Mehr als 20 Jahre Erfahrung bringt die ECOSPEED AG in den Bereichen CO2- und Klimabilanz von Kommunen und Unternehmen inzwischen mit und trägt mit ihren Softwarelösungen ihren Teil zum Klimaschutz bei. Nicht umsonst gehört das Unternehmen zu den führenden Dienstleistern in den Bereichen Corporate Carbon Footprint (CCF) und Product Carbon Footprint (PCF). Auf ihre webbasierte Software vertrauen europaweit mehr als 3.000 Kunden. Ein hohes Maß an Sicherheit während des gesamten Entwicklungsprozesses bis hin zur fertigen Anwendung ist folglich ein Muss.
Bereits im Jahr 2015 hatte die ECOSPEED AG die Security-Experten der TÜV TRUST IT damit beauftragt, die Anwendung anhand des Anforderungskatalogs „Trusted Development“ auf Herz und Nieren zu prüfen und in der Folge zu zertifizieren. Kürzlich stand eine erneute Prüfung der seit Jahren stetig weiterentwickelten Anwendung mit dem Ziel einer Re-Zertifizierung nach „Trusted Development“ an.
Im Rahmen des Zertifizierungsprojekts wurde die Sicherheit der Anwendung in den Kategorien IT-Sicherheit, Informationsschutz und Datenschutz ausführlich getestet. Grundlage hierfür war wie bereits im Jahr 2018 der Anforderungskatalog „Trusted Development“, welcher auf verschiedenen Normen, Standards und Gesetzen sowie den eigenen Kriterien und Erfahrungen der TÜV TRUST IT sowie bewährten Best-Practices der IT-Sicherheit basiert.
Zentraler Projektbestandteil war die detaillierte sicherheitstechnische Überprüfung der fertigen Anwendung. Hierbei wurden die implementierten Sicherheitsmaßnahmen gründlich analysiert, um sicherzustellen, dass die Anwendung höchsten Sicherheitsstandards entspricht. Diese Analyse umfasste eine Reihe unterschiedlicher Phasen, von der Anforderungsdefinition bis hin zu den Test-Verfahren, dem Deployment und dem Betrieb. Dabei wurden Wirksamkeit und Robustheit der implementierten Sicherheitsmechanismen gründlich geprüft. In diesem Rahmen ist besonders die sicherheitstechnische Überprüfung der Webanwendung hervorzuheben, welche potenzielle Sicherheitslücken aufdecken soll. Hierbei setzten die Experten der TÜV TRUST IT verschiedene Testmethoden ein, um die Anfälligkeit der Anwendung für Angriffe zu prüfen. Unter anderem das Scannen nach Schwachstellen, die Simulation von Angriffen und die Überprüfung der Implementierung „Secure-Coding“.
Ein weiterer Untersuchungsteil konzentrierte sich auf die technische Überprüfung der für die Entwicklung verwendeten Infrastruktur. Dabei wurde anhand der „Trusted Development“-Anforderungen die tatsächliche Sicherheit der Infrastruktur ermittelt. Außerdem widmeten sich die Experten den relevanten organisatorischen Prozessen und überprüften die Einhaltung nationaler und internationaler Standards. Insbesondere wurden Kontrollmaßnahmen für den Zugriff auf den Programm-Quellcode sowie zugehörige Elemente etabliert und gründlich überprüft, um sicherzustellen, dass die hohen Sicherheitsstandards kontinuierlich gewahrt bleiben.
Projektleiter Maximilian Schäfer von der TÜV TRUST IT zeigte sich rückblickend erfreut über den Prozess und die Prüfergebnisse und erläutert den Nutzen einer Prüfung nach „Trusted Development“: „Die entwickelten Applikationen haben sich bereits in zahlreichen Tests als äußerst robust gegen typische Angriffsmuster auf Webapplikationen erwiesen. Dabei haben die durchgeführten Audits gezeigt, dass identifizierte Schwachstellen stets schnell durch adäquate Maßnahmen behoben wurden. Dies hat dazu geführt, dass der Sicherheitsstandard kontinuierlich gewachsen ist und wie bereits in der Vergangenheit festgestellt wurde ein hohes Niveau hat. Ein etabliertes Verfahren sorgt außerdem dafür, dass auf neue Schwachstellen zeitnah reagiert wird, um entsprechende Maßnahmen einzuleiten und so ein konstant hohes Sicherheitsniveau zu gewährleisten.“
Eine Re-Zertifizierung belegt zudem, dass die Anwendung auch nach einer langjährigen Weiterentwicklung weiterhin ein hohes Sicherheitsniveau aufweist. Thomas Herzberger, Director Software Development bei der ECOSPEED AG freut sich nicht nur über das Ergebnis, sondern auch über den erneut sehr positiven Projekthergang: „Wir kannten die Experten der TÜV TRUST IT ja bereits aus der vergangenen Zusammenarbeit, weshalb für uns völlig klar war, diesen Weg der Re-Zertifizierung wieder zusammen zu gehen. Das gesamte Projekt lief auch diesmal sehr professionell ab und war von einer guten und transparenten Kommunikation geprägt. Ich freue mich, dass unsere Anwendung erneut den Nachweis erbracht hat, unseren Kunden die höchstmögliche Sicherheit zu gewährleisten.“
Stefan Möller (re.), Vertriebsleiter bei der TÜV TRUST IT, überreichte am 17. Juli 2024 persönlich die Urkunde an Thomas Herzberger (li.) in Zürich.