Vertragsmanagement und IT-Sicherheit
30. Juli 2020

Sicher ist sicher – otris absolviert Pentest erfolgreich

Ein Penetrationstest (Pentest) simuliert Hacker-Angriffe auf ein Hard- oder Softwaresystem. Das Ziel: Schwachstellen identifizieren, Fehler aufdecken, die Sicherheit auf technischer und organisatorischer Ebene erhöhen sowie das Schutzlevel durch externe Dritte bestätigen lassen. Die IT-Sicherheitsspezialisten der Trovent Security GmbH haben unsere Vertragsmanagement-Software otris contract einem Pentest unterzogen. Ergebnis: Das Sicherheitsniveau des Systems ist hoch. Kritische Sicherheitslücken haben die Tester nicht gefunden.

Was wurde überprüft?
Mit dem Pentest prüfte die Trovent Security sowohl die Vertragsmanagement-Software als auch die otris cloud-Infrastruktur. Schwerpunkt der Überprüfung der otris cloud-Infrastruktur war die Suche nach offenen Netzwerk-Ports und Fehlkonfigurationen. Wichtigste Grundlage für die Überprüfung der otris contract Software waren die „OWASP Top 10“.

OWASP Top 10
Die „OWASP Top 10“ sind eine Dokumentation des Open Web Application Security Projects zu den zehn kritischsten Sicherheitsrisiken für Webanwendungen. In der aktuellen Fassung des Dokuments sind das folgende mögliche Angriffspunkte:

  • Injections: Eine unzureichende Validierung führt dazu, dass die Anwendung Daten verarbeiten kann, die nicht vertrauenswürdig sind.
  • Fehler in der Authentifizierung: Führt dazu, dass Angreifer sich als Benutzer ausgeben können.
  • Verlust der Vertraulichkeit sensibler Daten: Führt dazu, dass Angreifer beispielsweise an Nutzerdaten mit personenbezogenen Informationen gelangen.
  • XML External Entities: Risiko unberechtigter Befehlsausführung oder des Systemversagens bei fehlerhaften Implementierung.
  • Fehler in der Zugriffskontrolle: Führt dazu, dass Nutzer auf Daten innerhalb der Anwendung zugreifen können, die nicht für sie freigegeben sind.
  • Sicherheitsrelevante Fehlkonfiguration: Angreifer können Fehlkonfigurationen von Firewalls, Webservern oder Webanwendungen nutzen, um an sensible Daten zu gelangen.
  • Cross-Site Scripting: Risiko, dass Angreifer an Cookie-Informationen gelangen oder Webseiten beschädigen.
  • Unsichere Deserialisierung: Angreifer können unsichere Deserialisierung nutzen, um Befehle auszuführen.
  • Nutzung von Komponenten mit bekannten Schwachstellen: Eine permanente Prüfung und Aktualisierung von „fremden“ Softwarekomponenten ist notwendig, um bekannte Sicherheitslücken zu schließen.
  • Unzureichendes Logging und Monitoring: Logging und die Analyse der Daten ist ein wichtiger Weg, um Angriffe auf das eigene System zu erkennen.

 

Wie wurde überprüft?
Trovent Security hat automatisierte und manuelle Tests durchgeführt. Bei den automatisierten Tests penetrieren Programme mit bekannten Angriffsvektoren das zu testende System. Für die manuellen Tests haben sich die Spezialisten der Trovent in die Lage eines Angreifers versetzt und versucht, mit ihrem Know-How in das System einzudringen.
Die untersuchten Angriffsmöglichkeiten bewerteten die Security-Tester aus technischer Sicht und nach Eintrittswahrscheinlichkeit.

Ergebnis
Die IT-Sicherheitsexperten haben bei der Überprüfung der otris contract cloud-Infrastruktur und der Vertragsmanagementsoftware otris contract keine Schwachstellen gefunden, deren Risiko sie als kritisch oder hoch bewerten.

> Pentest-Zertifikat zum Download (PDF)

Sicher ist sicher – otris absolviert Pentest erfolgreich

Über die Trovent Security GmbH

Die Trovent Security GmbH ist Anbieter von Servicelösungen zur Verbesserung der IT-Sicherheit. Neben Pentesting, Bedrohungs- und Anomalie-Erkennung bietet Trovent Beratung zur Umsetzung von IT-Compliance an. (www.trovent.io)

zum Fachbeitrag

Die 4 größten Herausforderungen

otris software vereinfacht Verantwortung - Box Vertragsmanagement Vertragsverwaltung

Wie Sie die Herausforderungen der Vertragsverwaltung bewältigen können ...

zum Referenzbericht

Systemwechsel Vertragsmanagement

Systemwechsel Vertragsmanagement

100%ige Tochter der Daimler AG nutzt seit einigen Monaten otris software ...

zum Fachbeitrag

Akzeptanz bei Softwareeinführung

Box Einfuehrung Vertragsverwaltung Vertragsmanagement

So gelingt die unternehmensweite Vertragsmanagement-Einführung ...