Deloitte Securityscan unserer IDaaS-Lösung HelloID

Zweimal im Jahr testen die Experten von Deloitte die Sicherheit von HelloID. Der jüngste Test hat gezeigt, dass das Sicherheitsniveau von HelloID hoch ist. Für Tools4ever ist dieser Scan eine wichtige Studie. Sie hält uns auf dem Laufenden und regt uns dazu an, unsere Technologie und Dienstleistungen ständig zu verbessern.

Gerade für unsere Kunden ist es gut zu wissen, dass alle 6 Monate unabhängige Spezialisten die HelloID-Lösung mit kritischem Blick betrachten. Damit wir eventuelle Schwachstellen entdecken, bevor sie ihnen wirklich schaden können.

Warum die Forschung durch externe Hacker?

Tools4ever hat eine große Anzahl von Sicherheitsexperten in den eigenen Reihen. Nicht umsonst entwickeln wir Produkte für das Identity & Access Management. Es versteht sich von selbst, dass wir unsere Experten auch regelmäßig versuchen lassen, unsere eigenen Lösungen intern anzugreifen.

Dennoch finden wir es wichtig, dass unsere Systeme auch von einer anderen Partei auf struktureller Basis kritisch überprüft werden. Dieser externe Test hält uns auf Kurs. Er verhindert, dass sich blinde Flecken entwickeln, und natürlich gilt auch für uns der Ausdruck „vier Augen sehr mehr als zwei“.

Mit den von Deloitte eingesetzten Hackern haben wir uns für garantiert unabhängige und hochqualifizierte Sicherheitsexperten entschieden. Experten, deren Integrität auch von Deloitte garantiert wird. Denn natürlich wollen wir nicht nur Gewissheit über die Qualität der Sicherheitstests haben, sondern auch über die Zuverlässigkeit der Tester. Damit Sie als Kunde sicher sein können, dass die Testergebnisse in keiner Weise missbraucht werden.

Der Anwendungsbereich der HelloID-Sicherheitsforschung

Die halbjährliche Studie ist kein üblicher „Papierkram“. Es handelt sich nicht nur um eine Überprüfung des Designs und der Spezifikationen von HelloID. Die Untersuchung betrifft in Wirklichkeit, Versuche von professionellen Hackern, die gezielt das System angreifen.

Die Hacker werden darin geschult, IT-Systeme aus dem Blickwinkel eines erfahrenen Cyberkriminellen zu betrachten. So erkennen sie Schwachstellen, die andere möglicherweise übersehen. Sie verwenden die NCSC ICT-B v2-Richtlinien und die OWASP Top 10 Anwendungssicherheitsrisiken von 2013 und 2017.

Black-Box Test

Natürlich umfasst der Test die traditionellen Black-Box Tests. Diese Tests zielen darauf ab, ohne Kenntnis des Systems einzudringen und Zugang zu Funktionalität und Daten zu erhalten. Bei unserem Anwendungssicherheitstest gehen die Tester jedoch mit Nachdruck weiter und führen so genannte Grey-Box-Tests durch.

Grey-Box Test

Ein Grey-Box Test sucht nach Sicherheitslücken in bestimmten Teilen von HelloID, umso Informationen zu den internen Funktionen der Software zu erhalten. Schließlich untersuchen wir auch die Möglichkeiten, mit denen autorisierte Benutzer innerhalb des Systems arbeiten. Können sie mehr tun, als eigentlich beabsichtigt ist? Das ist natürlich sehr wichtig, denn wir wissen, dass Betrug und Cyberkriminalität in den Organisationen selbst sehr häufig vorkommen.

Bei HelloID lassen wir zum einen die Qualität der „Eingangstüre“ testen. Aber es wird auch auf die Sicherheit der Anwendung geschaut, wenn sich jemand bereits legal im „Haus“ aufhält.

Die Tests selbst decken das gesamte Spektrum möglicher Schwachstellen ab. Von potenziellen detaillierten Systemreports bis hin zum Vorhandensein von Cross-Site-Scripting (XSS)-Schwachstellen.

Die Risikoanalyse

Jede potentielle Schwachstelle, die ans Licht kommt, erhält eine Risiko-Qualifikation, die uns hilft, das Problem mit der richtigen Priorität anzugehen. Diese Risikobeurteilung ergibt sich aus der Wahrscheinlichkeit, dass eine potenzielle Schwachstelle entdeckt und ausgenutzt werden kann. Und aus den Auswirkungen, falls sie tatsächlich auftritt.

Die Wahrscheinlichkeit hängt zum Beispiel von der Komplexität der betreffenden Schwachstelle ab. Kann die Schwachstelle durch einen einfachen Schritt-für-Schritt-Plan ausgenutzt werden? Oder ist ein physischer Zugang zu den Servern erforderlich, um die Schwachstelle auszunutzen?

Die Auswirkung ist das Ausmaß des potenziellen Schadens, den eine Schwachstelle verursachen kann. Natürlich macht es einen großen Unterschied, ob es sich dabei um eine kurze Unterbrechung des Dienstes oder um eine schwerwiegende Datenverletzung handelt.

Wir erhalten die niedrigen und mittleren Risiken als Teil des Testberichts, woraufhin unsere Experten mit ihnen arbeiten können. Unerwartet hohe Risiken werden von den Testern sofort eskaliert, so dass die Experten von Tools4ever sofort eine Lösung entwickeln und einführen können. Glücklicherweise sind solche Schwachstellen selten.

Natürlich gibt es bei jedem Test geringe und mittlere Risiken. Die Technologie entwickelt sich ständig weiter, ebenso wie das Wissen und die Werkzeuge, die böswilligen Parteien zur Verfügung stehen.

Das bedeutet, dass wir ständig weiterentwickeln. Bei jedem Test Mal finden wir erneut Ereignisse, die verbessert werden können. Das ist der große Mehrwert eines solchen halbjährlichen Sicherheitsscans. Wir bleiben aufmerksam und halten die Sicherheit von HelloID auf dem neuesten Stand.

Möchten Sie mehr über diesen Sicherheitsscan erfahren?

Es ist uns nicht gestattet, den detaillierten Inhalt unserer Sicherheitsscans zu veröffentlichen. Unsere Kunden können jedoch immer die Auswirkungen in Form von Anpassungen, Verbesserungen und Bugfixes in unseren regelmäßigen Release Notes sehen. Darüber hinaus informieren Sie unsere Kundenbetreuer gerne über unsere regelmäßigen Sicherheitstests.

Tools4ever veröffentlicht die neuen Funktionen und Updates der HelloID-Software auf monatlicher Basis. Möchten Sie auf dem Laufenden bleiben?

Registrieren Sie sich für den Newsletter, speziell für HelloID.

 

Cloud Identity Management mit HelloID

Erfahren Sie mehr über die Funktionen: Service Automation, Access-Management, Multi-Faktor-Authentifizierung (Push-To-Verify, FIDO2 Standard und der Yubikey Möglichkeit) und Data Management.

Zu HelloID

Tools4ever Informatik GmbH
Hauptstraße 145-147
51465 Bergisch Gladbach
Deutschland

Phone: +49 2202 2859-0

Email: [email protected]