollziehen zu können.

Unser Ziel ist es, die Kompetenzen Ihrer technischen Teams zu stärken und sie durch unsere Dienstleistungen auf Sicherheitsfragen zu sensibilisieren.
Unser Bericht enthält technische Lösungsansätze. Für jede Schwachstelle listen wir die auszuführenden Korrekturen auf, die Daten können von Ihren Entwicklern direkt ausgewertet werden.

Wir greifen jedoch nicht selbst in Ihren Anwendungscode ein.
„Hacking“ ist ein weit gefasster Begriff, der verschiedene Techniken bezeichnet, um materielle oder menschliche Schwachstellen im informatischen Bereich aufzuspüren. Hacking kann sowohl für gute als auch für böswillige Zwecke eingesetzt werden.

Unsere Tätigkeit gliedert sich über unsere Absichtserklärungen hinaus in einen rechtlichen Rahmen ein. Wir greifen ausschließlich auf Ihren Wunsch hin ein, wobei Sie uns vorgängig durch die Unterzeichnung eines Vertrags schriftlich zur Durchführung der Tests ermächtigen. Ihr Host wird ebenfalls vorab über unsere Eingriffe informiert. Diese werden alle von derselben IP-Adresse aus gestartet, damit kein Zweifel besteht, woher die Angriffe stammen. Alle unsere Einsätze werden zudem von den von uns abgeschlossenen Versicherungen gedeckt. Je nachdem, wie kritisch die Analyse für Ihre Plattform ist, können wir unsere Tests auch auf einer in Entwicklung befindlichen Anwendung oder einer Staging-Platform durchführen.
Glossar
Open Web Application Security Project. Unabhängige Community, die sich mit der Sicherheit von Webanwendungen befasst. Sie veröffentlicht die OWASP Top 10, in der die größten Sicherheitslücken in Webanwendungen aufgelistet werden.
Auch Pen Test oder Durchdringungstest. Verfahren zur Ermittlung der Anwendungs- oder System-Sicherheit, wobei Schwachstellen durch simulierte böswillige Angriffe aufgespürt werden.
Angriffstechnik, bei der durch Einschleusung von Befehlen über verschiedene Funktionalitäten der Anwendung Zugriff auf die entsprechende Datenbank genommen wird.
Beim Cross Site Scripting (z. dt.: webseitenübergreifendes Skripting) wird ein gefährlicher Inhalt auf einer Zielseite eingeschleust. Dadurch ist eine komplette Überarbeitung der Website möglich, es kann auch zum Datenklau kommen.
Manipulationstechniken, mit denen Personen zu bestimmten Verhaltensweisen animiert werden, um vertrauliche Informationen preiszugeben oder im Rahmen eines Cyberangriffs bestimmte Schritte zu ergreifen.
Ethische Hacker. Personen mit fundierten Kenntnissen in IT-Sicherheit, deren Tätigkeit in einem strikt legalen Rahmen erfolgt. So können sie beispielsweise Sicherheitsaudits durchführen.
Illegal agierende Hacker.

Web Application Firewall. Verfahren, das eingehende Anfragen an einen Webserver über Filter prüft, um Angriffe aufzuspüren. Eine WAF blockiert gefährliche Anfragen und kann auch die vom Server gesandten Antworten kontrollieren.