Wie Sie Hackern einen Schritt voraus sind

Nov. 10, 2022

Wie Sie Hackern einen Schritt voraus sind

Schieben Sie Datenklau den Riegel vor

In den letzten Jahren haben Cyberangriffe auf Firmen deutlich zugenommen. Zeitgleich schrumpfen interne IT-Ressourcen. Angreifer suchen sich Ihre Opfer gezielt aus, spionieren Sicherheitslücken aus und haben es auf Geschäftsgeheimnisse wie Kundendaten oder Konstruktionspläne abgesehen.

Im Zuge der Digitalisierung haben viele Firmen ihre Anwendungen von aussen erreichbar gemacht. So können Mitarbeitende und Kund:innen darauf zugreifen, z.B. auf Kundenportale, auf das CRM- oder das ERP-System. Es liegt auf der Hand, dass genau solche Systeme und Plattformen doppelt so sicher sein müssen.

Die Art der Bedrohung und die Risiken ändern sich

So wie sich die Technik rasant verändert, ändern sich auch die Cyberattacken. Was gestern noch Standard war, gilt heute nicht mehr. Neue Bedrohungen werden über Nacht übermächtig und stellen bisherige Risiken in den Schatten. Wo immer mehr Systeme interagieren, gibt es mehr Schnitt- und somit potentielle Schwachstellen. Ein Unternehmen kommt nicht darum herum, seine Applikationen professionell zu sichern, um auch in Zukunft vor Cyberattacken sicher zu sein.

Hackern einen Schritt voraus sein

Wir helfen Ihnen dabei, Ihr Unternehmen besser vor Angriffen zu schützen. Um Ihre sensiblen Daten gegen Zugriffe von aussen zu sichern sowie gegen weitere Bedrohungen gewappnet zu sein, führen wir für alle neuen von der YOO entwickelten Projekte einen bewährten Sicherheitsstandard ein. Dieser sichert Ihre Services und Plattformen gegen Cyber Crime.

So schützen wir Ihre Projekte gegen Cyber Crime

Bei allen neuen von YOO entwickelten Software-Projekten implementieren wir Sicherheitsmechanismen, die dem Standard entsprechen, dass sich niemand in die Systeme hacken kann und Datenklau nicht möglich ist. Sie profitieren von drei aufeinander aufbauenden Sicherheitsstufen:

Level 1: Basis-Sicherheit, die wir auf allen unseren Projekten zusichern.
Level 2: Hohe Sicherheit für Projekte mit sensitiven Daten deren missbräuchliche Verwendung Personen und Unternehmen schaden könnten, wie z. B. Telefonnummern, E-Mail- und Postadressen.
Level 3: Sehr hohe Sicherheit für Projekte mit kritischen Daten: Personen könnten durch einen Datendiebstahl stark geschädigt werden, Unternehmen könnten bankrott gehen oder kritische Infrastruktur könnte bedroht werden.

Einer der komplettesten Sicherheitsstandards weltweit

Bei uns kommt der angesehene “Application Security Verification Standard” (ASVS) zum Einsatz. Dieser Standard wurde von der OWASP Foundation entwickelt, bei welcher diverse unabhängige, international anerkannte Sicherheitsexperten an verschiedensten Projekten arbeiten. Unter anderem auch an der Entwicklung und Weitereintwicklung des ASVS Standards, der diverse herstellergebundene Standards adaptiert und auf diese Art als einer der komplettesten Sicherheitsstandards angesehen wird.

Team Sicherheit: Weiterbildung ist essentiell

Gerade im digitalen Business dreht sich die Welt sehr schnell: Neue Bedrohungen erwachsen über Nacht. Um gewappnet zu sein, organisieren wir uns entsprechend und legen Wert auf interne Wissensweitergabe. Im Team sorgt Jürgen Gutsch (Software Engineer und Microsoft MVP) dafür, dass das Sicherheitsbewusstsein in der gesamten YOO gefördert und auf verschiedensten Levels und in allen Projekten gehört wird. Zudem sorgt er für die Aus- und Weiterbildung unserer Entwickler:innen zum Thema Application Security und arbeitet mit den DevOps- und Quality Assurance-Verantwortlichen an der technischen Unterstützung und praktischen Einhaltung der Standards.

Wir haben Jürgen zu diesem Thema drei Fragen gestellt:

Warum ist Anwendungssicherheit wichtig?

Jürgen Gutsch: Im Grunde geht es um Vertrauen: Ihre Kund:innen müssen Ihnen vertrauen, dass die Daten bei Ihnen sicher sind. Immer wieder werden Benutzerdaten über Cyberangriffe auch von grossen Plattformen gestohlen und im Darknet zum Verkauf angeboten. Diese Daten können beispielsweise für Spam-E-Mails, oder schlimmer auch zum Identitätsklau benutzt werden. Enthalten die Daten Bank- oder Kreditkarteninformationen sind weitaus schlimmere Konsequenzen möglich. Wenn Ihre Kund:innen Ihnen nicht mehr vertrauen, sind diese schnell weg. Tatsächlich passiert der Datenklau öfter als man glaubt. Eine Übersicht über betroffene Unternehmen hat der australische Sicherheitsexperte Troy Hunt auf seiner Website Have I Been Pwned zusammengestellt.

Zudem geht es auch um Datenschutz: Sie als Betreiber der Applikation oder der Webseite sind verpflichtet, die Daten Ihrer Kund:innen bestmöglich zu schützen. Stellen Sie sich vor was passieren könnte, wenn sich jemand über eine Applikation Zugriff auf kritische Infrastruktur wie Spitäler, Kraftwerke, Stellwerke, Flughafen Tower etc. verschaffen würde.

Wie findet man Sicherheitslecks?

Jürgen Gutsch: Professionelle Cyberangreifer attackieren gezielt Applikationen, um über einen fehlerhaft programmierten Code oder via fehlerhaft konfigurierte Applikationen auf das Netzwerk, auf weitere Anwendungen oder Daten zuzugreifen. Dies sind beispielsweise Abrechnungssysteme, Webshops, Webseiten von Banken und Versicherungen, oder von anderer kritischer Infrastruktur. Wenn man aktiv Sicherheitslecks entdeckt, ist es meist schon zu spät. Daher halten wir uns an den ASVS, um Sicherheitslecks von vornherein auszuschliessen. Der Standard beinhaltet auch Applikationstests und regelmässige Schwachstellen-Scans.

Welches Sicherheitslevel weisen Projekte mit YOO-Software auf?

Jürgen Gutsch: Alle neuen von YOO entwickelten Software-Projekte werden auf jeden Fall ASVS Level 1 (sh. oben) aufweisen. Je nachdem, um was für einen Typ Applikation oder Webseite es sich handelt, werden gegebenenfalls Level 2 oder Level 3 erforderlich sein. Natürlich beraten wir alle unsere Kund:innen entsprechend, falls wir ein höheres Sicherheitslevel für nötig erachten.