Softwarelösungen der ECOSPEED AG beweist erneut hohe Sicherheitsstandards.
Weil die Generierung von Umweltkennzahlen ein Höchstmaß an Genauigkeit und Schutz vor Manipulationen verlangt, hat die ECOSPEED AG die Entwicklung ihrer Softwareprodukte für den
Klimaschutz von der TÜV TRUST IT zertifizieren lassen. Das
Prüfsiegel „TÜV TRUST IT Trusted Development“ bestätigt die
Sicherheit der Prozesse bei der Softwareerstellung.
Ausgangssituation
Die ECOSPEED AG, ein ehemaliges Spin-off der Eidgenössischen Technischen Hochschule Zürich (ETH) mit Standorten in Zürich und Bonn, ist ein hochspezialisierter Soft wareanbieter für Energie-, Umwelt- und Klima Applikationen. Ihre verschiedenen webbasierten Softwarelösungen zur Bilanzierung, Verwaltung und Simulation von Umweltkennzahlen und Maßnahmen kommen in Behörden, Unternehmen und bei
privaten Nutzern zum Einsatz.
Da es sich hierbei auch um sensible Daten wie Energiekosten handelt und hohe Ansprüche an die Präzision und die Sicherheit gestellt werden, wird im Markt zunehmend ein objektiver Nachweis zur Qualität der Software und deren Entwicklungsprozess gefordert. Die TÜV TRUST IT wurde deshalb von der ECOSPEED AG mit der Zertifizierung des Soft ware-Entwicklungsprozesses beauftragt. Ziel der Zertifizierungsprüfung
war es, sicherheitsrelevante Risiken zu identifizieren, die einem externen Angreifer erlauben würden, die Sicherheitsziele der ECOSPEED AG zu gefährden und die Integrität, Vertraulichkeit und Verfügbarkeit der Prozesse und Kundendaten zu unterminieren.
Vorgehensweise
Im Rahmen des Projekts wurden Prüfungen in den Kategorien Software-Design, Planung und Implementierung, IT-Sicherheit, Informationsschutz und Datenschutz durchgeführt. Dem Anforderungskatalog „Trusted Development“ liegen neben verschiedenen Normen, Standards und Gesetzen auch eigene Kriterien und Erfahrungen der TÜV TRUST IT sowie gängige Best-Practices der IT-Sicherheit zugrunde. Zentraler Bestandteil des Zertifizierungsprojektes war ein Audit des Software-Entwicklungsprozesses, in dem die darin berücksichtigten Sicherheitsmaßnahmen analysiert wurden. Entsprechend dem Anforderungskatalog erstreckte sich dies über alle Phasen von der Anforderungsdefinition, über das Design und die Implementierung bis zu den Test-Verfahren, dem Deployment und Betrieb hinweg. Ein weiterer Untersuchungsteil hatte die technische Überprüfung der für die Entwicklung verwendeten Infrastruktur zum Gegenstand.
Dabei wurde anhand der „Trusted Development“ Anforderungen die tatsächliche Sicherheit ermittelt. Darüber hinaus widmeten sich die Experten der TÜV TRUST IT den relevanten organisatorischen Prozessen auf Basis internationaler und nationaler Standards und überprüft en, ob Kontrollmaßnahmen des Zugriffs auf Programm-Quellcode und zugehörige Elemente etabliert sind.
„Die entwickelten Applikationen zeigten sich bei der Analyse robust gegen für Webapplikationen typische Angriffsmuster. Im Audit identifizierte Schwachstellen wurden zügig durch adäquate Maßnahmen behoben, wodurch sukzessive ein hohes Sicherheitsniveau erreicht wurde. Ein Prozess stellt zudem sicher, dass auf neue Schwachstellen reagiert wird, um entsprechende Maßnahmen einzuleiten, die ein konstant hohes Sicherheitsniveau gewährleisten“, erklärt André Zingsheim, Projektleiter bei der TÜV TRUST IT
Nutzen
Mit der Zertifizierung „Trusted Development“ kann die ECOSPEED AG gegenüber Ihren Kunden und Geschäftspartnern nun belegen, dass der Software-Entwicklungsprozess dazu geeignet ist, sichere Software zu erzeugen. Darüber hinaus hat die ECOSPEED AG auch vom Know-how Transfer mit den Experten der TÜV TRUST IT profitiert.
Eine Re-Zertifizierung belegt zudem, dass die Anwendung auch nach einer langjährigen Weiterentwicklung weiterhin ein hohes Sicherheitsniveau aufweist.
Thomas Herzberger, Director Software Development bei der ECOSPEED AG freut sich nicht nur über das Ergebnis, sondern auch über den erneut sehr positiven Projekthergang: „Wir kannten die Experten der TÜV TRUST IT ja bereits aus der vergangenen Zusammenarbeit, weshalb für uns völlig klar war, diesen Weg der Re-Zertifizierung wieder zusammen zu gehen. Das gesamte Projekt lief auch diesmal sehr professionell ab und war von einer guten und transparenten Kommunikation geprägt. Ich freue mich, dass unsere Anwendung erneut den Nachweis erbracht hat, unseren Kunden die höchstmögliche Sicherheit zu gewährleisten.“