???+ abstract "Über dieses Dokument"
Dies ist ein Projektantrag für die Förderung <a href="https://www.aws.at/aws-digitalisierung/kmucybersecurity/" target="_blank">KMU.Cybersecurity</a> der AWS für einen Pentest einer Web-Applikation.
Das Dokument ist lizenziert unter <a href="https://creativecommons.org/licenses/by/4.0/" target="_blank">CC BY 4.0</a>.
Bei Weitergabe des Dokuments ist die Namensnennung des Erstellers (Syslifters GmbH) erforderlich.
Bei der Einreichung des Förderantrags bei AWS verzichten wir auf die Namensnennung.
Vor der Einreichung das Dokument bitte auf verbliebene "`todos`" prüfen.
Wir leisten keine Garantie für die Gewährung einer Förderung. Verwendung unter eigenem Risiko und eigener Verantwortung.
Unseren Kunden helfen wir gerne mit der gesamten Förderabwicklung.
Das Dokument darf verändert und kommerziell genutzt werden.
Ausgangssituation
Die zunehmende Digitalisierung auch unseres Unternehmens hat zur Folge, dass Cyberangriffe ein wachsendes Schadenspotenzial aufweisen. Die allgemeine Gefährdungslage erhöht sich insbesondere durch die hohe Anzahl an Fällen von Ransomware und Datendiebstählen. Diese stellen auch für unser Unternehmen ein zunehmendes Risiko dar.
Aufgrund dessen ist es für uns essenziell, in unsere eigene Cybersicherheit zu investieren. Unsere Security-Strategie basiert auf folgenden drei Schritten:
- Vermeiden: Cyberangriffe verhindern bevor sie passieren
- Identifizieren: Cyberangriffe erkennen, wenn sie passieren
- Reagieren: Angemessene Reaktion auf identifizierte Cyberangriffe
Unsere höchste Priorität in der Vorbereitung auf Cyberangriffe ist Schritt 1: die Vermeidung. Wir sehen uns in der Verantwortung, Hackerangriffe proaktiv zu verhindern. Dafür haben wir organisationsintern bereits ein Maßnahmenbündel umgesetzt, darunter [todo: nicht Zutreffendes streichen]: Review und Aktualisierung eingesetzter Softwarestände, Review und Säuberung nicht mehr benötigter Benutzer, Einsatz von 2-Faktor-Authentifizierung (insbesondere für Benutzer mit erhöhten Berechtigungen).
Ein weiterer wichtiger Schritt für unsere Organisation ist nun die Durchführung einer Sicherheitsüberprüfung (Penetration-Test, oder Pentest) unserer wichtigsten Web-Applikation, [todo: Namen der Applikation einfügen], die die folgenden Funktionalitäten bereitstellt: [todo: Funktionen der Applikation einfügen].
Zielsetzung
Der Projektgegenstand ist die Durchführung eines Pentests der Web-Applikation durch die Sicherheitsexperten der [todo: Anbieter einfügen]. Das Ziel ist das Finden von technischen Risiken und Schwachstellen im Zielsystem. Das Angriffsszenario umfasst sowohl Angriffe durch Benutzer ohne besondere Berechtigungen und Vorwissen, als auch Angriffe durch authentifizierte Benutzer (Kunden oder Mitarbeiter) [todo: ggf anpassen].
Der Projektzeitraum ist auf [todo: Personentage] Personentage limitiert und verfolgt (wie alle Pentests) einen „Time-Box"-Ansatz. Dies bedeutet, dass ein echter Angreifer, der mehr Zeit in einen Angriff zur Aufdeckung von Schwachstellen in den Zielsystemen investiert, potenziell auch mehr Schwachstellen entdecken kann.
Um die Effizienz des Pentests zu erhöhen, streben wir einen aktiven Informationsaustausch mit den Pentestern an und stellen ihnen sowohl umfassende Informationen über die Zielsysteme, als auch vorkonfigurierte Benutzer und Berechtigungen zur Verfügung („Grey-Box"-Ansatz) [todo: ggf anpassen].
Maßnahmen zur absichtlichen Beeinträchtigung der Verfügbarkeit der Zielsysteme (Denial of Service/DoS, Distributed Denial of Service/DDoS) sind nicht Ziel des Projekts.
Ergebnis
Das Ergebnis des Projekts ist ein schriftlicher Bericht der Security-Experten der [todo: Anbieter einfügen], der identifizierte Schwachstellen und Risiken auflistet und beschreibt, sowie Maßnahmenempfehlungen zur Vermeidung oder Mitigierung der Risiken beinhaltet. Unser Unternehmen wird sodann die Risiken im Geschäftskontext evaluieren und beheben. Abhängig von der Umsetzbarkeit, sowie des Kosten-Nutzen-Aufwands können Risiken auch akzeptiert werden.
Schwachstellen und Risiken können etwa rein technischer Natur sein (etwa Injections, Cross-Site-Scripting, etc.), Fehler der Business-Logik (wie etwa negative Endpreise, etc.), Autorisierungsfehler (z. B. ein regulärer Benutzer kann versteckte Administrations-Funktionen ausführen) oder Probleme in der Konfiguration der Software (etwa Debugging-Einstellungen).
Unser Ziel ist es, alle Schwachstellen innerhalb von acht Wochen final zu adressieren [todo: ggf anpassen]. Die [todo: Anbieter einfügen] wird in der Folge die Behebungsmaßnahmen in Hinblick auf ihre Effektivität nachtesten. So können wir sicherstellen, dass alle Risiken tatsächlich wie geplant behoben wurden. [todo: ggf streichen]