Mit HortPRO – digitales Anwesenheits- und Gruppenbuch inkl. Elternportal – bietet die AVI.DAT GmbH ein webbasiertes digitales Arbeitsmittel als Software as a Service (SaaS) für Kindertagesstätten und Ganztagesbetreuung. HiSolutions sorgte mit gezielten Tests dafür, dass die Anwendung weiterhin wie gewohnt sicher genutzt werden kann.
Success Story als PDF herunterladen
HortPRO speichert sensible, personenbezogene Daten seiner Nutzer. Daher sollte die Sicherheit der Anwendung gegenüber ungewollten Zugriffen von außen auf mehreren Ebenen überprüft werden. Um die Sicherheit der Webanwendung sowie der dazugehörigen Infrastruktur auf technischer Ebene zu prüfen und eventuell vorhandene Schwachstellen zu identifizieren, sollten Penetrationstests aus der Perspektive eines externen Angreifers ohne Vorwissen, eines Angreifers mit Zugriff auf die Anwendung sowie ein Architektur-Review der Infrastruktur durchgeführt werden.
Besonderer Wert lag auf einer tiefgehenden Untersuchung der Webanwendung, weshalb ein Whitebox-Ansatz gewählt wurde. Der Fokus lag auf der Sicherheit der Webanwendung selbst, da der Schutz der dort verarbeiteten sensiblen Daten an oberster Stelle liegt.
Um ein umfassendes Sicherheitsniveau zu gewährleisten, wurden neben dem Penetrationstest der Webanwendung ein externer Penetrationstest und ein Architektur-Review durchgeführt. Eine Vielzahl von Ports und Systemen mussten hierbei auf Schwachstellen untersucht werden, um die öffentlich erreichbare Angriffsfläche der Webanwendung weiter reduzieren zu können.
HiSolutions führte zunächst einen Web-Penetrationstest für die Webanwendung „HortPRO“ durch, wobei neben den typischen Web-Schwachstellen (OWASP-Top-10) der Fokus auf die individuellen Berechtigungen und unterschiedlichsten Rollen der Nutzer sowie die Erstellung von Nutzerkonten gelegt wurde. Der Web-Penetrationstest wurde im Whitebox-Ansatz durchgeführt. Dies ermöglichte eine differenzierte Betrachtung der zugeordneten Rollen und unterschiedlichen Berechtigungen innerhalb der Webanwendung.
Zudem führte HiSolutions einen externen Penetrationstest für die freigegebenen Ziele durch. Diese Prüfung erfolgte als externer Test über das Internet, wobei insbesondere die System- und Netzwerkebene analysiert wurden.
Ergänzend zu den Penetrationstests wurde die Infrastruktur einem Architektur-Review unterzogen. Hier legte das Team den Fokus auf die Netzwerkarchitektur und -komponenten.
Die Ergebnisse der einzelnen Prüfungen wurden von HiSolutions in einem detaillierten Prüfbericht festgehalten, der neben einer ausführlichen Beschreibung des jeweiligen Sachverhalts und den daraus resultierenden Auswirkungen auch konkrete Maßnahmenempfehlungen und eine Risikobewertung enthielt.
Somit konnten nicht nur weiterführende Ansätze auf Seiten des Kunden identifiziert und für die weitere, kontinuierliche Inhouse Optimierung des Sicherheitsniveaus spezifiziert werden. Auch die Wirksamkeit der bestehenden Sicherheitsmaßnahmen wurde erfolgreich verifiziert.
„In enger und vertrauensvoller Zusammenarbeit mit HiSolutions haben wir ein umfassendes Sicherheitsaudit für HortPRO erfolgreich abgeschlossen. Diese externe Validierung dient nicht nur der Prüfung, sondern auch der fortlaufenden Optimierung unseres Sicherheitsniveaus. Ein essenzieller Schritt, der die Sicherheit der Daten unserer Kunden und der betreuten Kinder nachhaltig stärkt.“
Kay Dittberner,
Information Security Officer
Die AVI.DAT Software & Technology GmbH bietet neben dem digitalen Anwesenheitsbuch „HortPRO“ auch weitere Produkte wie „DataManagement“ oder „MIRAAN“ für verschiedenste Branchen an. Desweiteren stellt sie Individual-Software nach ganz persönlichen Kundenwünschen und bedürfnissen her. Der Stellenwert der Sicherheit wird in allen Bereichen und Produkten von AVI.DAT großgeschrieben.