Digitalisierung und Cyber-Security


Bellicon

bellicon ist führender Hersteller von hochwertigen Minitrampolinen und vertreibt diese weltweit. Neu wird eine Videoplattform namens bellicon Home angeboten. Dort bringen Workout-Videos von virtuellen Trainern die Abonnenten ins Schwitzen. Die Plattform wächst stark und bietet grosses Potenzial für bellicon. Die Lösung wurde durch einen externen Entwicklungsdienstleister entwickelt. bellicon hat früh erkannt, dass Themen wie Verfügbarkeit und Schutz der Daten für den Erfolg der Plattform zentral sind.



Um die Sicherheit der Online-Plattform zu garantieren, wurde Redguard beauftragt einen Penetration Test und ein Source Code Review dieser durchzuführen.

Die bellicon Home GmbH (bellicon) ist ein KMU aus Luzern mit grossem Potenzial. Sie produziert hochwertige Minitrampoline – für Zuhause oder am Arbeitsplatz, für Fitness, Ausdauer und Gesundheit. Die Digitalisierung ist für bellicon ein wichtiges Thema. Darum betreiben sie eine Trainings-Plattform: Abonnenten können auf «bellicon Home» Trainingsvideos schauen, sich vom virtuellen Trainer coachen lassen und individuelle Fitnesspläne erstellen. Der Abo-Service ist ein komplett neues und vielversprechendes Geschäftsfeld für bellicon.

Neue Geschäftsfelder, neue Cyber-Risiken

bellicon wird immer mehr von der Produkt- zur Dienstleistungsfirma. Die Plattform hat bereits eine grosse Benutzerbasis, weshalb Informationssicherheit immer wichtiger wird: Der bezahlte Service muss rund um die Uhr verfügbar sein und der Schutz der Benutzerdaten wie Name, Gewicht und Trainingsplan ist zentral. Gemäss Alexander van’t Wout, CEO von bellicon, ist die Plattform auch strategisch wichtig für die Firma. Deshalb ist es für ihn wichtig, das Thema Security frühzeitig zu adressieren.

Video-Plattform unter der Lupe

Welche Schwachstellen hat die Video-Plattform? bellicon wollte Klarheit und hat darum von Redguard einen Penetration Test sowie einen Source Code Review durchführen lassen. Nachdem sich die Security Tester von Redguard einen Überblick über die Plattform verschafft hatten, wurde nach sicherheitsrelevanten Schwachstellen in den verschiedenen Bereichen gesucht. Dies deckte Benutzerbereiche wie Login-Masken, Registration, Trainings- und Profileinstellungen, aber auch für den Kunden unsichtbare Bereiche wie Admin-Panels und externe Schnittstellen ab. Anschliessend konnten mit diesem Wissen sicherheitsrelevante Bereiche im Source Code effizienter identifiziert und entsprechend geprüft werden.

4-Augen Penetration Test

Im Kick-off-Meeting zwischen bellicon und Redguard wurde der Umfang für den Penetration Test definiert. Anschliessend haben zwei Security Tester den Penetration Test remote von Redguards Räumlichkeiten aus durchgeführt. Penetration Tests werden bei Redguard jeweils von mindestens zwei Security Testern durchgeführt. Das Vier-Augenprinzip stellt sicher, dass nichts vergessen wird und das Fachwissen mehrerer Security Tester optimal kombiniert werden kann.

Detaillierte Einschätzung der Risiken

Die Resultate aus den Tests wurden in einem Report aufgenommen. Jedes Risiko wurde dabei basierend auf dessen Eintrittswahrscheinlichkeit und Schadensausmass eingestuft und zwar spezifisch auf den Business-Case von bellicon bezogen. Redguard gab zudem, basierend auf eigenen Erfahrungen, eine Einschätzung ab, mit wie viel Aufwand die Behebung der Schwachstelle verbunden ist, um eine optimale Priorisierung zu ermöglichen. Die im Report gesammelten Inhalte wurden kurz darauf in einer Präsentation beim Kunden vor Ort im Detail erläutert und besprochen.

Massnahmen mit hohem Security-Plus

Die Erkenntnisse aus dem Penetration Test und Code Review zeigten, welche Schwachstellen am kritischsten waren und mit welchen Massnahmen bellicon das grösste Security-Plus erreichen konnte. Mit dem Report als Basis konnte bellicon die Informationssicherheit mit ihrem externen Entwicklungsdienstleister gezielt anpacken.

“Der Rundum-Check der Plattform durch Redguard war für uns sehr wertvoll und hat sich definitiv gelohnt. Die gewonnene Klarheit und Gewissheit lässt mich ruhiger schlafen.” Alexander van’t Wout, CEO bellicon Home GmbH

Richtiger Umgang mit Risiken

bellicon ist ein Paradebeispiel dafür, dass sich die frühzeitige Investition in Informationssicherheit für KMUs lohnt. Informationssicherheit wird im Rahmen der Digitalisierung für Unternehmen vermehrt zum geschäftskritischen Faktor. Das Bewusstsein für vorhandene Cyber-Risiken ist essenziell – so kann das neue Geschäftsfeld erfolgreich und zugleich sicher aufgebaut werden.


< zurück