Fachartikel

Im Test: Crashtest Security Suite

Webseiten sind das Tor für Unternehmen in die Online-Welt – und gleichzeitig einer der beliebtesten Angriffspunkte für Hacker. Je interaktiver und dynamischer eine Webseite ist, desto mehr potenzielle Schwachpunkte gibt es. Hier als Administrator den Überblick zu behalten, fällt nicht leicht. Das Münchner Unternehmen Crashtest Security bietet einen Online-Schwachstellenscanner an, mit dem Firmen ihre Webseiten unter die Lupe nehmen können. IT-Administrator hat das leistungsfähige Tool ausprobiert.
Das Dashboard von Crashtest Security präsentiert sich aufgeräumt und übersichtlich. Darin finden sich unter anderem die letzten Scanresultate sowie die angelegten Projekte.
Mittels Crashtests untersucht die Automobilbranche seit Jahrzehnten ihre neu entwickelten Fahrzeuge auf deren Stabilität und Sicherheit. Ähnliches ist auch in der IT möglich, indem Administratoren ihre eigenen Systeme testweise angreifen. So kommen sie Hackern zuvor, die bislang unentdeckte Schwachpunkte in den eingesetzten Produkten oder in deren Konfiguration ausnutzen. Webseiten sind dabei besonders exponiert, da diese von vornherein frei über das Internet zugänglich sind und außerdem im Laufe der Zeit immer dynamischer wurden. Firmen sind deshalb gut beraten, ihren Webauftritt regelmäßig auf Schwachstellen zu überprüfen, um Angreifern möglichst keine Einstiegspunkte zu bieten.

Mit der Crashtest Security Suite bietet das deutsche Unternehmen Crashtest Security einen leicht zu nutzenden Online-Dienst, der genau das übernimmt. So müssen Administratoren nicht mit umständlichen oder teuren Anwendungen hantieren, sondern können einfach per Browser ihren Webauftritt in Augenschein nehmen. Einen Orientierungspunkt bieten dabei die Top10-Schwachstellen des "Open Web Application Security Project", kurz OWASP. Dabei stellt das Projekt auf allgemeine Angriffsmethoden wie etwa Injections ab und nicht auf konkrete Schwachstellen gemäß CVE-Nomenklatur.

Um aussagekräftige Ergebnisse beim Scannen zu erzielen, hat uns der Anbieter eine Demoseite zur Verfügung gestellt, die wir auf Schwachstellen hin überprüfen konnten. Als Webseite definiert Crashtest "eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde." Für das Scannen einer REST-API benötigen die Nutzer noch eine Swagger-2.0-Datei, die die API für das Scannen beschreibt. Single-Page-Seiten sollen übrigens auch als API-Projekt angelegt werden. Wir beschränkten uns im Test auf den Scan einer Multi-Page-Webseite.

Fazit
Die Crashtest Security Suite bietet eine leicht zu bedienende Weboberfläche für regelmäßige Scans von Webseiten und REST-APIs. Damit behalten IT-Verantwortliche den Überblick über den Sicherheitsstatus ihrer Online-Präsenz. Hervorzuheben ist das intuitive Dashboard als zentrale Anlaufstelle, das sich selbsterklärend verwenden lässt. Eigene Projekte sind rasch angelegt und konfiguriert. Ob die Detailtiefe dabei den eigenen Ansprüchen wirklich genügt, muss jeder Administrator für sich und seine Anforderungen entscheiden. Den PDF-Bericht empfanden wir jedoch als sehr umfassend und hilfreich.

Der Full Scan zeigte sich sorgfältig und lieferte in unserem Test zahlreiche Ergebnisse zurück. Hier wären ein paar mehr Einstellmöglichkeiten für Profis wie etwa das Ausklammern bestimmter Tests wünschenswert. Besonders gefallen haben uns derweil auch die flexiblen Möglichkeiten zur Automatisierung der Tests sowie die weitergehenden Hinweise zu den gefundenen Schwachstellen. Insgesamt zeigt sich die Crashtest Security Suite als sehr durchdacht, was für den aufgerufenen Preis allerdings auch die Erwartungshaltung sein sollte.

Den kompletten Test finden Sie in Ausgabe 10/2019 ab Seite 20.
30.09.2019/ln/Daniel Richey

Nachrichten

it-sa verbucht weiteren Zuwachs [11.10.2019]

Nach drei Messetagen hat die it-sa 2019 gestern Abend ihre Tore wieder geschlossen. Mit 753 Ausstellern aus 25 Ländern und 15.632 internationalen Fachbesuchern verzeichnete das Messezentrum Nürnberg dabei einen Zuwachs vor allem aus dem internationalen Umfeld. [mehr]

Ratgeber für Multi-Faktor-Authentifizierung [10.10.2019]

KnowBe4 kündigt ein neues kostenloses Tool namens "Multi-Factor Authentication Security Assessment" an. Es gibt Sicherheitsexperten Ratschläge zur Umsetzung einer Multi-Faktor-Authentifizierungs-Strategie und Tipps zum Schutz vor MFA-Hackings. [mehr]

Sicher ist sicher [8.10.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen