Datenschutz-Software mit geprüfter IT-Security
11. Mai 2022

otris Datenschutzmanagement-Software: Pentest erfolgreich bestanden

IT-Sicherheit ist für jeden digitalen Unternehmensprozess eine zentrale Anforderung. Das gilt selbstverständlich auch für Prozesse im Datenschutzmanagement. Mit einem Pentest hat die Trovent Security GmbH das Sicherheitsniveau der Datenschutzmanagement-Software otris privacy untersucht. Das Ziel: Schwachstellen identifizieren, Fehler aufdecken, die Sicherheit auf technischer und organisatorischer Ebene erhöhen sowie das Schutzlevel durch Spezialisten bestätigen lassen. Das Ergebnis: Die externen IT-Security-Experten haben keine Schwachstellen gefunden, aus denen ein hohes oder kritisches Risiko resultiert.

Was wurde überprüft?
Mit dem Pentest prüfte die Trovent Security sowohl otris cloud-Infrastruktur als auch die Datenschutzmanagement-Software otris privacy inklusive aller Erweiterungen (E-Learning, Melde Workflow, Datenschutzverletzung, Anfrage Workflow, ISMS). Schwerpunkt der Überprüfung der otris cloud-Infrastruktur war die Suche nach offenen Netzwerk-Ports und Fehlkonfigurationen. Wichtigste Grundlage für die Überprüfung der otris privacy Software waren die „OWASP Top 10“.

OWASP Top 10
Die „OWASP Top 10“ sind eine Dokumentation des Open Web Application Security Projects zu den zehn kritischsten Sicherheitsrisiken für Webanwendungen. In der aktuellen Fassung des Dokuments sind das folgende mögliche Angriffspunkte:

  • Broken Access Control: Eine Schwachstelle, bei der authentifizierte Nutzer Aktionen außerhalb ihrer Berechtigung ausführen können. Das kann zu unbefugtem Zugriff auf sensible Informationen und/oder zu Änderung bzw. Zerstörung der Daten führen.
  • Cryptographic failures: Fehlende, veraltete oder fehlerhafte Kryptographie (Ver- und Entschlüsselungsverfahren) kann zu einer Offenlegung sensibler Daten führen.
  • Injections: Eine Schwachstelle, die Angreifer nutzen, um Daten einzufügen (injizieren), die den Betrieb der Anwendung ändern und bestimmte Befehle ausführen.
  • Insecure Design: Bezieht sich auf Mängel in Design und Architektur der Anwendung. Dazu zählen z.B. Security Controls und Business Risk Profilings.
  • Security Misconfiguration: Schwachstellen, die durch falsch konfigurierte Sicherheitskontrollen entstehen. Das können z.B. falsch konfigurierte Berechtigungen für Cloud-Dienste sein.
  • Vulnerable and Outdated Components: Schwachstellen, die durch Software-Komponenten entstehen, die z.B. Sicherheitslücken enthalten, nicht aktualisiert werden oder nicht kompatibel sind.
  • Identification and Authentication Failures: Schwachstellen im Anmeldeprozess wie fehlender Schutz gegen automatisiertes Ausfüllen, das Akzeptieren von schwachen Passwörtern oder keine bzw. unwirksame Multi-Faktor-Authentifizierung.
  • Software and Data Integrity Failures: Schwachstellen, die durch fehlende Integritätsprüfung bei Software-Updates entstehen. Beispiel: Update einer Bibliothek aus nicht überprüfter und nicht verifizierter Quelle.
  • Security Logging and Monitoring Failures: Schwachstellen, die durch unzureichendes Logging und Monitoring entstehen. Die fortlaufende Protokollierung und Analyse sicherheitsrelevanter Vorgänge ist ein wichtiger Ansatzpunkt, Angriffe auf das System zu erkennen.
  • Server-Side Request Forgery: Schwachstelle, die auftritt, wenn eine Webanwendung die vom Nutzer angegebene URL beim Abrufen einer entfernten Ressource nicht validiert.

Wie wurde überprüft?
Trovent Security hat automatisierte und manuelle Tests durchgeführt. Die Testumgebung entsprach exakt dem Setup, das Kunden bereitgestellt wird, die otris privacy in der Cloud nutzen. Bei den automatisierten Tests penetrieren Programme mit bekannten Angriffsvektoren das zu testende System. Für die manuellen Tests haben sich die Spezialisten der Trovent in die Lage eines Angreifers versetzt und versucht, mit ihrem Know-How in das System einzudringen.

Die untersuchten Angriffsmöglichkeiten bewerteten die Security-Tester aus technischer Sicht und nach Eintrittswahrscheinlichkeit.

Ergebnis
Die IT-Sicherheitsexperten haben bei der Überprüfung der otris cloud-Infrastruktur und der Datenschutzmanagement-Software otris privacy keine Schwachstellen gefunden, deren Risiko sie als kritisch oder hoch bewerten.

> Pentest-Zertifikat zum Download (PDF)

otris Datenschutzmanagement-Software: Pentest erfolgreich bestanden

Über die Trovent Security GmbH

Die Trovent Security GmbH ist Anbieter von Servicelösungen zur Verbesserung der IT-Sicherheit. Neben Pentesting, Bedrohungs- und Anomalie-Erkennung bietet Trovent Beratung zur Umsetzung von IT-Compliance an. (www.trovent.io)

zum Fachbeitrag

Wie fangen wir an?

otris software vereinfacht Verantwortung - Box Datenschutz einführen

Das Ziel: Aufbau einer funktionierenden Datenschutz-Organisation ...

zum Referenzbericht

Einfacher durch Einheitlichkeit

Eine zentrale Basis für das Datenschutzmanagement - Referenzbericht

Österreichische FH-Konferenz nutzt Synergie und vermeidet Redundanz im Datenschutz ...

zum Fachbeitrag

Schrems II

Schrems II

otris in der Cloud: konform zum EuGH-Urteil ...