Child pages
  • Sicherheitsueberpruefung
Skip to end of metadata
Go to start of metadata

Umfang der Überprüfung

Der Umfang einer Sicherheitsüberprüfung wird über die drei Begriffe Testgegenstand, Testabdeckung und Testtiefe bestimmt.

Bei der Sicherheitsüberprüfung einer Website sind die Testgegenstände in der Regel das Serversystem, auf dem die Website betrieben wird, und die Webanwendung, die die Website generiert. Im Angebot wird dies mit jeweils einer Position pro Server und pro Website abgebildet.

Der zweite Parameter, die Testabdeckung, gibt an, welche Komponenten des Serversystems und welche Funktionen der Webanwendung auf Ihre Sicherheit überprüft werden sollen. Diese Auswahl geschieht zum einen individuell nach den Bedürfnissen des Kunden und zum anderen nach Erfahrungswerten. In den Angebotspositionen wird die Testabdeckung für die Website mit Hilfe einer Komplexitätskennziffer quantifiziert, die nach einer groben Sichtung der zur Verfügung stehenden Funktionen auf der Website ermittelt wurde.

Über die Testtiefe wird schließlich der Aufwand in Stunden errechnet. Bei einer geringen Tiefe werden nur oberflächliche und hauptsächlich automatisierte Tests und bei einer hohen Tiefe intensive und vermehrt manuelle Überprüfungen der Server-Komponten bzw. Website-Funktionen durchgeführt. Im Angebot wird die Testtiefe in den vier Stufen niedrig, mittel, hoch und höchste angegeben.

Leistungen

Projektkoordination

  • Allgemeine Kundenbetreuung und telefonischer Support
  • Feinabstimmung des Testumfangs mit technischem Personal und Drittdienstleistern: Testabdeckung und Tiefe
  • Vollmacht zur Durchführung der Sicherheitsüberprüfungen durch Auftraggeber und Drittdienstleister
  • Unterzeichnung einer Vertraulichkeitsvereinbarung (NDA)
  • Beschaffung von erforderlichen, technischen Informationen für Whitebox-Tests: Zugangsdaten zu Servern, Datenbanken, ggf. Administrationsbereiche
  • Vereinbarung von Testzeiträumen und technischen Ansprechpersonen, die in diesem Zeiträumen zur Verfügung stehen

Stundensatz für diese Leistungen: 100,00 Euro

Sicherheitsüberprüfung der Hosting-Umgebung

Für eine ganzheitliche Sicherheitsüberprüfung ist auch die Hosting-Umgebung zu prüfen. Eine einfache Überprüfung in diesem Bereich ist bei der Beauftragung des gesamten Leistungspakets inklusive.

  • Testgegenstand
    • Domain 1, Domain 2, Domain 3, ...
  • Testabdeckung
    • Netzwerk-Infrastruktur: Güte des AS
    • DNS: Sicherheit des DNS-Servers, Redundanz, rekursive Anfragen, anonyme Zonentransfers, Reverse-DNS
    • Mail: Sicherheit des Mail-Servers, Redundanz, Open-Relay, Authentifizierung

Stundensatz für erweiterte Leistungen: 120,00 Euro

Sicherheitsüberprüfung der Server-Systeme

Für eine Sicherheitsüberprüfung eines Linuxbasierten Web-Serversystem mit einer Testtiefe von niedrig bis mittel werden 4 bis 16 Stunden veranschlagt. Der Aufwand für erweiterte Sicherheitsüberprüfungen müssen individuell bestimmt werden.

  • Testgegestand
    • Server 1, Server 2, Server 3, ...
  • Testabdeckung für Linuxbasierte Web-Serversysteme:
    • Netzwerk: Offene Ports, Firewall-Konfiguration, Fingerprinting, allgemeine TCPund ICMP-Sicherheitseinstellungen, Flood/DOS-Protection
    • Betriebssystem und Softwarepakete: Prüfung auf veraltete Serverdienste oder -bibliotheken, unsichere System-Konfiguration, Passwortsicherheit
    • Web-Server: Fehlerhafte oder unsichere Konfiguration, unnötig geladene Module, ungeschützte Administrationsbereiche
    • Datenbank: Unsichere Konfiguration, Sicherheit der Administrationspasswörter

Stundensatz für diese Leistungen: 120,00 Euro

Sicherheitsüberprüfung von Websites

Beispielhaftes Dienstleistungsportfolio einer klassischen Sicherheitsüberprüfung von Websites.

  • Testgegestand
    • Website 1, Website 2, Website 3, ...
  • Testabdeckung:
    • Überprüfung des zu Grunde liegenden Webframeworks, z.B. CMS
    • Session-Management: Beschaffenheit der SessionID, Laufzeit, Session-Riding
    • Cross-Site-Skripting: Prüfung auf persistente, nicht persistente und DOMbasierte XSS
    • SQL-Injection: Prüfung auf fehlerhaftes "Escaping" von Datenbankwerten in der Anwendung
    • Allgemeine Schwächen in der Anwendungslogik zur Überlistung von Sicherheitsbarrieren
    • Sicherheit der Anwendungsdaten, Überprüfung der Passwörter
    • Datenschutzbestimmungen (Datenverschlüsselung bei Login und Übermittlung von personenbezogen Informationen)
    • Spamversand über Mail-Formulare

Weitere Bestandteile dieser Position:

  • Ausführliche Dokumentation der durchgeführten Überprüfungen
  • Maßnahmen zur Behebung der Sicherheitsdefizite

Stundensatz für diese Leistungen: 120,00 Euro

Reporting

Erstellung eines vollständigen Berichts über die Sicherheitsüberprüfung:

  • Management-Summary
  • Übersicht der Überprüfung und Bewertung des Sicherheitsniveaus
  • Zusammenfassen aller Maßnahmen zu einem Maßnahmenkatalog
  • Verschlüsselte Archivierung und Bereitstellung der Testergebnisse

Stundensatz für diese Leistungen: 100,00 Euro

Kunden-Präsentation vor Ort (optional)

Präsentation der wichtigsten Ergebnisse insbesondere der Mängelliste und anschließende Beantwortung von individuellen Fragen.

Stundensatz für diese Leistungen: 120,00 Euro

Nachüberprüfung mit Berichtaktualisierung (optional)

Überprüfung der Mängelliste und Aktualisierung des Berichts. Kosten abhängig von der Anzahl der Mängel, jedoch maximal 20% der Kosten für die Hauptüberprüfung. Eine Zertifizierung des Testgegenstands ist nur nach erfolgreicher Nachüberprüfung möglich.

 

Alle auf dieser Seite angegebenen Preise sind Nettopreise und verstehen sich zuzüglich der jeweils gültigen gesetzlichen Umsatzsteuer.

Sicherheitsüberprüfung