Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir im vergangenen Jahr das Projekt „Markt- und Schwachstellenanalyse zur Sicherheit von E-Government-Anwendungen und Webportalen“ durchgeführt. Der Abschlussbericht von „MaSiGov“ wurde heute vom BSI veröffentlicht. Im Fokus standen das Onlinezugangsgesetz (OZG) und die aktuelle Umsetzungslandschaft. In einer Marktanalyse wurde zunächst ein Überblick über Herstellerlösungen und aktuelle Umsetzungen geschaffen. Anschließend […]
weiterlesen …
Re-Zertifizierte Penetrationstester
Bereits seit 2012 sind zwei unserer Pentester durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Alle drei Jahre muss ein Fachkundenachweis erbracht werden, um die Zertifizierung aufrecht zu erhalten. Das ist erneut gelungen! Sowohl Simon Bieber, als auch Tobias Glemser sind für mindestens weitere drei Jahre zertifizierte Penetrationstester. Die Personenzertifizierung des BSI zum Penetrationstester stellt hohe Ansprüche an die […]
weiterlesen …
Warum sollte man Sicherheitsvorkehrungen für einen Pentest deaktvieren?!? #pentestwissen
#pentestwissen Diese Frage stellte mir ein Interessent (m/w/d) neben vielen weiteren bei einem Vorgespräch zum Thema Penetrationstests. Was gemeint ist und wieso er die Frage gestellt hat, wird in diesem Beitrag näher beleuchtet.
Penetrationstests von EBICS Schnittstellen und Webservices
Electronic Banking Internet Communication Standard (=EBICS) ist ein in Deutschland von der deutschen Kreditwirtschaft definierter, multibankfähiger Standard zur Übertragung von Zahlungsverkehrsdaten über das Internet. Er hat den veralteten BCS-Standard abgelöst. Stark vereinfacht gesprochen werden dabei XML-Nachrichten definiert, die verschlüsselt und signiert meist über eine per TLS gesicherte Webservice-Schnittstelle zu den Banksystemen übertragen werden.
Nahezu jede Bank in Deutschland bietet eine über das Internet für jedermann erreichbare Schnittstelle nach diesem Standard an, um den Zahlungsverkehr über das Internet abwickeln zu können. Folglich unterliegen auch diese Schnittstellen der Regulierung und es müssen in regelmäßigen Abständen Sicherheitsüberprüfungen, z. B. in Form eines Penetrationstests, durchgeführt werden, um Schwachstellen und damit verbundene Risiken zu identifizieren.