Automatisiertes Pentesting für sichere Web-Apps

Crashtest Security ist ein kleines Security-Start-up aus München, das einen Online-Sicherheitsscanner für Web-Anwendungen entwickelt hat. Im Gespräch mit com! professional erläutert Mitgründer Janosch Maier die Funktionsweise der SaaS-Lösung und die strategischen Ziele des jungen Unternehmens.

Der Ursprung von Crashtest Security führt auf eine Vorlesung zum Thema Secure Coding an der TU München zurück. Dort hatten die jungen Informatiker die Aufgabe, als Team eine Online-Banking-Anwendung zu erstellen und die Lösung der anderen Teams anzugreifen. Dabei ist den künftigen Gründern aufgefallen, dass es sehr wohl gute Tools gibt, um spezielle Sicherheitsszenarien zu scannen. Allerdings ist es schwierig, diese Anwendungen miteinander zu verknüpfen. So erfordern die vorhandenen Lösungen ein großes Sicherheitswissen, um sämtliche Gefahrenbereiche abzudecken. "Aber selbst wenn ich die passenden Tools einsetze, muss ich diese immer noch entsprechend konfigurieren und die Ergebnisse interpretieren können." Und genau hier setzt die Lösung des Start-ups nun an:

Prinzipiell automatisiert Crashtest Security auf Anwendungsebene das Hacking von Web-Anwendungen und Plattformen wie etwa ERP-Systeme oder Shop-Software mittels automatisierter Pentests. Die Funktionsweise beschreibt Maier recht praxisnah: "Wir gehen auf die Webseite, wie das ein Hacker auch machen würde, suchen dort alle Formulare heraus, die Einfallstore für Angriffe bieten und prüfen anschließend mit verschiedenen Scan-Techniken, ob wir da hineinkommen".

Kunden beziehen den Dienst direkt aus der Cloud. Nach einer Registrierung auf der Webseite stehen die Pentests bereits im Rahmen einer kostenlosen Testphase zur Verfügung und können direkt eingesetzt werden. "Damit geben die Kunden die Security-Workflows quasi an uns ab, was speziell für Firmen interessant ist, die selbst keine eigene Security-Abteilung besitzen, die aber dennoch bei der Entwicklung neuer Tools auf Pentesting angewiesen sind." Entsprechend setzen sich die Kunden von Crashtest Security aus Software-Herstellern zusammen, die Web-Lösungen für Shops und andere Dienste entwickeln. Dabei arbeitet Crashtest Security im Idealfall bereits während der Herstellung mit dem Software-Entwickler zusammen, um mögliche Schwachstellen aufzuzeigen. Zielsetzung sei es durch diesen Ansatz, dass Fehler möglichst nicht beim Kunden ausgeliefert werden.

Daneben arbeitet das Start-up an einer Lösung für Großkunden, die dann eine eigene VPC (Virtual Private Cloud) erhalten, die direkt über einen Tunnel mit dem eigenen Rechenzentrum verbunden ist. Dadurch steht die Datenbank nur im eigenen Rechenzentrum, wodurch die Kunden eine höhere Performance und mehr Datenschutz erhalten.

Dennoch entwickelt das Start-up die Lösung primär für den Mittelstand. "Unsere Kundschaft entwickelt viel Software, hat aber keine Mittel für eine eigene Sicherheitsabteilung oder findet schlichtweg nicht geeignetes Personal." Denn kompetente Sicherheitsexperten arbeiten meist bei größeren Playern wie Google oder der Allianz. "So findet etwa der Metallbau-Mittelständler diese Leute oft gar nicht, die er für die Absicherung seiner Indutrsie-4.0-Lösungen benötigt. Und selbst da, wo die Leute vorhanden sind, sind diese zumeist mit den bestehenden Aufgaben mehr als ausgelastet. Da bietet sich eine automatisierte Lösung natürlich an."

Prinzipiell ist das Start-up davon überzeugt, dass manuelle Sicherheitstest immer mehr durch automatische Lösungen abgelöst werden müssen, weil einfach die Kapazitäten nicht vorhanden sind, um mit der agilen Entwicklung mitzuhalten.