Stand: 6. April 2026
Version: v1.3.0
Kategorie: 🔒 Security
Status: 📝 Draft
- 1. Scope
- 2. Methodik
- 3. Zusammenfassung der Ergebnisse
- 4. Detaillierte Findings
- 5. Empfehlungen
- 6. Remediation-Plan
- 7. Evidenz & Artefakte
- 8. Changelog
Beschreibung des Prüfungsumfangs (Systeme, Services, Versionen, Zeitfenster, Prüfumgebung).
| Komponente | Version | In-Scope | Hinweise |
|---|---|---|---|
| ThemisDB Server | x.y.z | ✅ | Release/Commit-Hash |
| Admin Tools | x.y.z | ✅ | WPF Suite |
| APIs/SDKs | x.y.z | Fokus: Auth/RBAC | |
| Infrastruktur | n/a | ❌ | Separater Audit |
Beschreibt angewandte Standards und Verfahren.
- Referenzen: OWASP ASVS, NIST 800-53, ISO 27001/27002, BSI C5
- Methoden: Code Review, Konfigurationsanalyse, Black-/Grey-/Whitebox Tests
- Tools: OWASP ZAP/Burp, testssl.sh, SAST/DAST, SBOM-Analyse
Kurze, managementtaugliche Zusammenfassung mit Risikoklassifizierung.
| Kategorie | Kritisch | Hoch | Mittel | Niedrig |
|---|---|---|---|---|
| Auth/RBAC | 0 | 1 | 2 | 3 |
| API | 0 | 0 | 3 | 4 |
| Krypto/TLS | 0 | 0 | 1 | 2 |
| Logging/Audit | 0 | 0 | 1 | 1 |
Jedes Finding mit eindeutiger ID, Evidenz, Risiko, Impact, Reproduktion, Empfehlung, Status.
- Schweregrad: Mittel
- Kategorie: API Security
- Betroffene Komponenten: /api/v1/...
- Beschreibung: …
- Evidenz/PoC: …
- Risiko/Impact: …
- Reproduktion: Schritte 1..n
- Empfehlung: …
- Status: Offen / In Bearbeitung / Behoben (Commit/Version)
Priorisierte Maßnahmenliste mit grober Aufwands-/Wirkungsschätzung.
| Maßnahme | Priorität | Wirkung | Aufwand |
|---|---|---|---|
| Rate Limiting härten | Hoch | Hoch | Mittel |
| Secrets Rotation | Hoch | Mittel | Mittel |
| TLS Harden | Mittel | Mittel | Gering |
Zeitplan, Verantwortliche, Meilensteine, Abnahme.
| Aufgabe | Owner | Zieltermin | Status |
|---|---|---|---|
| Fix FIND-001 | Security | 2026-01-15 | Offen |
| DAST erweitern | DevOps | 2026-01-22 | Offen |
Links/Hashes/Anhänge: Logs, Screenshots, Reports, SBOMs, Testskripte.
- 2025-12-22: Initialer Entwurf (v1.3.0 Template)