Schweizerischer Nationalfonds (SNF)

«Die Zusammenarbeit mit Pentryx war für uns äusserst wertvoll. Die Penetrationstests waren nicht nur technisch fundiert, sondern auch bestens dokumentiert und praxisnah aufbereitet. Besonders schätzen wir die transparente Kommunikation, die klare Priorisierung der Findings und die partnerschaftliche Zusammenarbeit. So konnten wir unsere neuen Portal-Funktionen mit hoher Sicherheit in Betrieb nehmen.»

– Fabian Bigler, Software Architect, External Partner @ Schweizerischer Nationalfonds

Sichere Forschungsförderung durch gezielte Cybersecurity‑Prüfungen

Der Schweizerische Nationalfonds (SNF) ist die zentrale Institution zur Förderung der wissenschaftlichen Forschung in der Schweiz. Er entwickelt und betreibt digitale Plattformen, über die Forschungsprojekte eingereicht, beurteilt und verwaltet werden. Für neue Module des SNF‑Portals wurde ein umfassender Sicherheitstest beauftragt, um die Vertraulichkeit, Integrität und Stabilität der Plattform sicherzustellen. Bereits in der Vergangenheit durften die Tester von Pentryx den SNF bei ähnlichen Prüfungen unterstützen.

Der Fokus lag auf Access Control, robuster Eingabevalidierung und der Analyse der sicherheitsrelevanten Geschäftslogik. Grundlage bildet bei diesen Tests das OWASP Testing Framework, ergänzt durch kundenspezifische Use‑Cases die mittels dedizierten Testaccounts geprüft wurden.

Der SNF betreibt eine Plattform, auf der schützenswerte Daten zu Forschung, finanzielle Informationen, personenbezogene Daten und interne Kommunikation verwaltet werden.

Die digitale Forschungsförderung bringt besondere Herausforderungen mit sich:

Viele unterschiedliche Rollen und Berechtigungen, die korrekt und sicher umgesetzt sein müssen.
Geschäftskritische Prozesse, insbesondere im Bereich Finanzierung, Bewilligungen und Team‑Management.
Hohe Anforderungen an Datenschutz und Nachvollziehbarkeit.
Robuste Abwehr gegen Angriffe, die auf Manipulation oder unautorisierte Zugriffe abzielen.

Cybersecurity ist hier unerlässlich, denn Schwachstellen könnten sowohl operative Abläufe blockieren als auch unberechtigte Zugriffe auf vertrauliche Forschungsinhalte ermöglichen. Der SNF wollte sicherstellen, dass neue Module des Portals von Beginn an sicher, belastbar und korrekt implementiert sind.

Realistische Sicherheitstests anstelle von automatisierten Scans

Pentryx AG führte einen umfassenden Web‑Applicaton‑Pentest durch, der technische Schwachstellen, Logikfehler und Abweichungen zwischen UI‑ und API‑Berechtigungen systematisch identifizierte. Dazu gehörten:

Prüfung aller relevanten Endpunkte des Grant‑Management‑Moduls
Detaillierte Tests zu Access Control, Business‑Logik und Manipulationsmöglichkeiten
Validierung der Server‑ und Client‑seitigen Sicherheitsmechanismen
Dokumentation der Reproduktionsschritte, Risiken und konkreten Massnahmen
Priorisierung der Findings

Diese Zusammenarbeit zeigt, wie wichtig es ist, digitale Fachanwendungen bereits während der Entwicklung sicher auszulegen – besonders dann, wenn sie:

komplexe Rollenmodelle enthalten
sensible oder vertrauliche Daten verarbeiten
geschäftskritische Prozesse digitalisieren
API‑basierte Interaktionen mit hohen Anforderungen an Integrität und Berechtigung nutzen

Sicherheitsvorsprung für unsere Kunden – messbar, praxisnah, nachhaltig

Unsere Kunden profitieren von einer frühzeitigen Reduktion sicherheitsrelevanter Risiken, noch bevor Systeme in den produktiven Betrieb übergehen. Durch die verlässliche Identifikation technischer und logischer Schwachstellen erhalten sie konkrete und umsetzbare Empfehlungen, die weit über theoretische Betrachtungen hinausgehen. Die Zusammenarbeit gestaltet sich partnerschaftlich und praxisnah, wodurch Sicherheit pragmatisch integriert wird. Zudem ermöglichen klar priorisierte Massnahmen eine unmittelbare Umsetzung durch Entwicklungs- und Betriebsteams. Auf diese Weise unterstützt Pentryx Organisationen dabei, digitale Prozesse robust aufzubauen, Risiken kontrolliert zu managen und Systeme nachhaltig sicher zu betreiben – unabhängig davon, ob es sich um öffentliche Plattformen, Fachapplikationen oder interne Geschäftsprozesse handelt.