Mit kompetenter IT-Sicherheit zu mehr Qualität
Geben Sie Ihren Kund*innen die Sicherheit gut geschützter Daten. Das Internet lebt von der Bewegung und dem Austausch von Informationen. Zum einen von den öffentlich zugänglichen, die das Netz zu einer schier unerschöpflichen Quelle machen. Zum anderen von den Daten, die geheim ausgetauscht werden sollen und nur von autorisierten Personen und Systemen eingesehen und verwendet werden dürfen. Diesen Daten muss ein besonderer Schutz gelten. Hierauf müssen E-Commerce-Unternehmen, Dienstleister und auch die öffentliche Verwaltung ihr besonderes Augenmerk legen.
Wir können den automatisierten Datenaustausch zwischen verschiedensten Systemen sicherlich als das Rückgrat des Connected Commerce bezeichnen. Als eine der führenden deutschen E-Commerce-Agenturen sehen wir es daher als unsere Verpflichtung an, dass die implementierten Geschäftsprozesse in den Anwendungen unserer Kunden korrekt, zuverlässig und performant funktionieren. Selbstverständlich gehört dazu auch die Sicherheit und Zuverlässigkeit der Prozesse, der Implementierung und der ausführenden Systeme.
Sind wir der wachsenden Cyber-Kriminalität machtlos ausgeliefert?
Die Erfolgsgeschichte des Internets basiert auf seinen wichtigsten Eigenschaften als heterogenes, offenes und kollaboratives Netzwerk. Jeder, 2022 waren das ca. 5,3 Millarden Menschen, kann am Internet partizipieren – sowohl aktiv als auch passiv. Die genannten Eigenschaften bringen aber auch intrinsische Sicherheitsrisiken mit sich, die nicht ignoriert werden dürfen.
Wir beobachten in den letzten Jahren ein exponentielles Wachstum der Schäden durch Cyber-Kriminalität. Dieses Phänomen beruht darauf, dass das Internet seit geraumer Zeit die zentrale Kommunikations- und Geschäftsplattform der ganzen Welt geworden ist. Kriminelle finden heutzutage im Netz unendlich viele gewinnversprechende Ziele. Dem gegenüber steht die Art und Weise wie das Thema Sicherheit von Marketers, Anwendungsentwicklern, -betreibern etc. bisher behandelt wurde. Sicherheit muss als ein projekt-begleitendes Thema behandelt werden – sozusagen von der Wiege bis zur Bahre. Diese Einsicht setzt sich erst langsam, vielleicht zu langsam, bei den Beteiligten durch.
„Der Qualitätsaspekt Sicherheit gehört bei der Planung, der Entwicklung und dem Betrieb von Internet-Anwendungen untrennbar zu jedem einzelnen Projektschritt dazu. Sicherheit muss immer “mitgedacht” und kann nicht am Projektende übergestülpt werden."
Sven Scheil, Chief of Application Security and Code Quality
Ein kompetentes Team für alle Sicherheitsfragen
Auf Basis unserer langjährigen Erfahrung als Internet-Agentur, haben wir uns vor mehr als zwölf Jahren entschieden, ein dediziertes Team zu etablieren, das mit ausgewiesenen Expert*innen sowohl für Softwarequalität und -sicherheit als auch für Datenschutz und -sicherheit besetzt ist. Jedes unserer Projektteams kann auf die Expertise dieses Teams zugreifen und natürlich bieten wir diese auch als individuelle Dienstleistungen an.
Unsere Expert*innen entwickeln Qualitätsstandards für die Entwicklung von Web-Anwendungen, schulen Kund*innen und Kolleg*innen zu Sicherheitsthemen, führen Penetration Tests, Security-Audits, Performance- und Stresstests und vieles mehr durch.
hmmh legt daher größten Wert auf die kontinuierliche Weiterentwicklung seiner Expert*innen im Thema Security Awareness. Die Schulungen sind speziell auf die Bedürfnisse der einzelnen Projektrollen zugeschnitten und basieren auf den realen bzw. aktuellen Entwicklungen des Internets und des Cybercrimes.
Eine Videoreihe für mehr Sicherheit
Unter dem Motto "talking about: Secure Commerce" geben wir Ihnen einen spannenden Einblick in brisante Themen, wie Identitätsdiebstahl, Credit Card Skimming, den EU Cyber Resilience Act, Cybercrime Businessmodelle und die Suche nach 100-prozentiger Sicherheit in IT-Projekten. In den Gesprächen zwischen Gerd Güldenast, Managing Partner, und Sven Scheil, Chief of Application Security and Code Quality, erfahren Sie, wie diese Sicherheitsrisiken funktionieren und welche Auswirkungen sie auf Unternehmen und Kunden haben können. Ziel ist es, Sie über die neuesten Sicherheitsherausforderungen im E-Commerce zu informieren und die notwendigen Kenntnisse und Werkzeuge zur Verfügung zu stellen, um Projekte optimal zu schützen. Wir sind uns bewusst, dass die Sicherheit sensibler Daten oberste Priorität hat. Viel Spaß beim Reinschauen.
Unsere Sicherheitsleistungen für Ihre Projekte
Verschiedene Länder, u.a. auch die EU, haben rechtliche Rahmenbedingungen (z.B. DSGVO, Cyber Resilience Act, KRITIS, Executive Order on Improving the Nation’s Cybersecurity) für Software-Anwendungen und Online-Services geschaffen oder stehen kurz davor. Diese Gesetze und Verordnungen haben das Ziel, die Entwicklung, den Betrieb und die Nutzung von (Online-)Anwendungen zukünftig deutlich sicherer zu machen. Diese Rahmenbedingungen beeinflussen immer stärker auch die Art und Weise, wie Software entwickelt und Anwendungen betrieben werden müssen. Für hmmh ist es selbstverständlich, dass wir unsere Prozesse in der Softwareentwicklung stets entsprechend diesen Rahmenbedingungen anpassen bzw. darüber hinaus noch zusätzliche Maßnahmen ergreifen, um Sicherheit und Zuverlässigkeit zu gewährleisten. Diese Leistungen bieten wir Ihnen aber auch unabhängig von einem Projekt mit uns an.
Web Application Security Test (WAST)
Ein WAST ist ein spezieller Penetrationtest, mit dessen Hilfe in einer laufenden Web-Anwendung nach Schwachstellen, beispielsweise entsprechend der OWASP-Top-Ten-Liste, gesucht wird. Der Test simuliert das Vorgehen eines Angreifers und ist daher sehr realitätsnah – man spricht hierbei auch von einem dynamischen Sicherheitstest (DAST). Der Web Application Security Test ist mehrstufig aufgebaut und nutzt automatisierte und manuelle Testverfahren. Durchgeführt wird der WAST von einem zertifizierten Ethical Hacker.
Zu Beginn wird mit einem automatisierten Testwerkzeug getestet, das in der Lage ist, in kurzer Zeit eine sehr große Zahl bekannter Schwachstellen-Angriffsmuster zur Web-Anwendung zu senden und deren Antworten zu analysieren. Im zweiten Schritt werden diese Erkenntnisse manuell verifiziert, bewertet und in Tickets dokumentiert. Damit können wir die Anzahl der sog. False-Positives Treffer stark reduzieren und gehen viel stärker in Tiefe, als es mit einem rein automatisierten Test möglich wäre. Am Ende des Tests liegt ein Report des automischen Testtools im PDF-Format vor, eine individuelle Zusammenfassung mit einer kurzen Risikoeinschätzung und einzelne Tickets, in denen jeder Treffer priorisiert, bewertet und mit Hinweisen zur Mitigation dokumentiert ist. Außerdem stellen wir Ihnen im Anschluss an den WAST das Ergebnis detailliert in einer Videokonferenz vor.
Schulung “Security im E-Commerce”
Der beste Schutz gegen Sicherheitsbedrohungen ist Wissen. Von der ersten Projektidee bis hin zur laufenden Web-Anwendung, von der Produktdatenpflege bis zur Bestellbestätigung, spielt das Thema Sicherheit eine entscheidende Rolle im eCommerce. Unsere Spezialisten helfen ihnen dabei, das Wissensfundament zu schaffen, um Ihre E-Commerce-Prozesse und -Plattformen sicher planen, realisieren und betreiben zu können. Dazu bieten wir Schulungen an, die Sie sich aus verschiedenen Modulen selbst zusammenstellen können. Einige Beispiele der Themen-Module sind:
- Grundlagen der IT-Security
- Allgemeingültige Sicherheitsprinzipien
- Praktische Anwendungen dieser Prinzipien
- Hintergründe aktueller Sicherheitsvorfälle aus den Medien
- Warum sind Web-Anwendungen scheinbar so unsicher?
- Wie kann ich die Sicherheit meines Dienstleisters beurteilen?
- Grundlagen des Secure Codings
Individuelle Beratung: „Standards und Sicherheit in Ihrem Projekt“
Sicherheit im eCommerce ist ein sehr breites Thema, das in einem größeren eCommerce-Projekt zumeist nur sehr punktuell betrachtet wird – oft erst kurz vor dem Live-Gang oder erst, was schlimmer ist, wenn ein Sicherheitsvorfall eingetreten ist. Für uns dagegen spielt Sicherheit von Anfang an eine entscheidende Rolle. Unsere Software-Entwicklung basiert auf sicherheitsrelevanten Standards und Regeln. Diese entstammen der langjährigen Erfahrung von hmmh in der Softwareindustrie und orientieren sich an De-Facto-Standards wie beispielsweise der OWASP-Top-Ten-Liste oder auch den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zur klassischen Industrie, gibt es in der Softwareindustrie keine DIN für „sichere und gute“ Software. hmmh hat die langjährige Erfahrung seiner Expert*innen dokumentiert bzw. standardisiert und zur Grundlage seiner Softwareentwicklung gemacht. Wir sind der Meinung, dass nur dort, wo es einen Standard gibt, dagegen gearbeitet werden kann. Und nur gegen einen Standard kann getestet werden und nur mit Hilfe eines Standards kann gleichbleibend hohe Qualität erreicht werden.
Wir bieten Ihnen unsere Expertise auf Basis dieser Standards als projektbegleitende Beratung an. So könnte ein Szenario beispielsweise folgendermaßen aussehen: Sie planen eine Web-Applikation und möchten, dass ihr Implementierungsdienstleister einen bestimmten Qualitätsstandard (Sicherheit, Wartbarkeit und Zuverlässigkeit) einhält. Dabei wissen Sie aber nicht, wie Sie das machen sollen? Wir können Ihnen helfen, diesen Standard zu definieren und dessen Einhaltung über den Projektverlauf zu prüfen.
„Nur wenn wir es nachhaltig schaffen, allen Nutzenden im Internet ein sicheres Gefühl zu vermitteln und Vertrauen zu schaffen, können digitale Anwendungen weiterhin erfolgreich sein. Hier müssen seriöse und ehrliche Protagonisten die Oberhand behalten. Dies können wir konzeptionell und technisch unterstützen."
Gerd Güldenast, Managing Partner
Fazit: Behalten Sie Ihre Sicherheit im Blick
Wir empfehlen Web-Application-Security Tests regelmäßig für jede Web-Anwendung durchzuführen. „Das Internet“ ist ein hochkomplexes System und Web-Anwendungen bestehen aus tausenden Komponenten – Sicherheitsexpert*innen weltweit entdecken und melden täglich neue Schwachstellen. Den Risiken dieser sich permanent verändernden Rahmenbedingungen kann nur durch folgende Maßnahmen begegnet werden:
- einem professionellen und sicheren Software Development Lifecycle (SSDLC)
- dem kontinuierliches Monitoring des Betriebs
- häufige und regelmäßige Security Tests
- einem gut geschulten und aufmerksamem Team
- der Einhaltung klar definierter Standards
Sprechen Sie uns an – wir freuen uns, gemeinsam mit Ihnen, die Sicherheit Ihrer Web-Präsenzen auf das nächste Level zu bringen.
Lassen Sie sich beraten
Kontaktformular
Schicken Sie uns einfach Ihre Kontaktdaten und wir setzen uns mit Ihnen in Verbindung.
Ihr Ansprechpartner
Sie haben Interesse oder offene Fragen? Ich freue mich, von Ihnen zu hören.
Sven Scheil
Chief of Application Security and Code Quality