Sicherheitsprüfung auf allen Ebenen: Pentest und Cloud Security Audit bei Deutsche Fiskal

1. Dezember 2023

Die Notwendigkeit eines Pentests wird oft durch Compliance-Anforderungen getrieben. Um eine verlässliche Aussage über das Sicherheitsniveau im Unternehmen zu treffen, reicht in vielen Fällen ein Pentest allein jedoch nicht aus. Insbesondere wenn Anwendungen in der Cloud gehostet werden, müssen zusätzliche Angriffsvektoren berücksichtigt werden. Die DF ließ deshalb von der usd AG neben einem Pentest ihrer Anwendung ein Cloud Security Audit ihrer Cloud-Infrastruktur durchführen. Das Expertenteam der usd AG analysierte dabei die Konfiguration der Azure-Cloud-Services und die darauf laufenden Anwendungen.

Die Deutsche Fiskal mit Sitz in Berlin stellt als bundesweiter Anbieter von Cloud-basierten Lösungen gemeinsam mit ihrem Partner D-Trust GmbH, ein Unternehmen der Bundesdruckerei Gruppe, ein umfassendes Lösungsangebot für die Umsetzung der gesetzlichen Anforderungen an Kassensysteme zur Verfügung. Bei der Umsetzung der Lösungswelt setzt die Deutsche Fiskal konsequent auf Cloud Computing als moderne technologische Plattform.

„Als Anbieter von Cloud-Lösungen verarbeitet die Deutsche Fiskal ein sehr hohes Transaktionsvolumen, das insbesondere zum Jahresende sehr hohe Spitzen erreichen kann“, erklärt Jan Dau, Geschäftsführer Deutsche Fiskal. „Hier bietet die Cloud mit ihrer flexiblen Skalierbarkeit und hohen Verfügbarkeit eine ideale Lösung. Unseren Kunden dabei das bestmögliche Sicherheitsniveau zu gewährleisten, hat für uns die höchste Priorität. Gemeinsam mit der usd AG haben wir deshalb bereits frühzeitig entschieden, neben dem Penetrationstest auch eine eingehende Prüfung unserer Cloud-Konfiguration durchführen zu lassen. Wir bedanken uns für die angenehme und kompetente Zusammenarbeit.“

Als Grundlage für ihr Vorgehensmodell hat die usd AG ein spezielles Prüfverfahren entwickelt, das höchsten Sicherheitsstandards gerecht wird. Dabei orientieren sich die ExpertInnen an den Vorgaben des Payment Card Industry Data Security Standards (PCI DSS), den Handlungsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und den Richtlinien des Open Web Application Security Project (OWASP). Zusätzlich werden die Best Practices führender Cloud Service Provider und die Benchmarks des renommierten Center for Internet Security (CIS) berücksichtigt. Durch die geschickte Kombination dieser Anforderungen gewährleistet das Vorgehensmodell eine ganzheitliche Sicht auf das Sicherheitsniveau und eine nachhaltige Erhöhung der Sicherheit für die geprüften Systeme.

Dustin Born, usd Consultant IT Security der usd AG, hat die Durchführung des Penetrationstests für die Deutsche Fiskal geleitet: „Die Cloud bietet ihren Nutzern eine Vielzahl von Funktionen und hohe Flexibilität – allerdings werden die sicherheitsrelevanten Risiken, die damit einhergehen, häufig unterschätzt. Selbst wenn die zugrundeliegende Cloud-Infrastruktur sicher ist, können Schwachstellen auftreten, die von Angreifern ausgenutzt werden können, um die Unternehmensinfrastruktur zu kompromittieren. Mit Hilfe unseres Cloud Pentests haben wir die Deutsche Fiskal gern dabei unterstützt, solche Einfallstore gar nicht erst entstehen zu lassen.“

„Die Deutsche Fiskal hat mit der Durchführung einer technischen Sicherheitsanalyse in Form von Pentests sowie einem Konfigurationsaudit genau die richtigen Schritte für ein höheres IT-Sicherheitsniveau unternommen“, ergänzt Dr. Kai Schubert, Managing Consultant IT Security der usd AG. „Unternehmen konzentrieren sich häufig auf die Überprüfung ihrer Anwendung und vernachlässigen dabei die Konfiguration der Cloud-Services selbst. Die Deutsche Fiskal hat aber erkannt, dass eine gründliche Überprüfung der Konfiguration von Cloud Services im Rahmen eines Security Audits unabdingbar und die Kombination mit einem Penetrationstest entscheidend für ein starkes Sicherheitsniveau ist. Zusammen liefern die Ergebnisse aus Pentest und Audit eine viel umfassendere und zuverlässigere Aussage über das Sicherheitsniveau einer Cloud-basierten Umgebung als voneinander getrennte Sicherheitsanalysen. Wir bedanken uns bei allen Projektbeteiligten der Deutschen Fiskal und freuen uns auf eine weiterhin partnerschaftliche Zusammenarbeit.“


Über Die Deutsche Fiskal

Die DF Deutsche Fiskal GmbH ist eine einhundertprozentige Tochter der GK Software SE und profitiert damit von den langjährigen Erfahrungen des international führenden Anbieters von Filiallösungen, der wirtschaftlichen und technologischen Stärke sowie den Erfahrungen der Muttergesellschaft aus zahlreichen Fiskalisierungen weltweit. In der Partnerschaft ist die Deutsche Fiskal für die Entwicklung der Cloud-Lösung zuständig. Die Bundesdruckerei stellt die notwendigen Technischen Sicherungseinrichtungen (TSE), deren Hosting sowie die Sicherheitsinfrastruktur zur Verfügung.

Weitere Informationen unter https://www.deutsche-fiskal.de/

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien