Jüngster Penetrationstest bestätigt Tresorits Sicherheit

Jüngster Penetrationstest bestätigt Tresorits Sicherheit

Hier bei Tresorit ist es unser Ziel, Sicherheit einfach zu machen. Jede von uns entwickelte Lösung wurde gestaltet, um Ihnen maximale Sicherheit und Nutzerfreundlichkeit zu bieten. Wir sind jedoch auch nur Menschen – deshalb müssen wir alles, was wir machen, prüfen und noch einmal prüfen sowie uns durch Dritte bestätigen lassen, dass wir nichts aus den Augen verloren haben. Wir nutzen Penetrationstests, um zu garantieren, dass unsere Systeme so sicher sind, wie wir behaupten, und diese Tests helfen uns zugleich dabei, von uns übersehene Sicherheitsschwachstellen aufzudecken. Außerdem sind wir davon überzeugt, dass Transparenz ein zentraler Bestandteil von Sicherheit ist. Lesen Sie weiter, um mehr über die Ergebnisse unseres jüngst durchgeführten Penetrationstests zu erfahren.

In ISO-Standards wird der Begriff Schwachstelle als „eine Sicherheitslücke in einem Asset oder einer Gruppe von Assets, die durch eine oder mehrere Bedrohungen ausgenutzt werden kann“ definiert. In diesem Sinne bezeichnet Schwachstellenmanagement den Prozess der Identifikation, Prüfung, Berichterstattung und Beseitigung von Sicherheitslücken, die die Integrität oder die Sicherheit eines Systems bedrohen. Für uns bei Tresorit ist Schwachstellenmanagement aus verschiedenen Gründen wichtig.

Zum einen sind wir ein sicherheitsfokussiertes Unternehmen und möchten Menschen dabei helfen, die Kontrolle über ihre sensibelsten Daten und Dateien zu behalten. Folglich entscheiden sich viele Unternehmen und Privatpersonen dafür, ihre wertvollsten und vertraulichsten Daten in unserer Ende-zu-Ende-verschlüsselten Cloud zu speichern. Dies bedeutet, dass wir uns stets an neue Bedrohungen anpassen und jeglichen neuen Angriffsvektoren in der Cybersicherheitslandschaft entgegenwirken müssen.

Darüber hinaus ist Tresorit im Kern ein Software-Unternehmen. Wir sind uns darüber bewusst, dass jede Änderung, die wir an unserem Code vornehmen, das Potenzial in sich birgt, eine Schwachstelle zu erzeugen – und wir handeln dementsprechend. Wir verfolgen zahlreiche Programmierprinzipien und Best-Practices für Sicherheit, um zu gewährleisten, dass unser Code mit jedem Update weiterhin sicher bleibt. Trotz all unserer Bemühungen ist es jedoch effizienter, unsere Systeme mit frischem Blick prüfen zu lassen, denn dies kann uns helfen, alle wichtigen Informationen bestens zu schützen. Wir haben unsere Garantien zum Schutz Ihrer Daten im Sommer 2021 vorgelegt, als wir auch die Versprechung machten, die Ergebnisse unseres jüngsten Sicherheitsaudits zu veröffentlichen.

Sicherheit garantieren: Der Vulnerabilitätstestvorgang bei Tresorit

Aus den oben genannten Gründen wenden wir einen dreistufigen Ansatz an, um die Integrität unserer Codebasis sicherzustellen:

1. Kontinuierliche interne Sicherheitstests

Unsere internen Sicherheitsmaßnahmen sind Teil unserer kontinuierlichen Bemühungen, um sicherzustellen, dass alle Daten in Tresorit geschützt sind. Das Aufspüren von Fehlern in der Entwicklungsphase bildet einen zentralen Bestandteil unseres Entwicklungsprozesses. Wenn jedoch ein sicherheitskritisches Element in unserem Code betroffen ist, wird eine zusätzliche Prüfung durch unsere dedizierten Sicherheitsexperten eingeleitet. Obendrein überprüfen wir unsere Apps auch regelmäßig anhand von Methoden, die auch üblicherweise von anderen Anbietern verwendet werden. In diesem Fall haben wir den Vorteil, dass wir ein tiefes Verständnis über die Funktionsweise unserer Lösungen und deren Entwicklungsvorgang haben und somit potenzielle Angriffsvektoren, die durch jedwede Lücke durchschlüpfen könnten, mit chirurgischer Präzision testen können.

2. Externe Sicherheitstests durch Dritte

Zusätzlich zur Aufspürung der von uns übersehenen Schwachstellen validieren Prüfungen durch Dritte auch unsere Aussagen bezüglich der Sicherheit und Datenschutzkonformität unserer Cloud-Collaboration-Tools. Tresorit führt solche Tests regelmäßig unter Einbeziehung vertrauenswürdiger Partner durch. In der Vergangenheit arbeiteten wir arbeiteten beispielsweise mit Ernst & Young und Computest zusammen. Im Jahr 2021 haben wir Computest erneut damit beauftragt, Penetrationstests auf unseren Apps durchzuführen.

3. Sicherheitstests durch Kunden

Großunternehmen, die eine Unmenge von sensiblen und vertraulichen Daten handhaben, haben spezifische Sicherheitsanforderungen, besonders wenn sie regulierten Branchen – wie dem Gesundheits- oder Rechtswesen – angehören oder einfach viele personenbezogene Informationen verarbeiten. In diesen Fällen haben Unternehmen ein tiefes Verständnis über ihre Sicherheitsbedürfnisse und führen zusätzliche Sicherheitstests aus eigenem Antrieb durch. Wir bei Tresorit betrachten diese Bemühungen als eine Möglichkeit dafür, unsere Compliance-Tools erweitern und verbessern zu können.

Penetrationstest durch Computest 2021

Wie oben erwähnt wurden unsere Apps kürzlich einem Penetrationstest durch Computest unterzogen. Dieses Review fokussierte auf diverse Tresorit-Lösungen, die unseren sicheren Workspace ermöglichen. Darunter wurden folgende Komponenten aus der Sicherheitsperspektive analysiert:

  • Webclient
  • mobiler Client für Android
  • Windows-Desktop-Client
  • und die zugehörige Infrastruktur

Computest führt die meisten Tests manuell mithilfe von wenigen automatisierten Tools durch. Jegliche durch diese Tools gemeldeten Schwachstellen werden auch immer manuell überprüft, um Falschmeldungen zu vermeiden. Da wir sowohl statische Analysen als auch automatische Prüfmethoden als Teil unseres Entwicklungsvorgangs anwenden, erwarten wir verständlicherweise nicht, dass diese Tools allzu viele Fehler entdecken. Falls eine Schwachstelle aufgedeckt und bestätigt wird, wird dieser ein Schweregrad gemäß dem Common Vulnerability Scoring System (CVSS) zugeordnet. Das CVSS ist ein branchenübliches Verfahren zur numerischen Erfassung der bestimmenden Merkmale einer Schwachstelle.

Die Ergebnisse des Penetrationstests sind beruhigend. Computest hat nur zwei Schwachstellen entdeckt. Eine davon (CVSS 3.5) war mit einer falsch konfigurierten Sicherheitsoption auf der Lizenzebene verbunden. Da der Fehler in einer Defense-in-Depth-Lösung gefunden wurde, stellte er keine direkte Sicherheitsbedrohung dar. Die andere Sicherheitslücke (CVSS 6.5) wurde in Tresorits Windows-Client ausfindig gemacht und erlaubte es Angreifern, unter sehr spezifischen Umständen Speicherprobleme zu verursachen. Ein derartiger Angriff hätte sich auf die Vertraulichkeit und Verfügbarkeit des Clients auswirken können. Sie können hier eine tiefgreifendere Zusammenfassung des Berichts nachlesen.

Was machen wir, um unentdeckte Schwachstellen zu beseitigen?

Der Schutz unserer Systeme und der in Tresorit gespeicherten Daten ist stets unsere höchste Priorität. Wir haben eine interne SLA für jedes Sicherheitsproblem festgelegt. Je nach Schweregrad des Problems verpflichten wir uns zu einer gezielten Lösung und einem Bereitstellungstermin. Die interne Bestimmung des Schweregrades beruht auf folgenden Aspekten: Auswirkung, Wahrscheinlichkeit und Einfachheit der Ausnutzung. Sie können mehr über unsere Störfallverwaltung, Geschäftskontinuität und Notfallwiederherstellung in Tresorits Wissensdatenbank erfahren.

Selbstverständlich fordern wir auch alle Tresorit-Nutzer dazu auf, ihre Augen offen zu halten und unserem Team jegliche verdächtige Ereignisse unter security[at]Tresorit.com mitzuteilen. Bei Fragen im Zusammenhang mit der Sicherheit unserer Tools können Sie gerne an dieselbe Adresse schreiben.