Testing

Security Testing: Denken wie die Hacker

Mobile Banking liegt im Trend. Doch wie sicher ist der Zahlungsverkehr via Smartphone? Auf diese Frage müssen Banken eine zufriedenstellende Antwort finden, um das Vertrauen ihrer Kunden zu stärken. Wir tauchen mit Ihnen in die Hacker-Welt ein, um Sicherheitslücken zu erkennen und zu stopfen.

Security Testing for Banking Applications – Minimieren von Sicherheitsrisiken durch Testen von mobilen Applikationen

Über Smartphone oder Lesegeräte Zahlungen vorzunehmen oder Kontodaten abzurufen, liegt europaweit im Trend. In Deutschland sind die Kunden beim Mobile Banking bisher noch zurückhaltend. Wichtig ist es in jedem Fall, das Vertrauen der Verbraucher zu stärken. Deswegen muss es zuverlässige Antworten geben auf diese Fragen: Wie datenschutzfreundlich ist der Umgang mit personenbezogenen Daten? Wie wird die Zahlungssicherheit gewährleistet, damit die Daten nicht von Dritten aus krimineller Absicht ausgespäht oder manipuliert werden können? Nachrichten über Hacker-Angriffe, eingeschleuste Trojaner, Datenmanipulationen, massenhaften Diebstahl von Kontodaten tragen nicht zum Vertrauen bei und behindern eine schnelle Verbreitung dieser mobilen Bankdienstleistungen.

Eine Fülle von Manipulationsmöglichkeiten machen entsprechende technische und prozessuale Sicherheitskonzepte nötig. „Cross site scripting“, „Phishing“, „Spyware“ und „Key Logger“ sind nur ein kleiner Teil des Bedrohungspotentials. Das Einschleusen von SQL-Codes in Datenbankabfragen einer Banking Software auf das Backend ist eine Möglichkeit eines Angreifers, Kontodaten zu manipulieren, abzufragen oder zu löschen. Durch eine Verschlüsselung der übertragenen Daten (Secure Sockets Layer) oder das Verwenden von Zertifikaten lassen sich solche Angriffe abwehren. Eine weitere Möglichkeit des Hackens besteht in dem Abfangen der übertragenen Daten zwischen Klient und Web Server. Diese Daten lassen sich manipulieren und führen schlimmstenfalls zu unerlaubten Banktransaktionen. 

Hacker-Mentalität verstehen

Um die Zahlungssicherheit zu gewährleisten, ist eine auf Sicherheitsrisiken spezialisierte Teststrategie und -planung erforderlich. In der Praxis müssen Security Best Practises in Design, Entwicklung und Testen der Anwendungen angewandt werden. Dabei müssen Entwickler und Tester in die Rolle von Hackern schlüpfen, um deren Motivation, Angriffsziele und Techniken verstehen und vorhersagen zu können. Periodisches Testen schon fertiggestellter Applikationen ergänzt das Auffinden und die Beseitigung neu auftretender Sicherheitsrisiken.

  • Das Verständnis einer Testabdeckung zu Sicherheitsaspekten ist unabdingbar, um Sicherheitslücken zu erkennen
  • Strukturiert durchgeführte Penetrationstests stellen die Vorgehensweisen der Angreifer nach und versuchen zusätzlich potentielle Hacker-Angriffe vorherzusagen
  • Die Definition von „Angriffsprofilen“ hilft dabei, Motivation, Angriffsziele und eingesetzte Techniken zu beschreiben. Aus diesen „Angriffsprofilen“ können strukturiert Testszenarien abgeleitet werden

Mobile-Banking-Applikationen und E-Payment enthalten aber nicht nur die Sicherheitsrisiken aus Applikationssicht, sondern auch Risiken, die unterschiedliche mobile Betriebssysteme und Netzverbindungen aufweisen. 

Maßgeschneiderte Lösungen von CGI

CGI bietet entsprechend der unterschiedlichen Szenarien mehrere Lösungen an.

  • CGI Mobile Testcenter in Erfurt: Um Sicherheitsrisiken im Umfeld des Mobile Banking kostensparend zu testen, bietet CGI die Durchführung der Services „onshore“ durch das Testcenter in Erfurt an. Hierbei wird auf Sets von Smartphones, mobilen Betriebssystemversionen und Netzabdeckungen zugegriffen, die auf der Basis von „pay per use“ definiert sind. Testszenarien lassen sich auf den Endgeräten durch Scripting automatisieren und können kostensparend wiederholt ausgeführt werden.
  • CGI-Security-Spezialisten erstellen adäquate Testpläne auf Basis der definierten „Angriffsprofile“, eingesetzten Applikationen und Datenübertragungstechniken. Hierbei werden in Testsets die unterschiedlichen Bedrohungsszenarien dokumentiert und die notwendige Testdurchführung beschrieben.

Artikel empfehlen:

01.12.2013
Kategorien:
Ausgabe 6 - 2013
Specials

Schlüsselwörter
Testing

Aktuelles von Experten für Experten