Die Sicherung kritischer Geschäftsprozesse und der Schutz von materiellen sowie immateriellen Unternehmenswerten hat für viele Unternehmen hohe Priorität. Seit Jahren wächst die Bedrohung von Cyber-Angriffen kontinuierlich – und das über alle Branchen hinweg.
Laut einer Studie der Bitkom hatten allein im vergangenen Jahr neun von zehn Unternehmen Erfahrungen mit solchen Angriffen. Angreifer entwickeln dabei immer ausgefeiltere Methoden, um gezielt Schwachstellen in Software-Produkten auszunutzen. Jeder zweite Betreiber kritischer Infrastrukturen (KRITIS) rechnet laut dem Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) sogar mit einer Zunahme von Angriffen in den kommenden Monaten. Umso wichtiger ist es, Software-Produkte sicher zu entwickeln und über regelmässige Penetrationstests zu prüfen, um so mögliche Sicherheitslücken zu identifizieren. Die imbus AG, ein anerkannter Anbieter von Tests zur Sicherung von Softwarequalität, hat der Software IF-6040 von Interflex ein hohes IT-Sicherheitsniveau bestätigt.
Prüfung auf Sicherheitsrisiken
IF-6040 ist eine Softwarelösung von Interflex, die Module für Zutrittskontrolle, Zeitwirtschaft und Besuchermanagement umfasst. Dabei wurde die Anwendung sowohl als On-Premise- als auch als cloudbasierte Service-Installation auf mögliche Sicherheitsrisiken hin überprüft. Für den Penetrationstest wurden die Industriestandards des Open Web Application Security Project (OWASP) „OWASP Testing Guide v4.0“ und Angriffstechniken aus dem MITRE ATT&CK® Framework sowie die anerkannten Methoden und Prozesse des Praxisleitfadens für IS-Penetrationstests des BSI angewendet.
Interflex setzte dabei auf eine Mischung aus mehreren möglichen Hackerszenarien. „Dieses authentische Szenario simuliert dabei sowohl den Angriff eines typischen Aussentäters, der nur die Adressinformationen des Zieles kennt, als auch die Möglichkeit eines Angreifers von innen. Das kann beispielsweise ein Mitarbeiter sein, der zusätzliche Informationen über das Angriffsziel besitzt,“ erklärt Robert Nachtrab, Leiter Software-Entwicklung bei Interflex. „Für uns ist IT-Sicherheit kein Zustand, sondern ein Prozess. Unser Ziel ist es, unseren Kunden eine Softwarelösung anzubieten, die immer dem neuesten Stand der IT-Sicherheit entspricht.“
