Aikido
Kostenlos starten
Ohne Kreditkarte
Kundenreferenzen

Wie Smartendr mit KI-Penetrationstests einen klaren, priorisierten Überblick über das tatsächliche Zahlungsrisiko erhielt

Migriert von -

€10M
Monatliche Transaktionen
1M
Bediente Endbenutzer
54
Validierte Pentest-Ergebnisse
Veröffentlicht am:
24. Dezember 2025
Zuletzt aktualisiert am:
24. Dezember 2025

Auf einen Blick

  • AI Pentest simulierte echtes Angreiferverhalten über die gesamte Anwendung und Integrationen hinweg
  • Wechseln Sie von fragmentierten, periodischen Prüfungen zu einer klaren, priorisierten Ansicht des tatsächlichen Zahlungsrisikos
  • 54 validierte Befunde, nach Schweregrad gruppiert, mit reproduzierbaren Angriffspfaden
  • Klare Behebungsanleitung, die direkt von Ingenieuren genutzt wird
  • Automatisches Retesting verifizierte, dass Fixes Schwachstellen tatsächlich beseitigt haben
  • Strukturierter Pentest-Bericht, der in Partner-, Audit- und Due-Diligence-Gesprächen verwendet wird

Smartendr, jetzt Teil von orderBilly, ist eine Bestellplattform für Bars und Restaurants. Die Plattform verarbeitet monatlich Transaktionen im Wert von rund 10 Millionen Euro und bedient etwa eine Million Endnutzer. Zahlungen, Point-of-Sale-Integrationen und Kundendaten sind zentrale Bestandteile des Produkts, wodurch Anwendungssicherheit zu einer Kernanforderung für das Unternehmen wird.

„Ich bin hauptsächlich für die technische Seite des Unternehmens verantwortlich“, sagt Robin Praet, Mitbegründer und CTO von Smartendr. „Das umfasst Plattformarchitektur, Integrationen und Sicherheit.“

Als Smartendr skalierte, stand das Team vor einer bekannten Herausforderung für schnell wachsende Plattformen: schnell voranzukommen und gleichzeitig das Vertrauen darin zu bewahren, wo tatsächliche Risiken bestanden.

Herausforderung: Schnelle Entwicklung ohne vollständige Transparenz über reale Risiken

Als Smartendr im Transaktionsvolumen und der Nutzerbasis wuchs, änderte sich sein Risikoprofil erheblich.

„Wir haben jetzt monatlich rund eine Million Endnutzer. Bei dieser Größenordnung genügt ein einziger böswilliger Akteur, um eine Schwachstelle auszunutzen.“

Die Sicherheitserwartungen von Restaurants und Partnern waren hoch. Bestellungen, die in Kassensystemen auftauchten, mussten korrekt bezahlt und vor Manipulationen geschützt werden. Gleichzeitig bedeuteten Funktionen wie Treueprogramme, dass die Plattform persönliche Kundendaten verarbeitete.

Vor der Einführung KI-PenetrationstestsAikido befolgte Smartendr bereits bewährte Sicherheitsverfahren. Das Team stützte sich auf eine Kombination aus präventiven Kontrollen, manuellen Überprüfungen und regelmäßigen Kontrollen. Dies bot zwar eine grundlegende Absicherung, lieferte jedoch kein vollständiges oder aktuelles Bild davon, wie die Plattform in der Praxis angegriffen werden könnte.

„Das größte Problem war Fragmentierung“, sagt Robin. „Es gab keine einzige Ansicht unserer Sicherheitsposition, was es leicht macht, Grenzfälle zu übersehen, insbesondere bei APIs und Integrationen.“

Mit kontinuierlichen Releases und zahlreichen Integrationen wurden Lücken zwischen Sicherheitsprüfungen schwerer zu rechtfertigen. Das Team benötigte eine Möglichkeit zu verstehen, wo es aktuell am anfälligsten war, und nicht nur, wo theoretisch Probleme bestehen könnten.

„Es wurde klar, dass Sicherheit nicht allein auf periodische Überprüfungen angewiesen sein konnte“, sagt Robin. „Sie musste sich in die Art und Weise einfügen, wie wir Software entwickeln und bereitstellen.“

Lösung: KI-Penetrationstests reale Angriffswege und klare Prioritäten aufzeigen

Bei der Evaluierung von Lösungen suchte Smartendr nach Sicherheitstests, die reales Angriffsverhalten widerspiegelten, ohne die Entwicklung zu verlangsamen.

Aikido unserer Arbeitsweise. Es lässt sich in unseren Entwicklungsprozess integrieren, liefert kontinuierliches Feedback und konzentriert sich auf echte, umsetzbare Risiken statt auf Nebensächlichkeiten.“

Smartendr nutzte Aikido bereits Aikido präventive Sicherheitskontrollen. Der KI-Pentest deckte keine vergessenen Grundlagen auf, sondern realistische Angriffswege, die nur dann zum Vorschein kommen, wenn APIs, Zahlungen und Point-of-Sale-Integrationen unter realen Bedingungen interagieren.

Der Einstieg erforderte nur minimale Einstellungen. Da die Codebasis von Smartendr bereits mit Aikido verbunden war, war der Start des KI-Pentests mit nur wenigen Klicks erledigt.

„Es war keine aufwendige Konfiguration oder Vorbereitung nötig“, erklärt Robin. „Sicherheit sollte einfach zu aktivieren sein, kein separates Projekt.“

Der AI-Pentest wurde gegen die Anwendung von Smartendr durchgeführt und förderte 54 validierte Ergebnisse zutage. Obwohl zunächst konfrontierend, sorgten die Ergebnisse für Klarheit statt Verwirrung.

„Zuerst war es konfrontierend zu sehen, wie gründlich die Ergebnisse waren“, sagt Robin. „Gleichzeitig gab es uns ein klares Bild davon, was zu verbessern ist.“

Im Gegensatz zu traditionellen Pentests im Checklisten-Stil verhielten sich die AI-Agenten wie ein echter Angreifer, der das System erkundet. Jeder Befund wurde validiert, nach Schweregrad gruppiert und mit reproduzierbaren Schritten versehen, die zeigten, wie das Problem in der Praxis ausgenutzt werden könnte.

„Die Agents verhielten sich eher wie ein tatsächlicher Angreifer, der das System erkundete. Das machte die Ergebnisse relevanter als ein Pentest im Checklisten-Stil.“

Dies ermöglichte den Ingenieuren von Smartendr, sofort zu unterscheiden, was dringend behoben werden musste, von dem, was im Laufe der Zeit priorisiert werden konnte.

„Die Validierungsschritte machten es viel einfacher, den Ergebnissen zu vertrauen und das Nachjagen von False Positives zu vermeiden“, erklärt Robin.

Einige der wertvollsten Entdeckungen waren nicht offensichtliche Probleme, die nur auftraten, wenn mehrere Systeme interagierten – genau die Art von Risiko, die durch manuelle Überprüfungen allein am schwierigsten zu beurteilen ist.

Von Annahmen zu verifizierter Risikoreduzierung

Sobald die Behebung begann, half die bereitgestellte Anleitung den Ingenieuren, sich schnell vom Verstehen der Probleme bis zu deren Behebung zu bewegen.

„Die Empfehlungen waren konkret und umsetzbar“, sagt Robin. „Ingenieure konnten direkt vom Verständnis eines Problems zur Behebung übergehen.“

Automatisches Retesting spielte eine entscheidende Rolle beim Schließen des Kreislaufs. Anstatt davon auszugehen, dass Fixes funktionierten, konnte das Team überprüfen, ob Schwachstellen tatsächlich behoben wurden.

„Sobald ein Fix implementiert ist, erhalten Sie eine sofortige Bestätigung“, sagt Robin. „Das beseitigt Unsicherheit und spart Zeit.“

Der finale Pentest-Bericht stärkte auch Gespräche über das Engineering hinaus. Anstatt sich auf allgemeine Zusicherungen zu verlassen, konnte Smartendr auf eine strukturierte, aktuelle Bewertung mit klaren Ergebnissen und Folgemaßnahmen verweisen.

„Anstatt vager Aussagen über Sicherheit konnten wir eine strukturierte und aktuelle Bewertung vorweisen. Das machte Gespräche mit Partnern, Auditoren oder potenziellen Käufern konkreter.“

Ergebnis: Klarheit, Priorisierung und kontinuierliche Sicherheit

Nach der Behebung der Feststellungen gewann Smartendr Vertrauen in seine Sicherheitslage, nicht weil jedes Risiko eliminiert wurde, sondern weil die wichtigsten Risiken klar identifiziert, priorisiert und verifiziert wurden.

„Wir haben ein klareres Verständnis unserer schwächsten Punkte“, erklärt Robin. „Nicht weil alles perfekt ist, sondern weil die größten Risiken identifiziert und angegangen werden.“

Sicherheit wird nicht mehr als gelegentlicher Prüfpunkt behandelt. Sie ist zu einer fortlaufenden, kontinuierlich überprüften Praxis geworden, die direkt in den Entwicklungs-Workflow passt.

„Mit Hilfe von Aikido können wir beim Entwickeln neuer Funktionen proaktiver über Angriffsflächen und Randfälle nachdenken“, sagt Robin.

Zusammenfassung

„Es verschaffte uns einen viel klareren und realistischeren Blick auf unser tatsächliches Risiko, ohne die Art und Weise zu verlangsamen, wie wir Software entwickeln und bereitstellen“, schließt Robin.

Überschrift 1

Überschrift 2

Überschrift 3

Überschrift 4

Überschrift 5
Überschrift 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Blockzitat

Geordnete Liste

  1. Punkt 1
  2. Punkt 2
  3. Punkt 3

Ungeordnete Liste

  • Punkt A
  • Punkt B
  • Punkt C

Textlink

Fettgedruckter Text

Betonung

Hochgestellt

Tiefgestellt

Springe zu:
Textlink
Teilen:

https://www.aikido.dev/customer-story/smartendr

Website
https://www.smartendr.com/
Gegründet
2020
Branche
HospitalityTech
Hauptsitz
Gent, Belgien
Größe des Entwicklungsteams
Partner

Werden Sie jetzt sicher.

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Scanning starten
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.