Wie kann ein Unternehmen nachweisen, dass es sein Versprechen in Bezug auf Datensicherheit einhält? Ein von unabhängiger Stelle durchgeführter Pentest hat im Fall von Legacy Notes, dem Dienstleister für digitale Nachlassplanung, gezeigt, dass die Kundendaten in guten Händen sind.
Die bei Legacy Notes hinterlegten Daten könnten persönlicher nicht sein. Es handelt sich um Kundeninformationen in Form von vorsorge- und nachlassrelevanten Daten wie Vorsorgeauftrag und Patientenverfügung, Bankkonten und Versicherungen, soziale Netzwerke oder auch Bestattungswünsche. Sämtliche dieser Angaben und Anweisungen für den Nachlass liegen verschlüsselt an einem sicheren, zentralen Ort, sind auffindbar, jederzeit und von überall zugänglich und ggf. veränderbar. Sie können gezielt mit Angehörigen und sonstigen Vertrauenspersonen geteilt werden – entweder sofort oder erst nach dem Tod.
Freundliche Hacker am Werk
Bei einem gemeinsamen Kick-off-Meeting zwischen den Cyber-Security-Spezialisten von Terreactive und Legacy Notes wurden Ablauf und Umfang der anzuwendenden Tests für die öffentlich zugängliche Webapplikation definiert. Die Penetrationsversuche zielten darauf ab, mögliche Schwachstellen im System aufzuspüren und zu identifizieren. Es wurde berücksichtigt, dass sowohl potenzielle externe Angreifer als auch solche mit bestehender Kundenbeziehung versuchen, unerlaubt an fremde Daten zu gelangen. Parallel zu den Tests wurden die Ergebnisse sämtlicher Untersuchungsschritte analysiert und in einem Auditbericht dokumentiert.
Audit für Transparenz und Sicherheit
Nach Abschluss der Tests wurden in der Abschlussbesprechung Auditbericht und Projektresultate präsentiert. Mit einer Massnahmenempfehlung zur Behebung von Risiken wurde das Projekt abgeschlossen. «Der Pentest von Terreactive bestärkt uns in unserem zentralen Kundenversprechen: ‹Wir bieten Ihnen die Datensicherheit, die wir uns auch für unsere eigenen Daten auf Legacy Notes wünschen.›» – so Thomas Jaggi, Mitgründer und Geschäftsführer von Legacy Notes. Die Cyberkriminalität nimmt ständig zu und deren Vorgehensweise wird immer raffinierter. Sensible Kundendaten sind ein wertvolles, uns anvertrautes Gut und dürfen nicht in falsche Hände geraten. Gerade bei von extern zugänglichen Webapplikationen empfiehlt es sich daher, regelmässig wiederkehrende Audits einzuplanen. So werden in strukturierter Form Schwachstellen identifiziert und fortlaufend behoben. «Die langjährigen Geschäftsbeziehungen der Terreactive im Umfeld mit hochsensiblen Daten von Banken, Behörden und Versicherungen gaben uns das Vertrauen, auf den richtigen Partner für die Auditierung zu setzen», betont Thomas Jaggi.
Ein gutes Gefühl
Penetrationstests gelten als effizientes Werkzeug, um die Sicherheit von Applikationen zu durchleuchten und den Status quo zu hinterfragen. Im Falle von Legacy Notes herrscht nun die Gewissheit, dass sowohl bei der grundsätzlichen Architektur als auch bei der technischen Umsetzung die richtigen Entscheide getroffen wurden. Für die Kunden ist dies ein wichtiges Signal. Sicherheit versprechen ist einfach, Sicherheit liefern ist anspruchsvoll.
Zusatznutzen
- Im Zuge des Penetrationstests wurden noch weitere sicherheitsrelevante Fragen in Bezug auf Zugriffsregeln von Kunden und deren eingesetzte Stellvertreter geklärt.
- Eine weitere positive Folgeerscheinung eines Audits ist die gesteigerte Security-Awareness bei Mitarbeitenden.
- Die Einbettung der Onlinezahlung muss möglichst nahe an der Applikation bleiben, damit kein Zweifel an der Vertrauenswürdigkeit aufkommt. Gleichzeitig muss sie aber gut isoliert werden, um Angriffe über den Zahlungsdienstleister auszuschliessen. Beim Projektabschluss wurden Varianten besprochen, wie diese Anforderung umgesetzt werden kann.
Vorgehensweise Penetrationstest
Terreactive setzt unter anderem auf Application Security Verification Standard (ASVS) gemäss Open Web Application Security Project (OWASP). Der ASVS ist eine Sammlung von etablierten Best Practices für die sichere Implementation von Webapplikationen. Die Überprüfung kategorisiert die Umsetzung der Best Practices am Untersuchungsgegenstand in:
- Erfüllt oder nicht erfüllt.
- Nicht anwendbar, z. B. wenn die zu prüfende Funktionalität gar nicht vorhanden ist.
- Nicht prüfbar, z. B. wenn einzelne Themen von Beginn an vom Prüfumfang ausgeschlossen wurden.
Legacy Notes ist der persönliche, sichere und unabhängige Begleiter für die digitale Nachlassplanung. Legacy Notes erleichtert die administrative Arbeit und unterstützt die Liebsten, wenn man selber dazu nicht mehr in der Lage ist. Man kann auf einfache Art den Nachlass regeln, wichtige Daten sichern und die Handhabung seiner digitalen Accounts bestimmen. Die Vision: Kein Mensch verlässt diese Welt, ohne alles für seine Liebsten geregelt zu haben. ■
terreActive AG, CH-5001 Aarau
✆ +41 (0)62 834 00 55
