Penetrationstest
TzR Praxis-Plattform

🔒 Sicherheitsaudit Juni 2026

Die TzR Praxis-Plattform wurde am 21. Juni 2026 einem professionellen Penetrationstest unterzogen — nach abgeschlossener Neuentwicklung und noch vor dem ersten Einsatz mit realen Patientendaten. Ergebnis: keine kritischen oder hohen Schwachstellen. Alle identifizierten Verbesserungspunkte wurden unmittelbar behoben.

Was wurde geprüft

• Login-Seite & Session-Management
• Datei-Browser & Upload-Funktion
• CalDAV-Server & Kalender-Zugriff
• Online-Terminvergabe (öffentlicher Bereich)
• Mandanten-Isolation (Zugriff auf fremde Daten)
• TLS-Konfiguration & HTTP-Sicherheitsheader

Bestätigte Sicherheitsmaßnahmen

• ✅ CSRF-Schutz auf allen schreibenden Endpunkten
• ✅ Brute-Force-Schutz (Rate-Limiting) auf Login & CalDAV
• ✅ Session-Invalidierung bei Logout (alle Geräte gleichzeitig)
• ✅ Pfad-Traversal-Schutz im Datei-Browser
• ✅ Strikte Mandanten-Isolation auf Container-Ebene
• ✅ TLS 1.2/1.3, HSTS, starke Cipher-Suites
• ✅ bcrypt-Passwort-Hashing (Work-Factor 12)
• ✅ Keine Versions-Informationen in Server-Headern
• ✅ Content-Security-Policy, X-Frame-Options, nosniff
• ✅ API-Dokumentation vollständig deaktiviert
• ✅ Timing-sicherer Credential-Vergleich
• ✅ Race-Condition-Schutz bei Terminbuchung

Identifizierte Verbesserungspunkte

ID	Schwere	Beschreibung	Status
M-01	Mittel	Rate-Limit-Bypass via IP-Spoofing (nur ohne Reverse Proxy)	✓ Behoben
M-02	Mittel	Benutzernamen-Enumeration über Terminvergabe-URL	✓ Behoben
M-03	Mittel	Fehlende Datei-Extension-Prüfung beim Upload	✓ Behoben
L-01	Niedrig	Ungültiger Dateiname verursachte HTTP 500 statt HTTP 400	✓ Behoben
L-02	Niedrig	Kein CSRF-Schutz auf öffentlichem Buchungsformular	✓ Behoben
I-01	Info	Fehlende nginx-Konfiguration für zweiten Mandanten	✓ Behoben
I-02	Info	Konfigurationsdatei mit zu offenen Dateiberechtigungen	✓ Behoben

Geprüft am 21. Juni 2026 · Vor erstem Produktiveinsatz · Vollständiger Bericht auf Anfrage erhältlich · Nächste Prüfung: nach wesentlichen Änderungen oder spätestens 2027