Hacker testen KIVAN

Die IT-Sicherheit unserer Kita-Verwaltungssoftware wurde auf die Probe gestellt. Mitte September führte die Firma Securai GmbH aus Garching einen Penetrationstest auf eine bei der Lecos GmbH gehostete Kundenumgebung von KIVAN durch. Der Test orientierte sich an den Top Ten der Open-Web-Application-Security-Project (OWASP) und dem OWASP Application-Security-Verification-Standard (ASVS).

Der Test umfasst unter anderem:

  • Zugriff auf Daten ohne entsprechende Berechtigungen

  • Einschleusen von Datenbank- oder Betriebssystembefehlen

  • Manipulation von Inhalten (XSS)

  • Sicherstellung eines funktionierenden Authentifizierungs- und Sitzungsmanagements

  • Aufspüren von Fehlkonfigurationen und anderen Datenlecks, die zum Abfluss von vertraulichen Informationen führen können

  • Einsatz veralteter Software auf Applikationsebene (z.B. JavaScript-Bibliotheken)

  • Optimierungen in Bezug auf die Sicherung der Applikation gegenüber künftigen Angriffsmöglichkeiten

  • Sonstige spezifische Web-Schwachstellen (CSRF, Open Redirection)

Das Ergebnis spricht für sich: KIVAN schnitt beim Test mit den Bescheinigungne sehr gutes und sicheres Produkt ab. Es gelang dem Tester nicht, unbefugt an personenbezogene Informationen zu gelangen. Das Entwicklerteam erhielt dafür die Bescheinigung Arbeiten auf hohem Niveau.

Die Durchführung des Penetrationstest brachte nur kleine Schwachstellen hervor. Diese wären lediglich dazu geeignet, um in bestimmten Konstellationen Daten im System zu löschen. Das Einsehen oder Auswerten dieser Daten ist dabei aber auf gar keinen Fall möglich, was wiederum für unsere hohen Sicherheitsstandards spricht. Andere Schwächen könnte man für Phishing ausgenutzen, beispielsweise wenn KIVAN in fremde Webseiten eingebaut wird.

Das Entwicklerteam hat Hinweise zum Umgang mit diesen Schwachstellen erhalten und wird diese umgehend schließen, damit wir auch weiterhin unseren eigenen Ansprüchen gerecht bleiben können.

Unserer Verwaltungssoftware für Kindertagesstätten, Horte und Tagespflegen entwickelt sich stets weiter. Für uns liegt die höchste Prorität immer bei der Zufriedenheit unserer Kunden. Dabei bilden Datenschutz und IT-Sicherheit mit die wichtigsten Rollen und wir setzen auch in Zukunft alles daran, die Anforderungen in höchstem Maße zu erfükken!