Penetrationstest einer SaaS-Plattform

Bei der Plattform handelt es sich um die Softwarelösung für Plant Process Management in der chemischen und pharmazeutischen Produktion. Sie wird in einer Cloud-Umgebung betrieben und steht dort zentral als SaaS-Plattform zur Verfügung.

Industrie
IT – Softwareentwicklung

Kunde
Das Unternehmen eschbach entwickelt Software für interaktive Betriebsführung, transparente Kommunikation und Anlageneffizienz. Die Plattform ist weltweit bei führenden Unternehmen in der chemischen und pharmazeutischen Industrie im Einsatz.

Zeitlicher Rahmen:
Anfang April 2024

Projekt Standort
Deutschland

Herausforderungen
Die SaaS-Lösung der eschbach GmbH ist bei einem externen Cloud-Anbieter gehostet. Dadurch war neben der Lösung selbst auch das Sicherheitsniveau des Infrastruktur-Partners relevant, und zu überprüfen. Neben der SaaS-Plattform selbst war auch die zugehörige App Shiftconnector® GO für mobile Rundgänge im Scope der Sicherheitsanalyse

Ziele
Überprüfung der Schutzfähigkeit der Softwarelösung mit ihren vorhandenen Sicherheitsmaßnahmen und -barrieren. Anschließende Zusammenfassung der Ergebnisse in einem Report inklusive Handlungsempfehlung.

Lösungen & Services
Mit Hilfe der Sicherheitsanalyse wurde die im Geltungsbereich befindliche IT-Infrastruktur auf Sicherheitsrisiken untersucht, welche die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme negativ beeinflussen könnten. Die Ergebnisse wurden dem Kunden im Anschluss in einem detaillierten Bericht dargelegt. Auf Basis dieser überzeugenden Services von TÜV Rheinland hat sich eschbach zu einer regelmäßigen Wiederholung entschieden.

Kundenvorteile
Mithilfe der Sicherheitsanalyse wird die Schutzfähigkeit der SaaS-Plattform und der mobilen Anwendung untersucht, wodurch potenzielle Sicherheitslücken frühzeitig erkannt und behoben werden können.

Bei der Durchführung von Sicherheitsanalysen können unterschiedliche Methoden Anwendung finden, die jeweils von dem zu testenden System oder der jeweiligen Infrastruktur abhängig sind.

Im Rahmen des beschriebenen Projekts wurde ein externer Penetrationstest der Webapplikation Shiftconnector® und der unterliegenden Infrastruktur durchgeführt. Bei dieser Methode wird ein Cyberangriff von außen simuliert, in welchem die IT-Security Expert*innen des TÜV Rheinland über die jeweilig aus dem Internet erreichbaren Systeme versuchen, auf das unternehmensinterne Netzwerk zuzugreifen.

Der Penetrationstest einer Webapplikation wird auf Basis des Testing Guides „Open Web Application Security Project (OWASP)“ durchgeführt. Der Fokus der Untersuchung liegt auf den OWASP Top-Ten Schwachstellen. Zusätzlich setzen unsere Expert*innen auch auf neuste und wenig bekannte Angriffsmöglichkeiten, um auch seltene Sicherheitsrisiken aufzudecken. Die Auswahl dieser orientiert sich jeweils an der zu testenden Applikation und deren Spezifikationen, um das höchstmögliche Schutzniveau zu erreichen. Die Analyseergebnisse wurden samt konkreter Handlungsempfehlungen in einem abschließenden Bericht festgehalten. Die Ergebnisse sind wie immer streng vertraulich.

Seit mehr als 20 Jahren unterstützt das Cybersecurity-Geschäft bei TÜV Rheinland Unternehmen aus zahlreichen Branchen dabei, innovative Technologien sicher zu nutzen. Unsere Beraterinnen und Berater kombinieren ihre Cybersecurity-Expertise mit hohem Branchen-Know-how. Der Ansatz unserer Cybersecurity-Lösungen zielt auf die Kombination von Sicherheit und Datenschutz in einer immer stärker volatielen Welt vernetzter Systeme und Geräte. Hierzu führen die Fachleute unter anderem Cybersecurity-Tests, Prüfungen industrieller Sicherheit sowie Prüfungen zum Datenschutz im Internet der Dinge (IoT) und von Cloud-Infrastrukturen durch. TÜV Rheinland betreibt ein weltweites Netzwerk von mehr als hundert Laboratorien, in dem für Hersteller und Betreiber diverse Tests zur Cybersecurity durchgeführt werden.