Dienstag, 14. April 2015

intercompanyWEB von yourIT - sichere Webanwendung dank Qualys WAS

Das Web hat sich zum dominierenden Faktor für Cyberangriffe entwickelt: Hacker finden immer neue Wege, um über Webanwendungen die Abwehr zu durchbrechen. Die vor kurzem entdeckte Sicherheitslücke Shellshock hat dies demonstriert. Manuelle Penetrationstests reichen schon lange nicht mehr aus, um Webanwendungen in großer Zahl zu ermitteln und effizient zu scannen.


Der Softwarehersteller yourIT GmbH aus Hechingen ist seit 2006 Software-Hersteller der Software intercompanyWEB, die auch als Cloud-Lösung angeboten wird. Gleichzeitig ist yourIT seit 2007 erfolgreicher Partner der Schwachstellenmanagement-Lösung Qualys. Im August 2014 hat sich die Entwicklungsabteilung von yourIT in Zusammenarbeit mit der Geschäftsführung daran gemacht, die Sicherheit der eigenen Webanwendung zu erhöhen - getreu dem Unternehmensmotto "securITy in everything we do" und logischerweise durch den Einsatz von Qualys WAS. Zu Recht, wie Sie im Folgenden lesen können.

Was waren die Ziele der Aktion?


yourIT wollte eine unabhängige - nicht subjektiv beeinflusste regelmäßige Kontrolle auf Sicherheitslücken in der Programmierung wie etwa Cross-Site-Scripting- (XSS) und SQL-Injection-Schwachstellen. Teilweise sollten die Ergebnisse auf dem Open Web Application Security Project (OWASP) basieren.

Weshalb hat sich yourIT für den Einsatz von Qualys entschieden??


Qualys ist ein führender Anbieter in automatisierten cloudbasierte Sicherheits- und Compliance-Lösungen. Die langjährigen positiven Erfahrungen aus Sicherheitsscans von Netzwerken sowie Patchmanagement und Schwachstellenmanagement bei den yourIT-Kunden hat zu der Entscheidung geführt, dass Qualys auch der richtige Partner für den Scan der eigenentwickelten Web-Applikationen wie intercompanyWEB ist.

Kurzbeschreibung der beteiligten Systeme


intercompanyWEB ist die webbasierte Lösung für die Intercompany-Abstimmung von SAP- und Non-SAP-Gesellschaften auf Salden- und Einzelpositionsebene.

Logo intercompanyWEB von yourIT


Qualys Web Application Scanning (WAS) hilft Unternehmen automatisiert, ihre kundenspezifischen Webanwendungen zu erkennen (Discovery) umfassend zu scannen und mögliche Verwundbarkeit zu reporten. Die Lösung ist dabei so designed, dass der Kunde keinerlei eigene Infrastruktur benötigt. Die gesamte Lösung wird als Software as a Service (SaaS) zur Verfügung gestellt und ist somit in kürzester Zeit einsatzbereit. Die Reports sind so strukturiert, dass der Entwickler einer Applikation sofort erkennen kann, wie kritisch eine Schwachstelle ist und sogar, wie diese behoben werden kann. Zu Recht hat Qualys WAS den Award Best of Application Security 2014 erhalten.

Wie profitiert yourIT heute von der Zusammenarbeit?


Qualys bietet auch kleinen Software-Herstellern wie yourIT die Möglichkeit einer schnellen Reaktion auf ausnutzbare Schwachstellen (z.B. Cross-Site-Scripting, SQL-Injection, Heartbleed, Poodle, Freak). Die Automatisierung der Lösung führt zu einer großen Zeitersparnis. Nur so ist eine Erfüllung der teilweise hohen Sicherheitsbedürfnisse der Konzernkunden von yourIT überhaupt machbar.

Thomas Ströbele, Geschäftsführer von yourIT und selbst Berater für Datenschutz und IT-Sicherheit, schwärmt: "Qualys WAS ermöglicht es uns, trotz unserer begrenzten Ressourcen unsere Schwachstellen in unseren Webapplikationen und in der Webentwicklung aufzudecken, bevor dies Dritte tun. Dadurch stellen wir sicher, dass wir das Level an Security und Compliance erreichen, das wir und unsere Kunden benötigen."

Neben yourIT profitieren auch die Konzernkunden davon, die auf intercompanyWEB als sichere webbasierte Lösung vertrauen können.

Welche Zahlen oder Resultate belegen die die erfolgreiche Zusammenarbeit?


Im Projekt-Zeitraum von August 2014 bis April 2015 konnte ein extrem starker Abbau der Anzahl der Sicherheitslücken in den Qualys-WAS-Scan-Reports der regelmäßig durchgeführten Kontrollen von intercompanyWEB  nachgewiesen werden.

Die Situation "Vulnerabilities by Severity" stellte sich zu Beginn des Projekts wie folgt dar:

Gefundene Sicherheitslücken bei Projektbeginn

Am Ende des Einführungsprojekts stellte sich die Situation wie folgt dar:

Gefundene Sicherheitslücken bei Projektende im April 2015

Im direkten Vergleich stellt sich das Ergebnis wie folgt dar:

Gefundene Sicherheitslücken bei Projekt-Start und -Ende im direkten Vergleich


Unschwer ist selbst für Laien der enorme Rückgang der Schwachstellen erkennbar, vor allem im Security-Level 5 (Urgent), 4 (Critical) und 3 (Serious). Die Einstufung "Security Risk" durch Qualys veränderte sich dadurch von HIGH zu LOW.

Erkannt und mittels der von Qualys größtenteils gelieferten Handlungsempfehlungen (Solutions) danach auch erfolgreich entfernt wurden Sicherheitslücken wie Cross-Site Scripting (XSS), SQL Injection, Path Disclosure, Information Disclosure.

Auch die nach OWASP Top 10 2013 größten Risiken für Webanwendungen wurden überprüft und gegebenenfalls beseitigt.

Nach dem Scan ist vor dem Scan!


"Uns ist bewusst, dass wir uns auf unseren Lorbeeren nicht ausruhen dürfen." so Ralf Ströbele, Geschäftsführer von yourIT und Leiter Systems & Solutions. "Jeden Tag werden neue Schwachstellen entdeckt. Schon morgen kann die Sicherheit unserer webbasierten Lösung wieder gefährdet sein. Daher heißt es künftig bei yourIT: Nach dem Scan ist vor dem Scan! Wir werden Qualys WAS regelmäßig zur Überprüfung unserer Lösungen nutzen."

Was kommt als nächstes?


Qualys hat Anfang 2015 die neueste Version von Qualys Web Application Scanning (WAS) mit den branchenweit ersten Funktionen für kontinuierliches progressives Scannen vorgestellt. Diese Funktionen crawlen komplexe Websites schnell, um die Belastung durch die Scans zu reduzieren. Außerdem bietet Qualys WAS flexible Optionen zur Berichterstattung, damit benötigte Metriken erstellt und Unternehmen die Risiken durch unerkannte Schwachstellen minimieren können.

Mit Funktionen für kontinuierliches progressives Scannen können Kunden wie yourIT jetzt automatisierte Website-Scans einrichten, die während spezifischer Scan-Fenster durchgeführt werden. Qualys verwendet für WAS einen neuen Algorithmus und scannt die Teile der Website, die sich seit dem letzten Scan verändert haben. Dies verringert die Gesamtbelastung.

Wie können Sie davon profitieren?


Das äußerst zufriedenstellende Ergebnis hat yourIT dazu bewogen, die Lösung Qualys WAS  künftig noch stärker bei bestehenden und künftigen Kunden  einzusetzen.

Für alle Kunden bietet yourIT ab sofort einen kostenlosen Qualys-WAS-Freescan. Dazu registrieren Sie sich einfach hier.

Für Kunden aus dem Deutschen Mittelstand bis 250 Mitarbeiter bietet yourIT für kleines Geld ein Beratungspaket "Sicherheitsaudit Webapplikationen", das sogar mit Mitteln aus dem Europäischen Sozialfonds gefördert wird.

Konzept yourIT Sicherheitsaudit Webapplikationen - sponsored by ESF

Mehr dazu auf unserer Beratungswebsite www.mITgroup.eu.

Etwas Zeit und ein wenig Geld - das sollte Unternehmen die Sicherheit ihrer Webanwendungen schon wert sein. Finden Sie nicht?



Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Dienstag, 6. Januar 2015

Porto ab 2015 teurer - E-Billing jetzt!

Falls Ihr Unternehmen immer noch Rechnungen per Post versendet: Das Briefporto für Standardbriefe wurde nach den Erhöhungen 2013 (von 55 auf 58 Cent) und 2014 (von 58 auf 60 Cent) zum 01.01.2015 erneut um 3 Cent erhöht. Der Versand eines Standardbriefs kostet jetzt 62 Cent. Um die Differenz aufzahlen zu können, stellt die Post wieder 2-Cent-Briefmarken zur Verfügung.


Da wir und unsere Kunden schon lange auf den elektronischen Rechnungsversand (E-Billing) umgestiegen sind, liegen bei uns teilweise noch die 55-Cent-Marken aus 2012 herum. Dazu kommen die Bogen mit 2- und 3-Cent-Marken. Wenn wir Standardbriefe versenden, sieht das aus wie eine kleine Briefmarkensammlung.

Standardbrief sieht ab 2015 aus wie eine kleine Briefmarkensammlung

Für Unternehmen mit vielen Ausgangsrechnungen in Papierform ist der Rechnungsversand per Papier mittlerweile ein teurer Spaß. 10.000 Ausgangsrechnungen kosten jetzt 6.200 EUR Porto - 700 EUR mehr als noch in 2012.

Post erhöht Porto um 12,72% innerhalb 3 Jahren

Dazu kommen noch Material, Druck, Zeit, etc. Summa summarum fallen je Papier-Rechnung in der Regel unglaubliche 2-5 EUR Kosten an.

Das muss nicht sein!


Unser Tipp: Sparen Sie sich jetzt das erhöhte Porto und die anderen Kosten und steigen Sie endlich um auf den elektronischen Rechnungsversand (= E-Billing). Seit das E-Billing-Verfahren durch das Steuervereinfachungsgesetz 2011 enorm vereinfacht wurde (Wir berichteten Anfang September 2012 in unserem Thema der Woche), sind bereits viele Unternehmen dazu übergangen, Rechnungen per E-Mail statt als Papierdokument zu versenden. Und Sie können das auch. Wir unterstützen Sie gerne dabei.

Liebe Post, die 2- und 3-Cent-Marken könnt Ihr Euch sparen! Wir und unsere Kunden sind dann mal weg - bei E-Billing.de

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele