Fachartikel

Im Test: Crashtest Security Suite

Webseiten sind das Tor für Unternehmen in die Online-Welt – und gleichzeitig einer der beliebtesten Angriffspunkte für Hacker. Je interaktiver und dynamischer eine Webseite ist, desto mehr potenzielle Schwachpunkte gibt es. Hier als Administrator den Überblick zu behalten, fällt nicht leicht. Das Münchner Unternehmen Crashtest Security bietet einen Online-Schwachstellenscanner an, mit dem Firmen ihre Webseiten unter die Lupe nehmen können. IT-Administrator hat das leistungsfähige Tool ausprobiert.
Das Dashboard von Crashtest Security präsentiert sich aufgeräumt und übersichtlich. Darin finden sich unter anderem die letzten Scanresultate sowie die angelegten Projekte.
Mittels Crashtests untersucht die Automobilbranche seit Jahrzehnten ihre neu entwickelten Fahrzeuge auf deren Stabilität und Sicherheit. Ähnliches ist auch in der IT möglich, indem Administratoren ihre eigenen Systeme testweise angreifen. So kommen sie Hackern zuvor, die bislang unentdeckte Schwachpunkte in den eingesetzten Produkten oder in deren Konfiguration ausnutzen. Webseiten sind dabei besonders exponiert, da diese von vornherein frei über das Internet zugänglich sind und außerdem im Laufe der Zeit immer dynamischer wurden. Firmen sind deshalb gut beraten, ihren Webauftritt regelmäßig auf Schwachstellen zu überprüfen, um Angreifern möglichst keine Einstiegspunkte zu bieten.

Mit der Crashtest Security Suite bietet das deutsche Unternehmen Crashtest Security einen leicht zu nutzenden Online-Dienst, der genau das übernimmt. So müssen Administratoren nicht mit umständlichen oder teuren Anwendungen hantieren, sondern können einfach per Browser ihren Webauftritt in Augenschein nehmen. Einen Orientierungspunkt bieten dabei die Top10-Schwachstellen des "Open Web Application Security Project", kurz OWASP. Dabei stellt das Projekt auf allgemeine Angriffsmethoden wie etwa Injections ab und nicht auf konkrete Schwachstellen gemäß CVE-Nomenklatur.

Um aussagekräftige Ergebnisse beim Scannen zu erzielen, hat uns der Anbieter eine Demoseite zur Verfügung gestellt, die wir auf Schwachstellen hin überprüfen konnten. Als Webseite definiert Crashtest "eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde." Für das Scannen einer REST-API benötigen die Nutzer noch eine Swagger-2.0-Datei, die die API für das Scannen beschreibt. Single-Page-Seiten sollen übrigens auch als API-Projekt angelegt werden. Wir beschränkten uns im Test auf den Scan einer Multi-Page-Webseite.

Fazit
Die Crashtest Security Suite bietet eine leicht zu bedienende Weboberfläche für regelmäßige Scans von Webseiten und REST-APIs. Damit behalten IT-Verantwortliche den Überblick über den Sicherheitsstatus ihrer Online-Präsenz. Hervorzuheben ist das intuitive Dashboard als zentrale Anlaufstelle, das sich selbsterklärend verwenden lässt. Eigene Projekte sind rasch angelegt und konfiguriert. Ob die Detailtiefe dabei den eigenen Ansprüchen wirklich genügt, muss jeder Administrator für sich und seine Anforderungen entscheiden. Den PDF-Bericht empfanden wir jedoch als sehr umfassend und hilfreich.

Der Full Scan zeigte sich sorgfältig und lieferte in unserem Test zahlreiche Ergebnisse zurück. Hier wären ein paar mehr Einstellmöglichkeiten für Profis wie etwa das Ausklammern bestimmter Tests wünschenswert. Besonders gefallen haben uns derweil auch die flexiblen Möglichkeiten zur Automatisierung der Tests sowie die weitergehenden Hinweise zu den gefundenen Schwachstellen. Insgesamt zeigt sich die Crashtest Security Suite als sehr durchdacht, was für den aufgerufenen Preis allerdings auch die Erwartungshaltung sein sollte.

Den kompletten Test finden Sie in Ausgabe 10/2019 ab Seite 20.
30.09.2019/ln/Daniel Richey

Nachrichten

it-sa verbucht weiteren Zuwachs [11.10.2019]

Nach drei Messetagen hat die it-sa 2019 gestern Abend ihre Tore wieder geschlossen. Mit 753 Ausstellern aus 25 Ländern und 15.632 internationalen Fachbesuchern verzeichnete das Messezentrum Nürnberg dabei einen Zuwachs vor allem aus dem internationalen Umfeld. [mehr]

Ratgeber für Multi-Faktor-Authentifizierung [10.10.2019]

KnowBe4 kündigt ein neues kostenloses Tool namens "Multi-Factor Authentication Security Assessment" an. Es gibt Sicherheitsexperten Ratschläge zur Umsetzung einer Multi-Faktor-Authentifizierungs-Strategie und Tipps zum Schutz vor MFA-Hackings. [mehr]

Mobilitätshelfer [9.10.2019]

Sicher ist sicher [8.10.2019]

Tipps & Tools

Jetzt erhältlich: Sonderheft Windows & Exchange Server 2019 [14.10.2019]

Das zweite IT-Administrator Sonderheft des Jahres 2019 ist da. Es versorgt Sie mit praxisgerechtem Know-how zu den wichtigsten neuen Features in Microsofts Server-Flaggschiffen Windows 2019 und Exchange 2019. Der Schwerpunkt der 180 Seiten liegt auf Administration, Sicherheit und Cloudanbindung. Bestellen Sie Ihre Ausgabe jetzt – Abonnenten erhalten wie immer einen Vorzugspreis. [mehr]

Datenverhalten analysieren [13.10.2019]

Viele Unternehmen erhalten täglich mindestens 10.000 Sicherheitswarnungen, einige sogar eine Million. Eine Fülle, die von Sicherheitsteams kaum zu bewältigen ist – schon gar nicht, wenn es sich um eine kleine Abteilung handelt. Es gibt jedoch eine technische Lösung, um nur relevante Warnungen zu erkennen und so die Arbeit für die IT-Abteilung zu erleichtern. [mehr]

Pixelkunst per App [12.10.2019]

PDFs ausbessern [11.10.2019]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen