breakthrough 2017 award

Crashtest Security Suite

Crashtest Security Suite Scanner

© Crashtest Security Suite

Crashtest Security Suite Scanner

Die Crashtest Security Suite ist für Webanwendungen, was Crashtests für Autos sind: Automatisierte, standardisierte Sicherheitstests, welche in den Softwareentwicklungsprozess integriert sind. So sind regelmäßigere und günstigere Tests von Webanwendungen möglich, als derzeit auf dem Markt angeboten werden. Hierdurch erkennen Kunden Sicherheitslücken bereits während der Entwicklung und können diese günstig beheben, bevor im Produktivbetrieb schwerwiegende Schäden auftreten. Die Crashtest Security Suite besteht aus einem Web-Dashboard zur Konfiguration und Überwachung, einer Continuous Integration Komponente zum automatisierten Start der Tests und einem Reporting Tool zur Auswertung. Im Gegensatz zu Konkurrenzprodukten bietet die Crashtest Security Suite eine kostengünstige und einfach zu nutzende Softwarelösung ohne Konfigurationsaufwand. Sie erlaubt durch eine Integration in die agilen Softwareentwicklungsprozesse hochfrequente Sicherheitstests.

Die Crashtest Security Suite ist aus einer von den Gründern gemeinsam besuchten Vorlesung über Sichere Softwareentwicklung entstanden. Die Gründer haben die Kosten, die Dauer und die niedrige Frequenz manueller Sicherheitstests als Problem identifiziert und einen Prototyp zur Lösung entwickelt.

Derzeit wird der Prototyp mit den Kunden getestet um davon ausgehend die fertige Software zu entwickeln. Die erste Version wird voraussichtlich im Frühjahr 2017 veröffentlicht, welche einen Teil der Top 10 Web Sicherheitslücken testen kann. Darauf aufbauend wird die Software um weitere Tests auf seltener auftretende Sicherheitslücken erweitert.

Crashtest Security Suite Team

© Crashtest Security Suite

Crashtest Security Suite Team


Die drei Gründer, Janosch Maier (M.Sc.), René Milzarek (B.Sc.) und Daniel Schosser (M.Sc.)  haben allesamt an der TUM Informatik Bachelor und Master studiert.

Daniel  Schosser verfasste eine Seminararbeit über den SQL-Injection genannten Angriff auf Datenbanken. Seine Masterarbeit schrieb Daniel Schosser über Social Engineering, den Prozess des Datensammelns, der den meisten erfolgreichen IT-Angriffen vorausgeht. Mit seinem Projekt Unistuff.org betreibt er eine Plattform zum Teilen von Vorlesungsmaterialien. Die Plattform hat derzeit 14.500 angemeldete Nutzer.

René Milzarek beschäftigte sich in seinem Studium ausführlich mit dem Advanced Encryption Standard (AES) und in seiner Bachelorarbeit mit User Interface Design. Im Anwendungsfach Psychologie setzte er sich mit den menschlichen Aspekten für das Design von Software auseinander. Er arbeitete mehrere Jahre bei der Siemens AG als Werkstudent. Dort sammelte er Erfahrung bei der Umsetzung von großen Softwareprojekten.

Janosch Maier schrieb seine Bachelorarbeit über die Sicherheit des Smartphone Betriebssystems Android. Seine Masterarbeit verfasste er in Kooperation mit dem Forschungszentrum WODC des niederländischen Justizministeriums über die Darstellung der IT-Sicherheits-Situation in einem Cyber Security Dashboard. Seine Forschung stellt die Grundlage für das Design des Crashtest Security Suite Dashboards dar. Außerdem studiert er noch bis September 2016 Pädagogik/Bildungswissenschaft mit Nebenfach Psychologie. 

Die Gründer haben während des Studiums schon als Team zusammengearbeitet und Experimentalsoftware für pädagogische und psychologische Experimente entwickelt und vertrieben. 

Ein Kunde beschreibt die Gründer wie folgt: "Hohe Kompetenz, professionelle Zusammenarbeit und effiziente Kommunikation sowie ein einwandfreies Produkt. Eine klare Empfehlung."

Mit ihrem Team HackerTUM belegten sie bei der OWASP AppSecEU University Challenge - einem Hacker Wettbewerb des Open Web Application Security Project - den dritten Platz.

Die Crashtest Security Suite wird als B2B Software mit Lizenzmodell vertrieben. Es werden Einzeltests sowie ein Abo-Modell angeboten. Zu Akquisitionszwecken werden Kurztests, welche nur die Übersicht der gefundenen Sicherheitslücken, nicht jedoch die Beschreibung der Lücken anzeigen, kostenlos angeboten. Mit kostenlosen Kurztests haben potentielle Kunden die Möglichkeit, sich vom Produkt zu überzeugen. Durch den verkürzten Report werden sie angeregt, bezahlte Tests durchzuführen, um alle Informationen zu Sicherheitslücken zu bekommen.

Crashtest Security Suite Überblick

© Crashtest Security Suite

Crashtest Security Suite Überblick

Die Wettbewerber von Crashtest Security bieten manuelle oder toolbasierte Penetration Tests, sichere Anwendungsentwicklung, Sicherheitsüberprüfungen, Trainings, Vulnerability Management Tools sowie statische und dynamische Sicherheitsscans an. Im nationalen Vergleich gibt es hauptsächlich Anbieter manueller Sicherheitstests. International werden insbesondere die Anbieter automatisierter Testprogramme betrachtet. Abbildung [Wettbewerber.jpg] zeigt die wichtigsten Wettbewerber für Crashtest Security und vergleicht die Angebote anhand von Kategorien, welche den Kundennutzen aufzeigen. Bei manuellen Sicherheitstests ist hervorzuheben, dass die Testdauer, Anzahl der Tests und die Testtiefe stark von den Vereinbarungen zwischen Auftraggeber und Auftragnehmer abhängig sind und mit den Kosten zusammenhängen. So gilt bei manuellen Tests im Allgemeinen, dass ein ausführlicher Test teurer ist und länger dauert, als ein oberflächlicher Test. Das Produkt ThreadFix, welches von der Denim Group unter einer Open-Source sowie einer kommerziellen Lizenz angeboten wird, enthält eine Vielzahl von Konfigurationsmöglichkeiten. Die Einordnung des Nutzens ist stark abhängig von der Konfiguration.

Seit Oktober 2016 ist Crashtest Security Teil des Accelerators des Entrepreneurship Centers der Ludwig-Maximilians-Universtät München, dem LMU Lab.

Für das Team aus drei Informatikern sind alle wirtschaftlichen Aufgaben von Crashtest Security eine Herausforderung. In den nächsten Monaten werden Kundengespräche geführt, um die wichtigsten Features für den ersten Release der Software festzulegen.

Hier geht's zurück zur Kategorieübericht​

Hier geht's zurück zur Hauptübersicht

Mehr lesen

Wer ist die Nummer eins? -

Mehr zum Thema

Google,Android 4.4,KitKat,Logo
Anroid Update

Google rückt Android 4.4 alias "Kitkat" jetzt auch für das Nexus 4 und 7 heraus. Wir zeigen Ihnen, was es Neues gibt und welche Funktion fehlen.
Sony PC Companion
Sony PC- und Mac-Tools

Die Windows- und Mac-Tools von Sony für Xperia-Smartphones im Porträt: connect verrät was der Sony PC Companion für Windows und die Sony Bridge…
Android Akku
Android-Fehler lösen

Wenn Ihr Android-Gerät nicht mehr angeht, ist guter Rat teuer. Wir zeigen Ihnen Tricks, mit denen Sie Ihr Smartphone oder Tablet wieder zum Leben…
Samsung Kies
Tricks und Anleitung bei Problemen

Besitzer eines Samsung-Smartphones kommen um die Wartungs-Software Kies nicht herum. Wir zeigen Ihnen, was das Gratis-Programm kann und geben Tipps…
LG, Sony, Samsung
LG, Samsung und Sony

Smartphones fordern ihren Besitzern in Sachen Bedienung einiges ab. Im Easy Mode lassen sie sich deutlich einfacher bedienen. So funktioniert es bei…
Alle Testberichte
Acer Switch Alpha 12
Detachable
75,4%
Das Acer Switch Alpha 12 ist das erste lüfterlose 2-in-1-Gerät mit Core-i-Prozessor. Im Test hinterlässt es einen…
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.