High Priority: brandbox 5 und die Systemsicherheit

Zertifizierte Sicherheit

Die Absicherung eingesetzter IT-Infrastruktur gegen Angriffe von außen ist eine der großen Herausforderungen für Unternehmen – die Erwartungen der jeweiligen Kunden sind heute zu Recht hoch. Mit Entwicklung der brandbox 5 professionalisierten wir unseren Umgang mit diesem Thema weiter.

Neben einer technischen Weiterbildung der Entwickler durch externe Experten wurden auch Vertrieb und Projektleitung sensibilisiert, um bei Anfragen und in Konzeptbesprechungen die Datensicherheit angemessen zu berücksichtigen – mancher Wunsch an die Funktionalität der Software stößt (unbeabsichtigt) an die Grenze der rechtlichen Rahmenbedingungen für die Datensicherheit, was vermieden, zumindest aber bewusst gemacht werden sollte.

Um eine größtmögliche technische Sicherheit für brandbox 5 und die darin enthaltenen Kundendaten gewährleisten zu können, haben wir 2018 einen anerkannten Sicherheitsdienstleister beauftragt, brandbox 5 unter den Gesichtspunkten

  • Vertraulichkeit der Kundendaten
  • Integrität der Kommunikation mit dem System und
  • Verfügbarkeit

einem invasiv und aggressiv ausgeführten Penetrationstest zu unterziehen. Er fand nach Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Verlauf eines Jahres mehrfach statt.

Die gute Nachricht für unsere Produktentwickler: Sie waren von Beginn an auf dem richtigen Weg. Die Testergebnisse zeigten dennoch, dass an einigen Stellen nachgebessert werden sollte. Die Erkenntnisse wurden mit Unterstützung des Sicherheitsdienstleisters zeitnah auch in bereits installierten Systemen umgesetzt.

Am Ende stellte die aramido GmbH uns ein Zertifikat über die Sicherheitsprüfung aus: In brandbox 5.1 konnten keine Schwachstellen mit hohem oder kritischem Risiko festgestellt werden.

Eine Auszeichnung für unsere Produktentwicklung – aber kein Ruhekissen. Wie heißt es so treffend auf dem Zertifikat: Durch die Prüfung lässt sich das Vorhandensein von Schwachstellen aufdecken – nicht jedoch der Beweis ihrer Abwesenheit erbringen.

In diesem Sinne wird uns das Thema Datensicherheit weiter beschäftigen und wir werden auch künftige Versionen akribisch unter die Lupe nehmen (lassen).

Wenn Sie sich für weitere Details der Sicherheitsprüfung interessieren, stellt Ihnen Christoph Schmid weitere Informationen zur Verfügung.

Neueste Beiträge