Im Rahmen der Umsetzung des Onlinezugangsgesetzes (kurz OZG) führt das Land Nordrhein-Westfalen die „Ehrenamtskarte NRW“ ein. Unter der Federführung der regio iT wurden eine mobile App (für Android/iOS) und das dazugehörige Verwaltungsbackend in Zusammenarbeit mit dem kommunalen Rechenzentrum Minden-Ravensberg/Lippe entwickelt und betrieben. Die Ehrenamtskarte NRW soll das bürgerschaftliche Engagement digital unterstützen und fördern. HiSolutions sorgte anhand eines Sicherheitstests dafür, dass die App sicher genutzt werden kann.
Success Story als PDF herunterladen
Die „Ehrenamtskarte NRW“ stellt für die Bürgerinnen und Bürger in NRW eine Möglichkeit dar, für ihr bürgerliches Engagement eine Form der Anerkennung zu erhalten. Mithilfe einer mobilen App und über ein persönliches Benutzerprofil können sie eine Ehrenamtskarte beantragen und verwalten und nach Angeboten und Vergünstigungen für Ehrenamtler suchen. Über das dazugehörige Verwaltungsbackend können bspw. Sachbearbeitende der Kommunen die gestellten Anträge der Bürgerinnen und Bürger genehmigen oder ablehnen. Die Webanwendung ist eine Maßnahme zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen im Rahmen der Umsetzung des OZG.
Mit der Durchführung von Penetrationstests sollte noch vor Abschluss der initialen Entwicklungsphase eine Sicherheitsprüfung erfolgen, damit etwaige Schwachstellen in der mobilen App und im Verwaltungsbackend bereits vor dem Go-live behoben werden konnten.
Neben den Framework-spezifischen Besonderheiten der mobilen App und des Verwaltungsbackends wurde während der Tests besonderer Wert auf die Einhaltung datenschutzrechtlicher Aspekte gelegt.
HiSolutions führte einen Web-Penetrationstest für das Verwaltungsbackend durch, wobei neben den typischen Web-Schwachstellen (OWASP-Top-10) der Fokus auch auf die Berechtigungen der unterschiedlichen Rollen gelegt wurde. Der Web-Penetrationstest wurde im Whitebox-Ansatz durchgeführt. Dies ermöglichte die differenzierte Betrachtung der den Benutzern zugeordneten Rollen und ihrer unterschiedliche Berechtigungen innerhalb der Webanwendung.
Die mobile App wurde einer statischen Code-Analyse unterzogen, wobei aufgrund der Verwendung des Cordova-Frameworks für Android und iOS annähernd die gleiche Code-Basis zugrunde liegt. Parallel dazu wurden bei der dynamischen Analyse der App-Funktionalitäten die Web-Service-Zugriffe der App auf das Backend untersucht. Die Prüfung umfasste die OWASP-Top-10 für Web und Mobile sowie weitere Best Practices.
Die Ergebnisse der Prüfungen wurden durch HiSolutions in einem Prüfbericht festgehalten, der neben der ausführlichen Beschreibung des jeweiligen Sachverhalts und den daraus resultierenden Auswirkungen auch Maßnahmeempfehlungen und eine Risikobewertung enthielt. Einzelbefunde wurden mit den Ansprechpartnern erörtert, um eine zielgerichtete Behandlung sicherzustellen.
Die festgestellten Sicherheitslücken konnten vor dem Go-live durch die zuständigen Entwickler behoben werden. Die Einführung der App konnte so auf einem sicherheitsüberprüften Niveau erfolgen.
„Dank HiSolutions konnten wir die Sicherheitsmängel unserer entwickelten Anwendung für unsere Kunden vor dem Produktivgang bereinigen. Die Erfahrung von HiSolutions hat gezeigt, dass es durchaus Sinn ergibt, einen Penetrationstest durchzuführen.“
Daoud El Omari,
Produktmanager & Projektleiter der regio iT
Die regio iT gesellschaft für informationstechnologie mbh betreibt eigene Rechenzentren und stellt IT-Infrastruktur sowie Beratungsleistungen für die Bereiche Verwaltung und Finanzen, Energie und Entsorgung sowie Bildung und Entwicklung für ihre Kunden in NRW bereit.
Zum Themenbereich Pentest für Apps