Penetrationstest einer SaaS-Plattform

Bei der Plattform handelt es sich um die Standard-Software für Plant Process Management in der chemischen und pharmazeutischen Produktion. Sie wird in einer Cloudumgebung betrieben und steht dort zentral als SaaS-Plattform zur Verfügung. Mit Hilfe der Sicherheitsanalyse wird die Schutzfähigkeit geprüft, wodurch potentielle Sicherheitslücken frühzeitig erkannt und behoben werden können.

Industrie
IT – Softwareentwicklung

Kunde
Das Unternehmen eschbach entwickelt Software für interaktive Betriebsführung, transparente Kommunikation und Anlageneffizienz. Die Plattform ist weltweit bei führenden Unternehmen in der chemischen und pharmazeutischen Industrie im Einsatz.

Zeitlicher Rahmen
März 2022

Projekt Standort
Deutschland

Herausforderungen
Die SaaS-Lösung der eschbach GmbH ist bei einem externen Cloudanbieter gehostet. Dadurch war neben der Lösung selbst auch das Sicherheitsniveau des Infrastruktur-Partners relevant, und zu überprüfen.

Ziele
Aufdeckung und Behebung potentieller Sicherheitsrisiken der Softwarelösung sowie der Cloudumgebung.

Lösungen & Services
Mit Hilfe der Sicherheitsanalyse wurde die im Geltungsbereich befindliche IT-Infrastruktur auf Schwachstellen untersucht, welche die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme negativ beeinflussen könnten. Die Ergebnisse wurden dem Kunden im Anschluss in einem detaillierten Bericht dargelegt. Auf Basis dieser überzeugenden Services von TÜV Rheinland hat sich eschbach zu einer regelmäßigen Wiederholung entschieden.

Kundenvorteile
Mit Hilfe der Sicherheitsanalyse können Sicherheitslücken im eigenen System aufgedeckt und behoben werden, bevor Cyberkriminelle diese ausnutzen. Dies erspart teils erhebliche Kosten, die durch Ausfallzeiten, Erpressung oder Imageverlust entstehen können.

Bei der Durchführung von Sicherheitsanalysen können unterschiedliche Methoden Anwendung finden, die jeweils von dem zu testenden System oder der jeweiligen Infrastruktur abhängig sind.

Im Rahmen des beschriebenen Projekts wurde ein externer Penetrationstest der Webapplikation Shiftconnector® und der unterliegenden Infrastruktur durchgeführt. Bei dieser Methode wird ein Cyberangriff von außen simuliert, in welchem die IT-Security Expert*innen des TÜV Rheinland über die jeweilig aus dem Internet erreichbaren Systeme versuchen, auf das unternehmensinterne Netzwerk zuzugreifen.

Der Penetrationstest einer Webapplikation wird auf Basis des Testing Guides „Open Web Application Security Project (OWASP)“ durchgeführt. Der Fokus der Untersuchung liegt auf den OWASP Top-Ten Schwachstellen. Zusätzlich suchen unsere Expert*innen nach weniger verbreiteten Schwachstellen. Die Auswahl dieser orientiert sich jeweils an der zu testenden Applikation und deren Spezifikationen, um das höchstmögliche Schutzniveau zu erreichen. Die Analyseergebnisse wurden samt konkreter Handlungsempfehlungen in einem abschließenden Bericht festgehalten. Die Ergebnisse sind wie immer streng vertraulich.

Seit mehr als 20 Jahren unterstützt das Cybersecurity-Geschäft bei TÜV Rheinland Unternehmen aus zahlreichen Branchen dabei, innovative Technologien sicher zu nutzen. Unsere Berater kombinieren ihre Cybersecurity-Expertise mit hohem Branchen-Know-how. Der Ansatz unserer Cybersecurity-Lösungen zielt auf die Kombination von Sicherheit und Datenschutz in einer immer stärker verwundbaren Welt vernetzter Systeme und Geräte. Hierzu führen die Fachleute unter anderem Cybersecurity-Tests, Prüfungen industrieller Sicherheit sowie Prüfungen zum Datenschutz im Internet der Dinge (IoT) und von Cloud-Infrastrukturen durch. TÜV Rheinland betreibt ein weltweites Netzwerk von mehr als hundert Laboratorien, in dem für Hersteller und Betreiber diverse Tests zur Cybersecurity durchgeführt werden.