Auf einen Blick
- AI Pentest simulierte echtes Angreiferverhalten über die gesamte Anwendung und Integrationen hinweg
- Wechseln Sie von fragmentierten, periodischen Prüfungen zu einer klaren, priorisierten Ansicht des tatsächlichen Zahlungsrisikos
- 54 validierte Befunde, nach Schweregrad gruppiert, mit reproduzierbaren Angriffspfaden
- Klare Behebungsanleitung, die direkt von Ingenieuren genutzt wird
- Automatisches Retesting verifizierte, dass Fixes Schwachstellen tatsächlich beseitigt haben
- Strukturierter Pentest-Bericht, der in Partner-, Audit- und Due-Diligence-Gesprächen verwendet wird
Smartendr, jetzt Teil von orderBilly, ist eine Bestellplattform für Bars und Restaurants. Die Plattform verarbeitet monatlich Transaktionen im Wert von rund 10 Millionen Euro und bedient etwa eine Million EndBenutzer. Zahlungen, Point-of-Sale-Integrationen und Kundendaten sind zentrale Bestandteile des Produkts, wodurch Anwendungssicherheit zu einer Kernanforderung für das Unternehmen wird.
„Ich bin hauptsächlich für die technische Seite des Unternehmens verantwortlich“, sagt Robin Praet, Mitbegründer und CTO von Smartendr. „Das umfasst Plattformarchitektur, Integrationen und Sicherheit.“
Als Smartendr skalierte, stand das Team vor einer bekannten Herausforderung für schnell wachsende Plattformen: schnell voranzukommen und gleichzeitig das Vertrauen darin zu bewahren, wo tatsächliche Risiken bestanden.
Herausforderung: Schnelle Entwicklung ohne vollständige Transparenz über reale Risiken
Als Smartendr im Transaktionsvolumen und der Benutzerbasis wuchs, änderte sich sein Risikoprofil erheblich.
„Wir haben jetzt monatlich rund eine Million EndBenutzer. Bei dieser Größenordnung genügt ein einziger böswilliger Akteur, um eine Schwachstelle auszunutzen.“
Die Sicherheitserwartungen von Restaurants und Partnern waren hoch. Bestellungen, die in Kassensystemen auftauchten, mussten korrekt bezahlt und vor Manipulationen geschützt werden. Gleichzeitig bedeuteten Funktionen wie Treueprogramme, dass die Plattform persönliche Kundendaten verarbeitete.
Bevor Smartendr Aikidos KI-Penetrationstests einführte, befolgte das Unternehmen bereits bewährte Sicherheitspraktiken. Das Team setzte auf eine Kombination aus präventiven Kontrollen, manuellen Überprüfungen und regelmäßigen Checks. Obwohl dies eine grundlegende Abdeckung bot, lieferte es kein vollständiges oder aktuelles Bild davon, wie die Plattform in der Praxis angegriffen werden könnte.
„Das größte Problem war Fragmentierung“, sagt Robin. „Es gab keine einzige Ansicht unserer Sicherheitsposition, was es leicht macht, Grenzfälle zu übersehen, insbesondere bei APIs und Integrationen.“
Mit kontinuierlichen Releases und zahlreichen Integrationen wurden Lücken zwischen Sicherheitsprüfungen schwerer zu rechtfertigen. Das Team benötigte eine Möglichkeit zu verstehen, wo es aktuell am anfälligsten war, und nicht nur, wo theoretisch Probleme bestehen könnten.
„Es wurde klar, dass Sicherheit nicht allein auf periodische Überprüfungen angewiesen sein konnte“, sagt Robin. „Sie musste sich in die Art und Weise einfügen, wie wir Software entwickeln und bereitstellen.“
Lösung: KI-Penetrationstests, die reale Angriffspfade und klare Prioritäten aufzeigen
Bei der Evaluierung von Lösungen suchte Smartendr nach Sicherheitstests, die reales Angriffsverhalten widerspiegelten, ohne die Entwicklung zu verlangsamen.
“Aikido passte zu unserer Arbeitsweise. Es integriert sich in unseren Entwicklungs-Workflow, liefert kontinuierliches Feedback und konzentriert sich auf reale, umsetzbare Risiken anstatt auf Rauschen.”
Smartendr nutzte Aikido bereits für präventive Sicherheitskontrollen. Der KI-Penetrationstest deckte keine vergessenen Grundlagen auf, sondern realistische Angriffspfade, die nur dann entstehen, wenn APIs, Zahlungen und Point-of-Sale-Integrationen unter realen Bedingungen interagieren.
Der Einstieg erforderte minimalen Aufwand. Da die Codebasis von Smartendr bereits mit Aikido verbunden war, dauerte der Start des KI-Penetrationstests nur wenige Klicks.
„Es war keine aufwendige Konfiguration oder Vorbereitung nötig“, erklärt Robin. „Sicherheit sollte einfach zu aktivieren sein, kein separates Projekt.“
Der AI-Pentest wurde gegen die Anwendung von Smartendr durchgeführt und förderte 54 validierte Ergebnisse zutage. Obwohl zunächst konfrontierend, sorgten die Ergebnisse für Klarheit statt Verwirrung.
„Zuerst war es konfrontierend zu sehen, wie gründlich die Ergebnisse waren“, sagt Robin. „Gleichzeitig gab es uns ein klares Bild davon, was zu verbessern ist.“
Im Gegensatz zu traditionellen Pentests im Checklisten-Stil verhielten sich die AI-Agenten wie ein echter Angreifer, der das System erkundet. Jeder Befund wurde validiert, nach Schweregrad gruppiert und mit reproduzierbaren Schritten versehen, die zeigten, wie das Problem in der Praxis ausgenutzt werden könnte.
„Die Agents verhielten sich eher wie ein tatsächlicher Angreifer, der das System erkundete. Das machte die Ergebnisse relevanter als ein Pentest im Checklisten-Stil.“
Dies ermöglichte den Ingenieuren von Smartendr, sofort zu unterscheiden, was dringend behoben werden musste, von dem, was im Laufe der Zeit priorisiert werden konnte.
„Die Validierungsschritte machten es viel einfacher, den Ergebnissen zu vertrauen und das Nachjagen von False Positives zu vermeiden“, erklärt Robin.
Einige der wertvollsten Entdeckungen waren nicht offensichtliche Probleme, die nur auftraten, wenn mehrere Systeme interagierten – genau die Art von Risiko, die durch manuelle Überprüfungen allein am schwierigsten zu beurteilen ist.
Von Annahmen zu verifizierter Risikoreduzierung
Sobald die Behebung begann, half die bereitgestellte Anleitung den Ingenieuren, sich schnell vom Verstehen der Probleme bis zu deren Behebung zu bewegen.
„Die Empfehlungen waren konkret und umsetzbar“, sagt Robin. „Ingenieure konnten direkt vom Verständnis eines Problems zur Behebung übergehen.“
Automatisches Retesting spielte eine entscheidende Rolle beim Schließen des Kreislaufs. Anstatt davon auszugehen, dass Fixes funktionierten, konnte das Team überprüfen, ob Schwachstellen tatsächlich behoben wurden.
„Sobald ein Fix implementiert ist, erhalten Sie eine sofortige Bestätigung“, sagt Robin. „Das beseitigt Unsicherheit und spart Zeit.“
Der finale Pentest-Bericht stärkte auch Gespräche über das Engineering hinaus. Anstatt sich auf allgemeine Zusicherungen zu verlassen, konnte Smartendr auf eine strukturierte, aktuelle Bewertung mit klaren Ergebnissen und Folgemaßnahmen verweisen.
„Anstatt vager Aussagen über Sicherheit konnten wir eine strukturierte und aktuelle Bewertung vorweisen. Das machte Gespräche mit Partnern, Auditoren oder potenziellen Käufern konkreter.“
Ergebnis: Klarheit, Priorisierung und kontinuierliche Sicherheit
Nach der Behebung der Feststellungen gewann Smartendr Vertrauen in seine Sicherheitslage, nicht weil jedes Risiko eliminiert wurde, sondern weil die wichtigsten Risiken klar identifiziert, priorisiert und verifiziert wurden.
„Wir haben ein klareres Verständnis unserer schwächsten Punkte“, erklärt Robin. „Nicht weil alles perfekt ist, sondern weil die größten Risiken identifiziert und angegangen werden.“
Sicherheit wird nicht mehr als gelegentlicher Prüfpunkt behandelt. Sie ist zu einer fortlaufenden, kontinuierlich überprüften Praxis geworden, die direkt in den Entwicklungs-Workflow passt.
“Mit Hilfe von Aikido Attack können wir beim Entwickeln neuer Funktionen proaktiver über Angriffsflächen und Edge Cases nachdenken”, sagt Robin.
Zusammenfassung
„Es verschaffte uns einen viel klareren und realistischeren Blick auf unser tatsächliches Risiko, ohne die Art und Weise zu verlangsamen, wie wir Software entwickeln und bereitstellen“, schließt Robin.
