TÜV-geprüfte Sicherheit: Unsere Software besteht umfassenden Penetrationstest

Vergangenen Monat ließen wir eine von uns entwickelte Individualsoftware von der TÜV SÜD AG prüfen. Experten führten umfassende Sicherheitsprüfungen nach international anerkannten Standards (OWASP, NIST) durch. Im sogenannten White-Box-Verfahren erhielten die Sicherheitsexperten dabei vollständigen Einblick in unseren Quellcode sowie Zugang zur Entwicklungsumgebung, um mögliche Schwachstellen gründlich zu untersuchen.

Was ist ein Penetrationstest?

Bei einem Penetrationstest (kurz Pentest) handelt es sich um eine kontrollierte Simulation von Cyberangriffen auf eine Anwendung. Dabei werden potenzielle Schwachstellen der Software identifiziert und Sicherheitslücken aufgedeckt.

👉 Lese-Tipp: Warum solche Testverfahren notwendig sind, erfahrt ihr in unserem Blogbeitrag: Software-Sicherheitslücken als Geschäftsrisiko

Wir als Entwickler:innen haben durch Einsicht in die Testergebnisse die Möglichkeit, noch während des Entwicklungsprozesses entsprechende Gegenmaßnahmen zu ergreifen und eventuelle Sicherheitslücken zu schließen.

Keinerlei Sicherheitsrisiken entdeckt – von x-root entwickelte Software ist sicher

Erfreuliches Ergebnis: Während des umfassenden Penetrationstests wurden keinerlei kritische, hohe oder mittlere Sicherheitsrisiken entdeckt.

„Wieso wir im Test so gut gepunktet haben? Es ist wichtig, bereits im Entwicklungsprozess und in der Architektur gleich mit den richtigen Maßnahmen dafür zu sorgen, dass die Qualität von Anfang an hochgehalten wird.

In der Architektur wurde z.B. bewusst entschieden, den Zugriff auf Nutzerdaten durch technische Maßnahmen so abzusichern, dass jeder Nutzer ausschließlich seine eigenen Daten einsehen kann. Da diese Zugriffskontrolle systemseitig und automatisiert erfolgt, war keine manuelle Prüfung durch Entwickler erforderlich – entsprechend ist auch kein Fehler aufgetreten.

Zudem sind die Code Reviews streng hinsichtlich Qualitätsansprüchen und Wartbarkeit. Das ist bei großen Projekten unabdingbar.“ – Daniel Hoover

Das Ergebnis unterstreicht die Robustheit unseres Sicherheitskonzepts und die Qualität, mit der die Entwickler:innen arbeiten. Lediglich bei einer eingesetzten Drittanbieter-Bibliothek wurde eine kleine potenzielle Schwachstelle identifiziert, für die TÜV SÜD die Installation von Sicherheitsupdates empfiehlt. Gesagt, getan! Und damit ist der Pentest des TÜVs (for now) abgehakt. In Zukunft werden wir natürlich weiterhin ein Auge auf die Software-Sicherheit haben und, ganz wie empfohlen, regelmäßig weitere (Pen-)Tests durchführen, um langfristig eine sichere und zuverlässige Nutzung der Software zu gewährleisten.