Zühlke – Empowering Ideas

Security review team von project CH+
Insights

Game Design für die Demokratie: Zühlke Security Review der App «Projekt CH+ Games für Demokratie»

Michael Hartmann & Pascal Wiesmann &

Wie können wir die Sicherheit einer App, die streng vertrauliche Daten zu den politischen Ansichten ihrer Benutzer enthält, gewährleisten? Indem wir uns in die Gedankenwelt eines Verbrechers versetzen. Für eine erfolgreiche Cyberabwehr ist es unerlässlich, zu verstehen, wie Cyberkriminelle denken und welche Einfallstore sie sich zunutze machen.

Zwei Zühlke Engineers, Michael Hartmann und Pascal Wiesmann, gewähren uns Einblick in eines ihrer aktuellen Security Projekte, das sie gemeinsam mit einer Game-Design-Absolventin der Zürcher Hochschule der Künste durchgeführt haben. Diese ist inzwischen Projektleiterin des Projekts CH+ und Gründerin eines Studios, das sich auf die Entwicklung von Lernspielen (Serious Games) spezialisiert hat.

Insight in brief

  • Erfahre wie das Security Team von Zühlke zur Einführung einer App beigetragen hat, die Benutzer bei der Wahl demokratischer politischer Entscheide unterstützen soll.
  • Wir versetzen uns in die Gedankenwelt eines Cyberkriminellen auf der Suche nach Schwachstellen und befassen uns damit, wie wir Daten schützen können.
  • Wie lassen sich Daten zu den politischen Ansichten von Benutzern schützen? Scrolle nach unten, um den ganzen Bericht zu lesen.

Ein neues Zeitalter hat begonnen – ein Zeitalter, das uns allumfassende Konnektivität verspricht. Neue Technologien können viel Positives bewirken und haben das Potenzial, die Welt grundlegend zu verändern. Gleichzeitig machen wir uns durch uneingeschränkte Konnektivität jedoch auch in besonderem Maße angreifbar. Und während Innovationen das Potenzial innewohnt, die Welt zu verbessern, steht mehr auf dem Spiel als je zuvor.

Verletzungen des Datenschutzes können sowohl für Einzelpersonen als auch für Unternehmen weitreichende Folgen haben. Dabei reichen die Risiken von Identitätsdiebstahl über Malware und Erpressungssoftware (Ransomware) bis hin zu Hijacking. Dies ist jedoch kein Grund, die möglichen Vorteile von Innovationen zu vernachlässigen.

Ein Beispiel, das diese Vorteile veranschaulicht, ist das «Projekt CH+ Games für Demokratie» – eine App, die zur Förderung der politischen Bildung beiträgt. Die App verfolgt das Ziel, Politik ansprechender zu gestalten und es Menschen zu ermöglichen, fundierte politische Entscheidungen zu treffen.

Das Projekt entstand aus der Masterarbeit von Sophie Walker im Fach Game Design an der Zürcher Hochschule der Künste, die zu einer spielerischen Wahlhilfe weiterentwickelt wurde. Das spielerische Konzept hilft Benutzern dabei, mehr über Wahlkandidaten zu erfahren. Quasi eine Art Tinder für Wahlen. Der Benutzer wischt sich durch die Kandidaten und ihre Profile und wenn ihm ein Kandidat gefällt, wischt er nach rechts.

Eine derartige App ist jedoch besonders anfällig für Angriffe von Cyberkriminellen, die Zugriff auf die politischen Ansichten der Benutzer zu erlangen versuchen. In dem Wissen, dass die App streng vertrauliche Daten enthält, bat mich Sophie um meine Meinung als Security Engineer.

Bei unserem ersten Treffen eines späten Nachmittags zeigte sie mir die Funktionen der App und erklärte mir die Funktionsweise Schritt für Schritt. Zunächst stellt die App dem Benutzer einige Fragen, um eine individuelle Darstellung seiner politischen Ansichten zu erzeugen. Als Nächstes werden einem die Kandidaten und ihre politischen Parteien sowie deren wichtigste Programmpunkte, politische Grundsätze und Motivationen vorgestellt. Gefallen dem Benutzer die Ansichten, wischt er nach rechts und fügt den Kandidaten so zu seiner «Favoriten»-Liste hinzu.

Das elegante Design der App sowie die pfiffige Grundidee reichten aus, um mein Interesse zu wecken. Nach unserem Treffen war mir klar, dass wir Sophie helfen mussten.

Also ergriff ich die Gelegenheit und stellte das Projekt meinem Line Manager vor. Er war damit einverstanden, dass ich das Projekt im Rahmen des Zühlke-Programms für kontinuierliches Lernen und Weiterbildung übernahm. Dieses sieht vor, dass 10 % des Umsatzes von Zühlke für die Weiterentwicklung unserer Fähigkeiten eingesetzt werden. Alle Mitarbeitenden erhalten die Möglichkeit, an modernen maßgeschneiderten Fort- und Weiterbildungsmaßnahmen teilzunehmen, die unterschiedlichste Formen annehmen können. Ein wichtiger Pfeiler davon ist projektbasiertes und zielgerichtetes Lernen in der Praxis, was sehr geschätzt wird. Deshalb schlug mein Vorgesetzter auch vor, dass mein Kollege Pascal, der sich sehr für Security Projekte interessiert, bei dieser Aufgabe unterstützen könne.  

Mit zwei Zühlke Engineers an Bord befand sich das Projekt CH+ auf einem guten Weg hin zu einer erfolgreichen Cyberabwehr.

Um die Sicherheit einer App wie Projekt CH+ zu gewährleisten, ist eine Rundumsicht im Hinblick auf potenzielle Angriffe und deren Abwehr erforderlich. In enger Zusammenarbeit mit Sophie und unter Anwendung des ganzheitlichen «Zühlke-Ansatzes» bestimmten wir diejenigen Daten, die geschützt werden mussten. Da das Team von CH+ den Datenschutz seiner Benutzer sehr ernst nimmt, werden nur sehr wenige personenbezogene Daten auf den Servern gespeichert.

Als Nächstes versetzten wir uns in die Gedankenwelt eines Cyberkriminellen und überlegten, wo mögliche Eintrittspunkte für Angriffe gegeben sein könnten. Anschließend erstellten wir ein umfassendes Modell der App-Architektur, um «Angriffsflächen» zu bestimmen. Nachdem dies geschehen war, suchten wir nach angemessenen Gegenmaßnahmen bzw. «Angriffsvektoren».

Angriffsvektoren sind von Cyberkriminellen eingesetzte Methoden, um Sicherheitsmaßnahmen zu umgehen. In einer Webanwendung können dies beispielsweise eine SQL-Injektion, das «Sniffing» von Anmeldeinformationen oder das Erraten von Passwörtern im Rahmen eines Brute-Force-Angriffs sein. Im nächsten Schritt stellten wir sicher, dass ausreichend Abwehrmaßnahmen vorhanden waren. So ist die effektivste Gegenmaßnahme gegen einen Brute-Force-Angriff zum Erraten des Passworts beispielsweise eine Ratenbegrenzung. Unzureichende Schutzmaßnahmen wurden umgehend im Bericht vermerkt. Schließlich suchten wir nach bekannten Einfallstoren im Web-Ökosystem, die wir unermüdlichen Tests unterzogen.

Unmittelbar vor der Veröffentlichung der App führten wir eine abschließende Prüfung durch, die sich von den vorherigen Prüfungen unterschied. Dieses Mal nahmen wir eine detaillierte Analyse der empfohlenen Verbesserungen vor und befassten uns eingehend mit potenziellen Lücken. Erfreulicherweise erwies sich das Ganze als Erfolg und die Entwickler übernahmen unsere Vorschläge. Eine Woche später wurde die App erfolgreich eingeführt. Inzwischen kommt sie in der gesamten Schweiz zum Einsatz und unterstützt ihre Benutzer beim Treffen fundierter politischer Entscheidungen. Denn Bescheid zu wissen ist unerlässlich, wenn man politische Entscheidungen trifft.

Anders als bei anderen Apps war das Team von Projekt CH+ erfrischend ehrlich und nicht daran interessiert, die Daten seiner Benutzer zu erfassen, um sich daran zu bereichern. Infolgedessen war es wesentlich einfacher, die Sicherheit der App zu gewährleisten, da nur sehr wenige personenbezogene Daten gespeichert werden.

Die Vernetzung der Welt schreitet unaufhörlich voran. Dies zu bestreiten, wäre in etwa so, als würde man vorgeben, die industrielle Revolution habe nie stattgefunden. Die mit der Vernetzung einhergehenden Versprechen sind ebenso groß wie die Risiken. Doch die Risiken lassen sich mindern. Cybersecurity spielt nicht länger nur eine Nebenrolle. Vielmehr entwickelt sie sich in Windeseile zu einem wesentlichen Bestandteil des Technologiebudgets von Unternehmen. Sie zu vernachlässigen, würde bedeuten, die Büchse der Pandora zu öffnen und kostbare Zeit und Geld zu verschwenden.

Security engineer

Michael Hartmann

Security Engineer
Ansprechpartner für die Schweiz

Michael Hartmann arbeitet seit Anfang 2016 bei Zühlke als Securtiy Engineer. Durch den Abschluss als MSc in Mathematik mit Vertiefung Kryptografie und den CAS in Information Securtiy hat er vertiefte Erfahrungen im IT Sicherheitsbereich. Bei Zühlke arbeitet er vorwiegend als Software Entwickler mit Security Fokus (OWASP, Kerberos, TLS, PKI). Weiter bietet er als Trainer zwei Kurse im Bereich Web Security und Network Security an.

+4143 216 66 11
Zühlke Java engineer

Pascal Wiesmann

Java Engineer
Ansprechpartner für die Schweiz

Pascal Wiesmann ist Java Software Engineer und seit Mai 2019 bei Zühlke. Neben seinem MSc ETH Informatik Studium, hat er Erfahrungen gemacht mit diversen Web Technologien. Bei Zühlke hatte Pascal Gelegenheit bei dem Big Data processing einer international tätigen Versicherung mitzuwirken. Pascal liebt elegante und kreative Lösungen. In seiner Freizeit beschäftigt er sich sehr gerne mit Fotografie und grafischer Gestaltung.

+4143 216 66 11

Die Security Expertinnen und Experten von Zühlke unterstützen unsere Kunden dabei, ihre Produkte erfolgreich vor Angriffen zu schützen. Möchtest Du selbst ein Teil des Teams werden? Sieh dir hier unsere aktuellen Stellenangebote an: