Fachartikel

Im Test: Crashtest Security Suite

Webseiten sind das Tor für Unternehmen in die Online-Welt – und gleichzeitig einer der beliebtesten Angriffspunkte für Hacker. Je interaktiver und dynamischer eine Webseite ist, desto mehr potenzielle Schwachpunkte gibt es. Hier als Administrator den Überblick zu behalten, fällt nicht leicht. Das Münchner Unternehmen Crashtest Security bietet einen Online-Schwachstellenscanner an, mit dem Firmen ihre Webseiten unter die Lupe nehmen können. IT-Administrator hat das leistungsfähige Tool ausprobiert.
Das Dashboard von Crashtest Security präsentiert sich aufgeräumt und übersichtlich. Darin finden sich unter anderem die letzten Scanresultate sowie die angelegten Projekte.
Mittels Crashtests untersucht die Automobilbranche seit Jahrzehnten ihre neu entwickelten Fahrzeuge auf deren Stabilität und Sicherheit. Ähnliches ist auch in der IT möglich, indem Administratoren ihre eigenen Systeme testweise angreifen. So kommen sie Hackern zuvor, die bislang unentdeckte Schwachpunkte in den eingesetzten Produkten oder in deren Konfiguration ausnutzen. Webseiten sind dabei besonders exponiert, da diese von vornherein frei über das Internet zugänglich sind und außerdem im Laufe der Zeit immer dynamischer wurden. Firmen sind deshalb gut beraten, ihren Webauftritt regelmäßig auf Schwachstellen zu überprüfen, um Angreifern möglichst keine Einstiegspunkte zu bieten.

Mit der Crashtest Security Suite bietet das deutsche Unternehmen Crashtest Security einen leicht zu nutzenden Online-Dienst, der genau das übernimmt. So müssen Administratoren nicht mit umständlichen oder teuren Anwendungen hantieren, sondern können einfach per Browser ihren Webauftritt in Augenschein nehmen. Einen Orientierungspunkt bieten dabei die Top10-Schwachstellen des "Open Web Application Security Project", kurz OWASP. Dabei stellt das Projekt auf allgemeine Angriffsmethoden wie etwa Injections ab und nicht auf konkrete Schwachstellen gemäß CVE-Nomenklatur.

Um aussagekräftige Ergebnisse beim Scannen zu erzielen, hat uns der Anbieter eine Demoseite zur Verfügung gestellt, die wir auf Schwachstellen hin überprüfen konnten. Als Webseite definiert Crashtest "eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde." Für das Scannen einer REST-API benötigen die Nutzer noch eine Swagger-2.0-Datei, die die API für das Scannen beschreibt. Single-Page-Seiten sollen übrigens auch als API-Projekt angelegt werden. Wir beschränkten uns im Test auf den Scan einer Multi-Page-Webseite.

Fazit
Die Crashtest Security Suite bietet eine leicht zu bedienende Weboberfläche für regelmäßige Scans von Webseiten und REST-APIs. Damit behalten IT-Verantwortliche den Überblick über den Sicherheitsstatus ihrer Online-Präsenz. Hervorzuheben ist das intuitive Dashboard als zentrale Anlaufstelle, das sich selbsterklärend verwenden lässt. Eigene Projekte sind rasch angelegt und konfiguriert. Ob die Detailtiefe dabei den eigenen Ansprüchen wirklich genügt, muss jeder Administrator für sich und seine Anforderungen entscheiden. Den PDF-Bericht empfanden wir jedoch als sehr umfassend und hilfreich.

Der Full Scan zeigte sich sorgfältig und lieferte in unserem Test zahlreiche Ergebnisse zurück. Hier wären ein paar mehr Einstellmöglichkeiten für Profis wie etwa das Ausklammern bestimmter Tests wünschenswert. Besonders gefallen haben uns derweil auch die flexiblen Möglichkeiten zur Automatisierung der Tests sowie die weitergehenden Hinweise zu den gefundenen Schwachstellen. Insgesamt zeigt sich die Crashtest Security Suite als sehr durchdacht, was für den aufgerufenen Preis allerdings auch die Erwartungshaltung sein sollte.

Den kompletten Test finden Sie in Ausgabe 10/2019 ab Seite 20.
30.09.2019/ln/Daniel Richey

Nachrichten

Hardwarebasierte Sicherheit [6.12.2019]

IGEL hat die neue Version seines Thin-Clients, dem "UD7" vorgestellt, das ab sofort die integrierte AMD-Secure-Processor-Technologie enthält. Diese bietet laut Hersteller ein dediziertes Chain-of-Trust-Sicherheitssystem, das den Schutz der Endgeräte weiter erhöhen und die Sicherheitsrisiken weiter reduzieren soll. [mehr]

TeamViewer integriert Patch-Management-Funktion [5.12.2019]

TeamViewer erweitert seine Software "Monitoring & Asset Management" um eine Patch-Management-Funktion. Damit sollen besonders kleine und mittelständische Unternehmen darin unterstützt werden, ihre Software auf dem aktuellen Stand zu halten. Häufig stellen veraltete Programme nämlich ein Einfallstor für Angreifer dar. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen