Success Stories

Lösen von Sicherheitsproblemen auf der Architekturebene für eine weltweit tätige Versicherungsgesellschaft

Tätigkeit: Wir analysierten ein e-Business Framework aus der Perspektive von Applikationsangriffen. Dabei entdeckten wir einige Sicherheitslücken, die es einem Angreifer ermöglicht hätten, Passwörter und andere persönliche Informationen von legitimen Benutzern zu stehlen. Basierend auf Entwurfsmustern wurde das Problem elegant behoben ohne größeren Aufwand auf der Applikationsebene zu erfordern. Zudem fanden wir einige Applikationen, deren Datenbank-Routinen für SQL-Injection anfällig waren. Die verantwortlichen Projektleiter wurden informiert und die Applikationen in Einklang mit dem Framework gebracht.

Customer Value: Sicherheit auf einer übergeordneten Ebene, wo sie einfach zu verwalten ist und so zu geringeren Kosten und Risiken für zukünftige Projekte führt.

Höchste Sicherheit für ein Single-Sign-On System eines großen Bankhauses

Tätigkeit: Das System stellte SSO-Funktionalitäten für Internet- sowie Intranet-Benutzer bereit und befand sich bereits in der abschließenden Design-Phase. Glücklicherweise gelang es uns, zwei gravierende Sicherheitsprobleme zu identifizieren, die es internen Benutzern ermöglicht hätten, sich gegenseitig die Passwörter zu stehlen. Da eines der Systeme dazu verwendet wurde, große Summen zwischen Banken zu transferieren, war ein Höchstmaß an Sicherheit erforderlich. Des Weiteren war eine spezielle Lösung für die Überprüfung von Sessions (Timeouts, zusätzliche Session-Identifier) notwendig, da die Applikation in ein Web-Portal integriert wurde. Wir entwarfen Korrekturmaßnahmen für mehrere solcher Probleme, die der Kunde dann selbst umsetzte.

Customer Value: Extrem starke Sicherheitsmechanismen bieten zusätzlichen Schutz für kritische Applikationen, während die Architektur eine einfache Integration mit der bestehenden Infrastruktur erlaubt. Dies bedeutet reduzierten Entwicklungsaufwand bei gleichzeitig erhöhter Sicherheit.

Entwicklungsprozess für einen internationalen Telekommunikationsanbieter

Tätigkeit: Der Anbieter entwickelte ein hochintegriertes System für seine Geschäftsprozesse, basierend auf einem Enterprise Service Bus. Wir stellten Sicherheitsexperten zur Verfügung, die den Entwicklungsprozess begleiteten und die Sicherheit des Systems überprüften. Dabei untersuchten wir die Infrastruktur auf Sicherheitslücken, wodurch zahlreiche Probleme rechtzeitig aufgedeckt und in frühen Phasen des Projekts korrigiert werden konnten. Auf Grund der Größe des Projektes (einige hundert Mannjahre Entwicklungszeit) ergaben sich für den Kunden ernorme Kosteneinsparungen. Letztendlich stellten wir Hardening-Richtlinien für die diversen Komponenten (Bea WebLogic, JBoss, TIBCO, etc.) der Infrastruktur bereit.

Customer Value: Ein sicherer Entwicklungslebenszyklus ist etabliert. Enorme Kosteneinsparungen dank der frühen Erkennung von Problemen. Infrastrukturkomponenten sind korrekt abgesichert.

Satz von Sicherheitsseminaren für ein Versicherungsunternehmen

Tätigkeit: Wir erstellten eine vollständige Seminarreihe, die Entwickler durch alle Themenbereiche der Sicherheit führte. Diese Seminare waren mit unterstützenden Maßnahmen gekoppelt, die es Managern und Architekten ermöglichen die Sicherheit ihrer Applikationen während der Entwicklungsphase zu überprüfen.

Customer Value: Manager sind nun "sicherheitsbewusst". Entwickler wissen wie man sichere Applikationen schreibt. Ein Prozess ist etabliert, der sichere Entwicklung gewährleistet.

Neue Sicherheitsrichtlinien für einen globalen Finanzdienstleister

Tätigkeit: Existierende Web-Applikationen und Infrastruktur wurden rigorosen Penetrationstests auf Anwendungsebene unterzogen. Die zahlreichen aufgedeckten Probleme deuteten alle auf einen Mangel an klaren Sicherheitsrichtlinien für Anwendungsentwicklung. Nachdem wir die Sicherheitslücken demonstriert und korrigiert hatten, erstellten wir gemeinsam mit der Entwicklungs- und Sicherheitsabteilung eine Sicherheitsrichtlinie für Anwendungsentwicklung ("Application Security Policy").

Customer Value: Der Penetrationstest verdeutlichte, wie weit die Organisation von auch nur einem moderatem Maß an Sicherheit entfernt war. Diese Erkenntnis führte zur Erstellung von strategischen Dokumenten in Form von Richtlinien. Sowohl für Entwickler als auch Sicherheitsbeauftragte ist die Klarheit, die diese Dokumente bringen, von größtem Nutzen. Ihre Zusammenarbeit gestaltet sich nun einfacher, da sie auf einem gemeinsamen Verständnis basiert.