Well: Wenn Gesundheitsdaten das höchste Schutzniveau verlangen
Well ist ein Schweizer Health-Tech-Startup, das alle Beteiligten im Gesundheitswesen auf einer gemeinsamen digitalen Plattform verbindet. Stefan Dauwalder, Head of Software Barcelona / Information Security Officer (ISO) bei Well, erklärt im Gespräch, weshalb Sicherheit bei Gesundheitsdaten über allem steht und wie das Unternehmen mit GObugfree einen strukturierten Einstieg in externe Sicherheitsprüfungen mit Scanning, Bugtest und Bug Bounty gefunden hat.
Stefan, erklär uns kurz, was ist Well?
Wir sind ein Startup im Schweizer Gesundheitswesen, das vor fünf Jahren gegründet wurde. Zu unseren Hauptinvestoren gehören Visana und CSS. Unsere Mission ist es, die Gesundheitsversorgung in der Schweiz durch Digitalisierung einfacher und kostengünstiger zu machen.
Wir bieten eine Plattform, die allen Beteiligten das Leben erleichtert: Patientinnen und Patienten genauso wie Ärztinnen und Ärzten sowie Versicherern. Über Well können Gesundheitsdaten und Dokumente ausgetauscht, Services genutzt und Informationen bereitgestellt werden, die Menschen dabei unterstützen, bessere Entscheidungen rund um ihre Gesundheit und ihr Wohlbefinden zu treffen. Zudem schaffen wir Verbindungen zu bestehenden Ärzteplattformen und Partnern wie OneDoc und weiteren Anbietern.
Warum ist Cybersicherheit für euch besonders relevant?
Wir arbeiten mit Gesundheitsdaten. Das sind höchst schützenswerte Daten. Entsprechend muss Sicherheit in jedem Prozess und bei jedem Plattformzugriff mitgedacht werden. Alle Daten sind in der Schweiz gehostet, wir unterliegen dem Schweizer Datenschutzrecht, und auch unser Team in Barcelona hat keinen Zugriff auf Schweizer Kundendaten.
Für uns ist Security kein einzelnes technisches Thema, sondern reicht von regulatorischen Anforderungen bis in den täglichen Betrieb.
Was habt ihr konkret mit GObugfree gemacht?
Wir sind mit GObugfree über mehrere Schritte gestartet. Zuerst haben wir eine Attack Surface Analysis durchgeführt, also einen automatisierten Scan unserer öffentlich erreichbaren Systeme. Danach folgte ein zweitägiger Bugtest. Anschliessend haben wir ein dreimonatiges Bug-Bounty-Programm gemacht, das wir im Anschluss verlängert haben. Diese Kombination hat uns gut gefallen, weil sie verschiedene Testansätze sinnvoll verbindet und sich gut in unsere bestehende Sicherheitsstrategie einfügt.
Wie seid ihr auf GObugfree gekommen?
Früher haben wir klassische Pentests gemacht, zweiwöchige Engagements mit klar definiertem Scope. Irgendwann wollten wir etwas Neues ausprobieren und haben eine Evaluation gestartet.
Dabei war es für uns wichtig, ausschliesslich Schweizer Anbieter zu berücksichtigen. Das hat mit unseren Daten, unseren Kunden und unserem Markt zu tun. Als Health-Tech-Unternehmen in der Schweiz ist es für uns einfacher, auch gegenüber Partnern, Kunden oder in Audits zu erklären, wenn wir mit einem Schweizer Sicherheitsanbieter zusammenarbeiten.
GObugfree hat in dieser Evaluation am besten zu unseren Anforderungen gepasst, unter anderem auch, weil das Paket aus Scanning, Bugtest und Bug Bounty sehr flexibel in unsere Vertragsprozesse eingebunden werden konnte.
Die menschliche Komponente hat mich am meisten beeindruckt. Wir wurden in jedem Schritt abgeholt, alle Fragen wurden klar und geduldig beantwortet. Gerade weil Bug Bounty für uns neu war, war diese Nähe für uns sehr wertvoll.
Wie lief der Einstieg in Bug Bounty für euch ab?
Anfangs hatten einige Kolleginnen und Kollegen aus dem IT-Team Bedenken, dass das Bug-Bounty-Programm viel internen Aufwand mit sich bringen würde. Das hat sich schnell als unbegründet herausgestellt. GObugfree hat uns durch jeden Schritt begleitet – vom Scoping über den Bugtest bis hin zum Bug-Bounty-Programm.
Natürlich braucht es eine gewisse Offenheit. Man muss bereit sein, Findings von aussen anzunehmen und daraus zu lernen. Das ist auch ein Engineering-Thema. Aber der Prozess war sehr gut begleitet. Gerade weil Bug Bounty für uns neu war, war die enge Begleitung durch GObugfree sehr wertvoll.
Das Scoping war für uns besonders spannend. Es ist anders als bei einem klassischen Pentest. Man muss definieren, was für ethische Hacker interessant und sinnvoll testbar ist. Dabei hat uns GObugfree sehr gut unterstützt. Der ganze Prozess war nahtlos, einfach und sehr gut erklärt.
Welche Erkenntnisse habt ihr gewonnen?
Grundsätzlich hat sich bestätigt, dass wir gut aufgestellt sind. Im Rahmen der Tests wurden einige kleinere Bugs und Unschönheiten gefunden, die wir schnell beheben konnten. Für uns war das wertvoll, weil es unsere eigene Einschätzung bestätigt und gleichzeitig konkrete Verbesserungen ermöglicht hat.
Wir halten unsere Systeme aktuell und sind bei Sicherheitsthemen grundsätzlich sehr à jour. Entsprechend waren keine grossen Überraschungen dabei. Aber genau darum geht es ja auch: regelmässig zu prüfen, ob die eigenen Annahmen stimmen.
Sicherheitstests sind für uns ein fester Bestandteil unserer Sicherheitsstrategie.
Wir haben in kurzer Zeit sehr viel erreicht. Der Ansatz war für uns effizient, gründlich und mit wenig internem Aufwand verbunden.
Wo lag für euch der Mehrwert von GObugfree?
Der Scan und der Bugtest wurden in kurzer Zeit sehr gründlich durchgeführt. Man hat gemerkt, dass eine fundierte Analyse dahintersteht.
Besonders wertvoll war dabei die Triage durch GObugfree: Sie haben für uns bewertet, ob ein Finding wirklich sicherheitsrelevant ist, welchen Impact es hat und wie es einzuordnen ist. Das hat unseren internen Aufwand erheblich reduziert.
Auch die Plattform war für uns sehr praktisch. Die Findings waren sauber dokumentiert, wir hatten jederzeit eine gute Übersicht und konnten die Reports einfach exportieren. Das hat die interne Weiterverarbeitung deutlich erleichtert.
Welche nächsten Schritte plant ihr im Bereich Cybersicherheit allgemein?
Sicherheit ist für uns kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Wir evaluieren regelmässig, welche Kombination aus Pentests, Scanning und weiteren Formaten für uns am sinnvollsten ist, und schätzen es, dabei verschiedene Perspektiven einzuholen.
Das gilt auch für das Thema KI. Wir bewegen uns dabei auf zwei Ebenen: In unserer App bieten wir einen smarten Assistenten an, bei dem der Zugriff auf Nutzerdaten sehr restriktiv gehandhabt wird. Das wurde auch im Rahmen unserer Tests mit GObugfree geprüft. Intern setzen wir KI in der Entwicklung ein, aber mit klaren Sicherheitsregeln und Code Reviews. Themen wie Prompt Injection sind für uns keine Zukunftsmusik: Damit beschäftigen wir uns bereits heute.
Würdest du GObugfree anderen Unternehmen empfehlen?
Auf jeden Fall. Für uns war es sehr zeiteffizient und effektiv. Wir haben in kurzer Zeit mehr erreicht als mit anderen Ansätzen, die deutlich mehr Aufwand verursacht hätten. Zudem war für uns der Schweizer Bezug wichtig. Als Schweizer Health-Tech-Unternehmen, das mit sensiblen Gesundheitsdaten arbeitet, ist es ein Vorteil, mit einem Schweizer Anbieter zusammenzuarbeiten.
Externe Sicherheitsprüfung für Ihr Unternehmen?
Ob Attack Surface Analysis, Bugtest oder Bug Bounty: Wir unterstützen Sie dabei, Ihre Sicherheitslage strukturiert zu prüfen und passende Testformate zu finden.