Zwei Männer sitzen vor Monitoren mit Code

Referenz

Pentest einer Gesundheits-App

Eine Gesundheits-App, die unser Kunde Cap3 entwickelt hatte, musste sich einer Sicherheitsüberprüfung stellen. Wir identifizierten Schwachstellen und gaben Empfehlungen für Maßnahmen, die bereits im Entwicklungsprozess zu höherer Sicherheit führen.

Kunde

Cap3 GmbH

Branche

IT-Branche

Lösungen

Sicherheitsreport von Schwachstellen

Projektteam

Test

Wer ist unser Kunde?

Die Cap3 GmbH ist ein Softwareunternehmen aus Kiel, das Web- und mobile Anwendungen entwickelt. Die Kund:innen sind unter anderem im Gesundheitswesen angesiedelt. Cap3 legt großen Wert auf hohe Sicherheitsstandards in der App-Entwicklung und verfolgt einen partnerschaftlichen Ansatz in der Zusammenarbeit mit externen Dienstleister:innen.

Mit welcher Fragestellung ist Cap3 zu uns gekommen?

Cap3 kam mit dem Wunsch auf uns zu, die Sicherheit einer mobilen Gesundheits-App durch einen externen Penetrationstest prüfen zu lassen. Ziel war es, konkrete Schwachstellen zu identifizieren und daraus Maßnahmen für die Weiterentwicklung der App abzuleiten. Gleichzeitig sollte dadurch der Entwicklungsprozess hinsichtlich sicherheitsrelevanter Aspekte optimiert werden.

Wie sind wir vorgegangen? In welchen Phasen haben wir gearbeitet?

Wir setzten das Projekt als strukturierten Pentest in vier Phasen um:

  1. Informationssammlung: Gemeinsam mit Cap3 definierten wir zunächst den Testumfang. Dann analysierten wir die App und ihre Schnittstelle, um ein technisches Verständnis von der Architektur und Kommunikationswege zu bekommen.
  2. Statische Analyse: Zur Identifikation potenzieller Schwachstellen im Code und der App-Logik setzten wir automatisierte Scans ein.
  3. Manuelle Prüfung und Exploitation: Durch manuelle Tests und gezielter Versuche, Schwachstellen auszunutzen, validierten wir die Ergebnisse, beispielsweise indem wir Altersverifikationen umgingen und Kommunikationspfade manipulierten.
  4. Reporting und Beratung: Abschließend erstellten wir einen strukturierten Bericht mit Risikobewertungen, Beschreibungen der Schwachstellen und konkreten Handlungsempfehlungen, die wir zusammen mit Cap3 in einem Abschlusstermin besprachen.

 

Durch die enge und lösungsorientierte Zusammenarbeit mit Cap3 konnten wir die Herausforderungen des Projekts gemeinsam meistern.

Welchen Herausforderungen sind wir im Projektverlauf begegnet? Wie haben wir sie gemeistert?

Die App verfügte über eine besonders stark abgesicherte Kommunikationsstruktur, die mit Standardtools nicht analysierbar war. Cap3 stellte uns gezielt Testendpunkte zur Verfügung, um die Analyse dennoch effizient durchführen zu können – ein Beispiel für unsere enge und lösungsorientierte Zusammenarbeit.

Zudem erforderte die App ein Umdenken in unserer Test-Methodik, da die App-Sicherheit auf Mobilgeräten gegenüber der für Webanwendungen Besonderheiten aufweist. Die neue Test-Methodik haben wir mittlerweile professionalisiert.

 

Die Dokumentation beinhaltet Schwachstellen, technischen Beschreibungen, Risikoeinschätzungen und Behebungsempfehlungen.

Welche Ergebnisse und Erkenntnisse lieferten wir Cap3?

Wir lieferten einen umfassenden Sicherheitsreport mit konkreten Schwachstellen, technischen Beschreibungen, Risikoeinschätzungen und klaren Empfehlungen zur Behebung. Cap3 integrierte die Erkenntnisse direkt in die Weiterentwicklung der App. Darüber hinaus ist eine vertrauensvolle Zusammenarbeit entstanden:

Inzwischen begleiten wir Cap3 regelmäßig partnerschaftlich bei der Absicherung neuer Releases.

Die eingesetzten Technologien (Auswahl)

  • Penetrationstest
  • Nikto
  • Sqlmap
  • Nuclei
  • Hydra
  • Burp Suite
  • ZAP
  • Nmap
  • mobsf

Ihr Ansprechpartner für dieses Projekt

Philip Keil

Philip Keil

IT-Sicherheit

0421 20750 0 E-Mail senden