Fachartikel

Im Test: Crashtest Security Suite

Webseiten sind das Tor für Unternehmen in die Online-Welt – und gleichzeitig einer der beliebtesten Angriffspunkte für Hacker. Je interaktiver und dynamischer eine Webseite ist, desto mehr potenzielle Schwachpunkte gibt es. Hier als Administrator den Überblick zu behalten, fällt nicht leicht. Das Münchner Unternehmen Crashtest Security bietet einen Online-Schwachstellenscanner an, mit dem Firmen ihre Webseiten unter die Lupe nehmen können. IT-Administrator hat das leistungsfähige Tool ausprobiert.
Das Dashboard von Crashtest Security präsentiert sich aufgeräumt und übersichtlich. Darin finden sich unter anderem die letzten Scanresultate sowie die angelegten Projekte.
Mittels Crashtests untersucht die Automobilbranche seit Jahrzehnten ihre neu entwickelten Fahrzeuge auf deren Stabilität und Sicherheit. Ähnliches ist auch in der IT möglich, indem Administratoren ihre eigenen Systeme testweise angreifen. So kommen sie Hackern zuvor, die bislang unentdeckte Schwachpunkte in den eingesetzten Produkten oder in deren Konfiguration ausnutzen. Webseiten sind dabei besonders exponiert, da diese von vornherein frei über das Internet zugänglich sind und außerdem im Laufe der Zeit immer dynamischer wurden. Firmen sind deshalb gut beraten, ihren Webauftritt regelmäßig auf Schwachstellen zu überprüfen, um Angreifern möglichst keine Einstiegspunkte zu bieten.

Mit der Crashtest Security Suite bietet das deutsche Unternehmen Crashtest Security einen leicht zu nutzenden Online-Dienst, der genau das übernimmt. So müssen Administratoren nicht mit umständlichen oder teuren Anwendungen hantieren, sondern können einfach per Browser ihren Webauftritt in Augenschein nehmen. Einen Orientierungspunkt bieten dabei die Top10-Schwachstellen des "Open Web Application Security Project", kurz OWASP. Dabei stellt das Projekt auf allgemeine Angriffsmethoden wie etwa Injections ab und nicht auf konkrete Schwachstellen gemäß CVE-Nomenklatur.

Um aussagekräftige Ergebnisse beim Scannen zu erzielen, hat uns der Anbieter eine Demoseite zur Verfügung gestellt, die wir auf Schwachstellen hin überprüfen konnten. Als Webseite definiert Crashtest "eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde." Für das Scannen einer REST-API benötigen die Nutzer noch eine Swagger-2.0-Datei, die die API für das Scannen beschreibt. Single-Page-Seiten sollen übrigens auch als API-Projekt angelegt werden. Wir beschränkten uns im Test auf den Scan einer Multi-Page-Webseite.

Fazit
Die Crashtest Security Suite bietet eine leicht zu bedienende Weboberfläche für regelmäßige Scans von Webseiten und REST-APIs. Damit behalten IT-Verantwortliche den Überblick über den Sicherheitsstatus ihrer Online-Präsenz. Hervorzuheben ist das intuitive Dashboard als zentrale Anlaufstelle, das sich selbsterklärend verwenden lässt. Eigene Projekte sind rasch angelegt und konfiguriert. Ob die Detailtiefe dabei den eigenen Ansprüchen wirklich genügt, muss jeder Administrator für sich und seine Anforderungen entscheiden. Den PDF-Bericht empfanden wir jedoch als sehr umfassend und hilfreich.

Der Full Scan zeigte sich sorgfältig und lieferte in unserem Test zahlreiche Ergebnisse zurück. Hier wären ein paar mehr Einstellmöglichkeiten für Profis wie etwa das Ausklammern bestimmter Tests wünschenswert. Besonders gefallen haben uns derweil auch die flexiblen Möglichkeiten zur Automatisierung der Tests sowie die weitergehenden Hinweise zu den gefundenen Schwachstellen. Insgesamt zeigt sich die Crashtest Security Suite als sehr durchdacht, was für den aufgerufenen Preis allerdings auch die Erwartungshaltung sein sollte.

Den kompletten Test finden Sie in Ausgabe 10/2019 ab Seite 20.
30.09.2019/ln/Daniel Richey

Nachrichten

Verstoß gegen DSGVO: Klage gegen Amtsgericht Frankfurt [26.05.2020]

Die Reisebranche wurde durch die Corona-Beschränkungen besonders hart getroffen. So sagte die polnische LOT-Gruppe die geplante Übernahme der Fluggesellschaft Condor in letzter Sekunde ab. Nun musste Condor Insolvenz anmelden, wobei während des Verfahrens offenbar Namen und Privatadressen von Verfahrensbeteiligten ans Licht kamen. Ein Rechtsanwalt klagt gegen das verantwortliche Amtsgericht in Frankfurt am Main wegen eines möglichen Verstoßes gegen die DSGVO. [mehr]

Uralt-Sicherheitslücke in Linux gestopft [25.05.2020]

Eine 20 Jahre als Sicherheitslücke in der Speicherverwaltung von Linux konnte mit Unterstützung des Security-Anbieters Check Point geschlossen werden. Schlimmstenfalls konnten Angreifer das System aufgrund der Lücke vollständig übernehmen. [mehr]

Flexiblere Firewalls [19.05.2020]

Tipps & Tools

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Proxmox VE 6.2 freigegeben [22.05.2020]

Die Proxmox Server Solutions GmbH hat eine neue Version Ihrer Open-Source-Virtualisierungslösung für Server veröffentlicht: Proxmox VE 6.2 basiert auf Debian Buster 10.4, nutzt den Linux-Longterm-Kernel 5.4 und integriert verschiedene neue Funktionen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen