Im Rahmen des Infrastruktur-, Web- und API-Test standen unter anderem die Dienste mdex VPN (geschlossene Kommunikationsgruppen), mdex web.direct, das M2M-SIM-Management-Portal mCOP, sowie die Website mdex.de im Fokus. Im Hardwarebereich wurden sicherheitsrelevante Aspekte des Industrie-Routers mdex MX880 überprüft.
Die turingpoint GmbH hat automatisierte und manuelle Tests durchgeführt. Bei den automatisierten Tests penetrieren Programme mit bekannten Angriffsvektoren das zu testende System. Für die manuellen Tests haben sich die Spezialisten in die Lage eines Angreifers versetzt und versucht, mit ihrem Know-How in das System einzudringen. Die untersuchten Angriffsmöglichkeiten bewerteten die Security-Tester aus technischer Sicht und nach Eintrittswahrscheinlichkeit. Zu den Schwerpunkten der Tests gehören u. a. die Überprüfung des Konfigurations-, Identitäts- und Session-Managements, der Authentifizierungsroutinen und der Kryptografie. Dabei auditiert turingpoint GmbH u.a. anhand des OWASP Testing Guides* und nutzt Tools und Verfahren zur Identifikation der zehn wichtigsten Schwachstellen-Kategorien. Die Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.
Wireless Logic mdex mit bestmöglichem Schutz
„Das Unternehmen Wireless Logic mdex GmbH hat im Rahmen eines durchgeführten Penetrationstests ein sehr hohes Sicherheitsniveau beweisen können“, sagt Till Oberbeckmann, Co-Founder und Managing Partner der turingpoint GmbH. „Es konnten keine schwerwiegenden Sicherheitsmängel nachgewiesen werden. Dieses Zertifikat erhalten nur Unternehmen, deren getestete Anwendungen, Systeme oder Infrastrukturen keine kritischen Schwachstellen aufweisen und ein gutes bis sehr gutes Ergebnis erzielt haben. Dieser Nachweis ist als Momentaufnahme zu verstehen und dient als Beleg für den bestmöglichen Schutz gegenüber Dritten.“
Für Bruno Voigt, CTO bei Wireless Logic mdex GmbH, wird die Sicherheit von IT-Systemen gegenüber Cyberkriminellen in Zukunft noch wichtiger. „Die Kommunikation von Maschine zu Maschine wird Unternehmen nicht nur einen erheblichen Effizienzgewinn, sondern sogar völlig neue Geschäftsmodelle ermöglichen“, sagt Bruno Voigt. „Gerade diese neuen Wege der Kommunikation müssen aber von unbefugten Zugriffen aus dem Internet geschützt werden. Wir freuen uns, dass turingpoint GmbH die Wirksamkeit unseres ganzheitlichen Sicherheitskonzepts bestätigen konnte. IT-Sicherheitsaudits unserer Dienstleistungen und Produkte, die damit geförderte Auseinandersetzung mit kritischen Sichtweisen von außen sind seit Unternehmensgründung im Jahre 1997 intrinsischer Bestandteil unserer Unternehmenskultur, im Jahre 2014 haben wir die Erstzertifizierung unseres Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 durchgeführt und weisen die Wirksamkeit und kontinuierliche Verbesserung durch jährliche A udits nach.“
*Über das Open Web Application Security Project (OWASP)
Die Non-Profit-Organisation Open Web Application Security Project (OWASP) will die Sicherheit von Internet-Anwendungen und -diensten verbessern. Neben der Festlegung von sicherheitsrelevanten Richtlinien bietet das OWASP auch Tools an, wie zum Beispiel XSSer. Dieses automatische System erkenn Cross-Site-Scripting-Schwachstellen in Webapplikationen.