Penetrationstests durch die SySS GmbH
![]()
Seit mehr als 15 Jahren liegt der Fokus der SySS GmbH auf der Durchführung von Software Penetrationstests (PenTests) sowie der Wahrung maximaler Sicherheit von IT-Infrastrukturen in Unternehmen jeglicher Branche und Größe. Die Tübinger Sicherheitsspezialisten zählen mittlerweile branchenübergreifend mehr als 20 der DAX30 Konzerne zu ihren Kunden. Darüber hinaus vertrauen zudem auch staatliche Einrichtungen (Innenministerium, Bundeswehr, Deutsche Flugsicherung, …) dem Expertenurteil der SySS GmbH. Die professionelle Zusammenarbeit mit dem Branchenprimus in etlichen Iterationen hat die Weichen für die Schließung und fortlaufende Vermeidung potentieller Sicherheitslücken gestellt.
Pentest der Version 8.3.0
Durch die Erweiterung von Version 8.3.0 um zahlreiche weitere Funktionen wurde sie einem erneuten Pentest unterzogen, den sie mit Bravour bestanden hat.
Bestandteile des PenTests
Während des Tests wurden unter anderem die nachfolgenden Szenarien geprüft:
- Simulation clientseitiger Angriffe unterschiedlichster Ausprägungen
- intensives Sourcecode Review
- qualitative Beurteilung sämtlicher kryptografischer Verfahren
Testbedingungen
Die SySS GmbH hatte zwecks lückenloser und granularer Durchführung der Tests jederzeit vollen Zugriff auf den Sourcecode sowie den Datenbankserver.
Fazit des Tests
![]()
Den erfolgreich durchgeführten Test bescheinigte Sebastian Schreiber, Geschäftsführer der SySS GmbH. Hier einige Auszüge:
*Im Verlauf des Sicherheitstests war es der SySS GmbH nicht möglich, auf unautorisierte Weise auf geschützte Passwortinformationen und Dokumente fremder Benutzer der Softwareanwendung Password Safe 8 zuzugreifen, weder aus der Perspektive eines Benutzers mit Anmeldedaten noch aus der Perspektive eines externen Angreifers ohne Anmeldedaten. Die eingesetzten Verfahren bezüglich
Authentifizierung, Autorisierung und Verschlüsselung sorgen nach Ansicht der SySS GmbH für einen effektiven Schutz der innerhalb der Anwendung gespeicherten sensiblen Daten.
*Nach Erkenntnissen der SySS GmbH ist ein Angreifer (…) nicht in der Lage, direkt auf Anmeldepasswörter im Klartext oder unverschlüsseltes RSA-Schlüsselmaterial
von Benutzern zuzugreifen.
*Die Tatsache, dass ein Zugriff auf den privaten RSA-Schlüssel im Klartext nur mit vorheriger Eingabe des korrekten Passworts möglich ist und diese Authentifizierungsinformation somit von einer Person extern in das System der Anwendung Password Safe im Rahmen der Benutzeranmeldung eingebracht wird, bewertet die SySS GmbH als sehr positiv. Auch im Falle verschiedener Schwachstellen ist ein Angreifer dadurch nicht unmittelbar in der Lage, auf entsprechend verschlüsselte Daten wie Passwörter oder Dokumente zuzugreifen.
!Hinsichtlich der verwendeten Verschlüsselungsverfahren konnte die SySS GmbH im Rahmen des durchgeführten Sicherheitstests keine Schwachstellen finden.
Insgesamt bewertet die SySS GmbH das Sicherheitsniveau der getesteten Softwareversion der Anwendung Password Safe 8 als sehr gut.
Seit mehr als 15 Jahren liegt der Fokus der SySS GmbH auf der Durchführung von Software Penetrationstests (PenTests) sowie der Wahrung maximaler Sicherheit von IT-Infrastrukturen in Unternehmen jeglicher Branche und Größe. Die Tübinger Sicherheitsspezialisten zählen mittlerweile branchenübergreifend mehr als 20 der DAX30 Konzerne zu ihren Kunden. Darüber hinaus vertrauen zudem auch staatliche Einrichtungen (Innenministerium, Bundeswehr, Deutsche Flugsicherung, …) dem Expertenurteil der SySS GmbH. Die professionelle Zusammenarbeit mit dem Branchenprimus in etlichen Iterationen hat die Weichen für die Schließung und fortlaufende Vermeidung potentieller Sicherheitslücken gestellt.