Ein Penetrationstest ist eine Methode zur Bewertung der Sicherheit eines Computersystems oder Netzwerks. Um potenzielle Angriffsvektoren aufzudecken, werden dabei gezielt Schwachstellen und Sicherheitslücken identifiziert. In den vergangenen Wochen wurde die Online-Verwaltung „VerbandsCloud“ durch die Firma syret GmbH und im Auftrag der Betreiberfirma syscape GmbH einem Penetrationstest unterzogen. Die Sicherheitsexperten versuchten in das Softwaresystem einzudringen, ähnlich wie ein echter Angreifer. Ziel dieser mehrwöchigen Sicherheitsmaßnahme war es, mögliche Schwachstellen aufzudecken, bevor eventuelle Lücken von bösartigen Angreifern ausgenutzt werden können.
"Mit dem Ergebnis der Tests sind wir sehr zufrieden", berichtet Felix Weigand von der syscape GmbH. "Keine Software ist fehlerfrei und erst mit einem Softwaretest durch einen externen Dienstleister erhält man ein klares Bild". Im Ergebnis und nach eingehender Bewertung des Abschlußberichtes, wurden keine softwareseitigen Schwachstellen gefunden, die eine unmittelbare Eskalation von Benutzerrechten (Ausweitung der Privilegien) oder gar einen unberechtigten Durchgriff auf die Datenbank (z.B. durch SQL-Injection) ermöglichen.
Die im Abschlußbericht aufgeführten Punkte, die bei einer Anpassung auch die Bedienbarkeit der Software betreffen würden, werden im Laufe des Jahres von den Projektverantwortlichen noch einmal eingehend bewertet.
Insbesondere im Verbands- und Vereinswesen werden überdurchschnittlich viele Kundendaten verarbeitet. Eine Sicherheitslücke kann fatale Folgen für die Nutzer einer solchen Software-Lösung haben. Die syscape GmbH sieht sich mit diesem positiven Testergebnis darin bestätigt, den Schutz der Nutzerdaten als integralen Bestandteil der Softwareentwicklung und Qualitätsprüfung, kontinuierlich in die Funktionsplanung einfließen zu lassen.
