Datensicherheit im Visier: syscape GmbH läßt IT Sicherheitsniveau prüfen

Die syscape GmbH, Anbieter professioneller Cloud-Lösungen im Bereich spezialisierter Verwaltungssysteme, lässt die IT-Sicherheit durch einen professionellen Pentest bestätigen.

Anfang Juli ließ die syscape GmbH einen ganz besonderen Test auf ihre Systeme durchführen: einen sogenannten Penetrationstest. Dabei versuchten versierte White-Hats („gute Hacker") von der Spezialfirma syret GmbH aus Halle an der Saale in das interne Netzwerk und die von außen erreichbaren Systeme einzudringen.

Die Tester gingen dabei vor, wie echter Angreifer. Sie erhielten dazu nur zwei Hilfestellungen: Einerseits wurde ihnen mitgeteilt, welche von außen erreichbaren Systeme der syscape GmbH gehören und welche nicht. Dies ist eine rechtliche Notwendigkeit, um Angriffe auf fremde Systeme ohne Zustimmung ihrer Eigentümer zu vermeiden. Andererseits durfte ein Tester das Unternehmen für zwei Tage besuchen und sich mit dem internen Netzwerk verbinden, erhielt aber keine Zugangsdaten. So sollte auch ein Angriff simuliert werden, bei dem die Angreifer sich bereits Zugriff auf das Netzwerk verschafft haben und ihn weiter ausbauen möchten.

Doch die „Angreifer" bissen sich bei syscape die Zähne aus. Wie Marian Kogler, Geschäftsführer der syret GmbH ausführte, erreichen die Tester durchschnittlich bei mehr als drei Viertel der Testeinsätze Administratorenrechte und damit die vollständige Kompromittierung des Unternehmens. Bei der syscape GmbH konnten jedoch keine kritischen Schwachstellen zur weiteren Eskalation gefunden werden.

Dank einer stark differenzierten Netzwerksegmentierung waren die im internen Netzwerk der syscape GmbH gefundenen Schwachstellen im Gesamtkontext als unkritisch einzustufen und auch nur dann ausnutzbar, wenn sich der Angreifer kabelgebunden an das interne Netzwerk anschließen konnte. Das ist aufgrund der strengen Zugangskontrollen mit Videoüberwachung jedoch ausgeschlossen. Auf einem externen Server, der keine Vertrauensbeziehungen zu anderen Servern der syscape GmbH unterhielt, wurde in einer Webanwendung für den internen Gebrauch eine Cross-Site-Scripting-Schwachstelle gefunden. Diese konnte bereits wenige Stunden nach Bekanntwerden der Schwachstelle vollständig behoben werden.

Unmittelbar nach der Berichterstattung durch die Tester, wurden die enthaltenen Handlungsempfehlungen durch die syscape GmbH zur weiteren Härtung des Netzwerkes umgesetzt. Das Niveau der Cybersicherheit des Unternehmens hat sich damit noch einmal deutlich erhöht.

Felix Weigand, Geschäftsführer der syscape GmbH, freut sich über das positive Ergebnis. Weigand empfiehlt allen Unternehmen, die sich Gedanken um ihre IT-Sicherheit machen, einen Penetrationstest durchführen zu lassen und fügt an, „Trotz des durchweg sehr guten Ergebnisses schärft ein solcher Test nochmals den Blick auf die wichtigen Komponenten, was letztlich auch unseren Kunden und den uns anvertrauten sensiblen Daten zugutekommt."

Für den Herbst 2023 plant das Unternehmen einen weiteren Penetrationstest durch die syret GmbH, bei dem die interne Sicherheit der Cloud-Software geprüft werden soll. Hierbei sollen vor allem die Eskalation von Benutzerrechten und die Formulardatenbehandlung im Mittelpunkt stehen.

Das Projekt wurde durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) im Rahmen eines Förderprogrammes unterstützt.

Kurzportrait syscape GmbH:
Die syscape GmbH bietet professionelle Cloud-Lösungen im Bereich spezialisierter Verwaltungssysteme. Hierbei handelt es sich um Software as a Service (SaaS), die zu 100% von der syscape GmbH betrieben und kontinuierlich weiterentwickelt wird. Die syscape GmbH ist erreichbar unter https://www.syscape.de oder telefonisch unter +49 (0) 261 500 810 51.

Kontakt:
syscape GmbH
Frau Beate Dahinten
Tel: +49 (0) 261 500 810 51
info@syscape.de