< Alle Case Studies
Hero image

kolum sichert seine Compliance-Plattform im Rahmen des ISO-27001-Folgeaudits

Mit einem fokussierten Penetrationstest haben wir kolum dabei unterstützt, die Sicherheit seiner Compliance-Plattform unabhängig zu überprüfen — als zentralen Baustein für das ISO-27001-Folgeaudit und mit klarem Blick auf die sensiblen Handels-, Lieferketten- und Emissionsdaten der Kund*innen.

Logo

Über kolum

kolum ist ein 2024 in Berlin gegründetes ClimateTech-Startup, das eine SaaS-Plattform für regulatorische EU-Compliance entwickelt — mit Fokus auf CBAM und EUDR. Mit kolum können Unternehmen ihre Importe und Lieferketten klassifizieren, Emissions- und Herkunftsdaten verwalten sowie regulatorische Reports automatisiert erstellen. Damit richtet sich kolum an EU-Importeure, Hersteller außerhalb der EU sowie Beratungen.

Zur kolum Webseite

Überblick

Ziele

  • Unabhängige Überprüfung der Plattform als Baustein für das ISO-27001-Folgeaudit
  • Identifikation von Sicherheitsschwachstellen in Web-App, API und Cloud-Infrastruktur

Ergebnisse

  • Umfassender Penetrationstest mit klar priorisierten Findings
  • Belastbarer Nachweis für das ISO-27001-Folgeaudit und konkrete Grundlage für die weitere Härtung

Das Projekt

  • Dienstleistung
    Anwendungssicherheit
  • Rolle
    Penetration Tester
  • Technologien
    Web Services, OWASP WSTG, REST API, Multi-Tenant-SaaS, Cloud-Infrastruktur
  • Branche
    ClimateTech, RegTech, SaaS
  • Leistungen
    Penetration Test, Security Assessment

Herausforderung

Als ClimateTech- und RegTech-Startup verarbeitet kolum Daten, die für regulatorische Berichte und geschäftskritische Entscheidungen relevant sind: Handelsdaten, Lieferketteninformationen, Herkunftsnachweise und Emissionsdaten. Für die Kund*innen von kolum sind dabei nicht nur Vertraulichkeit und Verfügbarkeit wichtig, sondern auch die Integrität der Daten, auf deren Basis Compliance-Nachweise entstehen.

Im Rahmen des ISO-27001-Folgeaudits bestand der Bedarf, die Compliance-Plattform durch einen unabhängigen Penetrationstest prüfen zu lassen. Neben klassischen Web-Schwachstellen standen dabei auch Fragen zur Mandantentrennung, zur Absicherung der REST-Schnittstellen und zur zugrunde liegenden Cloud-Infrastruktur im Fokus.

Vorgehen

Das gemeinsame Ziel: Eine fundierte, unabhängige Sicherheitsbewertung der CBAM- und EUDR-Plattform — als belastbarer Baustein für das ISO-27001-Folgeaudit und als konkrete Grundlage für weitere Härtungsmaßnahmen.

Wie sind wir in das Projekt gestartet?

In enger Abstimmung mit dem CTO haben wir zunächst Scope, Testfenster und technische Schwerpunkte festgelegt. Im Fokus standen die öffentlich erreichbare Plattform, die REST-Schnittstellen, relevante Nutzerflüsse und die zugrundeliegende Cloud-Infrastruktur. Die Zusammenarbeit war von Beginn an durch kurze Wege, schnelle Entscheidungen und eine unkomplizierte Kommunikation geprägt.

Mit Crissy Field hatten wir vom ersten Gespräch an das Gefühl, dass da jemand wirklich versteht, was wir bauen — und nicht nur eine Checkliste abarbeitet. Thomas hat sich schnell in unsere Plattform und unsere Datenflüsse hineingedacht und genau die Stellen gefunden, auf die es bei uns ankommt — statt an der Oberfläche zu bleiben. Diese technische Tiefe hat man jeder Frage und jedem Finding angemerkt.

Für unser ISO-27001-Folgeaudit war uns wichtig, dass der Pentest fundiert ist und sich trotzdem unkompliziert in unseren Alltag einfügt. Genau das hat Crissy Field geliefert: kurze Wege, schnelle Abstimmung und Findings, die sauber priorisiert und so erklärt waren, dass wir direkt damit weiterarbeiten konnten.

Strategie & Maßnahmen

Unser Vorgehen umfasste drei zentrale Bereiche.

1) Scope und Angriffsflächen verstehen: Gemeinsam mit dem Team von kolum haben wir die relevanten Systemgrenzen, öffentlich erreichbaren Komponenten und sicherheitskritischen Funktionen der Compliance-Plattform abgesteckt. Dadurch entstand ein klares Bild davon, welche Datenflüsse, Rollen und Schnittstellen für die Sicherheitsbewertung besonders relevant sind.

2) Applikation, API und Infrastruktur prüfen: Web-Applikation, REST-Schnittstellen und Cloud-Infrastruktur wurden entlang typischer Nutzungsszenarien getestet. Im Fokus standen Authentifizierung, Autorisierung, Mandantentrennung, Eingabevalidierung, exponierte Dienste und der Schutz sensibler Handels-, Lieferketten- und Emissionsdaten.

3) Findings klar aufbereiten: Die Prüfung kombinierte automatisierte Checks mit manueller Analyse nach dem OWASP Web Security Testing Guide. Die identifizierten Schwachstellen wurden priorisiert, technisch eingeordnet und nachvollziehbar dokumentiert. Damit erhielt kolum einen belastbaren Nachweis für das ISO-27001-Folgeaudit und eine direkt umsetzbare Grundlage für die weitere Härtung der Plattform.

Fazit

Der Penetrationstest lieferte kolum eine unabhängige und fundierte Sicherheitsbewertung der CBAM- und EUDR-Plattform — und damit einen wichtigen Baustein für das ISO-27001-Folgeaudit. Die identifizierten Schwachstellen wurden klar priorisiert und so aufbereitet, dass das Team sie gezielt adressieren konnte.

Für kolum entstand damit eine solide Grundlage, um die Plattform weiter zu härten und das Vertrauen in den Umgang mit regulatorisch relevanten Daten zu stärken: von Handels- und Lieferketteninformationen bis zu Emissions- und Herkunftsdaten.

Weitere Case Studies

Anwendungssicherheit

OMR stärkt die Sicherheit seiner Web-Applikationen

Zur Case Study

Technische Beratung

Formbricks entwickelt Open-Source Experience Management mit strategischem CTO Sparring

Zur Case Study

Softwareentwicklung, Beratung

HEON setzt mit KI-Entwicklung neue Maßstäbe in der Prozessautomatisierung

Zur Case Study

Sprechen Sie mit einem Experten

Melden Sie sich bei uns für ein erstes informelles Gespräch. Wir analysieren den Status Quo und entwickeln gemeinsam Lösungen.

Experte anfragen