Flexible und partnerschaftliche Zusammenarbeit
Erfolgreiches Wachstum eines Kreuzfahrt-Ökosystems
Kunde
Vertraulich
Branche
Tourismus & Kreuzfahrten
Services
Software Development
Compliance und Sicherheit in Kreuzfahrt-Software sicherstellen
Unser Kunde, ein mittelgroßer globaler Softwareanbieter, ist auf Lösungen für den Betrieb von Kreuzfahrtschiffen spezialisiert. Die Plattform unterstützt zentrale Funktionen an Bord, darunter Passagiermanagement, Sicherheitsprozesse, Verkauf, Arbeitsabläufe der Crew, Restaurantbuchungen, Echtzeit-Promotionen und mehr.
Da zu ihren Kunden auch börsennotierte Unternehmen in den USA gehören, wurde die Einhaltung strenger Sicherheitsstandards und US-Regulierungen zwingend erforderlich. Um diese Anforderungen zu erfüllen, wollte der Kunde seine Entwicklungsprozesse am Secure Software Development Framework (SSDF) des National Institute of Standards and Technology (NIST) ausrichten.
Das SSDF ist ein Maßnahmenkatalog, der Unternehmen dabei unterstützt, ihre Softwareentwicklungsprozesse von der Konzeption bis zum Go-Live sicher zu gestalten. Eine zentrale Voraussetzung für die Zertifizierung war eine tiefgehende Prüfung von Code, Prozessen und Werkzeugen.
Audit von zwei Millionen Codezeilen und Modernisierung der Sicherheitspraktiken
Um diese Herausforderungen zu adressieren, führten wir ein umfassendes Security-Audit des Software-Ökosystems des Kunden durch. Die Zusammenarbeit begann mit vollständigem Zugriff auf die Repositories, Entwicklungs-Workflows und Deployment-Pipelines.
Mithilfe einer Kombination statischer Analysewerkzeuge unseres Partners BlackDuck Software analysierten wir rund zwei Millionen Codezeilen. Der Scan identifizierte über tausend potenzielle Schwachstellen, von denen viele aus Testframeworks oder nicht genutzten Komponenten stammten. Unser Security-Team prüfte im Anschluss jede identifizierte Schwachstelle manuell, um Risiken mit hoher Kritikalität zu identifizieren.
Zusätzlich führten wir Interviews mit dem CTO, den Development Leads und den Product Ownern des Kunden, um zu verstehen, wie Code durch das System fließt, wie Updates ausgerollt werden und an welchen Punkten im Delivery-Flow Sicherheitsprüfungen stattfinden. So konnten wir die Prozesse des Kunden den Anforderungen des SSDF zuordnen.
Nach der Auswertung der Ergebnisse aus Schwachstellenscans und Interviews erstellte unser Team eine bereinigte Liste mit über 100 Schwachstellen, die zur Erreichung der SSDF-Konformität behoben werden mussten. Nachdem der Kunde einen dedizierten Security-Sprint abgeschlossen hatte, konnten wir die Plattform erneut auditieren, um zu prüfen, ob kritische Schwachstellen behoben worden waren.
Eine sichere Basis für Zertifizierung und zukünftiges Wachstum
Das abschließende Audit bestätigte die Konformität mit den SSDF-Standards des NIST und stellte sicher, dass die Plattform die strengen Sicherheitsanforderungen US-amerikanischer Vorgaben und globaler Enterprise-Kunden erfüllt.
Unsere Arbeit verschaffte dem Kunden einen transparenten Blick auf seine Software und einen strukturierten Prozess zum Umgang mit Schwachstellen. So kann das Unternehmen die Anforderungen von Enterprise-Kunden souverän erfüllen und sein Engagement für Sicherheit als klaren Mehrwert kommunizieren.
Diese sichere Basis versetzt den Kunden in die Lage, künftige Feature-Entwicklung und anstehende Security-Assessments mit Zuversicht anzugehen – im Wissen, dass die strengen Anforderungen von Enterprise-Kunden bereits erfüllt werden.
