Im Rahmen der Umsetzung des Onlinezugangsgesetzes (kurz OZG) führt das Land Nordrhein-Westfalen die „Ehrenamtskarte NRW“ ein. Unter der Federführung der regio iT wurden eine mobile App (für Android/iOS) und das dazugehörige Verwaltungsbackend in Zusammenarbeit mit dem kommunalen Rechenzentrum Minden-Ravensberg/Lippe entwickelt und betrieben. Die Ehrenamtskarte NRW soll das bürgerschaftliche Engagement digital unterstützen und fördern. HiSolutions sorgte anhand eines Sicherheitstests dafür, dass die App sicher genutzt werden kann. 

Success Story als PDF herunterladen

Die „Ehrenamtskarte NRW“ stellt für die Bürgerinnen und Bürger in NRW eine Möglichkeit dar, für ihr bürgerliches Engagement eine Form der Anerkennung zu erhalten. Mithilfe einer mobilen App  und über ein persönliches Benutzerprofil können sie eine Ehrenamtskarte beantragen und verwalten und nach Angeboten und Vergünstigungen für Ehrenamtler suchen. Über das dazugehörige Verwaltungsbackend können bspw. Sachbearbeitende der Kommunen die gestellten Anträge der Bürgerinnen und Bürger genehmigen oder ablehnen. Die Webanwendung ist eine Maßnahme zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen im Rahmen der Umsetzung des OZG.

Das Ziel:

Schwachstellen ausfindig machen & beseitigen

Mit der Durchführung von Penetrationstests sollte noch vor Abschluss der initialen Entwicklungsphase eine Sicherheitsprüfung erfolgen, damit etwaige Schwachstellen in der mobilen App und im Verwaltungsbackend bereits vor dem Go-live behoben werden konnten.

Die Herausforderung:

Webanwendung trifft auf Verwaltung & Datenschutz

Neben den Framework-spezifischen Besonderheiten der mobilen App und des Verwaltungsbackends wurde während der Tests besonderer Wert auf die Einhaltung datenschutzrechtlicher Aspekte gelegt.

Die Umsetzung:

Effizientes Pentesting & Prüfung der OWASP Top 10

HiSolutions führte einen Web-Penetrationstest für das Verwaltungsbackend durch, wobei neben den typischen Web-Schwachstellen (OWASP-Top-10) der Fokus auch auf die Berechtigungen der unterschiedlichen Rollen gelegt wurde. Der Web-Penetrationstest wurde im Whitebox-Ansatz durchgeführt. Dies ermöglichte die differenzierte Betrachtung der den Benutzern zugeordneten Rollen und ihrer unterschiedliche Berechtigungen innerhalb der Webanwendung.

Die mobile App wurde einer statischen Code-Analyse unterzogen, wobei aufgrund der Verwendung des Cordova-Frameworks für Android und iOS annähernd die gleiche Code-Basis zugrunde liegt. Parallel dazu wurden bei der dynamischen Analyse der App-Funktionalitäten die Web-Service-Zugriffe der App auf das Backend untersucht. Die Prüfung umfasste die OWASP-Top-10 für Web und Mobile sowie weitere Best Practices.

Das Ergebnis:

Risikobewertung und zielgerichtete Maßnahmen

Die Ergebnisse der Prüfungen wurden durch HiSolutions in einem Prüfbericht festgehalten, der neben der ausführlichen Beschreibung des jeweiligen Sachverhalts und den daraus resultierenden Auswirkungen auch Maßnahmeempfehlungen und eine Risikobewertung enthielt. Einzelbefunde wurden mit den Ansprechpartnern erörtert, um eine zielgerichtete Behandlung sicherzustellen.

Die festgestellten Sicherheitslücken konnten vor dem Go-live durch die zuständigen Entwickler behoben werden. Die Einführung der App konnte so auf einem sicherheitsüberprüften Niveau erfolgen.

Das sagt unser Kunde

„Dank HiSolutions konnten wir die Sicherheitsmängel unserer entwickelten Anwendung für unsere Kunden vor dem Produktivgang bereinigen. Die Erfahrung von HiSolutions hat gezeigt, dass es durchaus Sinn ergibt, einen Penetrationstest durchzuführen.“

Daoud El Omari,
Produktmanager & Projektleiter der regio iT