Diese Website verwendet nur erforderliche Cookies, um sicherzustellen, dass unsere Website optimal genutzt werden kann. Wir verwenden keine Cookies, die personenbezogene Daten ohne Ihre vorherige Zustimmung verarbeiten. Cookie Richtlinien
Pen Test
Das Ziel der Penetrationstests ist das Sicherheitsniveau der Plattform kontinuierlich zu evaluieren. Da unsere Plattform sich stetig weiterentwickelt, führt ein externes Unternehmen regelmäßig Kontrollen durch, welche unter anderem folgenden Maßnahmen beinhaltet:
- Durchführung eines Pen Tests mit Standard-Webtesting-Tools und manuellem Testen
- Darstellung der allgemeinen webbasierten Sicherheitslücken und Schwachstellen
- Beurteilung des generellen Sicherheitszustandes der Plattform
Alle Ergebnisse werden in einem schriftlichen Abschlussbericht dokumentiert.
System Vulnerability Scanning
Automatisierte nicht-invasive Scans der Plattform werden mittels Analysesoftware durchgeführt und sämtliche Zugriffe und Tests mittels Zeitstempel geloggt. Zur Durchführung der Scans werden gängige Softwarewerkzeuge verwendet.
Web Vulnerability Scanning
Gängige Angriffsmuster und Schwachstellen, inklusive der Top 10 Application Security Risks des Open Web Application Security Project, werden durch nicht-invasive Scanning Methoden erprobt.
Proof of Concept
Zusätzlich zu den gefundenen Schwachstellen werden durch die Sicherheitsexperten der externen Firma Szenarien für mögliche Angriffe evaluiert und mit nicht-invasiven Tests belegt, die uns eine Bewertung der dargestellten Risiken ermöglichen.
Berichterstellung
Bei der Berichterstellung werden die gefunden Schwachstellen und erstellten Konzepte bewertet, klassifiziert und daraus Empfehlungen abgeleitet. Diese werden von uns priorisiert und entsprechende Maßnahmen getroffen.
Mitigation von den Pen Test
Log4J Schwachstelle
Die am 10. Dezember 2021 gemeldete Schwachstelle CVE-2021-44228 im Apache Log4j2 2.0-beta9 Modul (Version 2.12.1, 2.13.0 - 2.15.0) ermöglicht Angreifern die Übernahme eines kompromittierten Servers.
Auf unseren Produktivservern, wo sämtliche Daten unserer Kunden gespeichert sind, wird dieses Modul nicht verwendet. Es besteht von unserer Seite keine Gefahr, dass über diese Schwachstelle Kundenkonten übernommen oder Daten abgegriffen werden.
2023
Zeitraum Oktober
- XSS fixes
- Neue Fail2Ban Regeln und Rate Limits
- Upload Checks für betrügerische Inhalte verbessert
2022
Zeitraum März, April
- XSS Schwachstellen behoben
- CSRF Schwachstelle behoben
2021
Zeitraum Dezember
- Neue Funktion ermöglicht eventuell kompromierte Geräte auf denen ein Benutzer sich eingeloggt hat per Fernsteuerung auszuloggen
- JavaScript Bibliotheken wurden aktualisiert
Zeitraum Oktober
- Neue Funktion für mehr Sicherheit mit Zwei-Faktor-Authentifizierung
Zeitraum September
- XSS Schwachstellen behoben
- Zusätzliche Eingabe von Passwort erforderlich wenn Konto geschlossen wird
2020
Durchführung in KW43
- Passwortkriterien wurden für White Label Kunden verschärft. Das Passwort muss aus mindestens 8 Zeichen, mindestens einem Groß- und einem Kleinbuchstaben und mindestens einer Ziffer bestehen
- API Anpassungen - es können QR Codes nur mehr über den geheimen API Key angelegt werden
- Mögliche XSS-Attacke auf Administrator Konto von White Label Kunden bereinigt
- Ausspähen von Benutzernamen über die "Passwort vergessen" Funktion ist nun unterbunden. Es wird keine Information mehr ausgegeben, ob übergebener Benutzername exisitiert, wenn ein neues Passwort angefordert wird
Durchführung in KW21
- Server stack wurde mit neuesten patches aktualisiert
- JavaScript Bibliotheken wurden aktualisiert
2019
Durchführung in KW36
- Anpassungen für Content-Security-Policy-Header
- Strict-Transport-Security ist im Header nun gesetzt
- Umstellung auf Secure-Cookies ist für die gesamte Webseite erfolgt
- Flag für Samesite-Cookies sind in Planung
Durchführung in KW26
- Die Datei crossdomain.xml wurde entfernt. CORS-Deklarationen werden nicht mehr benötigt, da sämtliche API Zugriffe über JSONP erfolgen können
- Der Content-Security-Policy-Header kann nun dynamisch für bestimmte Seiten gesetzt werden
- Eine Umstellung auf Secure-Cookies ist für die gesamte Webseite erfolgt. Für White Label Kunden ist diese noch in Planung
-
Das
autocomplete="off"-Attribut wurde auf den Anmeldeseiten eingefügt - JavaScript Bibliotheken wurden aktualisiert
