Bitpanda

Cloudflare hilft Bitpanda dabei, die Anwendungs- und IT-Sicherheit ohne Einbußen bei der Performance zu verbessern, während das kleine Start-up zu einem großen Player im Fintech-Bereich heranwächst

Bitpanda macht Anlagegeschäfte für alle zugänglich. Das Unternehmen wurde 2014 von Eric Demuth, Paul Klanschek und Christian Trummer in Wien gegründet. Mithilfe der Innovationskraft digitalisierter Vermögenswerte und der Blockchain-Technologie beseitigt Bitpanda die Barrieren für Anlagegeschäfte.

Mit mehr als 500 Beschäftigten und über 2 Millionen Nutzern zählt Bitpanda zu den am schnellsten wachsenden Fintech-Unternehmen in Europa.

Die nutzerfreundliche Handelsplattform ermöglicht sowohl Erstanlegern als auch erfahrenen Experten, in beliebigem Umfang in die gewünschten Aktien, Kryptowährungen und Metalle zu investieren.

Die Herausforderung: Die Bekämpfung zunehmend häufiger und schwerwiegender DDoS-Angriffe und anderer automatisierter Attacken

Das Unternehmen war zu dem Zeitpunkt, als es erstmals Ziel von DDoS-Angriffen wurde, gerade einmal zwei Monate im Geschäft und verfügte nur über einen sehr kleinen Kundenstamm. Um sich zur Wehr zu setzen, meldete sich Bitpanda für den Free Plan von Cloudflare an. Darin enthalten sind das DNS und CDN von Cloudflare, Basisschutz vor DDoS-Angriffen und eine begrenzte Anzahl von Page Rules (die bestimmte Aktionen auslösen, wenn eine Anfrage einem zuvor von einem Nutzer definierten URL-Muster entspricht). Als die Firma eine gewisse Größe erreicht hatte, stieg sie auf ein kostenpflichtiges Abonnement um und fügte eine Durchsatzbegrenzung hinzu, die vor DDoS-Angriffen und anderen automatisierten Cyberattacken schützt.

In den letzten zwei Jahren verzeichnete sie einen erheblichen Wachstumsschub, gleichzeitig stieg aber auch die Zahl der automatisierten Angriffe auf ihre APIs und Kundenkonten. Cyberkriminelle suchten die APIs von Bitpanda nach Schwachstellen ab und starteten Credential-Stuffing-Attacken auf Kunden des Unternehmens. Diese automatisierten Angriffe beeinträchtigten die Performance und setzten die Kunden dem Risiko von Kontoübernahmen (Account Takeovers –ATOs) aus.

Christian Trummer, CTO und Mitgründer von Bitpanda, war klar: Es war an der Zeit, zum Enterprise Plan von Cloudflare zu wechseln. Dieser umfasst die schlagkräftigste Kombination an Tools, die Cloudflare zu bieten hat, sowie einen Support für Vorzugskunden rund um die Uhr per Telefon, Chat und E-Mail. Da Bitpanda auf eine Zero Trust-Sicherheitsarchitektur umstellte, fügte Trummer auch Cloudflare Access hinzu. Access unterstützt Teams bei der Absicherung von Firmenanwendungen mithilfe von Zero Trust-Regeln. Die Lösung bietet einfachen und sicheren Zugang zu digitalen Assets für spezialisierte Anwendungsfälle.

Bitpanda verwendet Cloudflare Access, um den Zugang zu internen Assets zu beschränken. So setzte das Unternehmen Access für der Bereitstellung der Betaversion eines bestimmten Produkts ein, auf die nur eine ausgewählte Gruppe von Betatestern Zugriff haben sollte.

Zuvor nutzte Bitpanda ein VPN, dessen Konfigurierung und Wartung jedoch umständlich war und das bei der Bedienbarkeit zu wünschen übrig ließ. Durch Access entfiel der mit dem VPN verbundene Verwaltungsaufwand, sodass sich die Mitarbeitenden von Bitpanda nicht mehr auf die Pflege des VPN, sondern stattdessen auf interne Projekte konzentrieren konnten. Außerdem verkleinerte sich die potenzielle Angriffsfläche des Unternehmens.

„Wenn man den Zugang zu internen Ressourcen beschränken will, ist Access viel einfacher zu handhaben und sicherer als ein VPN. Wir brauchen die Lösung nur zu aktivieren und Nutzer hinzuzufügen“, erklärt Trummer. „Es funktioniert einfach!“

Access authentifiziert Nutzer und hindert böswillige Akteure daran, auf das Bitpanda-Netzwerk zuzugreifen. Gleichzeitig bietet die Lösung dem Unternehmen auch Einblick in die Nutzeraktivitäten innerhalb des Systems – was das Zero Trust-Modell von Bitpanda untermauert.

„Access bietet uns Zero Trust-Nutzerauthentifizierung, präzisere Kontrolle über den Nutzerzugriff und einen vollständigen Überblick über die Anwenderaktivität“, so Trummer. „Dies ist wesentlicher Baustein des Zero Trust-Modells, das berücksichtigt, dass Bedrohungen sowohl interner als auch externer Natur sein können.“

Cloudflare-Sicherheitslösungen stoppen DDoS-Attacken und andere automatisierte Angriffe, die potenziell sowohl die Performance der Website beeinträchtigen als auch die Unversehrtheit der Kundenkonten bedrohen können

Kurz vor dem Upgrade auf Cloudflare Enterprise wurden die Systeme von Bitpanda durch einen DDoS-Großangriff lahmgelegt. Als man dem Angriff intern nicht mehr gewachsen war, wandte sich Trummer an Cloudflare. Dort schlug ein Support-Mitarbeitender die Anwendung einiger Page Rules vor, mit denen der Angriff gestoppt werden konnte.

„Dieser Angriff war der entscheidende Anstoß, auf Enterprise umzusteigen“, erinnert sich Trummer. „Bitpanda war so groß geworden, dass wir die umfassendste Lösung auf dem Markt benötigten – und für uns war klar, dass dafür nur Cloudflare infrage kommt.“

Trummer ist mehr als angetan, dass die Beschäftigten seit dem Upgrade nicht mehr so viel Zeit mit der Überwachung und Bekämpfung von Bedrohungen verbringen müssen. Da sich die Entwickler von Bitpanda nicht mehr um die Sicherheitsüberwachung und Bedrohungsabwehr kümmern müssen, können sie sich jetzt damit beschäftigen, neue Produkte zu entwickeln und bestehende zu verbessern.

„Ich kann mir nicht vorstellen, wie es ohne Cloudflare als Sicherheitspartner wäre. Unsere Softwareentwickler wollen ihre Zeit darauf verwenden, an Produkten für unsere Kunden zu arbeiten. Deshalb brauchen wir einen Partner mit entsprechendem Know-how – jemanden, der sich für uns auf die Sicherheit konzentrieren kann“, sagt Trummer. „Unser Cloud-Service-Provider bietet eine WAF und andere Sicherheitstools an, aber wir haben ihn gar nicht in Betracht gezogen, weil wir mit Cloudflare so zufrieden sind. Wir haben keinen Grund, uns anderweitig umzusehen.“

Bitpanda setzt neben der Web Application Firewall (WAF), der Abwehr von DDoS-Angriffen, den Page Rules und der Durchsatzbegrenzung auch die DNS-Dienste von Cloudflare ein. Diese schützen die Domains des Unternehmens vor DNS-Angriffen und stellen sicher, dass die Plattform der Firma online erreichbar ist. Vor Cloudflare hatte Bitpanda einen anderen DNS-Anbieter genutzt, doch es kam zu mehreren Zwischenfällen, bei denen das DNS stundenlang offline war und das Support-Team des Providers keine Hilfe leistete.

„Sie haben unser Vertrauen verspielt“, stellt Trummer fest. „Wir vertrauen darauf, dass Cloudflare eine sichere Umgebung bereitstellt. In den letzten Jahren hat uns Cloudflare immer einen professionellen und erstklassigen Service geboten. Ich freue mich darauf, unsere Partnerschaft im Rahmen des weiteren Wachstums von Bitpanda auszubauen.“