Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsprüfung einer Webapplikation

Die CSC Deutschland Solutions GmbH bietet den Teilnehmern eine kostenfreie Sicherheitsprüfung einer Webpräsenz oder Webapplikation an.

CSC A4C Web Application Assessment

Im Rahmen der CSC A4C Initiative ist es das Ziel von CSC Deutschland, als Partner der Allianz für Cyber-Sicherheit, das IT-Sicherheitsniveau von deutschen Unternehmen anzuheben und ein Bewusstsein für die Risiken unsicherer IT-Systeme und deren Auswirkungen auf den Geschäftsbetrieb aufzubauen.

Dieses Angebot über kostenfreie Web Application Assessments richtet sich an Unternehmen, die Teilnehmer der Allianz für Cyber-Sicherheit sind und insbesondere aber nicht ausschließlich an solche, deren Kerngeschäft außerhalb der IKT-Branche liegt. Insbesondere diese Unternehmen sind erheblichen Risiken ausgesetzt, während Unternehmen der IKT-Branche in diesem Feld erfahrungsgemäß bereits gut aufgestellt sind. Das Web Application Assessment soll somit helfen, kostenneutral einen ersten Einblick in den eigenen Sicherheitszustand am Beispiel einer Webanwendung zu erhalten.

Verfügbarkeit und Umfang

Ziel des A4C Web Application Assessments ist die Sicherheitsüberprüfung einer Webanwendung, um bestehende Sicherheitslücken und deren Risiken zu identifizieren.

Im Leistungsumfang sind die Untersuchung von einer Webapplikation, die Analyse der Findings sowie die Bereitstellung eines Management-Reports inbegriffen. Details zum Leistungsumfang sind dem zu schließenden Vertragsdokument zu entnehmen. (Beispiel siehe unten)

Der Management-Report enthält die kritischsten Schwachstellen sowie deren Risikoklassifizierungen. Details zum Report sind dem Beispiel-Report zu entnehmen. (Beispiel siehe unten)

Folgende Ebenen werden im Rahmen des Web Application Assessments geprüft:

  • Schwachstellen in der Anwendungsimplementierung (z.B. unzureichende Eingabevalidierung)
  • Schwachstellen des Authentifizierungssystems, des Session-Managements, der Nutzerverwaltung oder des Rechtemanagements
  • Designschwachstellen in der Anwendungslogik
  • Konfigurationsschwachstellen der Anwendungsumgebung

Die Überprüfung erfolgt unter Einbeziehung von aktuellen Bedrohungsszenarien und unter Ausrichtung an anerkannten Standards wie dem Open Web Application Security Project (OWASP).

Bei Interesse an diesem Angebot

Interessenbekundungen zu diesem Angebot bitte formlos an die eMail-Adresse Deutschland@csc.com zusammen mit Ihren Kontaktdaten und ggf. einem Wunschtermin für ein Telefonat. Wir melden uns dann bei Ihnen bezüglich des weiteren Vorgehens. Gerne auch, um dieses spezielle Angebot nochmals zu erläutern oder individuelle Absprachen zu treffen.

Vertragliches

Vor der Durchführung des Assessments ist zwischen den beiden Parteien ein Vertrag zu schließen. Dies gilt auch für das kostenfreie Assessment. Auf Grund von Compliance-Vorgaben (z.B. SOX) ist es CSC nicht gestattet, ohne einen Vertrag für Kunden tätig zu werden.

Dieser Vertrag regelt neben dem Ziel des Assessments (also der zu überprüfenden Web-Anwendung) auch den genauen Umfang der Leistungen und weitere Details. Also insbesondere auch die Dinge, die CSC nicht durchführen wird und soll.

Ein Mustervertrag findet sich im Anhang, der bei Bedarf auch noch individuell angepasst werden kann. Erst bei Vertragsschluss wird dieses Assessment als eines der kostenfreien Assessments gewertet und in die Rangliste einsortiert. Die Abarbeitung der Assessments erfolgt nach dieser Rangliste.

Optional kann, auch im Nachhinein, auf ausdrücklichen Kundenwunsch kostenpflichtig ein vollständiger Report inkl. detaillierten Schwachstellenbeschreibungen und umfangreichen Behebungsmaßnahmen-vorschlägen auf technischer und organisatorischer Ebene erworben werden. Es ist dafür keine weitere Testdurchführung notwendig.

In Summe bietet die CSC 25 dieser kostenfreien Assessments an. Diese Anzahl inkludiert auch die Assessments, bei denen die Teilnehmer (im Nachhinein) den erweiterten kostenpflichtigen Report anfordern. Lediglich Assessments, die bereits bei Vertragsschluss einen von oben abweichenden kommerziellen Charakter und i.d.R. auch einen anderen oder erweiterten Leistungsumfang besitzen, werden nicht zu diesen kostenfreien Assessments gezählt.

Nachtests, die Erweiterung des Umfangs oder die Prüfung von an die Webapplikation ggf. zusätzlich angebundenen Webservices sind von dem kostenfreien Angebot ausgeschlossen. Es wird vorab kein Termin für die Durchführung der Tests zugesichert, da die Terminierung der Prüfungen kurzfristig anhand der verfügbaren freien technischen und personellen Ressourcen von CSC erfolgt. Aufgrund des stets hohen Aufwands zur Vor- und Nachbereitung behält sich CSC vor, die Prüfung von Internetauftritten/Webanwendungen von zu geringem Umfang abzulehnen, da hier regelmäßig Aufwand und erzielbare Resultate unverhältnismäßig sind.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK