Infos zum Start & Grundlagen
EinleitungOrganisation, Kanäle und MixesPosts, Karten & Content TypenRollen für NutzendeCommunity FunktionenMobile Apps & Web AppFunktions-& LeistungsbeschreibungTech StackSupportDatenschutz
Grundlage Datenschutzkonzept(e)NutzungsauswertungVerwaltung Zugangsdaten der NutzendenPersonenbezogene Daten und DatenkategorienInhalte in App und WebAuftragsdatenverarbeiterTOMsInformationssicherheit
Informationssicherheit bei tchopSicherheitsrichtlinie ISO27001 ZertifikatSicherer ZugangSchwachstellenanalyseRisikoanalyseKommunikationsmatrixApp Customization & Deployment
Bereitstellung AppsMobile App Deployment & Vertrieb
App CustomizationApp UpdatesSSO via SAMLSSO via Open ID ConnectAnalytics & Reporting
Grundlagen KPIsAnalytics DashboardProjektsteuerung
Arbeitspakete & TimelineEnablementLaunch & OnboardingBetriebsratBeispiele & VorlagenSonstiges
Feature RoadmapLanguages
EnglishSchwachstellenanalyse tchop Platform
Schwachstellenanalysen oder auch Penetrationstests spielen eine wichtige Rolle im Rahmen von Managementsystemen zur Informationssicherheit (ISMS). Sie dienen zur Überprüfung der getroffenen Sicherheitsmaßnahmen unter realistischen Bedingungen. Als Ergebnis liefern sie priorisierte Handlungsempfehlungen zur Behebung von Sicherheitslücken. Wenn ein ISMS erfolgreich zertifizieren werden soll, müssen bestimmte Anforderungen an regelmäßige Tests erfüllt sein.
ISO27001 Norm
Die Kontrolle A.12.6.1 der ISO 27001:2017 Norm legt fest, dass "Informationen über technische Schwachstellen der verwendeten Informationssysteme rechtzeitig eingeholt, die Exposition der Organisation gegenüber solchen Schwachstellen bewertet und geeignete Maßnahmen ergriffen werden müssen, um dem damit verbundenen Risiko zu begegnen."
Die Prüfung der zugrundeliegenden Maßnahmen, Tools und Prozesse war ein wichtiger Teil der TÜV Zertifizierung. Im folgenden wollen wir genauer erläutern, welche Strategie wir technisch in dem Bereich verfolgen.
Schwachstellenanalyse statt Penetrationstest
Die Norm verlangt ein kontinuierliches Screening potenzieller Schwachstellen und sog. “Vulnerablities”. Ein jährlicher Penetrationstest erfüllt dies bereits. Aus der Sicht einer komplexen Software-Platform wie tchop, stellt eine Betrachtung einmal im Jahr jedoch keine ausreichende Analyse da. Zu viele Veränderung und Updates auf Seiten der Plattform, aber auch veränderte Anforderungen und Bedrohungen aus dem Umfeld schaffen praktisch ständig neue Bedrohung und potenzielle Probleme.
Teil unseres Managementsystems zur Informationssicherheit ist daher ein komplexes Framework an Maßnahmen, um Schwachstellen permanent zu
- überwachen,
- technisch zu analysieren und dann
- darauf basierend schnell und effizient Aufgaben ableiten und umsetzen zu können.
Die Schwachstellenanalysen bei tchop verteilen sich technisch auf drei Systeme:
- Code Level “Apps” (iOS und Android)
- Code Level “Backend und Web Frontends”
- Plattform: Server, Netzwerk, Ports, APIs
Für diese drei teile werden unterschiedliche Technologien eingesetzt (siehe auch unser Tech Stack). Daher werden auch jeweils unterschiedliche Tools und Methoden eingesetzt, um schnell und kontinuierlich Schwachstellen aufzudecken und zu analysieren.
Zu den verwendeten Tools gehören
- Dependabot (für Github Repositories und Code Scans)
- Vulnerability Scanning Gitlab (für Gitlab Repositories und Code Scans)
- Hosted Scan (für Netzwerk, APIs und Ports)
Alle Tools generieren automatisierte Audit Logs und Reportings, die über einen definierten Prozess an unser Sicherheitteam weitergeleitet und im Rahmen des Entwicklungsprozesses bearbeitet werden. Dazu existiert ein eigenes Task Board
Bei Hosted Scan nutzen wir die folgenden Scan Typen:
- OpenVAS Network Vulnerability Scan
- OWASP ZAP Passive Web Application Scan
- OWASP ZAP Active Web Application Scan
- NMAP TCP Port Scan
- NMAP UDP Port Scan
Die gefundenen Schwächen werden auf der Grundlage der beiden folgenden organisatorischen Leitlinien bewertet:
- CWE (Gemeinsame Schwachstellenaufzählung) Dies ist eine von der Gemeinschaft entwickelte Liste von Software- und Hardware-Schwachstellen. Sie dient als gemeinsame Sprache, als Messlatte für Sicherheitstools und als Grundlage für die Identifizierung von Schwachstellen sowie für Maßnahmen zur Abschwächung und Vorbeugung; weitere Informationen finden sich hier.
- WASC (Web Application Security Consortium) Die WASC-Bedrohungsklassifizierung ist ein Versuch, die Schwachstellen und Angriffe zu klassifizieren, die zur Gefährdung einer Website, ihrer Daten oder ihrer Benutzer führen können. Weitere Informationen finden Sie hier.
TÜV Zertifzierung
Im Rahmen unserer jährlichen Control-Audits wurde auch das oben beschriebene System für Schwachstellenanalyse und -management vom TÜV Süd genau geprüft und mit uns diskutiert. Es gab dabei keinerlei Beanstandung.
Als Teil unseres Managementsystems zur Informationssicherheit wurde auch dies vollumfänglich zertifiziert.
Unsere aktuellen Zertifikate finden Sie hier: ISO27001 Zertifikat