Penetrationstestergebnisse 2023 und unser Konzept für Codebasis-Integrität

Hier bei Tresorit entwickeln wir all unsere Lösungen mit Ihrer Sicherheit im Hinterkopf. Dennoch verstehen wir die Wichtigkeit kontinuierlicher Überprüfung. Aus diesem Grund sind regelmäßige Penetrationstests Teil unserer Strategie. Sie bestätigen unsere Behauptungen in Bezug auf die Sicherheit unseres Systems und helfen dabei, übersehene Schwachstellen aufzudecken. Machen auch Sie transparente Sicherheit zu Ihrer Priorität und feiern Sie mit uns die Ergebnisse unseres jüngsten Penetrationstests: Keine Schwachstellen gefunden.

Für uns bei Tresorit ist Schwachstellenmanagement aus verschiedenen Gründen wichtig. Zum einen sind wir ein sicherheitsfokussiertes Unternehmen und möchten Menschen dabei helfen, die Kontrolle über ihre sensibelsten Daten und Dateien zu behalten. Folglich entscheiden sich viele Unternehmen und Privatpersonen dafür, ihre wertvollsten und vertraulichsten Daten in unserer Ende-zu-Ende-verschlüsselten Cloud zu speichern. Dies bedeutet, dass wir uns stets an neue Bedrohungen anpassen und jeglichen neuen Angriffsvektoren in der Cybersicherheitslandschaft entgegenwirken müssen.

Darüber hinaus ist Tresorit im Kern ein Software-Unternehmen. Wir sind uns darüber bewusst, dass jede Änderung, die wir an unserem Code vornehmen, das Potenzial in sich birgt, eine Schwachstelle zu erzeugen – und wir handeln dementsprechend. Wir verfolgen zahlreiche Programmierprinzipien und Best Practices für Sicherheit, um zu gewährleisten, dass unser Code mit jedem Update weiterhin sicher bleibt. Trotz all unserer Bemühungen ist es jedoch effizienter, unsere Systeme mit frischem Blick prüfen zu lassen, denn dies kann uns helfen, alle wichtigen Informationen bestens zu schützen. Wir haben unsere Garantien zum Schutz Ihrer Daten im Sommer 2021 vorgelegt, als wir auch die Versprechung machten, die Ergebnisse unseres jüngsten Sicherheitsaudits zu veröffentlichen.

Penetrationstest durch CCLab 2023

Unsere Apps wurden kürzlich einem Penetrationstest durch CCLab unterzogen. Diese Überprüfung konzentrierte sich auf diverse Tresorit-Komponenten, die unseren sicheren Workspace ermöglichen. Darunter wurde Folgendes aus der Sicherheitsperspektive analysiert:

• Tresorits Kryptografie und Umsetzung der Schlüsselverwaltung,
• Sichere Netzwerkkommunikation,
• Kryptografische Komponenten der Windows-Anwendung,
• In Beziehung stehende Komponenten.

CCLab verwendete eine Testmethode, die auf gemeinsamen Kriterien basiert. Alle potenziellen Schwachstellen wurden auf der Grundlage von Dokumenten zu Tresorits Core Interface v5.0, öffentlich verfügbaren Informationen und der Expertise der Prüfer identifiziert. Falls eine Schwachstelle aufgedeckt und bestätigt wird, wird dieser ein Schweregrad gemäß dem Common Vulnerability Scoring System (CVSS) zugeordnet. Das CVSS ist ein branchenübliches Verfahren zur numerischen Erfassung der bestimmenden Merkmale einer Schwachstelle.

Die Ergebnisse des Penetrationstests sind äußerst beruhigend: Keine einzelne Schwachstelle wurde gefunden. Dies bestätigt aufs Neue, dass wir mit unserem Zero-Knowledge-Ansatz und dessen Umsetzung auf Kurs sind. Sie können hier eine ausführlichere Zusammenfassung des Berichts nachlesen.

Unser Konzept für Codebasis-Integrität

Im Allgemeinen wenden wir einen dreistufigen Ansatz an, um die Integrität unserer Codebasis sicherzustellen:

1. Kontinuierliche interne Sicherheitstests

Unsere internen Sicherheitsmaßnahmen sind Teil unserer kontinuierlichen Bemühungen, um sicherzustellen, dass alle Daten in Tresorit geschützt sind. Das Aufspüren von Fehlern in der Entwicklungsphase bildet einen zentralen Bestandteil unseres Entwicklungsprozesses. Wenn jedoch ein sicherheitskritisches Element in unserem Code betroffen ist, wird eine zusätzliche Prüfung durch unsere dedizierten Sicherheitsexperten eingeleitet. Obendrein überprüfen wir unsere Apps auch regelmäßig anhand von Methoden, die auch üblicherweise von anderen Anbietern verwendet werden. In diesem Fall haben wir den Vorteil, dass wir ein tiefes Verständnis über die Funktionsweise unserer Lösungen und deren Entwicklungsvorgang haben und somit potenzielle Angriffsvektoren, die durch jedwede Lücke durchschlüpfen könnten, mit chirurgischer Präzision testen können.

2. Externe Sicherheitstests durch Dritte

Zusätzlich zur Aufspürung der von uns übersehenen Schwachstellen validieren Prüfungen durch Dritte auch unsere Aussagen bezüglich der Sicherheit und Datenschutzkonformität unserer Cloud-Collaboration-Tools. Tresorit führt solche Tests regelmäßig unter Einbeziehung vertrauenswürdiger Partner durch. In der Vergangenheit arbeiteten wir arbeiteten beispielsweise mit Ernst & Young und Computest zusammen. Im Jahr 2021 haben wir Computest erneut damit beauftragt, Penetrationstests auf unseren Apps durchzuführen.

3. Sicherheitstests durch Kunden

Großunternehmen, die eine Unmenge von sensiblen und vertraulichen Daten handhaben, haben spezifische Sicherheitsanforderungen, besonders wenn sie regulierten Branchen – wie dem Gesundheits- oder Rechtswesen – angehören oder einfach viele personenbezogene Informationen verarbeiten. In diesen Fällen haben Unternehmen ein tiefes Verständnis über ihre Sicherheitsbedürfnisse und führen zusätzliche Sicherheitstests aus eigenem Antrieb durch. Wir bei Tresorit betrachten diese Bemühungen als eine Möglichkeit dafür, unsere Compliance-Tools erweitern und verbessern zu können.

Was machen wir, um unentdeckte Schwachstellen zu beseitigen?

Der Schutz unserer Systeme und der in Tresorit gespeicherten Daten ist stets unsere höchste Priorität. Wir haben eine interne SLA für jedes Sicherheitsproblem festgelegt. Je nach Schweregrad des Problems verpflichten wir uns zu einer gezielten Lösung und einem Bereitstellungstermin. Die interne Bestimmung des Schweregrades beruht auf folgenden Aspekten: Auswirkung, Wahrscheinlichkeit und Einfachheit der Ausnutzung. Sie können mehr über unsere Störfallverwaltung, Geschäftskontinuität und Notfallwiederherstellung in Tresorits Wissensdatenbank erfahren.

Selbstverständlich fordern wir auch alle Tresorit-Nutzer dazu auf, ihre Augen offen zu halten und unserem Team jegliche verdächtige Ereignisse unter security[at]tresorit.com mitzuteilen. Bei Fragen im Zusammenhang mit der Sicherheit unserer Tools können Sie gerne an dieselbe Adresse schreiben.