Web Application Security

Sind Sie in Ihren Softwareprojekten mit sensiblen Daten konfrontiert? Entwickeln Sie komplexe und individuelle Systeme? Wir helfen Ihnen, eine angemessene und nachhaltige IT Sicherheit zu erreichen.

Die Sicherheit Ihrer Web Anwendung kann nur durch Ihr Entwicklungsteam verbessert werden. Deshalb sind wir immer Teil Ihres Teams, teilen Wissen und schaffen Awareness. Wir unterstützen Sie in allen Phasen des Software Development Lifecycles (SDL) - individuell abgestimmt auf Ihren Bedarf.

Security Concept

Das Security Concept ist eine solide Basis für die angemessene und ausbalancierte IT Sicherheit Ihrer Web Application.

Mehr erfahren

Secure Development

Die kontinuierliche Berücksichtigung von Sicherheitsanforderungen in Entwicklung und Test ist ein Erfolgsfaktor für Ihr Projekt.

Mehr erfahren

Secure Operations

Richten Sie Ihren Anwendungsbetrieb an den Sicherheitsanforderungen aus. So kann das Schutzniveau Ihrer Anwendung nachhaltig werden.

Mehr erfahren


Security Concept

Welche Sicherheitsmaßnahmen brauchen Sie und an welcher Stelle? Welche Daten möchten Sie schützen und gegen wen? Hilft Ihnen dabei eine Verschlüsselung und wenn ja, welche und wo liegt der Schlüssel?
Die IT Sicherheit einer Webanwendung muss individuell geplant werden, denn der Angreifer findet die schwächste Stelle und Sicherheitsmaßnahmen können teuer sein.

Auf der Basis von Interviews und Workshops erstellen wir mit Ihnen ein solides Konzept, das konkrete Maßnahmen für Ihre neue oder bereits bestehende Anwendung enthält.

In der Systemanalyse dokumentieren wir mit Ihnen die High-Level-Architektur Ihrer bestehenden Anwendung. Existierende Konzepte und Dokumentationen werden einbezogen. Dabei wird das System aus verschiedenen Sichten analysiert und dokumentiert. Für eine neu zu erstellende Anwendung wird gemeinsam eine grobe Architektur erarbeitet, die als Basis für das Konzept dient. Der Scope des Sicherheitskonzeptes wird definiert und die Zielsetzung besprochen.

Die Schutzbedarfsfeststellung ist die Basis für alle weiteren Entscheidungen im Sicherheits-Konzept. Hier wird der Schutzbedarf der einzelnen Informationsobjekte festgelegt, d.h. welche Werte erhalten werden müssen und wie wichtig diese Werte sind. Als Ergebnis liegt eine definierte Anforderungslage vor, so dass die Architektur am Bedarf ausgerichtet werden
kann.

Um einen grundlegenden Schutz mit vertretbaren Aufwand zu erreichen bietet sich der Einsatz von etablierten Standards an. Diese helfen auch, ein Schutzniveau in der eigenen Webanwendung umzusetzen, welches definiert ist und kommuniziert werden kann.

Im Threat Modeling wird das Wissen und die Kreativität des Teams genutzt, um die kritischen Bedrohungen zu analysieren. Dies kann sehr effizient sein. Auch wenn kein komplettes Sicherheitskonzept erstellt werden soll empfehlen wir die Durchführung von moderierten Threat Modeling Workshops.

Als Ergebnis wird eine umfassende Liste an Maßnahmen definiert. Der Umsetzungsplan und das Maßnahmentracking helfen bei der strukturierten Implementierung des IT Sicherheitskonzeptes.


Ihr Ansprechpartner


Secure Development

Die Umsetzung von Sicherheitsmaßnahmen kann schwierig und ungewohnt sein. Sichere Softwareentwicklung erfordert den Blickwinkel eines Angreifers, der kreativ destruktiv nach Lücken sucht. Gute Softwareentwickler arbeiten aber meistens konstruktiv und funktional getrieben. Daher arbeiten unsere Berater als Security Coaches in Ihren Teams mit und helfen bei Sicherheitsfragen wenn sie auftreten. Dabei hilft unsere langjährige Erfahrung mit IT Security in agilen Softwareprojekten.

Durch Code-Reviews und zielgenaue Beratung wird die Code-Basis verbessert und Schwachstellen frühzeitig vermieden.

Ein Security Testing der Web-Schnittstelle auf der Basis von automatisierten Scans verschafft eine gute Übersicht über noch bestehenden Schwachstellen und bietet Ansatzpunkte für Verbesserungen.

Das Build Pipeline Hardening unterstützt die Verbesserung der IT Sicherheit im Softwareerstellungsprozess. Dazu werden automatisierte Scans im Rahmen der Continious Integration (CI) ergänzt aber auch die unterstützenden Systeme rund um den Build-Server betrachtet.

Zielgerichtete Architektur-Reviews helfen, bestimmte Sicherheitsmaßnahmen auf ihre Effektivität und Effizienz zu prüfen. Vertrauensmodelle werden besprochen, Key-Management und der korrekte Einsatz von Kryptografie.


Secure Operations

Ist Ihre Anwendung gut konzipiert und solide entwickelt muss sie noch sicher betrieben werden. Ein sicherer Anwendungsbetrieb erfordert regelmäßige Security Scans, ein effektives Monitoring und ein funktionierendes Patch Management. Wir helfen Ihnen, Systeme auf Anwendungsebene zu härten und geeignete Architekturen aufzubauen.

Sie haben bereits eine Anwendung im Betrieb und möchten die IT Sicherheit stärken ohne die Anwendung anpassen zu müssen? Hier können zusätzliche betriebliche Maßnahmen helfen, wie z.B. der Einsatz einer Web Application Firewall (WAF). Hierzu können wir Sie neutral beraten, da wir keine Produkte vertreiben.