Oktober ist der Monat der Cybersicherheit. Allerdings ist Cybersicherheit nicht nur für einen Monat relevant. Als Unternehmen, das hauptsächlich online tätig ist, liegt es in unserer Verantwortung sicherzustellen, dass wir die Sicherheit unserer Mitarbeiter:innen und Benutzer:innen 365 Tage im Jahr ernst nehmen.
Mostafa Abdelmoez, der Group Director of Security & Anti Fraud bei SMG, hat vier Dinge geteilt, die jedes Unternehmen berücksichtigen sollte, um sicherzustellen, dass ihre Mitarbeiter:innen und Kund:innen geschützt sind.
1. Risikobereitschaft – Wie viel Risiko kannst du akzeptieren?
Das Verständnis deines Unternehmens und seiner grössten Risikofaktoren ist entscheidend, um zu entscheiden, wie viel Risiko deine Organisation bereit ist einzugehen, um einen beliebigen Wert zu erzielen. Andernfalls könnten die Bemühungen zur Cybersicherheit keine Grenzen, Leitlinien oder unmittelbaren Auswirkungen haben. Es ist fast unmöglich – oder zumindest äusserst ineffizient – etwas zu schützen, wenn du seine Risiken und Schwachstellen nicht verstehst.
Die grundlegende Mission der Cybersicherheit besteht darin, deine Organisation zu schützen, aber wie? Schutz umfasst auch die Geschäftskontinuität, Verlustverhinderung (finanziell oder anderweitig) oder Steigerung bzw. Erhaltung des Werts für alle Beteiligten. Daher ist es essenziell, diese Abhängigkeiten zu verstehen, wie sie aufgebaut sind, was genau du schützen möchtest und vor wem, sowie deren Auswirkungen auf das Geschäft. Nachdem du diese Risikobewertung durchgeführt hast, kannst du loslegen. Das Nachdenken über die Daten ist in der Regel ein guter Ausgangspunkt.
2. Menschen sind die erste Verteidigungslinie
Die Erzählung der Verantwortung für die Cybersicherheit konzentriert sich in der Regel auf die Menschen und betrachtet sie als das schwächste Glied. Wir glauben, dass das nicht stimmt. Menschen sind die erste Verteidigungslinie, um die Cybersicherheit einer Organisation aufrechtzuerhalten. Das bedeutet, dass es entscheidend ist, dass alle Mitarbeitenden – ohne Ausnahme – eine angemessene Schulung für ihre Rolle oder Funktion in der Organisation erhalten. Dies kann durch interne Veranstaltungen, Wettbewerbe und Belohnungen weiter gefördert und ausgebaut werden. Mitarbeitende oder Benutzer:innen haben in der Regel Schwierigkeiten, Schwachstellen in ihrem Wissen zur Cybersicherheit zu identifizieren, was die Bedeutung einer ordnungsgemässen Schulung und einer verständlichen Präsentation des Schulungsmaterials erhöht. Es ist deine Verantwortung als Organisation, eine grossartige Benutzererfahrung zu bieten, wenn es um Informationen zur Cybersicherheit geht oder wenn sie in irgendeiner Weise mit Sicherheit interagieren.
3. Shifting Left – Integriere Cybersicherheit von Anfang an!
Nun zu den technischeren Aspekten: Das Überwachen deiner Infrastrukturen, Netzwerke und Produkte sollte selbstverständlich sein. Du musst Protokolle erstellen, überprüfen und im Allgemeinen über mögliche Schwachstellen Bescheid wissen, die du nur finden wirst, wenn du deine Systeme umfassend überwachst.
Am besten integrierst du die Cybersicherheit in den täglichen Geschäftsbetrieb. Zum Beispiel: Scanne und signiere den Code, bevor er in die Produktion geht, und scanne ihn erneut, nachdem er bereitgestellt wurde. Verwende verschiedene Arten von Sicherheitstests wie Sicherheitsaudits, Bug-Bounty-Programme oder Anwendungsscans. Dieser Ansatz zur Cybersicherheit wird oft als „Shifting Left“ bezeichnet, was bedeutet, dass die Sicherheitspraxis von Anfang an initiiert wird – bereits bevor die Idee in die Praxis umgesetzt wird. Je früher die Sicherheit integriert wird, desto einfacher wird es und desto grössere Auswirkungen wird es haben.
4. Prävention – Vertraue nichts, überprüfe alles!
Bisher haben wir hauptsächlich über Überwachung gesprochen, die die Erkennung erleichtert. Idealerweise geht es uns jedoch um Prävention, die durch Investitionen in Edge-Sicherheit erreicht werden kann.
In ihrer einfachsten Form besteht Edge-Sicherheit aus einer Firewall und einem Authentifizierungsserver. Nichts sollte diese Kontrollstelle passieren, es sei denn, es ist autorisiert und vorgesehen. Aber selbst nach dem Passieren sollte es kein inhärentes Vertrauen in irgendetwas geben! Überprüfe immer alles.
Denke bei diesem Ansatz daran, dass du eine Vielzahl von Kanten (oder Kontrollstellen) auf der Innenseite hast. Jede Organisation sollte stark in Identitäts- und Zugriffsmanagement investieren – sei es für ihre Mitarbeitenden oder Benutzer:innen. Diese Erfahrung sollte nahtlos sein und zumindest Phishing verhindern, das aufgrund seines geringen Aufwands und seiner hohen Auswirkungen weit verbreitet ist. Phishing ermöglichte die meisten der jüngsten grossen Sicherheitsverletzungen oder zumindest war es ihr Ausgangspunkt. Du kannst sogar Biometrie, FIDO (Fast IDentity Online) und Hardware-Schlüssel verwenden. Wähle die geeignete Methode für jede Benutzergruppe. Es ist wichtig zu beachten, dass jede Methode der Multi-Faktor-Authentifizierung ihre Vor- und Nachteile hat – und auch ihr eigenes Bedrohungsmodell, was uns zum ersten Punkt zurückführt.
Wenn du diese vier Punkte beachtest, kann dies bereits einen grossen Unterschied für die Cybersicherheit deiner Organisation ausmachen. Das Bewusstsein zu schärfen ist definitiv sehr wichtig, daher haben wir auch eine Liste von vier Dingen zusammengestellt, die jeder tun kann, um seine Online-Sicherheit zu verbessern.
Wir danken Mostafa, dass er diese Liste zusammengestellt hat, und lassen uns die Cybersicherheit das ganze Jahr über zur obersten Priorität machen!
Mostafa Abdelmoez
Group Director of Security & Anti Fraud