Web Application Security Services

Schwachstellen identifizieren und beheben – mit den WASS: Web Application Security Services

Die Web Application Security Services (WASS) sind eine schnelle, sichere und kostengünstige Maßnahme um zu überprüfen, ob Webauftritte vor Cyber-Attacken wirklich sicher sind. In automatisierten Tests werden Sicherheitsrisiken aufgedeckt, umgehend priorisiert und eine Maßnahmenempfehlung ausgesprochen. Die Web-Application Security Services bestehen nicht nur in der automatisierten Prüfung von Webauftritten und -applikationen. Erfahrene und zertifizierte Fachkräfte im Bereich „Ethical Hacking“ unterstützen Sie in der Auswertung der Ergebnisse und der Entwicklung von Gegenmaßnahmen. So können schwerwiegende Sicherheitslücken kurzfristig und wirksam geschlossen werden.

Schwachstellen erkennen ist Pflicht: Anforderungen zum Betrieb von sicheren Webauftritten

Je nach Branche und Geschäftsbereich sind unterschiedliche Vorschriften und Standards zu berücksichtigen. Dies umfasst unter anderem den Payment Card Industrie Data Security Standard (PCI DSS) und die Norm ISO/IEC 27001 mit den dort spezifizierten Anforderungen. Weitere Compliance-Kataloge, wie Basel II, SOX oder der HIPAA fordern ebenso technische wie organisatorische Maßnahmen zur Sicherung der bereitgestellten Anwendungen.

Handeln – bevor andere es tun

Den stetig wachsenden Compliance-Anforderungen für Web-Anwendungen können Sie durch die geeignete Implementierung technischer und organisatorischer Maßnahmen begegnen, und somit ein hohes Maß an Sicherheit realisieren. Die Web- Application Security Services unterstützen Sie bei der Analyse Ihrer Applikationen und der Beseitigung potentieller Schwachstellen.

  • Tausende von automatisierten Tests finden Schwachstellen und geben so die Möglichkeit proaktiv zu handeln.
  • Detaillierte Ergebnis-Dokumente zeigen Schwachstellen auf und geben Hinweise zur Verbesserung
  • Individuelle Prüfungen für Webseiten, Portale, Datenbanken und Schnittstellen stellen ein ganzheitliches Sicherheitsniveau her
  • Kompetente und zertifizierte Fachkräfte (C|EH) unterstützen im gesamten Prozess
  • Ganzheitlicher Schutz für Ihren Web-Auftritt: Sicherheitslücken schließen

Moderne Web-Technologien bieten vielfältige Möglichkeiten, eröffnen gleichzeitig jedoch verschiedene Schwachstellen auf Ihre Web-Applikationen. Web Application Security Services prüfen mit tausenden automatisierten und auch manuellen sowie aktuellen Tests u.a. auf:

  • Cross-Site-Scripting (XSS)
  • SQL-Injection
  • Denial of Service (DoS)
  • Buffer Overflow u. v. m.

Individuelle Prüfungen für Webseiten, Portale, Datenbanken und Schnittstellen garantieren ein hohes Sicherheitsniveau. Kompetente und zertifizierte Fachkräfte unterstützen den gesamten Prozess.

WASS geprüfte Webapplikation

Viele Unternehmen legen mittlerweile hohe Sicherheitsstandards an eingesetzte Software im Complianceregelwerk fest. Der Nachweis eines gegebenen Sicherheitsstandards stellt für Anbieter von Produktlösungen eine hohe Herausforderung dar. Das Siegel „BTC WASS geprüfte Webapplikation“ adressiert genau diese Herausforderung. Anbietern wird es ermöglicht gegenüber verschiedenen Kunden die Sicherheit eines Produktes durch die Signierung von neutraler Stelle nachzuweisen. 

Bescheinigung von hohen Sicherheitsstandards

Die Signierung "BTC WASS geprüfte Webapplikation" bescheinigt Webapplikationen einen hohen Sicherheitsstandard. Nur Webapplikationen die frei von Sicherheitsmängeln sind erhalten die Signierung. Vor der Vergabe des Siegels wird die Webapplikation auf Sicherheitsmängel untersucht. Sicherheitsexperten der BTC AG unterziehen die Webapplikation einem Penetrationstest. Sicherheitsmängel, die den Diebstahl von Kundendaten zur Folge haben, mangelhafte Verschlüsselung oder eine Anfälligkeit für Phishing-Attacken werden aufgedeckt. Erst nach Beseitigung der gefundenen Sicherheitsmängel vergibt die BTC das Siegel „BTC WASS geprüfte Webapplikation“.

Nach erfolgreicher Signierung darf die Webapplikation das Siegel „BTC WASS geprüfte Webapplikation“ führen. Dabei erfolgt durch die BTC AG ein Siegeleintrag im Verzeichnis. Die geprüfte Webapplikation verweist wiederum auf diesen Siegeleintrag und bindet das Image des Siegels ein. Weiter vergibt die BTC AG eine Urkunde die zum Nachweis für sichere Produkte bei Drittkunden dient.

Vorteile für Nutzer: das WASS-Siegel bescheinigt ein hohes Sicherheitsniveau

Das BTC WASS Siegel gibt den Nutzern einer Webapplikation Gewissheit, eine Anwendung mit hohem Sicherheitsniveau zu nutzen. Die Webapplikation ist entsprechend geschützt vor Gefahren wie

  • Diebstahl von Kundendaten
  • Ausfall der Webapplikation
  • Betrug durch Dritte
  • Überwachung des Nutzers
  • Verbreitung von Viren

Vorteile für Betreiber: das WASS-Siegel gibt Sicherheit

Betreiber von Webapplikationen erhalten die Möglichkeit die Sicherheit ihrer Webapplikation nachzuweisen. Durch das Führen des Siegels „BTC WASS geprüfte Webapplikation“ weisen Anbieter ihr Bemühen für mehr Sicherheit nach. Die Signierung erfolgt dabei zeitpunktbezogen, versehen mit einem Vergabedatum. Auch nach Releases und Updates darf die Signierung weiter geführt werden.

Die Vergabe des Siegels kann nur erfolgen, wenn die folgenden Bedingungen erfüllt sind:

  • Kritisch priorisierte Schwachstellen wurden nicht identifiziert bzw. wurden innerhalb eines vorgegebenen Zeitrahmens von 60 Tagen nachweislich behoben.
  • Mittel priorisierte Schwachstellen wurden nicht identifiziert bzw. wurden innerhalb eines vorgegebenen Zeitrahmens von 90 Tagen nachweislich behoben.
  • Niedrig priorisierte Schwachstellen wurden nicht identifiziert bzw. in Abstimmung mit dem Kunden als vernachlässigbares Risiko eingestuft.
  • Niedrig priorisierte Schwachstellen, die andererseits ein erhöhtes Risiko im Kontext der Webapplikation darstellen, müssen innerhalb eines von BTC vorgegebenen Zeitrahmens nachweislich behoben werden.
  • Wurden Schwachstellen, die eine Siegelvergabe verhindern, behoben, erfolgt eine Prüfung in Form eines Stichprobentests isoliert für die kommunizierte Schwachstelle.
  • Wenn alle Kriterien erfüllt werden, erfolgt die Vergabe des Siegels „BTC WASS geprüfte Webapplikation“.
Das Siegel kann für einzelne Webapplikationen und mehrfach eingesetzte Produkte vergeben werden.

Bestimmungen zum Siegel „BTC WASS Geprüfte Webapplikation“

Grundlage der Signierung „Geprüfte Webapplikation“ sind die zum Zeitpunkt der Ausstellung gültigen Bestimmungen der BTC AG zur Siegelvergabe.

Kurzprofil BTC Cyber Security

Die BTC AG versteht sich als Anbieter anspruchsvoller Informationssicherheit. BTC berät und realisiert branchenübergreifend ganzheitliche Security-Konzepte. Mit unseren Lösungen unterstützen wir unsere Kunden bei der Umsetzung sowohl der technischen als auch der organisatorischen Maßnahmen zur Informationssicherheit.

Das Leistungsportfolio umfasst u. a. Informationssicherheitsmanagement (z. B. nach ISO 27001), Risiko- und Notfallmanagement (BCM), Infrastruktursicherheit, SAP Security, Schwachstellenanalyse (z. B. Penetrationstests), Datenschutz, Mobile Sicherheit, Secure Software Engineering sowie Sicherheit in kritischen Infrastrukturen.

Die BTC Informationssicherheit ist Partner einer ganzen Reihe deutscher TÜVs und der Allianz für Cyber-Sicherheit; sie ist ISO 9001:2008-zertifiziert sowie Mitglied im Cyber-Sicherheitsrat Deutschland e. V. (Schwerpunkt/Fokus Energiewirtschaft).

Christian Bruns
Management Consultant Informationssicherheit
Unsere Webinare:

Kurzweilig & informativ mit Sachverhalten, die verständlich erklärt werden.