Download A4C WEB APPLICATION ASSESSMENT...
CSC DEUTSCHLAND SOLUTIONS GMBH
A4C WEB APPLICATION ASSESSMENT
München, 25.07.2014
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Angebot
an
CLIENT_FULL ANSCHRIFT
Über
A4C Web Application Assessment
von
CSC Deutschland Solutions GmbH Abraham-Lincoln-Park 1 65189 Wiesbaden DEUTSCHLAND
Rückfragen richten Sie bitte an:
Peter Rehäußer
Telefon:
+49.(0)89.5908.6490
Information Security Architect
Mobil:
+49.(0)173.6746368
Head of Cybersecurity Consulting Germany
e-Mail:
[email protected]
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite II
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Inhaltsverzeichnis 1 Grundlage des Angebotes ..................................................................................................................... 1 1.1
Angebotsdefinition .......................................................................................................................... 1
1.2
Angebotsbestandteile..................................................................................................................... 1
2 Hintergrund des Angebots .................................................................................................................... 2 2.1
Business-Ziele von Kunde ............................................................................................................. 2
2.2
Zielsetzung des Projektes .............................................................................................................. 2
3 Leistungsbeschreibung & Vorgehensweise ........................................................................................ 3 3.1
Projektinitialisierung ....................................................................................................................... 3
3.2
Web Application Assessment ........................................................................................................ 4 3.2.1
Scope ................................................................................................................................ 4
3.2.2
Vorgehen ........................................................................................................................... 5
4 Zeitplan .................................................................................................................................................... 7 5 Personaleinsatz ...................................................................................................................................... 8 6 Annahmen und Randbedingungen....................................................................................................... 9 7 Leistungen des Kunden ....................................................................................................................... 11 7.1
Organisatorische Leistungen ....................................................................................................... 11
7.2
Technische Leistungen ................................................................................................................ 11
8 Kommerzielle Bedingungen ................................................................................................................ 12 8.1
Festpreis ...................................................................................................................................... 12
8.2
Preise für Arbeiten nach Aufwand ............................................................................................... 12
8.3
Dienstreisen ................................................................................................................................. 13
8.4
Zahlungsplan und Rechnungsstellung ......................................................................................... 13
8.5
Bindefrist ...................................................................................................................................... 13
9 Anhang .................................................................................................................................................. 15 9.1
Anbieterdarstellung ...................................................................................................................... 15 9.1.1
Das Unternehmen ........................................................................................................... 15
9.1.2
CSC StrikeForce ............................................................................................................. 15
9.2
Vereinbarung über die Durchführung von Vulnerability Assessments ........................................ 16
9.3
Angaben zur In-Scope Webapplikation ........................................................................................ 18
9.4
Beispielreport für A4C Web Application Assessment (kostenfrei) ............................................... 20
9.5
Beispielreport für A4C Web Application Assessment (kostenpflichtig) ........................................ 20
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite III
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
1
GRUNDLAGE DES ANGEBOTES
1.1
Angebotsdefinition Die CSC Deutschland Solutions GmbH, - nachstehend kurz CSC genannt bietet CLIENT_FULL - nachstehend kurz _CLIENT_SHORT_ genannt die in diesem Angebot in den folgenden Kapiteln beschriebenen Leistungen als Dienstvertrag zum Festpreis an.
1.2
Angebotsbestandteile Die Bestandteile des Angebotes sind – bei Widersprüchen in der nachstehenden Reihenfolge – die folgenden:
dieses Angebot über ein kostenfreies Web Application Assessment
die ‚Allgemeinen Geschäftsbedingungen für Dienst-, Kauf- und Werkverträge der CSC Deutschland Solutions GmbH‘, Stand Juni 2006
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 1
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
2
HINTERGRUND DES ANGEBOTS Im Rahmen der CSC A4C Initiative ist es das Ziel von CSC Deutschland als Partner der Allianz für Cybersicherheit, das IT-Sicherheitsniveau von deutschen Unternehmen anzuheben und ein Bewusstsein für die Risiken unsicherer IT-Systeme und deren Auswirkungen auf den Geschäftsbetrieb aufzubauen. Dieses Angebot über ein kostenfreies Web Application Assessment richtet sich deshalb bewusst an Unternehmen, die Teilnehmer der Allianz für Cyber-Sicherheit sind und deren Kerngeschäft außerhalb der IKT-Branche liegt. Insbesondere diese Unternehmen sind erheblichen Risiken ausgesetzt, während Unternehmen der IKT-Branche in diesem Feld erfahrungsgemäß bereits gut aufgestellt sind. Das Web Application Assessment soll somit helfen, kostenneutral einen ersten Einblick in den eigenen Sicherheitszustand am Beispiel einer Webanwendung zu erhalten.
2.1
Business-Ziele von _CLIENT_SHORT_ Die Sicherheitsüberprüfung dient der proaktiven Risikominderung folgender Szenarien:
2.2
Finanzielle Ausfälle (z.B. durch Nichtverfügbarkeit von Diensten)
Imageschäden (z.B. durch Defacements oder Leaks von Kundendaten)
Verlust von Geschäftsgeheimnissen und geistigem Eigentum
Unterbrechung des Geschäftsbetriebs oder Einschränkung der Produktivität
Zielsetzung des Projektes Ziel des Projektes ist die Sicherheitsüberprüfung einer Webanwendung, um bestehende Sicherheitslücken und deren Risiken zu identifizieren. Folgende Ebenen werden im Rahmen des Web Application Assessments geprüft:
Schwachstellen in der Anwendungsimplementierung (z.B. unzureichende Eingabevalidierung)
Schwachstellen des Authentifizierungssystems, des Session-Managements, der Nutzerverwaltung oder des Rechtemanagements
Designschwachstellen in der Anwendungslogik
Konfigurationsschwachstellen der Anwendungsumgebung
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 2
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
3
LEISTUNGSBESCHREIBUNG & VORGEHENSWEISE CSC bietet _CLIENT_SHORT_ die Sicherheitsüberprüfung einer Webanwendung an. Die Durchführung des Projekts erfolgt anhand folgender Phasen:
3.1
Projektinitialisierung Im Rahmen der Projektinitialisierungsphase werden zunächst alle organisatorischen und technischen Bedingungen geschaffen, die für das Durchführen der Tests innerhalb der Module notwendig sind. Dazu gehört neben den üblichen Abstimmungsgesprächen folgendes:
Die Art und Weise der Kommunikation (z.B. verschlüsselte Email) wird vereinbart; ggf. werden Schlüssel ausgetauscht.
_CLIENT_SHORT_ bestätigt schriftlich , dass CSC von _CLIENT_SHORT_ beauftragt wurde, die technische Sicherheitsüberprüfung durchzuführen. CSC ist damit berechtigt, Angriffswerkzeuge zu benutzen, die ansonsten in Deutschland nach §202c StGB nicht erlaubt sind.
_CLIENT_SHORT_ unterzeichnet ebenfalls eine Bestätigung, dass CSC darauf hingewiesen hat, dass die technischen Sicherheitsüberprüfungen zu Störungen oder Ausfällen im Betrieb oder zu Datenverlust führen können. CSC empfiehlt daher dringend, die Tests gegen nicht-produktive Systeme oder außerhalb der üblichen Nutzungszeiten und nur nach einem vollständigen Backup durchzuführen.
Werden Bestandteile der zu prüfenden Systeme von Drittanbietern betrieben (z.B. Webhosting), informiert _CLIENT_SHORT_ diese und holt deren Einverständnis für die durchzuführenden Tests ein. Zusätzlich wird ein technischer Ansprechpartner des Drittanbieters von _CLIENT_SHORT_ benannt, um den Drittanbieter bei Vorhandensein von Sicherheitslücken auf Infrastrukturebene (z.B. unsichere Webserverkonfiguration) kontaktieren 2 zu können.
_CLIENT_SHORT_ richtet bei Bedarf alle notwendigen Test-Accounts ein und übermittelt die Zugangsdaten an CSC.
_CLIENT_SHORT_ übermittelt alle notwendigen technischen Informationen über die Angriffsziele an CSC (z.B. die IP Adressen, URLs, etc.).
Es werden Zeitfenster für das Durchführen der Tests vereinbart. In diesen Zeitfenstern sollten auch Administratoren in Rufbereitschaft sein. Es kann vorkommen, dass eine Maschine während der Tests neu gestartet werden muss. Dies würde ohne Rufbereitschaft zu langen Wartezeiten führen.
Um eine möglichst intensive Abdeckung der Tests zu gewährleisten, deaktiviert _CLIENT_SHORT_ ggf. vorhandene Mitigation-Systeme wie Web-Application-Firewalls oder IDS/IPS-Systeme für den IP-Netzblock des simulierten Angreifers.
1
1
siehe Formblatt Vereinbarung über die Durchführung von Vulnerability Assessments im Anhang.
2
siehe Formblatt Angaben zur In-Scope Webapplikation im Anhang.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 3
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
3.2
CSC teil den IP-Netzblock des simulierten Angreifers rechtzeitig vor Beginn der Tests mit.
CSC installiert und konfiguriert die notwendigen Tools auf eigenen Maschinen.
Unmittelbar vor den Tests soll _CLIENT_SHORT_ ein komplettes Backup der Zielsysteme durchführen, um Datenverlust durch die Tests ausschließen zu können.
Web Application Assessment Das Web Application Assessment soll zeigen, ob in den web-basierten Schnittstellen oder Anwendungen unautorisierte oder unsichere Funktionen verwendet werden, die das Kompromittieren der Anwendungslogik, Anwendungsdaten, Benutzerzugriffe oder der angeschlossenen Systeme erlauben. Die Überprüfung erfolgt unter Einbeziehung aktueller Gefahrenszenarien und Risiken im Einsatz von Webapplikationen, wie sie in anerkannten und standardisierten Frameworks und Projekten wie dem Open Web Application Assessment Project (OWASP) erfasst sind. Neben Sicherheitslücken auf Applikationsebene werden auch Konfigurationsschwachstellen der Anwendungsumgebung ermittelt.
3.2.1
Scope
In-Scope Services Der vereinbarte Umfang des Web Application Assessments umfasst:
Untersuchen der In-Scope Applikation Feststellen der Existenz von Verwundbarkeiten oder Schwachstellen die potenziell ausgenutzt werden können Folgende Bereiche werden innerhalb jedes In-Scope-Anwendung untersucht:
Erfassen von Inhalten und Funktionen (Web Spidering, Versteckte Inhalte, Dynamische Applikationsseiten und Pfade, Eingesetzte Software, Frameworks und Schnittstellen)
Analyse der Anwendung (Benutzereingabenpunkte, Banner Grabbing, HTTP Fingerprinting, Session Tokens)
Feststellen der Angriffsfläche (Clientseitigen Validierungsmechanismen, Datenbankinteraktion, Dateiupload- und Download, Ausgabe von Benutzereingaben, Dynamische Umleitungen, Loginmechanismen, Logikfehler, Sitzungsstatus, Zugriffsbeschränkungen, Verschlüsselte/unverschlüsselte Kommunikation, Fehlerausgaben)
Ausnutzen und Verifizieren von Sicherheitslücken o Authentifizierungsmechanismen (Unsicheres Übertragen von Zugangsdaten, Erlangen von unautorisiertem Zugriff) o Sitzungsmanagement (Vorhersagbarkeit von Tokens, Beenden von Sitzungen, Erzwingen von Sitzungsidentifikatoren, Cross-site Request Forgery) o Eingabevalidierung (SQL Injection, Xpath Injection, Code/Command Injection, Cross-site Scripting, Path Traversal, File-inclusions) o Designfehler (Forceful Browsing, Wirkungslose Schutzmaßnahmen, Verarbeitung von unvollständigen Benutzereingaben)
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 4
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Out of Scope Folgende Applikation sind vom Projektumfang ausgeschlossen:
Jede Applikation, der nicht im Projektumfang (in Scope) anhand ihrer Domain oder URL genannt ist Systeme von Drittanbietern, sofern nicht explizit vereinbart Folgende Leistungen sind vom Projektumfang ausgeschlossen: Clientseitige Angriffe (Browser Exploits, Session Hijacking von externen Benutzern) Denial of Service (DoS) Angriffe
In Scope Applikationen Folgende Applikation ist eingeschlossen: http(s)://FQDN/PATH/* (uncredentialed/credentialed)
3.2.2
Vorgehen Die Systeme werden einem Web Application Assessment unterzogen. Die einzelnen Tests werden durch automatisierte bzw. teilautomatisierte Tools durchgeführt und ggf. durch manuelle Tests ergänzt. Der Prüfungsablauf gestaltet sich anhand folgender Phasen:
3.2.2.1 Footprinting/Reconnaissance Es erfolgt zunächst die Identifizierung von potenziellen Zielentitäten wie z.B. zugreifbare Pfadstrukturen, wodurch auf technischer Ebene eine Kartierung der Zielinfrastruktur erreicht wird.
3.2.2.2 Enumeration Während der Enumeration-Phase werden die identifizierten Zielsysteme auf Ebene der Anwendungslogik untersucht. Da in diesem Projekt eine Webanwendung im Mittelpunkt stehen, erfolgt zunächst das Erfassen des Verhaltens der Anwendungen und der zugrundeliegenden Funktionsmechanismen. Neben der Kommunikationslogik wird auch einsehbarer Quellcode (z.B. JavaScript, HTML) auf Hinweise zu potenziellen Schwachstellen und andere hilfreiche Informationen untersucht.
3.2.2.3 Web Application Assessment Basierend auf der Footprinting- und Enumeration-Phase erfolgt die gezielte technische Überprüfung. Die Tests werden mit automatisierten und manuellen Scanning-Tools durchgeführt, durch manuelle Schwachstellenvalidierung verifiziert und durch manuelles Testing ergänzt, um eine möglichst hohe Abdeckungsrate zu erzielen. Ziel ist es, die Schwachstellen zu identifizieren, welche die WebAnwendung, ihre Benutzer oder die zugrundeliegenden Systeme kompromittieren könnten. Beispiele hierfür sind Fehler im Anwendungsdesign, Code und SQL Injections, oder auch Cross-Site Scripting (XSS) und Session-Hijacking.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 5
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Zusätzlich werden ggf. weitere Tests im Benutzerzugriffskontext durchgeführt (Credentialed Tests), um die Benutzerseparierung, Rechtemanagement und weitere zugreifbare Anwendungskomponenten auf Schwachstellen zu prüfen.
3.2.2.4 Analyse und Report Die im Rahmen der Testing Phase ermittelten Schwachstellen werden hinsichtlich ihrer Gesamtrisiken klassifiziert und analysiert. Die Ergebnisse gehen anschließend in den Report ein. Der kostenfreie Report ist im Umfang reduziert und enthält lediglich einen Management Summary sowie die kritischsten vorgefundenen Schwachstellen und dadurch betroffene Systeme. Der optional erwerbbare kostenpflichtige Report enthält neben detaillierten Informationen über jede Schwachstelle auch, soweit möglich, Empfehlungen, wie diese Schwachstellen effektiv beseitigt werden können. Beispielreports sind im Anhang dieses Angebots enthalten.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 6
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
4
ZEITPLAN Die konkreten Leistungszeitpunkte werden zwischen _CLIENT_SHORT_ und CSC individuell abgestimmt. Es besteht für dieses kostenfreie Angebot ansonsten kein Anspruch auf eine zeitnahe Durchführung.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 7
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
5
PERSONALEINSATZ Die Leistungen werden von deutschen Mitarbeitern aus der CSC StrikeForce erbracht, die sowohl entsprechende Zertifizierungen als auch notwendige Erfahrungen im Bereich Penetrationstests und Security Assessments besitzen.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 8
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
6
ANNAHMEN UND RANDBEDINGUNGEN Es gelten folgende Annahmen und Randbedingungen:
Es wird exakt eine Webapplikation getestet, die präzise anhand ihres FQDN oder ihres URL identifiziert werden kann. Weitere Applikationen, die z.B. unterhalb des URL-Pfades verortet sind oder extern eingebundene Komponenten wie Webservices oder angebundene APIs, werden nicht betrachtet. Auch Applikationsbestandteile auf anderen Domains werden nicht einbezogen.
Im kostenfreien Testumfang ist lediglich ein reduzierterer Ergebnisbericht in Form eines Management Summary enthalten. Dieser beinhaltet eine Auflistung der schwerwiegendsten Befunde in generalisierter Form sowie jeweils die Art der Sicherheitslücke, deren Risikoklassifizierung, den Root-Cause und die betroffenen Komponenten und der Ort des Auftretens anhand des URL. Die jeweilige exakte Position einer Sicherheitslücke und entsprechende Behebungsmaßnahmenvorschläge sind nur im optional erhältlichen kostenpflichtigen Report enthalten (z.B. ein konkret betroffener GET Parameter).
Auf Anfrage des Kunden kann ein vollwertiger Report inkl. Details der vorgefundenen Sicherheitslücken, empfohlenen technischen und organisatorischen Behebungsmaßnahmen und technischen Anhängen für die unter Kapitel 8 beschriebenen Konditionen innerhalb von 60 Tagen nach Abschluss des Projekts erworben werden.
Der reduzierte und vollwertige Report und ggf. erstellte Testartefakte werden nach Abschluss des Projekts 60 Tage von CSC vorgehalten und anschließend gelöscht.
Alle technischen Tests aller Schnittstellen sollen gemeinsam in einem ausreichend großen Zeitfenster durchgeführt werden. Mehrfaches Starten von einzelnen Tests aufgrund von Timeouts oder anderen Ursachen auf Kundenseite ist nicht vorgesehen.
Jeder technische Test wird nur genau einmal durchgeführt. Sollten Wiederholungen auf Grund von kundenseitig zu verantwortenden Problemen notwendig werden, werden diese Wiederholungen nur auf ausdrücklichen Kundenwunsch durchgeführt. Diese zusätzlichen Leistungen sind gesondert zu vergüten.
Sämtliche technischen Tests können über das Internet erfolgen. Der Kunde trägt dafür Sorge, dass sämtliche technischen Vorbereitungen auf seiner Seite dafür rechtzeitig und unentgeltlich getroffen werden. (z.B. VPN-Tunnel, Test-Accounts, etc.).
Da es sich im Rahmen der Prüfung um sowohl zeitlich als auch vom Umfang her begrenzte Tests handelt, wird nicht garantiert, dass tatsächlich alle vorhandenen Schwachstellen identifiziert werden können.
Sämtliche zu erstellende Dokumentation in Form des kostenfreien oder Kostenpflichtigen Reports wird jeweils genau einmal in elektronischer Form an den Kunden übergeben. Evtl. angefallene Testartefakte wie z.B. Logfiles werden nicht geliefert.
Die Ergebnisdokumentation wird in englischer Sprache übergeben.
Anfragen von CSC an den Kunden werden von ihm kurzfristig und fachlich korrekt und ausführlich beantwortet.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 9
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Es wird vorab kein Termin für die Durchführung der Tests zugesichert. Die Terminierung der Prüfungen erfolgt kurzfristig anhand der verfügbaren freien technischen und personellen Ressourcen von CSC.
Das Angebot richtet sich ausschließlich an Unternehmen, deren Kerngeschäft nicht in der IT verortet ist.
CSC ist berechtigt, anonyme und rein statistische Daten über den Auftraggeber, das Projekt und dessen Ergebnisse zu erheben und ggf. zu publizieren.
Aufgrund des stets hohen Aufwands zur Vor- und Nachbereitung behält sich CSC vor, die Prüfung von Internetauftritten/Webanwendungen von zu geringem Umfang abzulehnen, da hier regelmäßig Aufwand und erzielbare Resultate in keinem vernünftigen Verhältnis zu bringen sind.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 10
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
7
LEISTUNGEN DES KUNDEN Alle in diesem Angebot beschriebenen Leistungen von _CLIENT_SHORT_ sind im vereinbarten Umfang unentgeltlich, rechtzeitig und ordnungsgemäß zu erbringen. Die Ausführungen gelten für die organisatorischen, technischen und fachlichen Leistungen.
7.1
Organisatorische Leistungen Organisatorische Leistungen sind in Kapitel 3 (Projektinitialisierung) und werden durch die Rahmenbedingungen in Kapitel 6 ergänzt.
7.2
Technische Leistungen Der Kunde trägt dafür Sorge, dass sämtliche notwendigen technischen Vorbereitungen auf seiner Seite rechtzeitig und unentgeltlich getroffen werden. (z.B. VPN-Tunnel, Test-Accounts, etc.)
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 11
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
8
KOMMERZIELLE BEDINGUNGEN
8.1
Festpreis Modul
Preis zzgl. USt
A4C Web Application Assessment
0,-- EUR
Optional: vollständiger Report
3.000,-- EUR
Das Basismodul „A4C Web Application Assessment“ ist kostenfrei und beinhaltet einen im Umfang reduzierten Report. Der zusätzlich verfügbare vollständige Report wird ausdrücklich optional angeboten und kann auf Kundenwusch nach Abschluss der Umsetzung des Basismoduls kostenpflichtig erworben werden.
8.2
Preise für Arbeiten nach Aufwand Der kostenfreie Testumfang kann durch ausdrücklichen Kundenwunsch um weitere Leistungen in kostenpflichtiger Form erweitert werden. Sofern neben den kostenfreien Services weitere Leistungen wie Testwiederholungen oder weitere Prüfungen gewünscht werden, sind diese nach Aufwand zu erbringenden Leistungen von CSC von zu folgenden Tagessätzen von _CLIENT_SHORT_ zu vergüten:
Rolle
Tagessatz in € / Tag
Projektleiter
1.080,-- EUR
StrikeForce Engineer
975,-- EUR
Die angegebenen Tagessätze gelten auch als Basis für die Vergütung von Change Requests und Mehraufwendungen. Ein Tagessatz deckt dabei eine Arbeitsleistung von 8 Stunden pro Tag ab. Darüber hinausgehende oder geringere Arbeitsleistungen werden anteilig vergütet. Die Tagessätze beziehen sich auf Aktivitäten, die in der Zeit von Montag bis Freitag zwischen 6.00 und 20.00 Uhr erbracht werden. Werden Mitarbeiter von CSC nach Genehmigung durch _CLIENT_SHORT_ außerhalb der vorgenannten Zeit tätig, erhöht sich der anteilige Tagessatz wie folgt:
bei Nachtarbeit bei Samstagsarbeit bei Sonntagsarbeit bei Feiertagsarbeit
30 % 25 % 50 % 100 %
Die Aufschläge werden nicht kumuliert erhoben. Es gilt der jeweils höhere Aufschlag. Alle Preise verstehen sich zuzüglich der zum Zeitpunkt der Leistungserbringung gültigen Umsatzsteuer.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 12
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
8.3
Dienstreisen Dienstreisen oder Vor-Ort-Tätigkeiten erfolgen nur auf ausdrücklichen Wunsch des Kunden und sind dann gesondert zu vergüten. Im Rahmen des kostenfreien A4C Angebots fallen keine Dienstreisen an. Für Leistungen, die die Mitarbeiter von CSC nicht am Ort ihrer Geschäftsstelle erbringen, werden gesondert Fahrzeiten, -kosten, Spesen und ggf. Übernachtungskosten in Rechnung gestellt. Es gelten folgende Rahmenbedingungen:
Flug Bahn Kilometerpauschale Hotel Öffentliche Verkehrsmittel, Taxi und Parkgebühren Tagesspesen
Economy Class 2. Klasse € 0,60/km nach Aufwand, max. 4 Sterne nach Aufwand nach den geltenden steuerlichen Richtlinien
Für Reisezeiten werden je Stunde 1/12 des Tagessatzes berechnet.
8.4
Zahlungsplan und Rechnungsstellung Es erfolgt – bei Bedarf – die Rechnungsstellung monatlich im Nachhinein. Zahlungen sind zwei Wochen nach Rechnungsstellung ohne Abzüge fällig.
8.5
Bindefrist An dieses Angebot hält sich CSC bis zum 31.01.2014 [+ zwei Wochen] gebunden. Nach Ablauf verfällt das kostenfreie Angebot und andere Bewerber erhalten Gelegenheit zum Vertragsabschluss. Dies geschieht vor dem Hintergrund, dass die kostenfreien A4C Web Application Assessments nur in einem begrenzten Kontingent von CSC bereitgestellt werden.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 13
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Vielen Dank für Ihr Interesse an unseren Dienstleistungen Mit freundlichen Grüßen CSC Deutschland Solutions GmbH München, am …………….......
..........................................
..........................................
????????
i.V Peter Rehäußer
????????????
Head of Cybersecurity Consulting Germany
Zum Zeichen der Auftragserteilung: Wir beauftragen die CSC Deutschland Solutions GmbH mit den in diesem Angebot angeführten Leistungen: ........................................ Ort, Datum
................................................................ rechtsgültige Unterschrift, Firmenstempel
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 14
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
9
ANHANG
9.1
Anbieterdarstellung
9.1.1
Das Unternehmen CSC ist ein weltweit führendes Unternehmen für IT-gestützte Businesslösungen und Dienstleistungen. Das Unternehmen mit Hauptsitz in Falls Church, Virginia, hat rund 98.000 Mitarbeiter und erwirtschaftete in den zwölf Monaten bis zum 30. März 2012 einen Umsatz von 15,9 Milliarden USDollar. Weitere Informationen über CSC in Deutschland finden Sie auf der deutschen Website von CSC unter http://www.csc.com/de oder unter www.csc.com. In Zentraleuropa bieten unsere Mitarbeiterinnen und Mitarbeiter in Deutschland, Österreich, der Schweiz, der Tschechischen Republik, der Slowakei, Polen, Ungarn, Bulgarien und Türkei den Kunden von CSC umfassende Services vor Ort. Wir verfügen über eine für die IT-Industrie sehr lange Tradition: Seit über 50 Jahren ist CSC mit seinem IT-Dienstleistungsportfolio erfolgreich tätig und hat langjährige Kundenbeziehungen aufgebaut, die von gegenseitigem Vertrauen geprägt sind. Unsere vielfältige IT-Expertise, gekoppelt mit dem Wissen um die Geschäftsprozesse der wichtigen Branchen, setzen wir gemeinsam mit unseren Kunden in exzellente Resultate um. Innovative und praxisorientierte Lösungen sind heute gefragt – nicht schnelle Innovationen um jeden Preis, sondern Lösungen, die dem Kunden helfen, die Komplexität seines Geschäftes zu managen, sich auf seine Kernkompetenzen zu konzentrieren und nachhaltige Geschäftserfolge zu erzielen. Unser Erfolg basiert auf Kompetenz, Professionalität sowie hoher Kunden- und Serviceorientierung. Dabei kennzeichnet eine partnerschaftliche und vertrauensvolle Zusammenarbeit in jeder Phase gemeinsamer Projekte unser Vorgehen.
9.1.2
CSC StrikeForce Die StrikeForce ist ein Team innerhalb der CSC bestehend aus hochspezialisierten Experten im Bereich der technischen IT-Security. Das Team führt seit über 15 Jahren weltweit Security Assessments unter anderem für Großkonzerne aller Wirtschaftssektoren, nationale Behörden und internationale Organisationen durch. Durch die Erfahrung und Kenntnisse der einzelnen Fachexperten wird eine umfassende Abdeckung aller relevanten Teilaspekte und Disziplinen im Umfeld von Vulnerability Assessments und Penetrationstests, Application Assessments, Physical Security und Social Engineering sowie Technology Compliance sichergestellt.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 15
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
9.2
Vereinbarung über die Durchführung von Vulnerability Assessments zwischen ................................................... ................................................... ................................................... im folgenden „Kunde“ genannt –
-
und der
CSC Deutschland Solutions GmbH Abraham-Lincoln-Park 1 65189 Wiesbaden -
im folgenden „CSC“ genannt -
Der Kunde hat die CSC beauftragt ein Vulnerability Assessment, also einen kontrollierten Versuch durchzuführen, von „außen“ ein bestimmtes Computersystem bzw. Netzwerk mit Angriffs- und ScanTools zu untersuchen, um Schwachstellen zu identifizieren. Das Vulnerability Assessment kann dabei insbesondere als Black-Box oder White-Box-Test, passiv scannend bis aggressiv, vollständig, begrenzt oder fokussiert, verdeckt oder offensichtlich, über Netzwerkzugang, sonstige Kommunikation, physischen Zugang, Social Engineering und von außen oder von innen vorgenommen werden. Der Kunde erklärt hiermit sein Einverständnis mit der von CSC gewählten Art des Vulnerability Assessments und den einzusetzenden Techniken. Er willigt ein, dass von CSC im Rahmen der Testdurchführung potentiell schadenverursachende Maßnahmen vorgenommen werden dürfen. Da bei einem Vulnerability Assessment auch Systeme von Dritten (z. B. Router eines Providers, Webserver eines Hosters) genutzt werden und eine Beeinträchtigung des ordnungsgemäßen Betriebs dieser Systeme nicht ausgeschlossen werden kann, verpflichtet sich der Kunde eventuell betroffene Dritte vorab über den geplanten Tests zu informieren. Da es nicht völlig ausgeschlossen werden kann, dass im Rahmen eines Vulnerability Assessments Systeme derart beeinträchtigt werden, dass ein Datenverlust auftritt, verpflichtet sich der Kunde dazu, vor und während des Zeitraums des Vulnerability Assessments mindestens einmal täglich Datensicherungen der gefährdeten und relevanten Systeme anzufertigen und diese in mehreren Generationen aufzubewahren. CSC leistet Schadenersatz oder Ersatz vergeblicher Aufwendungen gleich aus welchem Rechtsgrund (z.B. Pflichtverletzung oder unerlaubter Handlung) nur bei Vorsatz oder Personenschäden in voller Höhe oder
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 16
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
nach dem Produkthaftungsgesetz bis zu den darin angegeben Höchstbeträgen. Die Haftung für alle übrigen Schäden wird hiermit ausgeschlossen. Der Kunde erklärt sich zusätzlich damit einverstanden, dass die Ergebnisse der Tests in anonymisierter Form für statistische Zwecke analysiert und weiterverarbeitet werden. Die erfassten Daten beinhalten die Branche des Kunden, den Risikograd, die Anzahl und Typ von gefundenen Schwachstellen sowie die Anzahl an betroffenen Systemen. Änderungen und Ergänzungen dieses Vertrages, einschließlich dieser Bestimmung, bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrages ganz oder teilweise unwirksam sein, wird die Wirksamkeit aller übrigen Bestimmungen dieses Vertrages davon nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch diejenige wirksame Bestimmung zu ersetzen, die dem von den Vertragsparteien mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt. Das Gleiche gilt für den Fall, dass dieser Vertrag unvollständig sein sollte.
............................, den ........................
............................, den ........................
_CLIENT_SHORT_
CSC Deutschland Solutions GmbH
.............................................................
.............................................................
............................................................. Gesetzlicher Vertreter
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 17
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
9.3
Angaben zur In-Scope Webapplikation
URL der Webapplikation:
_______________________________________________________
Name der Webapplikation:
_______________________________________________________
Produktivsystem
Testsystem
Entwicklungssystem
Eingesetzte Programmiersprachen, Frameworks und Datenbanksysteme: _________________________________________________________________________________ _________________________________________________________________________________
Technischer Ansprechpartner des Kunden: Name:
_______________________________________________________
Titel:
_______________________________________________________
Tel:
_______________________________________________________
Email:
_______________________________________________________
Credentialed Scans gewünscht
Benutzername: _______________________________________________________ Passwort:
_______________________________________________________
Login-URL:
_______________________________________________________
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 18
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
Web-Applikation wird auf Drittanbietersystemen betrieben
Name des Drittanbieters: Art der Drittanbieterinfrastruktur: Dedicated Server
Name der genutzten Lösung:
Cloud Server
Shared Hosting
__________________________________________
Technischer Ansprechpartner des Drittanbieters: Name: _______________________________________________________ Titel:
_______________________________________________________
Tel:
_______________________________________________________
Email:
_______________________________________________________
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 19
Angebot vom 25.07.2014 über ein A4C Web Application Assessment
9.4
Beispielreport für A4C Web Application Assessment (kostenfrei) Siehe beiliegendes Dokument „Web Application Assessment – A4C Free Report“.
9.5
Beispielreport für A4C Web Application Assessment (kostenpflichtig) Siehe beiliegendes Dokument „Web Application Assessment – A4C Complete Report“.
A4C Web Application Assessment v1.2.docx © CSC 2014
Seite 20
