Softwarelösungen der ECOSPEED AG beweist erneut hohe Sicherheitsstandards.
Weil die Generierung von Umweltkennzahlen ein Höchstmaß an Genauigkeit und Schutz vor Manipulationen verlangt, hat die ECOSPEED AG die Entwicklung ihrer Softwareprodukte für den Klimaschutz von der TÜV TRUST IT zertifizieren lassen. Das Prüfsiegel „TÜV TRUST IT Trusted Development“ bestätigt die Sicherheit der Prozesse bei der Softwareerstellung.
Ausgangssituation
Mehr als 20 Jahre Erfahrung bringt die ECOSPEED AG in den Bereichen CO2- und Klimabilanz von Kommunen und Unternehmen inzwischen mit und trägt mit ihren Softwarelösungen ihren Teil zum Klimaschutz bei. Nicht umsonst gehört das Unternehmen zu den führenden Dienstleistern in den Bereichen Corporate Carbon Footprint (CCF) und Product Carbon Footprint (PCF). Auf ihre webbasierte Software vertrauen europaweit mehr als 3.000 Kunden. Ein hohes Maß an Sicherheit während des gesamten Entwicklungsprozesses bis hin zur fertigen Anwendung ist folglich ein Muss.
Bereits im Jahr 2018 hatte die ECOSPEED AG unsere Security-Experten damit beauftragt, die Anwendung anhand des Anforderungskatalogs „TÜV TRUST IT Trusted Development“ auf Herz und Nieren zu prüfen und in der Folge zu zertifizieren. Kürzlich stand eine erneute Prüfung der seit Jahren stetig weiterentwickelten Anwendung mit dem Ziel einer Re-Zertifizierung nach „TÜV TRUST IT Trusted Development“ an.
Vorgehensweise
Im Rahmen des Zertifizierungsprojekts wurde die Sicherheit der Anwendung in den Kategorien IT-Sicherheit, Informationsschutz und Datenschutz ausführlich getestet. Grundlage hierfür war wie bereits im Jahr 2018 der Anforderungskatalog „TÜV TRUST IT Trusted Development“, welcher auf verschiedenen Normen, Standards und Gesetzen sowie unseren eigenen Kriterien und Erfahrungen sowie bewährten Best-Practices der IT-Sicherheit basiert.
Zentraler Projektbestandteil war die detaillierte sicherheitstechnische Überprüfung der fertigen Anwendung. Hierbei wurden die implementierten Sicherheitsmaßnahmen gründlich analysiert, um sicherzustellen, dass die Anwendung höchsten Sicherheitsstandards entspricht. Diese Analyse umfasste eine Reihe unterschiedlicher Phasen, von der Anforderungsdefinition bis hin zu den Test-Verfahren, dem Deployment und dem Betrieb. Dabei wurden Wirksamkeit und Robustheit der implementierten Sicherheitsmechanismen gründlich geprüft. In diesem Rahmen ist besonders die sicherheitstechnische Überprüfung der Webanwendung hervorzuheben, welche potenzielle Sicherheitslücken aufdecken soll. Hierbei setzten unsere Experten verschiedene Testmethoden ein, um die Anfälligkeit der Anwendung für Angriffe zu prüfen. Unter anderem das Scannen nach Schwachstellen, die Simulation von Angriffen und die Überprüfung der Implementierung „Secure-Coding“.
Ein weiterer Untersuchungsteil konzentrierte sich auf die technische Überprüfung der für die Entwicklung verwendeten Infrastruktur. Dabei wurde anhand der „TÜV TRUST IT Trusted Development“-Anforderungen die tatsächliche Sicherheit der Infrastruktur ermittelt. Außerdem widmeten sich die Experten den relevanten organisatorischen Prozessen und überprüften die Einhaltung nationaler und internationaler Standards. Insbesondere wurden Kontrollmaßnahmen für den Zugriff auf den Programm-Quellcode sowie zugehörige Elemente etabliert und gründlich überprüft, um sicherzustellen, dass die hohen Sicherheitsstandards kontinuierlich gewahrt bleiben.
Nutzen
Projektleiter Maximilian Schäfer von der TÜV TRUST IT zeigte sich rückblickend erfreut über den Prozess und die Prüfergebnisse und erläutert den Nutzen einer Prüfung nach „TÜV TRUST IT Trusted Development“: „Die entwickelten Applikationen haben sich bereits in zahlreichen Tests als äußerst robust gegen typische Angriffsmuster auf Webapplikationen erwiesen. Dabei haben die durchgeführten Audits gezeigt, dass identifizierte Schwachstellen stets schnell durch adäquate Maßnahmen behoben wurden. Dies hat dazu geführt, dass der Sicherheitsstandard kontinuierlich gewachsen ist und wie bereits in der Vergangenheit festgestellt wurde ein hohes Niveau hat. Ein etabliertes Verfahren sorgt außerdem dafür, dass auf neue Schwachstellen zeitnah reagiert wird, um entsprechende Maßnahmen einzuleiten und so ein konstant hohes Sicherheitsniveau zu gewährleisten.“
Eine Re-Zertifizierung belegt zudem, dass die Anwendung auch nach einer langjährigen Weiterentwicklung weiterhin ein hohes Sicherheitsniveau aufweist. Thomas Herzberger, Director Software Development bei der ECOSPEED AG freut sich nicht nur über das Ergebnis, sondern auch über den erneut sehr positiven Projekthergang: „Wir kannten die Experten der TÜV TRUST IT ja bereits aus der vergangenen Zusammenarbeit, weshalb für uns völlig klar war, diesen Weg der Re-Zertifizierung wieder zusammen zu gehen. Das gesamte Projekt lief auch diesmal sehr professionell ab und war von einer guten und transparenten Kommunikation geprägt. Ich freue mich, dass unsere Anwendung erneut den Nachweis erbracht hat, unseren Kunden die höchstmögliche Sicherheit zu gewährleisten.“
Stefan Möller (re.), Vertriebsleiter bei der TÜV TRUST IT, überreichte am 17. Juli 2024 persönlich die Urkunde an Thomas Herzberger (li.) in Zürich.
