Sicherheitsprobleme bei Softwarefirmen? Vanillaplan schützt seine Kunden!

Ingrid Stalder
da Ingrid Stalder Customer Success 15.10.2020

In den letzten Tagen konnte man in der Presse von massiven Sicherheitsproblemen bei einigen grossen Software Firmen lesen. Nicht so bei Vanillaplan. Denn wir tun alles notwendige für unsere Kunden, damit unsere Software möglichst immer sicher ist und bleibt. Hierzu gehören unsere regelmässigen Sicherheitschecks durch einen ausgewiesenen externen Sicherheitsexperten. Wer das ist und was er genau tut, können Sie in diesem Bericht lesen. Und übrigens: fragen Sie doch einmal Ihren Softwareanbieter, was er für Ihre Sicherheit tut. Viel Vergnügen beim Weiterlesen…

Remigius Stalder ist unserem Sicherheitsexperten Christian Schneider zum ersten Mal im Jahr 2018 anlässlich seines Vortrags über Sicherheit in der IT und Cloud an der Fachtagung JavaLand begegnet. Die Präsentation war dermassen interessant, dass Remi Christian gleich im Anschluss kennen lernen wollte. Denn diese Themen werden immer wichtiger und Remi Stalder wollte für unsere Software Vanillaplan möglichst rasch die höchsten Sicherheitsansprüche einführen.

Christian Schneider ist ein ausgewiesener Sicherheitsexperte und -Trainer mit jahrelanger Erfahrung in IT Sicherheit und Hackerangriffen auf IT-Systeme. 1997 startete er seine erfolgreiche Karriere als freiarbeitender Software Entwickler und wechselte im 2005 seinen Fokus auf die IT Sicherheit. Als Trainer leitet er Trainings in Computersicherheit bei Kunden oder auch online. Es bereitet ihm Freude, für Entwickler von IT-Projekten alle möglichen Arten von Sicherheitsaspekten schon in den Entwicklungsprozess einfliessen zu lassen. Aber noch lieber als nur über Sicherheitsthemen zu referieren, führt Christian regelmässig offene Trainings vor Publikum an wichtigen nationalen und internationalen Konferenzen vor.
Seine Mission lautet: besser Sicherheit schon während der Entwicklung von Software miteinbeziehen und im Team Sicherheit als Kultur fördern, als im Nachhinein. Sein Anspruch und seine Philosophie sind es, einfache Lösungen für komplexe Probleme zu finden und dieses Wissen zu teilen.
Eine wichtige Massnahme für die Sicherheit in der IT und Cloud ist zum Beispiel ein «Application Pentest». Da verwandelt sich Christian zu einem Hacker mit weissem Hut und führt mit spezialisierten Sicherheitstestprogrammen reale Angriffe von aussen auf das System durch. Dabei wird ein Protokoll geführt, in dem alle gefundenen Lücken erfasst werden. Im Nachgang werden die Resultate mit den Entwicklern besprochen und Christian zeigt Schritt für Schritt Lösungen zum Schliessen der Sicherheitslücken auf.

In letzter Zeit hat Christian ein eigenständiges Werkzeug namens «threagile» zur agilen Modellierung von Bedrohungsszenarien entwickelt, welches auf reges Interesse stösst. Eine Analyse mit diesem Tool ist die Basis für die Behandlung der Sicherheitsrisiken aufgrund eines detaillierten Berichts, welcher diese anhand der Schwere ihrer Auswirkungen priorisiert.

Seit 2018 wird unsere Applikation Vanillaplan von Christian Schneider regelmässig getestet. Zuerst wird ein individuelles Bedrohungsszenario aufgesetzt. Dann wird die Architektur der Software geprüft und zuletzt erfolgt der Penetration Test. Zu jedem Test wird ein Protokoll erstellt und die Auswertungen werden im Detail besprochen. Dadurch entsteht auch ein Lerneffekt und unsere Entwickler werden auf Schwachstellen sensibilisiert, so dass sie schon während dem Programmieren die wichtigsten Sicherheitslücken vermeiden können.

An dieser Stelle ein herzliches Dankeschön für die gute Zusammenarbeit und die Unterstützung.

https://christian-schneider.net/

https://threagile.io/