Finalist im Deutschen Startup-Pokal Kategorie IT-Security: Crashtest Security – Agile Entwicklung erfordert agile Sicherheit!

Bad Vilbel, 10. März 2020 – Agile Entwicklung wird von einem Großteil der Unternehmen genutzt, um die eigene Software kontinuierlich an neue Kundenanforderungen anzupassen. Leider wird dabei das Sicherheitstesten häufig hintenangestellt und manuelle Penetrationstests aus der Zeit der Wasserfall-Entwicklung werden weiterhin eingesetzt. Crashtest Security hilft seinen Kunden wie Flixbus oder united domains, Sicherheitstests in automatisierte Release-prozesse zu integrieren – und so nur noch sichere, getestete Software zu deployen.

Die Crashtest Security Suite

Crashtest Security ist ein Team von jungen Hackern aus München. Wir haben eine einfach zu bedienende Software geschaffen, die andere Software auf die wichtigsten Sicherheitslücken testet. Momentan fokussieren wir uns auf die „OWASP Top 10“, dies sind die zehn meist gefundenen Schwachstellen in Webanwendungen. Unsere Software scannt Webanwendungen und API-Schnittstellen.

Die Tragweite von Webanwendungen

Wir fokussieren uns auf diese web-basierten Anwendungen, da wir hier eine der größten Gefahrenquellen für Unternehmen sehen. Die Grafik rechts zeigt das Setup von getrennten Systemen (links) in der Vergangenheit. Damals hatte eine Webseite hauptsächlich statische Inhalte. Heutzutage ist die Webseite mit kritischen Systemen (z.B. ERP, Kundendatenbanken, CRM-Systeme, etc.) im Backend verknüpft (rechte Grafik). Dies basiert auch auf den heutigen Kundenerwartungen, die mögliche Konditionen und Buchungen direkt auf der Homepage sehen wollen.

Automatisierung von Sicherheitstests – DevSecOps

Das Schöne an der Standardisierung und Automatisierung von Sicherheitstests ist, dass diese nun ohne Personeninteraktion gestartet und bewertet werden können. Jedes Feature, das auf die Test-Umgebung geladen wird, wird über Nacht getestet und nur getesteter Code wird auf die Live-Umgebung hochgeladen.

Einfache Bedienung

Ein weiteres wichtiges Kernelement der Software ist, dass die Tests ohne tiefes Wissen im Sicherheitsbereich gestartet werden können. In Deutschland gibt es 900‘000 Software-Entwickler, aber nur 3‘000 Penetrationstester. Jeder Tester müsste also die Arbeit von 300 Entwicklern überwachen – wobei ein Test zwischen 5 und 20 Tagen dauert. Dieses riesige Ungleichgewicht spüren viele Unternehmen schon heute – und suchen händeringend nach Sicherheitsexperten, die sehr teuer sein können. Daher ermöglicht Crashtest Security es selbst Laien, einen Test für die wichtigsten Schwachstellen innerhalb von 5 Minuten aufzusetzen. Weiterhin gibt es für jede Schwachstelle eine detaillierte Erklärung zur Behebung.

Konkrete Vorteile für Unternehmen

Unsere Kunden sparen im Durchschnitt 40% Ihres Budgets für Penetrationstesten. Manuelle Tests können sich auf die Aspekte fokussieren, die manuelle Aufmerksamkeit benötigen – und so im Umfang reduziert werden. Entwickler sparen sich Zeit beim Setup von Tests, die durch das automatische Einrichten entfällt. Des Weiteren ersparen sich Entwickler die Suche, wie Schwachstellen geschlossen werden können. Außerdem werden Fehler vor dem Veröffentlichen entdeckt, nicht erst beim nächsten Penetrationstest. Dies verringert die Kosten für das Beheben um den Faktor 10.

Nicht zuletzt schaffen wir für unsere Kunden eine erhöhte Sicherheit, sowie gestiegene Transparenz, da unsere Kunden jederzeit eine aktuelle Sicherheitsbewertung vorliegen haben.

Studie: Angriffsvektor Webseite – Wie sicher sind die Webseiten der deutschen Industrie?

Das ein Umdenken zur bei der Sicherheit von Webseiten dringend erforderlich ist, hat auch unsere Studie aus dem Jahr 2019 gezeigt. Unsere Analyse der Online-Auftritte von mehr als 5.000, in deutschen Industrieverbänden gelisteten, Unternehmen zeigte erschreckende Verhältnisse:

  • 7,5% der Unternehmen haben mindestens eine kritische Schwachstelle
  • Softwarekomponenten mit Sicherheitslücken werden von 30% der Unternehmen verwendet
  • 50% der Unternehmen haben mehr als 7 Sicherheitslücken

Für weitere Ergebnisse und die meist-verbreiteten Schwachstellen können Sie die Studie kostenlos unter https://crashtest-security.com/de/angriffsflaeche-webseite mit dem Gutscheincode „GFFT-Jahresbericht-2020“ herunterladen.

Das Finale des Deutscher Startup-Pokals
findet am 14.05.2020 im Schloss Biebrich in Wiesbaden statt.

Ansprechpartner für Rückfragen:

GFFT Technologies GmbH
Kathrin Scheld
Koordinatorin des GFFT Security Labs
Tel: 06101/95 49 8–22
kathrin.scheld@gfft-ev.de

 

Schreibe einen Kommentar