Die rhyno solutions GmbH (rhyno) hat sich auf SAP Technology Consulting, Conversational Business Solutions und Expense Simplification spezialisiert. Eine der Lösungen, welche rhyno anbietet, ist das Spesentool Edi. Dieses Tool ermöglicht Mitarbeitenden, ihre Spesen per mobiler App oder Web Applikation zu erfassen. Da bei der Erfassung von Spesen sensitive Informationen verarbeitet werden, ist die Sicherheit dieser Daten in jedem Schritt der Entwicklung ein wichtiger Faktor. Um die Vertraulichkeit und Integrität der Daten zu gewährleisten, hat rhyno Reduard beauftragt, einen Penetration Test des Spesentools Edi durchzuführen.

Die Verwaltung von Spesen kann in jeder Unternehmung schnell viel Zeit und Aufwand in Anspruch nehmen. Das Reisekosten- & Spesentool Edi nutzt eine innovative Architektur in der Cloud, um die Spesen einfach zu erfassen und zu verarbeiten. Mittels Einsatz einer eigens entwickelten künstlichen Intelligenz, welche auf Machine Learning basiert, können bei Bedarf alle Prozessschritte automatisiert werden. Dadurch wird der Aufwand zur Erfassung von Spesen erheblich verringert. Die Cloud ermöglicht es rhyno, einzelne Komponenten des Systems nicht selbst bereitzustellen, sondern verlässliche, geprüfte und bereits zertifizierte Funktionalitäten des Cloud-Anbieters zu verwenden. Für einen effektiven Penetration Test einer solchen Cloud-Architektur ist es notwendig, die Grenzen zwischen Funktionalitäten, welche von rhyno bereitgestellt werden und solchen, welche der Cloud-Anbieter bereitstellt, klar abzugrenzen. Findet diese Abgrenzung nicht statt, werden bei einem Penetration Test eventuell unnötige Funktionalitäten geprüft. Als ersten Schritt bei der Durchführung des Penetration Test wurde daher von den Experten von rhyno eine klare Übersicht der Systemkomponenten bereitgestellt. Durch das eindeutige Identifizieren von Cloud-Funktionalitäten konnte sichergestellt werden, dass bei der Durchführung des Penetration Tests die Integration der Funktionalität in die restliche Architektur und nicht die Funktionalität selbst getestet wird.

Eine der Komponenten, welche das Spesentool Edi zum Abrufen der Daten verwendet, ist GraphQL. GraphQL ermöglicht es, in der Applikation mit hinterlegten Daten zu aggregieren und diese abzufragen. Im Vergleich zu einer klassischen REST-Schnittstelle besitzt eine GraphQL-Schnittstelle nur einen Endpunkt und der Klient kann in seiner Anfrage genau definieren, welche Daten er erhalten will. So wird die Menge der übertragenen Daten verringert. Da GraphQL von sich aus keine Authentisierung und Autorisierung der Klienten ermöglicht, wurde der von rhyno implementierte Lösungsansatz durch die Security Tester der Redguard AG geprüft. Hierzu wurden in einem ersten Schritt die verschiedenen Benutzergruppen und ihre Berechtigungen identifiziert. Die so aufgestellten Annahmen über mögliche Lese- oder Schreibberechtigungen wurden dann manuell von den Security Testern geprüft. Dadurch kann der unberechtigte Zugriff auf Daten ausgeschlossen werden.

Nach Abschluss des Penetration Tests wurde ein Bericht mit wenigen identifizierten Risiken und Vorschlägen, um diese Risiken zu beheben, an die Experten von rhyno ausgehändigt. Die Experten von rhyno haben die identifizierten Risiken in Rekordzeit behoben. Um die korrekte Behebung der Risiken zu prüfen, wurde innerhalb von 5 Arbeitstagen ein erneuter Penetration Test von Edi durchgeführt. In diesem Penetration Test konnte die Sicherheit der Applikation nochmals verifiziert und die Behebung der gefundenen Risiken bestätigt werden.

“Für uns steht die Sicherheit von Kundendaten an erster Stelle. Um diesen hohen Anforderungen gerecht zu werden, werden regelmässig externe Sicherheits-Test durchgeführt. Das Vorgehen, die Tiefe der Analyse sowie die Effizienz der Zusammenarbeit mit Redguard hat uns sehr überzeugt.”Carim Chenna, Co Founder, rhyno solutions GmbH

Wenn auch Ihr Unternehmen aktiv die Digitalisierung vorantreibt und Teilbereiche ihrer IT Infrastruktur in die Cloud verlagert hat oder dies plant, melden Sie sich für ein unverbindliches Gespräch bei uns. Die Experten von Redguard führen auch für Sie gerne Penetration Tests oder auch ein Cloud Security Assessment durch und helfen Ihnen dabei, die Sicherheit Ihrer Systeme und Applikationen zu verbessern.