Calvin Risk AG

Calvin Risk AG: Schnelle Risikoreduktion durch gezielten Mini Pentest

Ein 8-Stunden Mini Pentest deckte 12 Schwachstellen auf - alle innerhalb von 5 Tagen behoben und verifiziert.

Tage bis 100% Fix

Schwachstellen gefunden

Testaufwand

100%

Behoben & Verifiziert

Branche SaaS / AI Governance

Unternehmensgröße Wachstumsunternehmen

Service Mini Pentest

Risiko-Reduktion Hohes Risiko → Niedriges Risiko

Projektüberblick

Calvin Risk AG beauftragte uns mit einem 8-stündigen Mini Pentest, um die Sicherheit ihrer KI-Governance-Plattform schnell und fundiert einzuschätzen - inklusive Management Summary und Retest-Nachweis für Enterprise-Kundschaft.

Zeitrahmen

5 Kalendertage vom Kick-off bis zum Retest mit aktualisiertem Report.

Scope

Produktivumgebung (Next.js / Django), Rollen-basiertes Testing, API- und Mandantentrennung.

Deliverables

Technischer Report, priorisierte Maßnahmen, Management Summary, Retest-Zertifikat.

Team-Effekt

Engineering erhielt direkte Einblicke in Angreiferdenken und setzte alle Maßnahmen innerhalb von 3 Tagen um.

Management Summary & Retest inklusive

Der Auftrag bestand explizit darin, das Top-Management mit einer verständlichen Risikoeinordnung zu versorgen und nach der Umsetzung aller Maßnahmen den Erfolg in einem Retest nachzuweisen.

Ausgangslage & Zielsetzung

Calvin Risk AG wächst schnell und betreut regulierte Enterprise-Kundinnen. Das Produkt verarbeitet sensible Governance-Daten, die bei einem Vorfall sofort Compliance- und Vertrauensprobleme auslösen würden.

Schnelle, fundierte Bestandsaufnahme der produktiven Plattform ohne Entwicklungsstopp.
Klar priorisierte Maßnahmenliste für das Engineering-Team.
Management-taugliche Zusammenfassung der Risiken und erzielten Verbesserungen.
Retest als Nachweis für Kundengespräche und Due-Diligence-Anfragen.

Dank bereitgestellter API-Definition, Testzugängen und direktem Draht zum Development konnten wir ohne Ramp-up starten und uns auf die kritischsten Geschäftsprozesse konzentrieren.

Engagement-Setup

Angriffsflächen

Produktivumgebung mit Organisationen, Admin-Workflows, Mandantenverwaltung, Reporting.

API-Basis

Aktuelle API-Definition (OpenAPI) als Grundlage für Tests abseits der GUI.

Testdaten

Rollenbasierte Zugänge (User, Admin, Auditor) für realistische Angriffsszenarien.

Zusammenarbeit

Tägliche Abstimmung mit Engineering, schnelle Klärung technischer Fragen, gemeinsame Priorisierung.

Teststrategie & Fokus

Der Mini Pentest konzentrierte sich auf volle 8 Stunden intensives, manuelles Penetrationstesting. Dank der vollständigen OpenAPI-Spezifikation konnten wir die Priorisierung extrem schnell durchführen und die gesamte Zeit auf das eigentliche Testing verwenden.

OpenAPI als Grundlage

Die vollständige API-Dokumentation ermöglichte schnellste Priorisierung und direktes Testing ohne zeitaufwändige Exploration.

8h Volles Testing

Komplette Konzentration auf manuelles Pentesting: Authentifizierung, Autorisierung, Mandantentrennung, Datenzugriff und API-Sicherheit.

Fokus: CVSS > 7.0

Klare Priorisierung auf kritische und hochgradig schwere Schwachstellen - alles mit CVSS-Score über 7.0 wurde intensiv getestet.

Separates Reporting

Das detaillierte Reporting und die Management Summary wurden nach Abschluss der 8 Teststunden erstellt und separat berechnet. So konnte die gesamte gebuchte Zeit für das eigentliche Testing genutzt werden.

Der manuelle Ansatz deckte Business-Logik-Schwachstellen und Mandantenfehler auf, die automatisierte Scans nicht erkennen - insbesondere kritische Autorisierungsprobleme, die nur durch kontextuelles Verständnis der Geschäftslogik identifizierbar waren.

Ergebnisse auf einen Blick

Insgesamt dokumentierten wir zwölf verwertbare Findings. Das Calvin Risk Team behob alle Punkte innerhalb von drei Arbeitstagen - der Retest bestätigte die Wirksamkeit.

1 Kritisch

3 Hoch

3 Mittel

5 Weitere Hinweise

100 % Remediation im Retest

Alle Schwachstellen wurden behoben und erneut überprüft. Der aktualisierte Bericht dient Calvin Risk als Nachweis in Kundenterminen und Audits.

Technische Kernerkenntnisse

Die sensibelsten Schwachstellen lagen in Bereichen, die bei SaaS-Plattformen den höchsten Business Impact erzeugen.

Mandantentrennung

Broken Object Level Authorization erlaubte den Zugriff auf Daten anderer Organisationen durch manipulierte Objekt-IDs.

Identitäts- & Zugriffskontrolle

Sitzungs- und Rollentrennung bot Umgehungsmöglichkeiten bei administrativen Funktionen.

Robuste Validierung

Clientseitige Prüfungen ließen sich umgehen, wodurch Injection-Pfade sowie unvollständige Audit-Trails möglich waren.

Datenminimierung

API-Responses enthielten Metadaten und organisationsübergreifende Informationen, die für den Use-Case nicht notwendig waren.

Business-Auswirkung ohne Fix

Potenzielle Folgen reichten von Account-Übernahmen über DSGVO-relevante Datenabflüsse bis zu Vertrauensverlust bei Enterprise-Kundschaft.

Zeitplan & Deliverables

Tag 1: Kick-off & Pentest

Mini Pentest gegen die Produktivumgebung entlang priorisierter Angriffspfade.

Tag 2: Report & Management Summary

Übergabe des technischen Berichts inklusive Executive Summary für das Top-Management.

Tag 3-4: Remediation durch Calvin Risk

Umsetzung aller Findings mit enger Abstimmung und Q&A-Sessions.

Tag 5: Retest & Abschluss

Verifikation, aktualisierter Bericht und formeller Nachweis für Kundinnen, Investoren und Audits.

Wertbeitrag für Calvin Risk AG

Nachweisbare Sicherheit

100 % der Findings behoben und dokumentiert - wichtig für Enterprise-Sales und Audit-Termine.

Risiko reduziert

Gesamtrisiko von hoch auf niedrig gesenkt, inklusive Business-Impact-Bewertung.

Keine Downtime

Pentest, Fixes und Retest ohne Unterbrechung des Produktivbetriebs.

Security-Mindset gestärkt

Engineering versteht Angreiferverhalten besser und überführt Learnings in Guidelines & QA.

Der Mini Pentest hat uns in kürzester Zeit die kritischen Schwachstellen aufgezeigt. Bericht, Management Summary und Retest lieferten uns genau die Argumente, die wir in Kundengesprächen und gegenüber Investoren benötigen.

Syang Zhou CTO & Engineering Team

Lessons Learned & nächste Schritte

Calvin Risk demonstrierte, dass sich schnelles Produktwachstum und hohe Sicherheitsstandards vereinen lassen, wenn Security in den Entwicklungsprozess eingebettet wird.

Empfehlungen für die Roadmap

Regelmäßige SaaS-Penetrationstests: Nach größeren Feature-Releases, idealerweise vierteljährlich.
Security Code Reviews: Für Änderungen an Authentifizierungs- und Autorisierungslogik.
Secure-SDLC-Bausteine: Security-Champions, API-spezifische Test-Playbooks, automatisierte Regressionstests.
Incident-Response-Übungen: Vorbereitung auf Worst-Case-Szenarien mit klaren Verantwortlichkeiten.

Schnelle Klarheit für Ihr Team?

Wir unterstützen Sie mit fokussierten Mini Pentests, verständlichen Management Summaries und belastbaren Retests. Kontaktieren Sie uns für ein unverbindliches Gespräch.

Projektumfang

Kunde: Calvin Risk AG
Branche: KI-Governance SaaS
Unternehmensgröße: Wachstumsunternehmen
Sitz: Schweiz

Leistungsbausteine

Mini Pentest (8 Stunden)
Technischer Bericht & Management Summary
Retest & Abschlussbesprechung
Q&A für Engineering & Management

Zurück zur Übersicht

Wir sind für Sie da

Ähnliche Herausforderungen?

Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Schnelle Antwort

Wir melden uns innerhalb von 24 Stunden bei Ihnen

Datenschutz

Ihre Daten werden vertraulich behandelt

Persönliche Beratung

Direkter Kontakt zu unseren Experten

Vorname *

Nachname *

E-Mail-Adresse *

Telefonnummer

Ihre Nachricht *

Ich stimme der Datenschutzerklärung zu *