Haben Sie konkrete Fragen zur Sicherheit von Applikationen, zu Sicherheitslücken oder Cyber Crime Abwehr?
Jürgen Gutsch berät Sie gerne. Sie erreichen ihn unter juergen.gutsch@yoo.digital.
In den letzten Jahren haben Cyberangriffe auf Firmen deutlich zugenommen. Zeitgleich schrumpfen interne IT-Ressourcen. Angreifer suchen sich Ihre Opfer gezielt aus, spionieren Sicherheitslücken aus und haben es auf Geschäftsgeheimnisse wie Kundendaten oder Konstruktionspläne abgesehen.
Im Zuge der Digitalisierung haben viele Firmen ihre Anwendungen von aussen erreichbar gemacht. So können Mitarbeitende und Kund:innen darauf zugreifen, z.B. auf Kundenportale, auf das CRM- oder das ERP-System. Es liegt auf der Hand, dass genau solche Systeme und Plattformen doppelt so sicher sein müssen.
So wie sich die Technik rasant verändert, ändern sich auch die Cyberattacken. Was gestern noch Standard war, gilt heute nicht mehr. Neue Bedrohungen werden über Nacht übermächtig und stellen bisherige Risiken in den Schatten. Wo immer mehr Systeme interagieren, gibt es mehr Schnitt- und somit potentielle Schwachstellen. Ein Unternehmen kommt nicht darum herum, seine Applikationen professionell zu sichern, um auch in Zukunft vor Cyberattacken sicher zu sein.
Wir helfen Ihnen dabei, Ihr Unternehmen besser vor Angriffen zu schützen. Um Ihre sensiblen Daten gegen Zugriffe von aussen zu sichern sowie gegen weitere Bedrohungen gewappnet zu sein, führen wir für alle neuen von der YOO entwickelten Projekte einen bewährten Sicherheitsstandard ein. Dieser sichert
Ihre Services und Plattformen gegen Cyber Crime.
Bei allen neuen von YOO entwickelten Software-Projekten implementieren wir Sicherheitsmechanismen, die dem Standard entsprechen, dass sich niemand in die Systeme hacken kann und Datenklau nicht möglich ist. Sie profitieren von drei aufeinander aufbauenden Sicherheitsstufen:
Bei uns kommt der angesehene “Application Security Verification Standard” (ASVS) zum Einsatz. Dieser Standard wurde von der OWASP Foundation entwickelt, bei welcher diverse unabhängige, international anerkannte Sicherheitsexperten an verschiedensten Projekten arbeiten. Unter anderem auch an der Entwicklung und Weitereintwicklung des ASVS Standards, der diverse herstellergebundene Standards adaptiert und auf diese Art als einer der komplettesten Sicherheitsstandards angesehen wird.
Gerade im digitalen Business dreht sich die Welt sehr schnell: Neue Bedrohungen erwachsen über Nacht. Um gewappnet zu sein, organisieren wir uns entsprechend und legen Wert auf interne Wissensweitergabe. Im Team sorgt Jürgen Gutsch (Software Engineer und Microsoft MVP) dafür, dass das Sicherheitsbewusstsein in der gesamten YOO gefördert und auf verschiedensten Levels und in allen Projekten gehört wird. Zudem sorgt er für die Aus- und Weiterbildung unserer Entwickler:innen zum Thema Application Security und arbeitet mit den DevOps- und Quality Assurance-Verantwortlichen an der technischen Unterstützung und praktischen Einhaltung der Standards.
Wir haben Jürgen zu diesem Thema drei Fragen gestellt:
Jürgen Gutsch: Im Grunde geht es um Vertrauen: Ihre Kund:innen müssen Ihnen vertrauen, dass die Daten bei Ihnen sicher sind. Immer wieder werden Benutzerdaten über Cyberangriffe auch von grossen Plattformen gestohlen und im Darknet zum Verkauf angeboten. Diese Daten können beispielsweise für Spam-E-Mails, oder schlimmer auch zum Identitätsklau benutzt werden. Enthalten die Daten Bank- oder Kreditkarteninformationen sind weitaus schlimmere Konsequenzen möglich. Wenn Ihre Kund:innen Ihnen nicht mehr vertrauen, sind diese schnell weg. Tatsächlich passiert der Datenklau öfter als man glaubt. Eine Übersicht über betroffene Unternehmen hat der australische Sicherheitsexperte Troy Hunt auf seiner Website Have I Been Pwned zusammengestellt.
Zudem geht es auch um Datenschutz: Sie als Betreiber der Applikation oder der Webseite sind verpflichtet, die Daten Ihrer Kund:innen bestmöglich zu schützen. Stellen Sie sich vor was passieren könnte, wenn sich jemand über eine Applikation Zugriff auf kritische Infrastruktur wie Spitäler, Kraftwerke, Stellwerke, Flughafen Tower etc. verschaffen würde.
Jürgen Gutsch: Professionelle Cyberangreifer attackieren gezielt Applikationen, um über einen fehlerhaft programmierten Code oder via fehlerhaft konfigurierte Applikationen auf das Netzwerk, auf weitere Anwendungen oder Daten zuzugreifen. Dies sind beispielsweise Abrechnungssysteme, Webshops, Webseiten von Banken und Versicherungen, oder von anderer kritischer Infrastruktur. Wenn man aktiv Sicherheitslecks entdeckt, ist es meist schon zu spät. Daher halten wir uns an den ASVS, um Sicherheitslecks von vornherein auszuschliessen. Der Standard beinhaltet auch Applikationstests und regelmässige Schwachstellen-Scans.
Jürgen Gutsch: Alle neuen von YOO entwickelten Software-Projekte werden auf jeden Fall ASVS Level 1 (sh. oben) aufweisen. Je nachdem, um was für einen Typ Applikation oder Webseite es sich handelt, werden gegebenenfalls Level 2 oder Level 3 erforderlich sein. Natürlich beraten wir alle unsere Kund:innen entsprechend, falls wir ein höheres Sicherheitslevel für nötig erachten.
Haben Sie konkrete Fragen zur Sicherheit von Applikationen, zu Sicherheitslücken oder Cyber Crime Abwehr?
Jürgen Gutsch berät Sie gerne. Sie erreichen ihn unter juergen.gutsch@yoo.digital.
Titelbild von George Becker, Pexels