Kunde: Nationales Forschungsinstitut
3.000 getestete Unterseiten, 5.000.000 Quellcodezeilen
Herausforderung des Kunden
Öffentliche Institutionen wie das Nationale Forschungsinstitut OPI PIB (Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy) können sich keine Datenlecks leisten. Aus diesem Grund beauftragte uns das Institut mit der Durchführung eines Cybersicherheitsaudits für fünf seiner Systeme – darunter eine Datenbank verteidigter Abschlussarbeiten, ein Verzeichnis polnischer Wissenschaftler sowie eine Plattform für kostenlose Online-Kurse.
Diese Systeme arbeiten gemeinsam daran, wichtige wissenschaftliche und personenbezogene Daten in Polen zu speichern und zu verarbeiten. Die Organisation musste sicherstellen, dass sie angemessen geschützt sind.
Projektablauf
Für jedes der Systeme führten wir separate Penetrationstests sowie simulierte Angriffe auf Systeme und Netzwerke mithilfe der Black-Box-Methode durch (ohne Kenntnis des Quellcodes oder der Anwendungskonfiguration), um Schwachstellen im Sicherheitssystem zu identifizieren.
Dabei kamen sowohl automatisierte als auch manuelle Auditmethoden zum Einsatz, um die Systeme auf verschiedene Arten von Schwachstellen zu prüfen, darunter SQL Injection, XML Injection, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), Code Execution, unsichere Kommunikationswege, Source Disclosure, Path Traversal, DoS (Denial of Service), File Inclusion, SSL-Sicherheitsprobleme von Webservern, Broken Authentication and Session Management, Authorization Bypass, Information Leakage sowie die Deserialisierung nicht vertrauenswürdiger Daten.
Zusätzlich führten wir eine Analyse der Authentifizierungsmethoden sowie externer Geräte durch. Zur Bestimmung relevanter Angriffsszenarien nutzten wir die aktuelle OWASP-Liste bekannter Schwachstellen.
Ergebnisse
Im Ergebnis des Audits identifizierten wir Schwachstellen in den geprüften ICT-Systemen, Netzwerken sowie in der gesamten IT-Umgebung, in der diese betrieben werden. Darüber hinaus führten wir eine Sicherheitsbewertung der Ressourcen der ICT-Systeme durch.
Dem Kunden stellten wir einen umfassenden Bericht zur Verfügung, der die Ergebnisse des Audits zusammenfasst und konkrete Maßnahmen zur Verbesserung des Sicherheitsniveaus der Systeme empfiehlt. Auf dieser Grundlage wird die Sicherheitskultur innerhalb der Organisation kontinuierlich weiterentwickelt.
