Docugate CLOUD wird von verschiedenen Banken als System zur Vorlagenverwaltung und Erstellung von Dokumenten verwendet. Deren Ansprüche an Datensicherheit und Datenschutz sind sehr hoch. Weil sie sich nicht nur auf unsere Bestätigungen, Dokumentationen und Verfahren abstützen wollten, wurde durch eine Drittfirma im Auftrag einer Bank ein Penetration-Test durchgeführt. Das Risiko-Level der drei gefundenen Schwachstellen (Vulnerabilities) wurde mit tief bewertet (mehr dazu weiter unten) – aber natürlich trotzdem bereits behoben: Sicherheitstest bestanden!
Die von der Bank eingesetzte Docugate API ist Teil der Software-as-a-service-Lösung Docugate CLOUD. Sie wird im Microsoft Azure Rechenzentrum (RZ) in Zürich betrieben. Durch die zahlreichen Sicherheitsmassnahmen, die bereits durch das RZ und den Technologie-Stack von Azure angeboten werden, ist eine solide Basis an Sicherheitsanforderungen bereits erfüllt. Die zusätzlichen technischen Massnahmen, die Leuchter bei der Entwicklung der Software-Lösung berücksichtigt hat, erhöhen die Sicherheit noch zusätzlich. Aufgrund vertraglicher Verpflichtungen veröffentlichen wir den Bericht in anonymisierter Form. Bei konkreten Fragen stehen wir aber gerne zur Verfügung.
Was wurde getestet?
Ein sogenannter «Penetration Test» ist ein Sicherheitstest eines Rechners, Netzwerks oder eben eines Software-Systems. Ziele von Pen-Tests sind die Identifikation von Schwachstellen, das Aufdecken von Fehlern, die Erhöhung der Sicherheit und die Bestätigung derer durch einen Dritten (Quelle: Wikipedia).
Konkret ging es bei der Prüfung von Docugate Web und der API um die Beantwortung folgender Fragen:
- Ist die Lösung sicher, um beim Kunden genutzt zu werden? Beinhaltet sie ausnutzbare Schwachstellen («exploitable vulnerabilities»)?
- Wie wird die allgemeine Angriffsfläche beurteilt?
- Ist es möglich, Authentifizierung und Autorisierung zu umgehen?
- Wie sicher ist die Speicherung und die Übertragung von Daten?
- Inwiefern wurde während der Entwicklung auf Sicherheit geachtet?
- Wie widerstandsfähig ist Docugate gegenüber typischen Bedrohungen?
Wer hat den Test durchgeführt und wie wurde getestet?
Um die Unabhängigkeit zu gewährleisten, hat der Kunde selbstständig einen externen Dienstleister gesucht. Die danach ausgewählte Schweizer IT-Security-Firma kann über zehn Jahre Erfahrung in Sicherheits-Audits, Forensik und Training vorweisen und dies auch durch zahlreiche Zertifizierungen belegen.
Beim Pen-Test von Docugate wurden unter anderem das Open Source Security Testing Methodology Manual (OSSTMM) – der De-facto-Standard für Security Audits – und die OWASP top 10 beigezogen.
Sicherheitsprüfung bestanden!
Die Tester bzw. simulierten Angreifer haben drei Schwachstellen gefunden.
Das Risiko wurde bei allen drei als Tief eingestuft.
Auch die drei Punkte gelöst
Mit Genugtuung und Freude haben wir diesen Befund entgegengenommen. Gleichzeitig waren wir aber auch gewillt, die Empfehlungen des Auditors umzusetzen. Die 3 Schwachstellen waren derart «klein», dass sie kurz nach dem Erhalt des Berichts bereits korrigiert und das Update für alle Kunden eingespielt werden konnte.
In der Diskussion zwischen dem Security-Team und unserem Entwicklungsteam konnten keine weiteren Schwachstellen identifiziert werden. Der Bericht attestiert, dass wir den «Best practices» adäquat zu folgen scheinen, dass das Wissen zu Sicherheitsüberlegungen ausgereift sei und dass «Security» im Entwicklungs- und Betriebsprozess berücksichtigt wird.
Sicherheit kein "Show-stopper"
Es gibt also keinen Grund, dass der Einsatz von Docugate in ihrem Unternehmen an der «Sicherheit» scheitern sollte. Trotzdem empfehlen wir allen Kunden, eine Risikoabschätzung vorzunehmen – wie man das ja auch für generelle bzw. andere Risiken tut. Mit dem neuen Datenschutzgesetz in der Schweiz oder der DSGVO werden hierzu sowieso gewisse Massnahmen vorgeschrieben. Gerne unterstützen wir sie dabei!
Mehr über den Penetration-Test Erfahren
Möchten Sie mit uns über Details des Penetration Test sprechen? Oder mehr über unsere Vorlagenmanagement und Dokumenterstellungslösung Docugate erfahren? Melden Sie sich ungeniert bei mir!
Sollten Sie technische Fragen oder ein «Aber…» haben, kontaktieren Sie ungeniert unseren ServiceDesk unter servicedesk@docugate.ch. Unsere Techniker sind gerne für Sie da.