Im vergangenen Jahr haben mehrere Personen versucht, in die Systeme von Minddistrict einzudringen. Bösartige Hacker? Nein: Es waren Datenschutzexperten, die unsere Systeme auf der Suche nach Sicherheitslücken und Programmfehlern gründlich durchleuchtet haben.
"Die beauftragten Angreifer sollten versuchen, von außen und ohne Autorisierung auf die Minddistrict-Plattform zuzugreifen, was ihnen nicht gelungen ist. Neben diesen sogenannten Black-Box-Penetrationstests fanden White-Box-Tests statt, bei denen man vollständigen Zugang zum Quellcode der Anwendungen hatte", berichtet Sil Westerveld, Spezialist für Datensicherheit bei Minddistrict.
Wenn man seine Sache richtig macht, merken die Nutzer davon gar nichts
"Die externen Fachleute haben die Plattform auf Schwachstellen analysiert. Auf diese Weise konnte man die größtmögliche Zahl von Sicherheitslücken und Programmfehlern aufspüren."
"Webanwendung gut, Firewall hervorragend"
Das Ergebnis: Die Sicherheit war kaum gefährdet. Die geprüften Komponenten des Systems - mobile Apps, die Webanwendung samt API und die Firewalls - wurden mit 5/7 benotet, also mit "gut". Bei dem binnen 90 Tagen durchgeführten Nachtest wurden die Webanwendungen sogar mit 6/7 und die Firewalls mit 7/7 ("hervorragend") bewertet. Alle Bereiche hatten sich verbessert, so das Fazit der Firma NCC Group. "Das Sicherheitsniveau ist höher als bei den meisten anderen Anbietern in dem Marktsegment, in dem Minddistrict aktiv ist", so das abschließende Urteil.
Die Webanwendungen wurde mit 6/7 und die Firewalls mit 7/7 ("hervorragend") bewertet
Während die meisten der in dem Bericht erwähnten Mankos sofort beseitigt wurden, gab es auch einige Verbesserungspunkte, für die man etwas mehr Zeit benötigte. Diese Verbesserungen werden in Kürze präsentiert, so dass auch unsere Webanwendung und die API auf dem Niveau von 7/7 liegen werden. Sicherheitstests dieser Art lässt Minddistrict in regelmäßigen Abständen durchführen; beim nächsten Durchlauf wird dieser Punkt also erneut untersucht.
Sicherheitsfachmann Westerveld erläutert die guten Ergebnisse der Firewalls beim Nachtest. "Wir haben die Einstellungen weiter verfeinert. Dabei müssen nicht nur die eingehenden Daten Schranken passieren, sondern es werden auch die Daten, die unsere Plattform verlassen, streng überwacht."
Optimale Sicherheit bedarf strikter Regeln
Warum ist das so wichtig? "Von unserer Plattform aus lässt sich nicht jeder Internetserver erreichen. Das ist streng, für eine optimale Sicherheit jedoch notwendig. Denn würde ein Hacker im System eine Schwachstelle entdecken, dann könnte er diese beispielsweise ausnutzen, indem er einen Schadcode auf unsere Systeme herunterlädt oder unsere Daten an seinen eigenen Rechner verschickt."
Minddistricts Firewalls sind so gut konfiguriert, dass sie Militärnormen entsprechen
Darüber hinaus haben wir unter anderem eine Feinabstimmung der VPN-Verbindungen zu unseren Kunden vorgenommen, damit für die Verschlüsselung der Verbindungen keine veraltete Schutztechnik mehr zum Einsatz kommt. Bei telefonischen Nachbesprechungen mit NCC Group wurde uns gesagt, dass unsere Firewalls so gut konfiguriert sind, dass sie Militärnormen entsprechen; sie sind von einer Präzision, die man selbst bei NCC Group nicht oft sieht.
Eingebaute Sicherheit
"Schon beim Entwurf unserer Plattform haben wir die Sicherheit ständig im Blick: Wir nennen das security by design, eingebaute Sicherheit", so Westerveld. Er fühlt sich nicht nur für den Schutz des Systems verantwortlich, sondern auch für die Sicherheit der Nutzer. Denn diese müssen sich blind darauf verlassen können, dass unser System ausschließlich mit dem bestmöglichen Schutz betrieben wird.
Unsere Nutzer müssen sich blind darauf verlassen können, dass unser System ausschließlich mit dem bestmöglichen Schutz betrieben wird
Und wie reagieren diese Nutzer? Westerveld lächelt. "Wenn man seine Sache richtig macht, merken die Nutzer davon gar nichts. Und das ist auch gut so."
Mehr erfahren?
Möchten Sie die Minddistrict Plattform kennenlernen? Dann kontaktieren Sie uns.