Neuigkeiten rund um die otris software AG.
1. September 2024

otris legal SUITE besteht Sicherheits-Test

Die IT-Sicherheitsexperten der Trovent Security GmbH haben die otris legal SUITE einem differenzierten Pentest unterzogen. Überprüft wurden sowohl die vier Fachlösungen für Vertrags-, Beteiligungs-, Vorgangs- und Schutzrechte-Management als auch die otris cloud Infrastruktur. Das Ergebnis: Der Test ergab „keine verbleibenden signifikanten Sicherheitslücken“.

Was ist ein Pentest?
Ein Penetrationstest (Pentest) simuliert gezielte Hacker-Angriffe auf ein Hard- oder Softwaresystem, um Schwachstellen aufzudecken, Fehler zu identifizieren und die Sicherheitsstandards sowohl auf technischer als auch organisatorischer Ebene zu erhöhen. Außerdem dient er dazu, das bestehende Sicherheitsniveau durch unabhängige Dritte bestätigen zu lassen.

Was wurde geprüft?
Im Rahmen des Pentests untersuchte Trovent Security sowohl die Fachlösungen als auch die Infrastruktur der otris cloud. Ein zentraler Fokus bei der Überprüfung der otris cloud-Infrastruktur lag auf der Identifikation offener Netzwerk-Ports und Fehlkonfigurationen. Für die Überprüfung der otris legal SUITE diente die „OWASP Top 10“ als wichtigste Grundlage.

OWASP Top 10
Die „OWASP Top 10“ ist eine Zusammenstellung des Open Web Application Security Projects der zehn gravierendsten Sicherheitsrisiken für Webanwendungen. Die aktuelle Version des Dokuments listet folgende potenzielle Angriffspunkte auf:

  • Injections: Diese Schwachstelle tritt auf, wenn nicht vertrauenswürdige Daten von einer Anwendung verarbeitet werden, was zu unerwünschten Befehlen oder Manipulationen an der Datenbank führen kann.
  • Fehler in der Authentifizierung: Schwächen in der Authentifizierung können es Angreifern ermöglichen, sich als andere Benutzer, sogar als Administratoren, auszugeben.
  • Verlust der Vertraulichkeit sensibler Daten: Unzureichender Schutz sensibler Daten kann dazu führen, dass Angreifer Zugriff auf private Informationen, wie persönliche Daten oder Finanzinformationen, erhalten.
  • XML External Entities: Diese Schwachstelle tritt auf, wenn externe Entitäten in XML-Dokumenten verwendet werden, was zur Offenlegung sensibler Daten, zu Denial-of-Service-Angriffen oder sogar zu Remote Code Execution führen kann.
  • Fehler in der Zugriffskontrolle: Fehlerhafte Implementierungen der Zugriffskontrolle erlauben es Angreifern, auf Ressourcen oder Funktionen zuzugreifen, für die sie keine Berechtigung haben.
  • Sicherheitsrelevante Fehlkonfigurationen: Unsichere Konfigurationen in Servern, Anwendungen, Datenbanken oder Netzwerken, einschließlich ungenutzter Seiten, nicht sicherer Standardkonten oder veralteter Software, können Angreifer ausnutzen.
  • Cross-Site Scripting (XSS): Diese Schwachstelle erlaubt es Angreifern, schädlichen Code (z. B. JavaScript) in die Webseiten anderer Benutzer einzuschleusen, was zum Diebstahl von Sitzungs-Cookies, zur Manipulation von Webseiten oder zu Phishing-Angriffen führen kann.
  • Unsichere Deserialisierung: Bei der unsicheren Deserialisierung kann ein Angreifer manipulierte Objekte in eine Anwendung einschleusen, um beliebigen Code auszuführen, Anwendungen zum Absturz zu bringen oder andere schädliche Aktionen durchzuführen.
  • Nutzung von Komponenten mit bekannten Schwachstellen: Die Nutzung von Bibliotheken, Frameworks oder anderen Softwarekomponenten mit bekannten Sicherheitslücken kann zu Schwachstellen in der gesamten Anwendung führen.
  • Unzureichendes Logging und Monitoring: Mangelnde Protokollierung und Überwachung können dazu führen, dass Angriffe nicht rechtzeitig erkannt oder verhindert werden, was Angreifern ermöglicht, längere Zeit unentdeckt zu bleiben.

Wie wurde geprüft?
Trovent Security führte sowohl automatisierte als auch manuelle Tests durch. Bei den automatisierten Tests kommen Programme zum Einsatz, die mit bekannten Angriffsvektoren das System attackieren. Für die manuellen Tests versetzten sich die Sicherheitsexperten in die Lage potenzieller Angreifer und versuchten, mithilfe ihres Fachwissens in das System einzudringen. Die identifizierten Angriffsmöglichkeiten wurden aus technischer Sicht und nach Eintrittswahrscheinlichkeit bewertet.

Ergebnis
Bei der Prüfung der otris cloud-Infrastruktur und der otris legal SUITE wurden keine Schwachstellen festgestellt, die ein kritisches oder hohes Risiko darstellen würden. Der Test ergab „keine verbleibenden signifikanten Sicherheitslücken“.

Pentest Zertifikat Trovent - otris software AG

Über die Trovent Security GmbH

Die Trovent Security GmbH ist Anbieter von Servicelösungen zur Verbesserung der IT-Sicherheit. Neben Pentesting, Bedrohungs- und Anomalie-Erkennung bietet Trovent Beratung zur Umsetzung von IT-Compliance an. (www.trovent.io)

Zertifikat anfordern: Bestätigung der IT-Sicherheitsprüfung

Die otris software AG wird alle hier bereitgestellten Informationen ausschließlich in Übereinstimmung mit der Datenschutzerklärung verwenden.

Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.

Google Datenschutzerklärung Lade Google reCAPTCHA