Forschung macht sicher: Kooperation mit SBA Research legt in der Commend Produktentwicklung die Latte in Sachen lückenlose IT-Sicherheit auf Rekordhöhe

Um all dies nachhaltig sicherzustellen, kooperieren Commend‘s Softwareingenieure und Produktexperten im Rahmen eines Projekts unterstützt von der österreichischen Forschungsförderungsgesellschaft (“Symphony: Intercom als Cloud-Service”) intensiv mit Forschungspartnern wie SBA Research. Im Schulterschluss mit dem renommierten Wiener Forschungszentrum für IT-Sicherheit konnte jetzt ein weiterer Projektteil höchst erfolgreich zu Ende gebracht werden. Seit März 2022 hatte das gemeinsame Expertenteam Commend‘s Softwareentwicklung im Visier gehabt, um intensive systematische Sicherheitsanalysen und Tests schon beim Design von Produkten oder Softwaremodulen sicher zu stellen.

“Für Cloud-native Lösungen wie unsere ‘Symphony’-Plattform ist das enorm wichtig,” erklärt Commend’s Projektverantwortlicher, Klaus Hirschegger. “Zusammen mit SBA Research haben wir Methoden umgesetzt, mit denen wir einzelne Softwareteile schon extrem frühzeitig auf potentielle Risiken und Schwachstellen abklopfen und entsprechende Vorkehrungen treffen können, bevor wir zum nächsten Entwicklungsschritt übergehen. Die Fachwelt spricht hier von einem ‘Shift-Left’-Ansatz. Gemeint ist damit, dass Sicherheitstests nicht mehr wie früher erst am Ende des Entwicklungsprozesses erfolgen, sondern frühzeitig, bereits bei der Entwicklung erkannt werden sollen. Damit werden Sicherheitsschwachstellen in ausgelieferten Produkten vermieden.” Bei Commend werden all’ diese Bemühungen als ‘Privacy and Security by Design’ benannt.

Möglich macht dies die praktische Anwendung neuester Forschungsergebnisse aus Bereichen wie der Modellierung und dem Security Testing der MATRIS Forschungs-Gruppe. „Ich bin begeistert, wie sich die Forschungsergebnisse und deren Methoden aus der internationalen Arbeit auch in der Praxis anwenden lassen. Gerade komplexe industrielle Systeme und Prozesse profitieren durch diese Synergie enorm!“, so SBA-Projektleiter Reinhard Kugler. „Das Knowhow aus den verschiedenen Fachgebieten, wie dem Security Testing, dem Machine Learning und der Bedrohungsmodellierung bilden hierbei die Basis. Damit können Sicherheitsaspekte beim Design und Securitychecks bereits während der Entwicklung durchgeführt werden, bevor die erste Programmzeile geschrieben ist. Außerdem können etwa Datenflüsse bis in die Zeilen des Programmcodes nachverfolgt werden.”

„Es war ein sehr erfolgreiches und spannendes Projekt: Umfang, Schwerpunkte und Vorbereitung waren am Punkt.“ resümiert Kugler. Besonders positiv haben wir den technischen Austausch in Workshops und die harmonische Zusammenarbeit mit Commend erlebt.“ Alle Produktions- und Produktbereiche wurden systematisch auf potentielle Angriffspunkte durchleuchtet. Die Systemarchitektur von Symphony wurde anhand von ‚best practices‘ aus der Cybersicherheit durchleuchtet und anschließend durch simulierte Hacking-Attacken (dem Penetration-Testing) auf den Prüfstand gestellt. Ergebnis: sehr robust! Das Immunsystem von Symphony konnte sich gut gegen die Attacken wehren.“, berichtet der passionierte Pentester. “Die Forschungspartnerschaft hat sich voll bewährt. Sie ermöglicht uns eine umfassende Qualitätssicherung, die das breite Ökosystem von Commend und dessen Systemgrenzen überspannt. Mit den Ergebnissen sind wir mehr als zufrieden” ist auch Michael Thalhammer, Leiter der Forschung und Entwicklung bei Commend International begeistert. “Klar, den 100% perfekten Cyberschutz gibt es nicht – aber dank neuester Forschung und ihrer praktischen Umsetzung in ‘Privacy and Security by Design’ können unsere Kunden beruhigt sein, dass wir dem Ideal schon sehr nahekommen!”