{"id":3682,"date":"2022-12-20T19:21:35","date_gmt":"2022-12-20T17:21:35","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3682"},"modified":"2022-12-21T19:23:59","modified_gmt":"2022-12-21T17:23:59","slug":"penetrationstest-anforderungen-des-microsoft-365-app-compliance-programms","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/regulatorik\/penetrationstest-anforderungen-des-microsoft-365-app-compliance-programms\/","title":{"rendered":"Penetrationstest-Anforderungen des Microsoft 365-App-Compliance-Programms"},"content":{"rendered":"\n<p>Die Teilnahme am Compliance-Programm f\u00fcr Microsoft 365-Zertifizierungs von Apps f\u00fcr Teams-Anwendungen, SharePoint-Apps\/Add-Ins, Office-Add-Ins und WebApps erfordert die Durchf\u00fchrung eines Penetrationstests. Bei der Erstdokumenteneinreichung muss ein Unternehmen Unterlagen und Nachweise einreichen. Neben anderen Doikumenten ist ein Bericht von einem Penetrationstest erforderlich, der innerhalb der letzten 12 Monate abgeschlossen wurde. Der Pentest muss der Live-Umgebung pr\u00fcfen, die die Bereitstellung der App unterst\u00fctzt, sowie alle zus\u00e4tzlichen Umgebungen, die den Betrieb der App erm\u00f6glichen. Wenn Segmentierungskontrollen vorhanden sind, m\u00fcssen diese ebenfalls getestet werden.<\/p>\n\n\n\n<p>Die Pentest-Anforderungen von Microsoft sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Alle 12 Monate muss j\u00e4hrlich ein Applikations- und Infrastruktur-Pentest stattfinden.<\/li>\n\n\n\n<li>Diese Tests m\u00fcssen von einem renommierten unabh\u00e4ngigen Unternehmen durchgef\u00fchrt werden.<\/li>\n\n\n\n<li>Die Behebung identifizierter kritischer und hochriskanter Schwachstellen muss innerhalb eines Monats erfolgen nachdem Pentest-Bericht abgeschlossen ist.<\/li>\n\n\n\n<li>Die gesamte externe Angriffsfl\u00e4che (IP-Adressen, URLs, API-Endpunkte usw.) muss in den Umfang des Penetrationstests einbezogen und im Penetrationstestbericht dokumentiert werden.<\/li>\n\n\n\n<li>Penetrationstests f\u00fcr Webanwendungen m\u00fcssen alle typischen Schwachstellenklassen umfassen; zum Beispiel die aktuellsten OWASP Top 10 oder SANS Top 25 CWE.<\/li>\n\n\n\n<li>Ein erneutes Testen identifizierter Schwachstellen durch das Penetrationstestunternehmen ist nicht erforderlich \u2013 Behebung und Selbst\u00fcberpr\u00fcfung sind ausreichend, jedoch m\u00fcssen w\u00e4hrend der Bewertung angemessene Nachweise f\u00fcr eine ausreichende Behebung erbracht werden. Das erneute Testen identifizierter Schwachstellen ist dennoch Best Practice in der Informationssicherheit.<\/li>\n\n\n\n<li>Penetrationstestberichte werden am Ende \u00fcberpr\u00fcft, um sicherzustellen, dass es keine Schwachstellen gibt, die aus einer der folgenden Kategorien stammen:\n<ul class=\"wp-block-list\">\n<li>Nicht unterst\u00fctztes Betriebssystem.<\/li>\n\n\n\n<li>Standardm\u00e4\u00dfige, aufz\u00e4hlbare oder erratbare Administratorkonten.<\/li>\n\n\n\n<li>SQL-Injection-Risiken<\/li>\n\n\n\n<li>XSS<\/li>\n\n\n\n<li>Sicherheitsl\u00fccken bei Directory Traversal (Dateipfad).<\/li>\n\n\n\n<li>Typische HTTP-Schwachstellen, z. B. Header-Response-Splitting, Request-Smuggling und Desync-Angriffe.<\/li>\n\n\n\n<li>Offenlegung des Quellcodes (einschlie\u00dflich LFI).<\/li>\n\n\n\n<li>Jede kritische oder hoher Score nach CVSS-Richtlinien f\u00fcr das Patch-Management<\/li>\n\n\n\n<li>Jede bedeutende technische Schwachstelle, die leicht ausgenutzt werden kann, um eine gro\u00dfe Menge an EUII oder OUI zu kompromittieren.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die Teilnahme am Compliance-Programm f\u00fcr Microsoft 365-Zertifizierungs von Apps f\u00fcr Teams-Anwendungen, SharePoint-Apps\/Add-Ins, Office-Add-Ins und WebApps erfordert die Durchf\u00fchrung eines Penetrationstests. Bei der Erstdokumenteneinreichung muss ein Unternehmen Unterlagen und Nachweise einreichen. Neben anderen Doikumenten ist ein Bericht von einem Penetrationstest erforderlich, der innerhalb der letzten 12 Monate abgeschlossen wurde. Der Pentest muss der Live-Umgebung pr\u00fcfen, die &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/regulatorik\/penetrationstest-anforderungen-des-microsoft-365-app-compliance-programms\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[250],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3682","6":"format-standard","7":"category-regulatorik"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3682","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3682"}],"version-history":[{"count":1,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3682\/revisions"}],"predecessor-version":[{"id":3683,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3682\/revisions\/3683"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3682"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3682"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3682"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}