Audit und Modernisierung
Cyber-Security-Compliance im Kreuzfahrtbetrieb sicherstellen
Kunde
Vertraulich
Branche
Tourismus & Kreuzfahrtbetrieb
Services
Cyber Security
Compliance und Sicherheit in Kreuzfahrt-Software sicherstellen
Unser Kunde, ein mittelgroßer globaler Softwareanbieter, ist auf Lösungen für den Betrieb von Kreuzfahrtschiffen spezialisiert. Die Plattform unterstützt zentrale Funktionen an Bord, darunter Passagiermanagement, Sicherheitsprozesse, Verkauf, Arbeitsabläufe der Crew, Restaurantbuchungen, Echtzeit-Promotionen und mehr.
Da zu den Kunden auch börsennotierte Unternehmen in den USA gehören, wurde die Einhaltung strenger Sicherheitsstandards und US-Regulierungen zwingend erforderlich. Um diese Anforderungen zu erfüllen, wollte der Kunde seine Entwicklungspraktiken am Secure Software Development Framework (SSDF) des National Institute of Standards and Technology (NIST) ausrichten.
Das SSDF ist ein Maßnahmenkatalog, der Unternehmen dabei unterstützt, ihre Softwareentwicklungsprozesse von der Konzeption bis zum Go-Live sicher zu gestalten. Eine zentrale Voraussetzung für die angestrebte Zertifizierung war eine tiefgehende Prüfung von Code, Prozessen und eingesetzten Tools.
Audit von zwei Millionen Codezeilen und Modernisierung der Sicherheitspraktiken
Um diese Herausforderungen zu adressieren, führten wir ein umfassendes Security-Audit des Software-Ökosystems des Kunden durch. Die Zusammenarbeit begann mit vollständigem Zugriff auf Repositories, Entwicklungs-Workflows und Deployment-Pipelines.
Mithilfe einer Kombination statischer Analysewerkzeuge unseres Partners BlackDuck Software analysierten wir rund zwei Millionen Codezeilen. Der Scan identifizierte über tausend potenzielle Schwachstellen, von denen viele aus Testframeworks oder nicht genutzten Komponenten stammten. Unser Security-Team prüfte anschließend jede identifizierte Schwachstelle manuell, um Risiken mit hoher Kritikalität zu erkennen.
Zusätzlich führten wir Interviews mit dem CTO, den Development Leads und den Product Ownern des Kunden, um zu verstehen, wie Code durch das System fließt, wie Updates ausgerollt werden und an welchen Punkten im Delivery-Flow Sicherheitsprüfungen stattfinden. Auf dieser Basis konnten wir die Prozesse des Kunden den SSDF-Anforderungen zuordnen.
Nach der Auswertung der Ergebnisse aus Schwachstellenscans und Interviews erstellte unser Team eine bereinigte Liste mit über 100 Schwachstellen, die für die Erreichung der SSDF-Konformität adressiert werden mussten. Nachdem der Kunde einen dedizierten Security-Sprint abgeschlossen hatte, konnten wir die Plattform erneut auditieren, um zu prüfen, ob kritische Schwachstellen behoben worden waren.
Eine sichere Basis für Zertifizierung und zukünftiges Wachstum
Das abschließende Audit bestätigte die Konformität mit den SSDF-Standards des NIST und stellte sicher, dass die Plattform die strengen Sicherheitsanforderungen US-amerikanischer Vorgaben und globaler Enterprise-Unternehmen erfüllt.
Unsere Arbeit verschaffte dem Kunden einen transparenten Blick auf seine Software und einen strukturierten Prozess zum Umgang mit Schwachstellen. So kann das Unternehmen die Anforderungen von Enterprise-Kunden souverän erfüllen und sein Engagement für Sicherheit als klaren Mehrwert kommunizieren.
Diese sichere Basis versetzt den Kunden in die Lage, künftige Feature-Entwicklung und anstehende Security-Assessments mit Zuversicht anzugehen – im Wissen, dass die strengen Anforderungen seiner Enterprise-Kunden bereits erfüllt werden.
