Durchführung von Penetrationstests: Webanwendungen und Schließanlagen

Die Württembergische Gemeinde-Versicherung a.G. (WGV) führt im Rahmen des etablierten Information Security Managements (ISMS) und des kontinuierlichen Verbesserungsprozesses (KVP) eine regelmäßige Sicherheitsuntersuchung der eigenen Infrastruktur durch. In diesem Zuge hat HiSolutions zur Erhebung des aktuellen Sicherheitsniveaus einen Penetrationstest der Webanwendungen, der Network-Access-Control-Konfiguration (NAC) und der physischen Schließanlagen durchgeführt.

Success Story als PDF herunterladen

Ziele

Der Penetrationstest der Webanwendungen sollte vorhandene Schwachstellen in den geprüften Umgebungen der WGV identifizieren, bewerten und dokumentieren.

In gleicher Weise sollten Konfigurationsfehler in der Netzwerkschnittstellenkontrolle ausfindig gemacht werden, bevor die neue Lösung unternehmensweit ausgerollt wird.

Bei der Prüfung der RFID-Zutrittskarten sollten Mängel in der Zugangskontrolle identifiziert und Risiken dokumentiert werden, die ein unberechtigtes Eindringen in die Räumlichkeiten der WGV ermöglichen können.
 

Herausforderungen

Die durchgeführten Penetrationstests wurden als Black-Box-Szenario, das heißt ohne zusätzliche Informationen durch den Auftraggeber, durchgeführt.

Dadurch wurde ein Vorgehen simuliert, dass dem Verhalten eines realen Angreifers sehr nahekommt.

Den Testern wurde dabei eine schnelle Anpassung an neue Gegebenheiten abverlangt, um innerhalb des vorgegebenen Zeitraums Schwachstellen zu identifizieren und in Rücksprache aktiv auszunutzen.

Aufgrund der unterschiedlichen Testgebiete war es weiterhin notwendig, tiefergehendes Wissen nicht über eingesetzte Software, sondern auch vorgefundener Hardware einzusetzen.
 

Umsetzung

Die Teammitglieder hielten sich für die Sicherheitsprüfung eine Woche in den Räumlichkeiten der WGV auf. Von dort aus wurden anschließend die Tests der einzelnen Prüfgebiete nach realen Bedingungen durchgeführt. 

Für den Penetrationstest der Webanwendungen wurden alle Funktionalitäten beobachtet, analysiert und im Anschluss versucht, diese derartig zu manipulieren, dass gegebenenfalls ein ungewolltes Verhalten provoziert und ausgenutzt werden kann.

Für die Überprüfung der Netzwerkzugangskontrollen wurde geprüft, ob sich mit den Geräten der Tester ein Kommunikationsweg abseits der Kontrollmechanismen aufbauen lässt und dadurch der Netzwerkverkehr belauschen oder in diesen eingreifen lässt.

Für die Prüfung der RFID-Zutrittskarten wurden Möglichkeiten des Kopierens und der Simulation von Zutrittskarten bzw. Zugangsberechtigungen gegenüber Lesegeräten betrachtet. Die Analyse resultierender Risiken erfolgte anhand einer Begehung des Gebäudes.
 

Ergebnis

Die Ergebnisse der Sicherheitsüberprüfung wurden in einem detaillierten Prüfbericht aufbereitet und der WGV bereitgestellt.

Die einzelnen Sachverhalte wurden dabei detailliert erläutert, damit der Auftraggeber in die Lage versetzt wird, diese nachzuvollziehen und gegebenenfalls zu reproduzieren. Anschließend wurden die jeweiligen Sicherheitsrisiken mit Bezug auf die Infrastruktur und Arbeitsabläufe des Unternehmens aufgeführt. Zusätzlich wurden konkrete Handlungsempfehlungen ausgesprochen, die dem Auftraggeber als Grundlage dienen, identifizierte Mängel nachhaltig zu beheben.

Durch kurze Kommunikationswege und aktive Einbindung aller beteiligten Parteien konnte letztlich eine tiefergehende Bestandsaufnahme des aktuellen Sicherheitsniveaus herausgearbeitet werden. Dies schuf schlussendlich eine sicherere Infrastruktur für Mitarbeiter und Kunden der WGV.
 

Das sagt unser Kunde

„Die über 10-jährige stets zuverlässige und erfolgreiche Zusammenarbeit mit der HiSolutions AG hat sich sehr bewährt. Hierdurch war für uns klar, dass wir uns auch bei unseren regelmäßigen Penetrationstests auf die kompetenten Kollegen unseres Dienstleisters verlassen.

Wie erwartet war das Resultat ergebnis- und zielorientiert. Hierdurch konnten wir unser bereits sehr gutes ISMS weiter verbessern.“ 

Hüseyin Ayaz
Informationssicherheitsbeauftragter
Württembergische Gemeinde-Versicherung a.G.

 

Über die WGV

Die Württembergische Gemeinde-Versicherung a.G., besser bekannt als WGV Versicherungen, gehört zu den erfolgreichsten Versicherungsgesellschaften Deutschlands. Rund 1.000 Mitarbeiter und Mitarbeiterinnen sind für den in Stuttgart ansässigen Versicherer tätig. Die WGV wurde im Jahr 1921 gegründet und verzeichnet aktuell über 5 Millionen Versicherungsverträge. 

Als Kommunal- und Spezialversicherer ist die WGV für die Beschäftigten im öffentlichen Dienst in ihrem begrenzten Geschäftsgebiet des früheren Landes Württemberg-Hohenzollern tätig.

Über die Tochtergesellschaft, die WGV-Versicherung AG, wird Privatpersonen, auch im öffentlichen Dienst, im gesamten Bundesgebiet eine Vielzahl von Versicherungslösungen angeboten.


Über die HiSolutions AG

Die HiSolutions AG ist einer der führenden deutschen Beratungsspezialisten für IT-Management und Information Security.

Seit mehr als 25 Jahren unterstützen wir unsere Kunden dabei, die Chancen der Digitalisierung optimal zu nutzen und die damit verbundenen Risiken zu beherrschen. Wir stehen dafür, Grenzen und Barrieren in der Zusammenarbeit von Business und IT abzubauen und wirkliche Business-IT-Partnerschaften für den digitalen Wandel zu entwickeln.

Wir verbessern die Leistungs- und Zukunftsfähigkeit der IT-Organisationen in Unternehmen und Verwaltung. Dafür entwickeln wir mit der passenden Strategie ihre Organisation, Architektur und Services für die gesamte Leistungskette der IT-Bereitstellung und ‑weiterentwicklung und optimieren die Nutzung und Beschaffung von Software-Lizenzen und IT-Diensten.

Als einer der führenden unabhängigen Beratungsspezialisten für das IT- und Service-Management prägen wir seit 1992 den Wandel und die Entwicklung vieler IT-Organisationen im deutschsprachigen Raum. Mit über 200 fest angestellten Mitarbeitern bringen wir unser spezifisches Wissen und unsere Umsetzungserfahrung in über 600 Projekten jährlich ein. HiSolutions wurde mehrfach für verschiedene Innovationen, für sein kontinuierliches Wachstum sowie im bundesweiten Beratervergleich als „Top Consultant“ ausgezeichnet

Jetzt teilen: