Applikationssicherheit: Security by Design!

Autor

Mathias Chastonay

Datum

19. Februar 2024

Ein Learning Management System (LMS) verarbeitet eine Vielzahl sensibler Informationen, seien es personenbezogene Daten von Lernenden oder geschäftskritische Daten in Lerninhalten. Um diese vor unberechtigtem Zugriff oder Missbrauch zu schützen, muss vieles bedacht werden: von der Sensibilisierung der Mitarbeitenden bis hin zur Absicherung der Systeme und Software-Produkte. Gerne geben wir Ihnen einen Einblick in unsere Bemühungen für eine sichere Software-Entwicklung und erklären, was Sie bei einer Bug Bounty beachten sollten.

 

Security by Design – die Entwicklung sicherer Software

easylearn hält sich an die Grundsätze von Security by Design. Darunter versteht man die Entwicklung von Applikationen, die von Anfang an mit dem Gedanken an Sicherheit entwickelt werden. Dies beginnt bereits damit, die Applikation auf ein stabiles Fundament zu stellen und zum Beispiel robuste Mehrschichten-Architekturen zu verwenden. Im Entwicklungsprozess selbst gibt es zahlreiche Massnahmen, die verhindern, dass sich Sicherheitslücken einschleichen. Dazu gehören Code-Reviews: Wenn bei easylearn ein Software Engineer ein Stück Programmcode geschrieben hat, muss dieses von zwei anderen Entwicklern überprüft werden.

Eine weitere wichtige Massnahme ist das Testing der Applikation. Nicht nur auf Fehler und Funktionalität, sondern eben auch auf Sicherheit. Dazu verwenden wir automatisierte Testverfahren, die das easylearn LMS alle zwei Wochen auf gängige Sicherheitslücken überprüfen. Da diese Automatismen zwar die häufigsten, aber bei weitem nicht alle Fehler aufdecken, führen wir periodisch sogenannte Penetrationtests durch. Dazu beauftragen wir einen externen Security Experten, der gezielt nach Sicherheitslücken sucht.

Neben der sicheren Entwicklung und der zeitnahen Behebung von Sicherheitslücken sind regelmässige Releases von zentraler Bedeutung. Der neue Release sollte anschliessend zeitnah zum Kunden.

Das easylearn LMS benötigt für den Betrieb eine Serverinfrastruktur. Auch diese gilt es abzusichern und zu überwachen. In unserem Cloudcenter kümmern wir uns darum, quasi das Rundum-Sorglos-Paket für unsere Kunden. Uns ist es wichtig, dass auch unsere on-prem Kunden einen sicheren Betrieb ihres LMS gewährleisten können. Deshalb stellen wir unser umfangreiches Know-how in einem Security Guide zur Verfügung. Dieser ist direkt in der Online-Hilfe von easylearn abrufbar und wird regelmässig aktualisiert.

 

Die Grundsätze von Security by Design

 

 

Bug Bounty – Hacker auf ethischer Mission

Eine interessante und gern genutzte Massnahme zur Prüfung von Systemen auf Sicherheitslücken sind Bug Bounty Tests. Das sind quasi «Kopfgelder» auf Sicherheitslücken,  die ausgeschrieben werden. Interessierte Ethical Hacker – also professionelle Hacker auf der guten Seite der Macht – suchen dann nach Lücken und erhalten für jede gefundene Lücke einen Bug Bounty (=eine Prämie).

Planen Sie selbst ein Bug Bounty? Bevor Sie starten, empfehlen wir Ihnen, die folgenden Punkte zu beachten. Sonst kann es passieren, dass Sie den Hacker für gefundene Sicherheitslücken bezahlen, die längst behoben sind:

  • Stellen Sie sicher, dass easylearn auf dem neuesten Release-Stand ist. Wir geben alle 6-8 Wochen einen Patch-Release heraus, der sehr oft auch Sicherheitsmassnahmen enthält.
  • Wenn Sie easylearn on-prem betreiben, konsultieren Sie unseren Security Guide und stellen Sie sicher, dass die Infrastruktur abgesichert ist.
  • easylearn läuft bei uns im Cloud-Center? Melden Sie den Bug Bounty zwingend vorgängig bei uns an! Wir überwachen unsere Infrastruktur und unterbinden verdächtige Aktivitäten. Dies kann auch dazu führen, dass wir Ihr LMS offline schalten müssen, was zu einem Ausfall Ihrer Lernumgebung für alle Benutzer:innen führen würde.

Kontaktieren Sie uns, wenn Sie Fragen zur Sicherheit haben oder ein Bug Bounty planen. Wir unterstützen Sie sehr gerne bei Ihrem Vorhaben und stellen gemeinsam mit Ihnen sicher, dass die Voraussetzungen für einen erfolgreichen Sicherheitstest – also einen der möglichst keine Lücken findet – optimal sind.

 

Sensibilisierung der Mitarbeitenden

Mit der zunehmenden Komplexität der Cyber-Bedrohungen ist die Sensibilisierung der Mitarbeitenden für sicherheitsrelevante Praktiken und Risiken von grosser Bedeutung. Durch Schulungen und Sensibilisierungsmassnahmen werden die Mitarbeitenden in die Lage versetzt, verdächtiges Verhalten zu erkennen, Phishing-Angriffe zu identifizieren und bewusste Entscheidungen zu treffen, die zur Stärkung der Gesamtsicherheit beitragen.

 

Adrian Hämmerli, Head of IT-Services bei easylearn

«Unser Team investiert kontinuierlich in modernste Sicherheitsmechanismen und -protokolle, um die Integrität und Vertraulichkeit der Kundendaten in unserer Cloud zu gewährleisten.»

Adrian Hämmerli, Head of IT-Services bei easylearn

Sensibilisierung der Mitarbeitenden mit vorgefertigten e-Learnings

Jetzt entdecken