Application Security Audit SIMSme Business Testreport

 
Application Security Audit SIMSme Business Testreport
Application Security Audit
SIMSme Business
Testreport

mediaTest digital GmbH

Goseriede 4
30159 Hannover
T|   +49 (0) 511-353994-22
F|   +49 (0) 511-353994-12
W | www.mediatest-digital.com

Einstufung     interne Nutzung
Datum          24.04.2018
Kunde          Deutsche Post AG

Sitz und Registergericht: Hannover | HRB 208916
USt.-ID Nr. DE284516422
Board of Directors: Vertretungsberechtigter Gesellschafter: Sebastian Wolters

© 2018 mediaTest digital GmbH, Revision 1.4.1
Inhaltsverzeichnis
1 Übersicht........................................................................................................................................3
    1.1 Testergebnis..................................................................................................................................................3
    1.2 App-Informationen........................................................................................................................................4
    1.3 Berechtigungen.............................................................................................................................................5
    1.4 Zusätzliche Funktionalitäten........................................................................................................................5
         1.4.1 In-App-Käufe.........................................................................................................................................5
         1.4.2 Externe Cloud-Dienste..........................................................................................................................6
         1.4.3 Externe Login-Dienste..........................................................................................................................6
         1.4.4 Social Network Sharing........................................................................................................................6
         1.4.5 Verwendung Webviews.........................................................................................................................6
2 Sicherheitsmatrix...........................................................................................................................7
3 Testergebnisse...............................................................................................................................9
    3.1 Test Setup......................................................................................................................................................9
    3.2 Drittanbieter-Module und -Bibliotheken......................................................................................................9
    3.4 Virenanalyse..................................................................................................................................................9
    3.5 Berechtigungsanalyse.................................................................................................................................10
    3.6 Risikobewertung.........................................................................................................................................11
         3.6.1 Datenschutzverstöße..........................................................................................................................11
         3.6.2 Datensicherheitsverstöße...................................................................................................................11
    3.7 AGB und Datenschutzerklärung.................................................................................................................11
4 Verbindungsanalyse.....................................................................................................................12
    4.1 Verschlüsselt übertragene Datenfunde.....................................................................................................12
    4.2 Unverschlüsselt übertragene Datenfunde.................................................................................................12
    4.3 Analyse Serververbindungen......................................................................................................................12
    4.4 Analyse Datenverkehr.................................................................................................................................13
    4.5 Auszug Datenübertragungsprotokoll.........................................................................................................13
.........................................................................................................................................................14
5 Anhang..........................................................................................................................................14

                                       © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 2
1     Übersicht

1.1   Testergebnis

       SIMSme Business                        2.2                                      iOS

                                      Ampelwertung

                                         →       Whitelist: nutzbar
           App Icon
                                                 Whitelist: nutzbar mit Hinweis
            3x3 cm
                                                 Blacklist: Nutzung bedenklich, individuelle Freigabe möglich

                                                 Blacklist: von der Nutzung wird abgeraten

      Datenschutzverstöße

      • Keine Datenschutzverstöße festgestellt

                                                                         Einstufung unbedenklich

      Datensicherheitsverstöße

      • Keine Datensicherheitsverstöße festgestellt

                                                                         Einstufung unbedenklich

      AGB und Datenschutzerklärung

      • Die Prüfung der AGB und der Datenschutzerklärung steht noch aus

                                                                         Einstufung nicht verfügbar

      SSL Analyse

      • Man-in-the-Middle-Attacke nicht möglich

                                                                         Einstufung unbedenklich

      Die Applikation SIMSme Business (iOS) in der Version 2.2 erzielt eine grüne Wertung und wird als nutzbar
      (Whitelist) eingestuft. Es wurden keine Datenschutzverstöße festgestellt. Es wurden keine
      Datensicherheitsverstöße festgestellt. Eine Überprüfung der AGB und Datenschutzerklärung wurde nicht
      vorgenommen.

                                 © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 3
1.2   App-Informationen

      • Hersteller                   DP IT Brief GmbH
      • Name                         SIMSme Business
      • Betriebssystem               iOS
      • Version                      2.2
      • Erscheinungsdatum            16.4.2018
      • BundleIdentifier             releaseba.de.dpag.simsme
      • Benötigte OS-Version         iOS 9.0
      • Store-Link                   https://itunes.apple.com/de/app/id1125705539?mt=8

      • Store-Kategorie              Soziale Netze
      • Beschreibung                 SIMSme Business ist der Messenger für Unternehmen – entwickelt von der
                                     Deutschen Post. Schreiben Sie dank Ende-zu-Ende-Verschlüsselung absolut
                                     sicher und beschleunigen Sie die Kommunikation im Team.

                                     Statt mit langsamen und unübersichtlichen Email-Fluten kommunizieren
                                     ihre Mitarbeiter zukünftig schnell und direkt – egal, ob sie im Büro, im Home
                                     Office oder im Außendienst sind.

                                     Konfigurierbare Features stellen die Kompatibilität mit Ihren Security-
                                     Anforderungen sicher. Jeder Datenstrom fließt dabei über deutsche Server.
                                     SIMSme Business ist konform mit deutschen Datenschutzgesetzen und
                                     erfüllt die Anforderungen der EU Datenschutz-Grundverordnung.

                                     FUNKTIONEN
                                     • Schneller Austausch im Team – Einzel- und Gruppenchats, Kanäle und
                                     Verteiler
                                     • Einfaches Teilen von Inhalten – Video- und Audionachrichten, Fotos und
                                     Dateien
                                     • Effizientes Arbeiten mit Kollegen – Kommentieren, priorisieren und
                                     zeitversetzt versenden
                                     • Auf allen Geräten verfügbar – Ob Computer, Tablet oder Smartphone
                                     • Immer synchron – Chats, Kontakte und Medien synchronisieren in Echtzeit
                                     • Intuitives Nutzermanagement – Komfortable Administration über das
                                     Management Cockpit

                                     SICHERHEIT und DATENSCHUTZ
                                     • Erstklassige Ende-zu-Ende-Verschlüsselung der Deutschen Post
                                     • Server in Deutschland und Bundesdatenschutzkonform
                                     • Klare Trennung von beruflicher und privater Kommunikation

                                     MANAGEMENT COCKPIT
                                     • Nutzer- und Lizenzverwaltung mit Reporting Dashboard

                               © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 4
• Eigene Kanäle bis 1.000 Nutzer und verwaltete Gruppen
                                      • Eigenes App Design mit anpassbaren Farben und Logo
                                      • Steuerbare Security-Einstellungen z.B. Passwortstärke

                                      Laden Sie SIMSme Business jetzt herunter und überzeugen Sie sich selbst!
                                      Mehr zu den Vorteilen und Features erfahren Sie unter:
                                      www.sims.me/business

                                      SIMSme Business wurde von mediaTest digital in Kooperation mit TÜViT mit
                                      dem „Trusted App“-Siegel für extrem sichere Apps ausgezeichnet und wird
                                      von der Polizei Niedersachen empfohlen. Durch Ende-zu-Ende-
                                      Verschlüsselung kann niemand Ihre Nachrichten mitlesen.

                                      Sie haben Fragen, Anregungen oder wollen die App Unternehmen
                                      verwenden? Dann schreiben Sie uns unter: business@sims.me

                                      HINWEIS FÜR PRIVATE NUTZER: SIMSme Business ist für Unternehmen und
                                      Organisationen konzipiert. Als Privatperson nutzen Sie bitte die SIMSme App.

1.3   Berechtigungen
      Die folgenden Berechtigungen werden während der Nutzung durch die Applikation angefordert und müssen
      durch den Nutzer bestätigt werden, um die Applikation in vollem Funktionsumfang nutzen zu können.

       •    Ortungsdienste
       •    Push-Mitteilungen
       •    Fotos
       •    Kontakte
       •    Mikrofon
       •    Kamera

1.4   Zusätzliche Funktionalitäten
      Mobile Applikationen können über Drittanbieter erweiterte Funktionalitäten bieten. Dabei umfasst die
      Bandbreite neben In-App-Käufen zur Funktionserweiterung oder Entfernung von Werbung auch die externe
      Speicherung von Nutzerdaten in Cloud-Speicherdiensten, das Teilen von Meldungen über soziale Netzwerke
      oder die Registrierung eines Nutzeraccounts über ein bereits bestehendes Profil eines sozialen Netzwerks.

1.4.1 In-App-Käufe
      In der Applikation sind In-App-Käufe nicht möglich.

                                © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 5
1.4.2 Externe Cloud-Dienste
     Die Applikation ermöglicht das Speichern von Daten über externe Cloud-Dienste.

      • iCloud                   Cloud-Dienst von Apple Inc.

1.4.3 Externe Login-Dienste
     Die Applikation ermöglicht keinen verkürzten Registrierungs- und Loginprozess über externe Login-Dienste.

1.4.4 Social Network Sharing
     Die App ermöglicht kein Sharing von Inhalten und Nutzerkommentaren über soziale Netzwerke.

1.4.5 Verwendung Webviews

     Die Applikation verwendet keine Webviews mit Möglichkeiten, den für den Benutzer vorgesehenen Bereich in
     der Applikation über externe Links innerhalb des Webviews zu verlassen.

                              © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 6
2   Sicherheitsmatrix
    In der Sicherheitsmatrix wird detailliert aufgeschlüsselt, welche Datenfunde zu welcher
    Sicherheitseinstufung führen. Dabei wird nach Übertragungsart und Notwendigkeit der Datenübertragung für
    die Funktionalität der Applikation sortiert. Die Einsortierung der übertragenen Daten wird wie folgt
    untergliedert.

                                           Die Übertragung des Datums gehört zwar zur Funktionalität der
     • keine Übertragung                   Applikation, konnte jedoch in der Datenübertragung nicht
                                           nachgewiesen werden.
                                           Die Übertragung des Datums gehört zur Kernfunktionalität der
     • notwendig, verschlüsselt
                                           Applikation. Die Übertragung erfolgt verschlüsselt.

                                           Die Übertragung des Datums gehört zur Kernfunktionalität der
     • notwendig, unverschlüsselt
                                           Applikation. Die Übertragung erfolgt unverschlüsselt.

                                           Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
     • nicht notwendig, verschlüsselt      Applikation. Die Übertragung erfolgt verschlüsselt
                                           .
     • nicht notwendig,                    Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
     unverschlüsselt                       Applikation. Die Übertragung erfolgt unverschlüsselt.

    Die Kombination aus übertragenem Datum, Notwendigkeit der Übertragung für die Funktionalität der
    Applikation und der Art der Übertragung resultiert in einer Einstufung. Diese führen in ihrer Gesamtheit zu
    einer abschließenden Wertung, die wie folgt untergliedert wird.

     Wertung GRÜN                          Die Nutzung der Applikation ist im Unternehmensumfeld empfohlen.

                                           Die Nutzung der Applikation ist im Unternehmensumfeld
     Wertung GELB                          eingeschränkt empfohlen. Abhängig von unternehmensweit geltenden
                                           Sicherheitsvorschriften muss die Nutzung eingeschränkt werden.

                                           Die Nutzung der Applikation ist bedenklich, da sensible Daten
     Wertung ROT                           unverschlüsselt oder an Dritte übertragen werden. Eine Nutzung wird
                                           insbesondere im Unternehmensumfeld nicht empfohlen.

                                           Die Nutzung der Applikation ist sehr bedenklich, da Passwörter,
     Wertung SCHWARZ                       Bankdaten oder sensible Daten unverschlüsselt oder an Dritte
                                           übertragen werden. Von der Nutzung wird dringend abgeraten!

    Kommuniziert die Applikation nur über festgelegte Zertifikate (Certificate Pinning), können auf Basis des
    Übertragungsverhaltens der Applikation häufig nur eingeschränkte Aussagen über Datenschutz getroffen
    werden. In diesem Fall wird eine Handlungsempfehlung abgegeben, die auf den im Testlauf aufgezeichneten
    Verbindungen und den eingebundenen Modulen und Bibliotheken von Drittanbietern beruht.

                              © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 7
Virenanalyse

                                                                                                                        SSL analysierbar?
                                                                                                                                            AGB und Datenschutz

                                                                                                Resultierende Wertung
                                                                                                √

                                                                                                                                                                                 Keine Übertragungfestgestellt
                                                                                                                         JA

                                                                                                                                                                                 notwendige Übertragung,
                                                                                                                                                                                      verschlüsselt

                                                                                                                                                                                 notwendige Übertragung,
                                                                                                                                                                                     unverschlüsselt
                                                                                                                         NEIN

                                                                                                                                                                                 nicht notwendige Übertragung,
                                                                                                                        √

                                                                                                                                                                                          verschlüsselt

                                                                                                                                                                                 nicht notwendige Übertragung,
                                                                                                                                            √
                                                                                                                                                                  √

© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 8
                                                                                                                                                                                         unverschlüsselt
3     Testergebnisse
      In diesem Kapitel sind die Ergebnisse des Application Security Audits zusammengefasst. Das zugrunde
      liegende Testverfahren kann in der aktuell gültigen mediaTest digital Prüfspezifikation [separate Anlage]
      nachgelesen werden. Getestet wurde im Testlabor der mediaTest digital GmbH.

      Das Testverfahren beinhaltet keine Aussagen über Funktionalität und Design sowie Performance und
      Stabilität der getesteten Applikation. Aussagen über Sicherheitslücken in angeschlossenen Backend-
      Systemen können lediglich in geringem Umfang getroffen werden.

      Die vollständige technische Dokumentation kann im Kapitel 4 eingesehen werden. Dort finden sich
      ausführliche Informationen über Datenverbindungen und Datentransfer.

3.1   Test Setup
      Der Testdurchlauf wurde im Testlabor der mediaTest digital GmbH durch einen Application Security Analyst
      durchgeführt. Getestet wurde auf einem physikalischen Testgerät. Grundsätzlich ist sowohl ein hoher
      Verbreitungsgrad des Testgerätes ebenso gegeben wie die Verwendung einer aktuellen Version des
      Betriebssystems.

       • Testdatum                 18.04.2018
       • Testgerät                 iphone 6 ( iOS 10.2)
       • Testumgebung              mediaTest digital Testlabor
       • Prüfspezifikation         mediaTest digital Prüfspezifikation rev. 1.3

3.2   Drittanbieter-Module und -Bibliotheken

      Während des Testlaufs wurde die Applikation hinsichtlich eingebundenen Modulen und Bibliotheken von
      Drittanbietern untersucht. Diese Module bieten erweiterte Funktionalitäten (z.B. durch die Bereitstellung von
      Kartenmaterial), erlauben die Auslieferung von Werbung oder erheben Nutzerstatistiken.

      Die Untersuchung des von der Applikation erzeugten Datenverkehrs während des Testlaufs sowie einer
      statischen Analyse zeigt die Einbindung folgender externer Dienste.

       Modul                  Kategorie               Beschreibung                                           Serverstandort

                                                      Kartendienst von Apple. Unternehmen: Apple
       • Apple Maps           Kartendienst                                                                   USA
                                                      Inc.

                                                      Cloud-Dienst zur Speicherung von Daten.
       • iCloud               Cloud-Dienst                                                                   USA
                                                      Unternehmen: Apple Inc.

3.4   Virenanalyse
      Aufgrund der Dateistruktur einer iOS-Applikation wurde keine Virenanalyse vorgenommen, da so keine
      zuverlässigen Ergebnisse garantiert werden können.

                               © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 9
3.5   Berechtigungsanalyse
      Die Berechtigungsanalyse basiert auf einer statischen Analyse während des Testlaufs. Aufgerufene
      Berechtigungen werden – soweit möglich – dynamisch durch einen Application Security Analyst verifiziert.
      Schlägt eine manuelle Verifizierung fehl, wird die Berechtigung als „potenziell genutzt“ eingestuft.

      Berechtigungen werden in mehrere Schweregrade eingestuft, die sich am Zugriff der Applikation auf
      Nutzerdaten orientieren:

                           Höchstes Risiko. Die Applikation muss mit dem identischen Zertifikat signiert sein wie
       • system            die Applikationen auf Betriebssystemebene. Bei Aufruf der Berechtigung durch die
                           Applikation wird der Nutzer nicht nach seiner Zustimmung gefragt.
                           Hohes Risiko. Die Applikation erhält Zugriff auf Nutzerdaten oder weitreichende
       • riskant           Funktionalitäten des Betriebssystems. Bei Aufruf der Berechtigung durch die Applikation
                           wird der Nutzer nach seiner Zustimmung gefragt.
                           Niedriges Risiko. Die Applikation erhält isolierten Zugriff auf Applikationsebene und kann
                           nicht auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems
       • normal
                           zugreifen. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner
                           Zustimmung gefragt.
                           Durch den Entwickler selbst erstellte Berechtigung. Diese dient der Funktionalität der
       • selbst erstellt   Applikation und erlaubt keinen Zugriff auf Nutzerdaten oder weitreichende
                           Funktionalitäten des Betriebssystems.

      Die Applikation fordert die folgenden Berechtigungen an.

       Berechtigung                    Beschreibung                                              Einstufung          Nutzung

                                       Die Applikation erhält Zugriff auf die
       Ortungsdaten                                                                              • riskant           Ja
                                       Ortungsdienste des Gerätes
                                       Ermöglicht der Applikation das Senden von Push-
       Push-Mitteilungen                                                                         • normal            Ja
                                       Mitteilungen
                                       Die Applikation erhält Zugriff auf die Fotoalben
       Fotos                                                                                     • riskant           Ja
                                       des Gerätes
                                       Die Applikation erhält Zugriff auf die
       Kontakte                                                                                  • riskant           Ja
                                       Kontaktdaten des Gerätes
                                       Die Applikation erhält Zugriff auf das Mikrofon
       Mikrofon                                                                                  • riskant           Ja
                                       des Gerätes
                                       Die Applikation erhält Zugriff auf die Kamera des
       Kamera                                                                                    • riskant           Ja
                                       Gerätes

                                 © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 10
Die Berechtigungsanalyse zeigt die Verwendung von 6 Berechtigungen, die zur Verwendung aller Funktionen
      der Applikation benötigt werden. Die Applikation ruft nur die Berechtigungen ab, die für den Funktionsumfang
      nötig sind. Die Applikation wird als nicht überprivilegiert eingestuft.

3.6   Risikobewertung
      Anhand des aufgezeichneten Datenverkehrs während des Testlaufs sowie auf Basis einer statischen Analyse
      werden Sicherheitslücken und damit potentielle Risiken überprüft, die mit der Nutzung der Applikation
      einhergehen können.

      Die Auswertung des Testlaufs erfolgt halb-automatisiert und wird durch einen Application Security Analyst
      vorgenommen. Im Zuge einer Kernfunktionalitäts- und Plausibilitätsprüfung wurde dabei besonderen Wert
      auf Datenübermittlungen und Berechtigungen gelegt, die zur Ausführung der primären Funktionen der
      Applikation nicht unbedingt notwendig sind oder für den Nutzer keinen Mehrwert bieten.

      Weiterführende Details zu während des Testlaufs festgestellten Datenschutz- und Datensicherheitsverstößen
      werden im Kapitel 4 in der Datenübertragungsanalyse aufgelistet. Die Handlungsempfehlungen bieten für
      den Entwickler der Applikation eine erste Hilfestellung, das identifizierte Problem zu beheben.

3.6.1 Datenschutzverstöße
      In diesem Unterkapitel werden die Datenschutzverstöße aufgelistet und eine Handlungsempfehlung
      abgegeben. Als Datenschutzverstoß wird die Übertragung eines personenbezogenen 1 oder anderweitig
      sensiblen Datums an Dritte definiert.

      Keine Datenschutzverstöße festgestellt.
                      Handlungsempfehlung Keine Handlung nötig

3.6.2 Datensicherheitsverstöße
      In diesem Unterkapitel werden die Datensicherheitsverstöße aufgelistet und eine Handlungsempfehlung
      abgegeben. Als Datensicherheitsverstoß wird die Übertragung von Daten über eine unverschlüsselte
      Verbindung definiert.

      Keine Datensicherheitsverstöße festgestellt
                      Handlungsempfehlung Keine Handlung nötig
      HINWEIS: Man-in-the-Middle-Attacke nicht erfolgreich
                      Handlungsempfehlung Keine Handlung nötig

      3.7      AGB und Datenschutzerklärung

      Es wurde keine Prüfung der AGB und Datenschutzerklärung vorgenommen.

      1     Personenbezogene Daten werden definiert nach §3 Abs. 1 BDSG.

                                    © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 11
4     Verbindungsanalyse
      In diesem Kapitel werden ausführliche Informationen über die während des Testlaufs aufgezeichneten
      Datenübertragungen bereitgestellt.

4.1   Verschlüsselt übertragene Datenfunde
      Während des Testlaufs konnte die Übertragung folgender Daten über verschlüsselte Verbindungen
      nachvollzogen werden.

       Keine Funde                                                                              -

4.2   Unverschlüsselt übertragene Datenfunde
      Während des Testlaufs konnte keine Übertragung Daten über unverschlüsselte Verbindungen nachvollzogen
      werden.

      Hinweis: Grundsätzlich wird empfohlen, die Kommunikation zwischen Applikation und Servern ausschließlich
      über verschlüsselte Verbindungen vorzunehmen!

4.3   Analyse Serververbindungen
      In diesem Unterkapitel werden die Server aufgelistet, zu denen die Applikation während des Testlaufs
      Verbindungen aufgebaut hat.

      Nr.       Servername                                               IP-Adresse            Port    Land     Betreiber

                                                                                                                Deutsche Post
      V1        *.docwallet-de.de                                        195.21.38.51          443     DE
                                                                                                                AG
      V2        *.ls.apple.com                                           17.167.195.10         443     US       Apple Maps
      V3        *.ls.apple.com                                           17.130.137.79         443     US       Apple Maps
      V4        *.ls.apple.com                                           17.167.192.176        443     US       Apple Maps
      V5        *.ls.apple.com                                           17.130.137.73         443     US       Apple Maps
      V6        *.ls.apple.com                                           17.167.192.126        443     US       Apple Maps
      V7        *.ls.apple.com                                           17.130.137.75         443     US       Apple Maps
      V8        *.ls.apple.com                                           17.130.137.77         443     US       Apple Maps
      V9        *.ls.apple.com                                           17.167.192.244        443     US       Apple Maps
      V10       *.ls.apple.com                                           17.167.193.162        443     US       Apple Maps
      V11       *.ls.apple.com                                           17.167.195.12         443     US       Apple Maps
      V12       *.ls.apple.com                                           17.167.195.9          443     US       Apple Maps
                a104-81-32-
      V13                                                                104.81.32.175         443     US       Apple
                175.deploy.static.akamaitechnologies.com
      V14       a104-81-33-                                              104.81.33.197         443     US       Apple

                                 © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 12
197.deploy.static.akamaitechnologies.com
              a104-87-196-
      V15                                                                  104.87.196.27           443     NL       Apple
              27.deploy.static.akamaitechnologies.com
              a104-87-216-
      V16                                                                  104.87.216.231          443     NL       Apple
              231.deploy.static.akamaitechnologies.com
      V17     a248.e.akamai.net                                            2.22.61.10              80      EU       Apple Maps
      V18     a248.e.akamai.net                                            2.22.61.81              80      EU       Apple Maps
      V19     courier.push.apple.com                                       17.252.76.22            443     US       Apple Push
      V20     courier.push.apple.com                                       17.252.44.28            443     US       Apple Push
      V21     courier.push.apple.com                                       17.252.44.24            443     US       Apple Push
      V22     courier.push.apple.com                                       17.252.44.30            443     US       Apple Push
      V23     courier.push.apple.com                                       17.252.76.29            443     US       Apple Push
      V24     courier.push.apple.com                                       17.252.44.27            443     US       Apple Push
      V25     app.adjust.com                                               178.162.216.180         443     DE       Adjust
      V26     www.digicert.com                                             93.184.220.29           80      US       Digicert
      V27     ituneslogin.net                                              17.172.224.35           80      US       iTunes

4.4   Analyse Datenverkehr
      In diesem Unterkapitel werden die Datenpakete aufgeschlüsselt, die während des Testlaufes von der
      Applikation an Server und umgekehrt versendet wurden. Der Wert der Übertragung wird ebenfalls in der
      Sicherheitsmatrix dargestellt.

      Fund                      Richtung             Krypto   IP                        Port   Dienstanbieter        Nötig     Wert

      Keine Funde               -                       -     -                         -      -                     -

4.5   Auszug Datenübertragungsprotokoll

      P1     Keine Funde                   -                           -                                        -

                                © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 13
5   Anhang
    Kein Anhang vorhanden.

                             © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 14
Application Security Audit
SIMSme Business
Testreport

mediaTest digital GmbH

Goseriede 4
30159 Hannover
T|   +49 (0) 511-353994-22
F|   +49 (0) 511-353994-12
W | www.mediatest-digital.com

Einstufung     interne Nutzung
Datum          24.04.2018
Kunde          Deutsche Post AG

Sitz und Registergericht: Hannover | HRB 208916
USt.-ID Nr. DE284516422
Board of Directors: Vertretungsberechtigter Gesellschafter: Sebastian Wolters

© 2018 mediaTest digital GmbH, Revision 1.4.1
Inhaltsverzeichnis
1 Übersicht........................................................................................................................................3
    1.1 Testergebnis..................................................................................................................................................3
    1.2 App-Informationen........................................................................................................................................4
    1.3 Berechtigungen.............................................................................................................................................5
    1.4 Zusätzliche Funktionalitäten........................................................................................................................5
         1.4.1 In-App-Käufe.........................................................................................................................................5
         1.4.2 Externe Cloud-Dienste..........................................................................................................................6
         1.4.3 Externe Login-Dienste..........................................................................................................................6
         1.4.4 Social Network Sharing........................................................................................................................6
         1.4.5 Verwendung Webviews.........................................................................................................................6
2 Sicherheitsmatrix...........................................................................................................................7
3 Testergebnisse...............................................................................................................................9
    3.1 Test Setup......................................................................................................................................................9
    3.2 Drittanbieter-Module und -Bibliotheken......................................................................................................9
    3.4 Virenanalyse................................................................................................................................................10
    3.5 Berechtigungsanalyse.................................................................................................................................10
    3.6 Risikobewertung.........................................................................................................................................11
         3.6.1 Datenschutzverstöße..........................................................................................................................11
         3.6.2 Datensicherheitsverstöße...................................................................................................................12
    3.7 AGB und Datenschutzerklärung.................................................................................................................12
4 Verbindungsanalyse.....................................................................................................................13
    4.1 Verschlüsselt übertragene Datenfunde.....................................................................................................13
    4.2 Unverschlüsselt übertragene Datenfunde.................................................................................................13
    4.3 Analyse Serververbindungen......................................................................................................................13
    4.4 Analyse Datenverkehr.................................................................................................................................13
    4.5 Auszug Datenübertragungsprotokoll.........................................................................................................14
.........................................................................................................................................................14
5 Anhang..........................................................................................................................................14

                                       © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 2
1     Übersicht

1.1   Testergebnis

       SIMSme Business                        2.02.000.20771                           Android

                                      Ampelwertung

                                         →       Whitelist: nutzbar
           App Icon
                                                 Whitelist: nutzbar mit Hinweis
            3x3 cm
                                                 Blacklist: Nutzung bedenklich, individuelle Freigabe möglich

                                                 Blacklist: von der Nutzung wird abgeraten

      Datenschutzverstöße

      • Keine Datenschutzverstöße festgestellt

                                                                         Einstufung unbedenklich

      Datensicherheitsverstöße

      • Keine Datensicherheitsverstöße festgestellt

                                                                         Einstufung unbedenklich

      AGB und Datenschutzerklärung

      • Die Prüfung der AGB und der Datenschutzerklärung steht noch aus

                                                                         Einstufung nicht verfügbar

      SSL Analyse

      • Man-in-the-Middle-Attacke nicht möglich

                                                                         Einstufung unbedenklich

      Die Applikation SIMSme Business (iOS) in der Version 2.2 erzielt eine grüne Wertung und wird als nutzbar
      (Whitelist) eingestuft. Es wurden keine Datenschutzverstöße festgestellt. Es wurden keine
      Datensicherheitsverstöße festgestellt. Eine Überprüfung der AGB und Datenschutzerklärung wurde nicht
      vorgenommen.

                                 © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 3
1.2   App-Informationen

      • Hersteller                   DP IT Brief GmbH
      • Name                         SIMSme Business
      • Betriebssystem               Android
      • Version                      2.02.000.20771
      • Erscheinungsdatum            16.4.2018
      • BundleIdentifier             business.de.dpag.simsme
      • Benötigte OS-Version         Android
      • Store-Link                   https://play.google.com/store/apps/details?id=business.de.dpag.simsme&hl=de+

      • Store-Kategorie              Soziale Netze
      • Beschreibung                 SIMSme Business ist der Messenger für Unternehmen – entwickelt von der
                                     Deutschen Post. Schreiben Sie dank Ende-zu-Ende-Verschlüsselung absolut
                                     sicher und beschleunigen Sie die Kommunikation im Team.

                                     Statt mit langsamen und unübersichtlichen Email-Fluten kommunizieren
                                     ihre Mitarbeiter zukünftig schnell und direkt – egal, ob sie im Büro, im Home
                                     Office oder im Außendienst sind.

                                     Konfigurierbare Features stellen die Kompatibilität mit Ihren Security-
                                     Anforderungen sicher. Jeder Datenstrom fließt dabei über deutsche Server.
                                     SIMSme Business ist konform mit deutschen Datenschutzgesetzen und
                                     erfüllt die Anforderungen der EU Datenschutz-Grundverordnung.

                                     FUNKTIONEN
                                     • Schneller Austausch im Team – Einzel- und Gruppenchats, Kanäle und
                                     Verteiler
                                     • Einfaches Teilen von Inhalten – Video- und Audionachrichten, Fotos und
                                     Dateien
                                     • Effizientes Arbeiten mit Kollegen – Kommentieren, priorisieren und
                                     zeitversetzt versenden
                                     • Auf allen Geräten verfügbar – Ob Computer, Tablet oder Smartphone
                                     • Immer synchron – Chats, Kontakte und Medien synchronisieren in Echtzeit
                                     • Intuitives Nutzermanagement – Komfortable Administration über das
                                     Management Cockpit

                                     SICHERHEIT und DATENSCHUTZ
                                     • Erstklassige Ende-zu-Ende-Verschlüsselung der Deutschen Post
                                     • Server in Deutschland und Bundesdatenschutzkonform
                                     • Klare Trennung von beruflicher und privater Kommunikation

                                     MANAGEMENT COCKPIT
                                     • Nutzer- und Lizenzverwaltung mit Reporting Dashboard

                               © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 4
• Eigene Kanäle bis 1.000 Nutzer und verwaltete Gruppen
                                      • Eigenes App Design mit anpassbaren Farben und Logo
                                      • Steuerbare Security-Einstellungen z.B. Passwortstärke

                                      Laden Sie SIMSme Business jetzt herunter und überzeugen Sie sich selbst!
                                      Mehr zu den Vorteilen und Features erfahren Sie unter:
                                      www.sims.me/business

                                      SIMSme Business wurde von mediaTest digital in Kooperation mit TÜViT mit
                                      dem „Trusted App“-Siegel für extrem sichere Apps ausgezeichnet und wird
                                      von der Polizei Niedersachen empfohlen. Durch Ende-zu-Ende-
                                      Verschlüsselung kann niemand Ihre Nachrichten mitlesen.

                                      Sie haben Fragen, Anregungen oder wollen die App Unternehmen
                                      verwenden? Dann schreiben Sie uns unter: business@sims.me

                                      HINWEIS FÜR PRIVATE NUTZER: SIMSme Business ist für Unternehmen und
                                      Organisationen konzipiert. Als Privatperson nutzen Sie bitte die SIMSme App.

1.3   Berechtigungen
      Die folgenden Berechtigungen werden während der Nutzung durch die Applikation angefordert und müssen
      durch den Nutzer bestätigt werden, um die Applikation in vollem Funktionsumfang nutzen zu können.

       •    Ortungsdienste
       •    Push-Mitteilungen
       •    Fotos
       •    Kontakte
       •    Mikrofon
       •    Kamera

1.4   Zusätzliche Funktionalitäten
      Mobile Applikationen können über Drittanbieter erweiterte Funktionalitäten bieten. Dabei umfasst die
      Bandbreite neben In-App-Käufen zur Funktionserweiterung oder Entfernung von Werbung auch die externe
      Speicherung von Nutzerdaten in Cloud-Speicherdiensten, das Teilen von Meldungen über soziale Netzwerke
      oder die Registrierung eines Nutzeraccounts über ein bereits bestehendes Profil eines sozialen Netzwerks.

1.4.1 In-App-Käufe
      In der Applikation sind In-App-Käufe nicht möglich.

                                © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 5
1.4.2 Externe Cloud-Dienste
     Die Applikation ermöglicht das Speichern von Daten über externe Cloud-Dienste.

      • Google Cloud             Cloud-Dienst von Google Inc.

1.4.3 Externe Login-Dienste
     Die Applikation ermöglicht keinen verkürzten Registrierungs- und Loginprozess über externe Login-Dienste.

1.4.4 Social Network Sharing
     Die App ermöglicht kein Sharing von Inhalten und Nutzerkommentaren über soziale Netzwerke.

1.4.5 Verwendung Webviews

     Die Applikation verwendet keine Webviews mit Möglichkeiten, den für den Benutzer vorgesehenen Bereich in
     der Applikation über externe Links innerhalb des Webviews zu verlassen.

                              © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 6
2   Sicherheitsmatrix
    In der Sicherheitsmatrix wird detailliert aufgeschlüsselt, welche Datenfunde zu welcher
    Sicherheitseinstufung führen. Dabei wird nach Übertragungsart und Notwendigkeit der Datenübertragung für
    die Funktionalität der Applikation sortiert. Die Einsortierung der übertragenen Daten wird wie folgt
    untergliedert.

                                           Die Übertragung des Datums gehört zwar zur Funktionalität der
     • keine Übertragung                   Applikation, konnte jedoch in der Datenübertragung nicht
                                           nachgewiesen werden.
                                           Die Übertragung des Datums gehört zur Kernfunktionalität der
     • notwendig, verschlüsselt
                                           Applikation. Die Übertragung erfolgt verschlüsselt.

                                           Die Übertragung des Datums gehört zur Kernfunktionalität der
     • notwendig, unverschlüsselt
                                           Applikation. Die Übertragung erfolgt unverschlüsselt.

                                           Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
     • nicht notwendig, verschlüsselt      Applikation. Die Übertragung erfolgt verschlüsselt
                                           .
     • nicht notwendig,                    Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
     unverschlüsselt                       Applikation. Die Übertragung erfolgt unverschlüsselt.

    Die Kombination aus übertragenem Datum, Notwendigkeit der Übertragung für die Funktionalität der
    Applikation und der Art der Übertragung resultiert in einer Einstufung. Diese führen in ihrer Gesamtheit zu
    einer abschließenden Wertung, die wie folgt untergliedert wird.

     Wertung GRÜN                          Die Nutzung der Applikation ist im Unternehmensumfeld empfohlen.

                                           Die Nutzung der Applikation ist im Unternehmensumfeld
     Wertung GELB                          eingeschränkt empfohlen. Abhängig von unternehmensweit geltenden
                                           Sicherheitsvorschriften muss die Nutzung eingeschränkt werden.

                                           Die Nutzung der Applikation ist bedenklich, da sensible Daten
     Wertung ROT                           unverschlüsselt oder an Dritte übertragen werden. Eine Nutzung wird
                                           insbesondere im Unternehmensumfeld nicht empfohlen.

                                           Die Nutzung der Applikation ist sehr bedenklich, da Passwörter,
     Wertung SCHWARZ                       Bankdaten oder sensible Daten unverschlüsselt oder an Dritte
                                           übertragen werden. Von der Nutzung wird dringend abgeraten!

    Kommuniziert die Applikation nur über festgelegte Zertifikate (Certificate Pinning), können auf Basis des
    Übertragungsverhaltens der Applikation häufig nur eingeschränkte Aussagen über Datenschutz getroffen
    werden. In diesem Fall wird eine Handlungsempfehlung abgegeben, die auf den im Testlauf aufgezeichneten
    Verbindungen und den eingebundenen Modulen und Bibliotheken von Drittanbietern beruht.

                              © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 7
Virenanalyse

                                                                                                                        SSL analysierbar?
                                                                                                                                            AGB und Datenschutz

                                                                                                Resultierende Wertung
                                                                                                √

                                                                                                                                                                                 Keine Übertragungfestgestellt
                                                                                                                         JA

                                                                                                                                                                                 notwendige Übertragung,
                                                                                                                                                                                      verschlüsselt

                                                                                                                                                                                 notwendige Übertragung,
                                                                                                                                                                                     unverschlüsselt
                                                                                                                         NEIN

                                                                                                                                                                                 nicht notwendige Übertragung,
                                                                                                                        √

                                                                                                                                                                                          verschlüsselt

                                                                                                                                                                                 nicht notwendige Übertragung,
                                                                                                                                            √
                                                                                                                                                                  √

© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 8
                                                                                                                                                                                         unverschlüsselt
3     Testergebnisse
      In diesem Kapitel sind die Ergebnisse des Application Security Audits zusammengefasst. Das zugrunde
      liegende Testverfahren kann in der aktuell gültigen mediaTest digital Prüfspezifikation [separate Anlage]
      nachgelesen werden. Getestet wurde im Testlabor der mediaTest digital GmbH.

      Das Testverfahren beinhaltet keine Aussagen über Funktionalität und Design sowie Performance und
      Stabilität der getesteten Applikation. Aussagen über Sicherheitslücken in angeschlossenen Backend-
      Systemen können lediglich in geringem Umfang getroffen werden.

      Die vollständige technische Dokumentation kann im Kapitel 4 eingesehen werden. Dort finden sich
      ausführliche Informationen über Datenverbindungen und Datentransfer.

3.1   Test Setup
      Der Testdurchlauf wurde im Testlabor der mediaTest digital GmbH durch einen Application Security Analyst
      durchgeführt. Getestet wurde auf einem physikalischen Testgerät. Grundsätzlich ist sowohl ein hoher
      Verbreitungsgrad des Testgerätes ebenso gegeben wie die Verwendung einer aktuellen Version des
      Betriebssystems.

       • Testdatum                 18.04.2018
       • Testgerät                 Samsung A5 ( Android 7.0)
       • Testumgebung              mediaTest digital Testlabor
       • Prüfspezifikation         mediaTest digital Prüfspezifikation rev. 1.3

3.2   Drittanbieter-Module und -Bibliotheken

      Während des Testlaufs wurde die Applikation hinsichtlich eingebundenen Modulen und Bibliotheken von
      Drittanbietern untersucht. Diese Module bieten erweiterte Funktionalitäten (z.B. durch die Bereitstellung von
      Kartenmaterial), erlauben die Auslieferung von Werbung oder erheben Nutzerstatistiken.

      Die Untersuchung des von der Applikation erzeugten Datenverkehrs während des Testlaufs sowie einer
      statischen Analyse zeigt die Einbindung folgender externer Dienste.

       Modul                  Kategorie               Beschreibung                                           Serverstandort

                                                      Kartendienst von Google. Unternehmen:
       • Google Maps          Kartendienst                                                                   USA
                                                      Google Inc.

                                                      Cloud-Dienst zur Speicherung von Daten.
       • Google Drive         Cloud-Dienst                                                                   USA
                                                      Unternehmen: Google Inc.

                               © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 9
3.4   Virenanalyse
      Während der Virenanalyse über die virustotal API durchläuft die Applikationsdatei über 50 Virenscanner. So
      kann eine je nach Ergebnis gewichtete Aussage über eine potenzielle Bedrohung durch Viren oder Trojaner
      getroffen werden.

       • Dateiname                     business.de.dpag.simsme.apk

       • SHA256 Hashwert               53f80b5283328fa39c7d42e992cb2ee29c989d1521a58147f9c4c9407d2a820c

       • Virenscan-Ergebnis            Keine Funde

3.5   Berechtigungsanalyse
      Die Berechtigungsanalyse basiert auf einer statischen Analyse während des Testlaufs. Aufgerufene
      Berechtigungen werden – soweit möglich – dynamisch durch einen Application Security Analyst verifiziert.
      Schlägt eine manuelle Verifizierung fehl, wird die Berechtigung als „potenziell genutzt“ eingestuft.

      Berechtigungen werden in mehrere Schweregrade eingestuft, die sich am Zugriff der Applikation auf
      Nutzerdaten orientieren:

                           Höchstes Risiko. Die Applikation muss mit dem identischen Zertifikat signiert sein wie
       • system            die Applikationen auf Betriebssystemebene. Bei Aufruf der Berechtigung durch die
                           Applikation wird der Nutzer nicht nach seiner Zustimmung gefragt.
                           Hohes Risiko. Die Applikation erhält Zugriff auf Nutzerdaten oder weitreichende
       • riskant           Funktionalitäten des Betriebssystems. Bei Aufruf der Berechtigung durch die Applikation
                           wird der Nutzer nach seiner Zustimmung gefragt.
                           Niedriges Risiko. Die Applikation erhält isolierten Zugriff auf Applikationsebene und kann
                           nicht auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems
       • normal
                           zugreifen. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner
                           Zustimmung gefragt.
                           Durch den Entwickler selbst erstellte Berechtigung. Diese dient der Funktionalität der
       • selbst erstellt   Applikation und erlaubt keinen Zugriff auf Nutzerdaten oder weitreichende
                           Funktionalitäten des Betriebssystems.

      Die Applikation fordert die folgenden Berechtigungen an.

                                 © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 10
Berechtigung                     Beschreibung                                             Einstufung          Nutzung

                                           Die Applikation erhält Zugriff auf die
          Ortungsdaten                                                                              • riskant           Ja
                                           Ortungsdienste des Gerätes
                                           Ermöglicht der Applikation das Senden von Push-
          Push-Mitteilungen                                                                         • normal            Ja
                                           Mitteilungen
                                           Die Applikation erhält Zugriff auf die Fotoalben
          Fotos                                                                                     • riskant           Ja
                                           des Gerätes
                                           Die Applikation erhält Zugriff auf die
          Kontakte                                                                                  • riskant           Ja
                                           Kontaktdaten des Gerätes
                                           Die Applikation erhält Zugriff auf das Mikrofon
          Mikrofon                                                                                  • riskant           Ja
                                           des Gerätes
                                           Die Applikation erhält Zugriff auf die Kamera des
          Kamera                                                                                    • riskant           Ja
                                           Gerätes

      Die Berechtigungsanalyse zeigt die Verwendung von 6 Berechtigungen, die zur Verwendung aller Funktionen
      der Applikation benötigt werden. Die Applikation ruft nur die Berechtigungen ab, die für den Funktionsumfang
      nötig sind. Die Applikation wird als nicht überprivilegiert eingestuft.

3.6   Risikobewertung
      Anhand des aufgezeichneten Datenverkehrs während des Testlaufs sowie auf Basis einer statischen Analyse
      werden Sicherheitslücken und damit potentielle Risiken überprüft, die mit der Nutzung der Applikation
      einhergehen können.

      Die Auswertung des Testlaufs erfolgt halb-automatisiert und wird durch einen Application Security Analyst
      vorgenommen. Im Zuge einer Kernfunktionalitäts- und Plausibilitätsprüfung wurde dabei besonderen Wert
      auf Datenübermittlungen und Berechtigungen gelegt, die zur Ausführung der primären Funktionen der
      Applikation nicht unbedingt notwendig sind oder für den Nutzer keinen Mehrwert bieten.

      Weiterführende Details zu während des Testlaufs festgestellten Datenschutz- und Datensicherheitsverstößen
      werden im Kapitel 4 in der Datenübertragungsanalyse aufgelistet. Die Handlungsempfehlungen bieten für
      den Entwickler der Applikation eine erste Hilfestellung, das identifizierte Problem zu beheben.

3.6.1 Datenschutzverstöße
      In diesem Unterkapitel werden die Datenschutzverstöße aufgelistet und eine Handlungsempfehlung
      abgegeben. Als Datenschutzverstoß wird die Übertragung eines personenbezogenen 1 oder anderweitig
      sensiblen Datums an Dritte definiert.

      Keine Datenschutzverstöße festgestellt.
                         Handlungsempfehlung Keine Handlung nötig

      1     Personenbezogene Daten werden definiert nach §3 Abs. 1 BDSG.

                                    © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 11
3.6.2 Datensicherheitsverstöße
     In diesem Unterkapitel werden die Datensicherheitsverstöße aufgelistet und eine Handlungsempfehlung
     abgegeben. Als Datensicherheitsverstoß wird die Übertragung von Daten über eine unverschlüsselte
     Verbindung definiert.

     Keine Datensicherheitsverstöße festgestellt
                  Handlungsempfehlung Keine Handlung nötig
     HINWEIS: Man-in-the-Middle-Attacke nicht erfolgreich
                  Handlungsempfehlung Keine Handlung nötig

     3.7   AGB und Datenschutzerklärung

     Es wurde keine Prüfung der AGB und Datenschutzerklärung vorgenommen.

                             © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 12
4     Verbindungsanalyse
      In diesem Kapitel werden ausführliche Informationen über die während des Testlaufs aufgezeichneten
      Datenübertragungen bereitgestellt.

4.1   Verschlüsselt übertragene Datenfunde
      Während des Testlaufs konnte die Übertragung folgender Daten über verschlüsselte Verbindungen
      nachvollzogen werden.

       Keine Funde                                                                               -

4.2   Unverschlüsselt übertragene Datenfunde
      Während des Testlaufs konnte keine Übertragung Daten über unverschlüsselte Verbindungen nachvollzogen
      werden.

      Hinweis: Grundsätzlich wird empfohlen, die Kommunikation zwischen Applikation und Servern ausschließlich
      über verschlüsselte Verbindungen vorzunehmen!

4.3   Analyse Serververbindungen
      In diesem Unterkapitel werden die Server aufgelistet, zu denen die Applikation während des Testlaufs
      Verbindungen aufgebaut hat.

      Nr.       Servername                                               IP-Adresse              Port    Land   Betreiber

                                                                                                                Deutsche Post
      V1        *.docwallet-de.de                                        195.21.38.51            443     DE
                                                                                                                AG
      V2        app.adjust.com                                           178.162.216.179         443     DE     Adjust
      V3        ber01s08-in-f234.1e100.net                               172.217.17.234          443     US     Google API
      V4        e2a.google.com                                           216.239.32.116          443     US     Google API
      V5        fra15s12-in-f42.1e100.net                                216.58.208.42           443     US     Google API
      V6        fra16s25-in-f3.1e100.net                                 216.58.207.42           443     US     Google API

4.4   Analyse Datenverkehr
      In diesem Unterkapitel werden die Datenpakete aufgeschlüsselt, die während des Testlaufes von der
      Applikation an Server und umgekehrt versendet wurden. Der Wert der Übertragung wird ebenfalls in der
      Sicherheitsmatrix dargestellt.

      Fund                       Richtung             Krypto   IP                     Port   Dienstanbieter      Nötig      Wert

      Keine Funde                -                       -     -                      -      -                   -

                                 © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 13
4.5   Auszug Datenübertragungsprotokoll

      P1    Keine Funde                   -                           -                                   -

5     Anhang
      Kein Anhang vorhanden.

                               © 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 14
Sie können auch lesen
Nächste folie ... Stornieren