In der IT-Welt werden verschiedene Methoden und Standards verwendet, um eine Grundlage für sichere Betriebspraktiken zu schaffen. Dabei geht es nicht nur um IT-Infrastruktur und Software, sondern auch um die beteiligten Menschen.
Bei unserer täglichen Arbeit stoßen wir auf Tests, bei denen unseren Kunden sichere Routinen für Patch-Management, Codierung und Tests fehlen und sie die möglichen Risiken einfach nicht verstehen. Es ist unsere Aufgabe, ihnen zu helfen. Sie zu schulen, wo und wann sie es brauchen. Wir als Sicherheitsexperten müssen uns selbst um die Sicherheit kümmern, damit sie wiederum wissen, dass wir uns um ihre kümmern.
Mit der großen Umstellung auf die Nutzung anderer Maschinen (auch bekannt als „die Cloud“) zur Unterstützung von Infrastrukturen, Plattformen und Diensten vor Ort müssen neue Richtlinien und Verfahren in Betracht gezogen werden. Diese „neuen“ Umgebungen werden oft so dargestellt, als wären sie völlig sicher. Obwohl sie das vielleicht auch sind, ist das, was Sie auf dem Fundament aufgebaut haben, eine ganz andere Geschichte. Sie können das stärkste Fundament bauen, aber wenn Ihre darauf liegende Struktur auseinanderfällt… was bringt das dann?
Damit kommen wir zu externen Drittanbietern. Die meisten Unternehmen benötigen mehrere Lösungen für den täglichen Arbeitsablauf. Nicht alle diese Anforderungen können mit internen Ressourcen oder maßgeschneiderten Anwendungen erfüllt werden. Die Gründe können unterschiedlich sein, aber die Kosten sind in der Regel ein wichtiger Faktor bei dieser Entscheidung. Entweder kostet es das Unternehmen mit der aktuellen Lösung zu viel Zeit oder es wäre zu teuer, etwas intern zu entwickeln und zu warten. Wenn Sie sich ein Problem vorstellen können, gibt es in der Regel andere, die dasselbe Problem haben. Und oft gibt es irgendwo im Internet eine Lösung für dieses Problem.
Das große Verkaufsargument ist, dass es sich um einen gebrauchsfertigen Dienst handelt, der von jemand anderem gewartet wird. Sie müssen ihn nur verwenden. Dies bringt einige potenzielle Probleme mit sich. Sie haben nicht die volle Kontrolle darüber, was passiert. Und warum sollten Sie? Sie haben jemand anderen dafür bezahlt, sich darum zu kümmern!
Wenn Sie Ihre Daten von jemand anderem verwalten lassen, möchten Sie sicherstellen, dass sie ordnungsgemäß und sicher behandelt werden. Wenn Sie ein Unternehmen wegen seines Produkts ansprechen, sollten Sie sich über mehrere Dinge im Klaren sein:
Viele Social-Media-Plattformen sind „kostenlos“ nutzbar und Sie müssen einfach deren Geschäftsbedingungen akzeptieren. Wenn Sie ein Produkt kaufen, sollten Sie bestimmte Rechte in Bezug auf das, was Sie kaufen, sowie eine legitime Entschuldigung haben, sich darüber zu beschweren, wenn etwas nicht so ist, wie es beworben wird.
Eine der ersten Fragen, die Sie dem Anbieter stellen sollten, sollte lauten: „Wie sieht Ihre Sicherheitsrichtlinie aus? Welche Sicherheitsverfahren gelten? Führen Sie regelmäßig oder überhaupt Penetrationstests durch? Und können wir diese Berichte sehen?“. Ja, das ist mehr als eine Frage. Es ist nicht immer so einfach.
Unsere Meinung dazu ist… wenn sie auf diese Antworten nicht vorbereitet sind, legen sie nicht Wert auf Sicherheit. Wenn sie nicht bereit sind, ihre Richtlinien und Verfahren mitzuteilen, legen sie möglicherweise nicht Wert auf Sicherheit. Wenn sie keine früheren Penetrationstestergebnisse mitteilen möchten, versuchen sie möglicherweise, etwas zu verbergen.
Auch wenn Sie ein fertiges Produkt kaufen, müssen Sie es möglicherweise an die spezifischen Anforderungen Ihres Unternehmens anpassen. Die tatsächlichen Bedürfnisse und Anforderungen sind dabei nicht der entscheidende Teil. Es geht eher darum, ob sie für Ihre Bedürfnisse empfänglich sind. Interessieren sie sich für Ihre Fragen? Scheinen sie bereit zu sein, Ihnen bei der Lösung zu helfen? Können Kompromisse eingegangen werden?
Einige Dienste werden bei ihren Implementierungen nicht flexibel sein können. Dies könnte jedoch eine Gelegenheit sein, zu sehen, wie das Unternehmen mit seinen Kunden umgeht.
Die Verwendung von Verschlüsselung zum Schutz der Datenübertragung über das Internet ist mittlerweile gängige Praxis. Ende 2018 lag der Anteil des Datenverkehrs über HTTPS bei über 72 % und steigt weiter an. Dies ist ein enormer Anstieg gegenüber den Vorjahren! Und obwohl dies eine großartige Sache ist, garantiert es in keiner Weise, dass es richtig implementiert wird. Ist SSL/TLS richtig implementiert? Mit den neuesten Standards? Müssen Sie „zahlen, um mitzuspielen“, um den besten Service und die beste Verschlüsselung zu erhalten? Befindet sich Ihre „sichere“ Umgebung auf derselben Maschine, wie die anderer Kunden, die nicht für die besten Sicherheitsoptionen bezahlen möchten? … Das ist doch ein bisschen unangenehm, oder? Haben sie vergessen, Ihnen das zu sagen? Ups! Ich schätze, Ihre tolle Verschlüsselung ist jetzt nicht mehr so wichtig …
Schließlich kommen wir zum Hauptpunkt, warum wir hier sind und warum wir tun, was wir tun. Sicherheit ist uns wichtig. Nicht nur für unsere Kunden, sondern auch für uns selbst, denn in Wirklichkeit ist alles irgendwie miteinander verbunden.
Wir sehen in unserer täglichen Arbeit viele Probleme. Die OWASP Top 10 ist keine beliebige Liste, diese Probleme sind da draußen sehr weit verbreitet. Die Gründe, warum wir diese Probleme immer wieder sehen, sind endlos und wir könnten sie den ganzen Tag lang auflisten. Aber es scheint immer auf eines hinauszulaufen. Der menschliche Faktor erweist sich oft als das schwächste Glied in der Kette. Es spielt keine Rolle, welche ausgefallenen Sicherheitsprodukte und -dienste Sie kaufen; sie sind alle nutzlos, wenn sie nicht richtig konfiguriert, eingeschaltet/angeschlossen, nicht regelmäßig gepatcht oder zu schwierig zu verwalten sind.
Genauso wie Sie einen potenziellen neuen Mitarbeiter sorgfältig prüfen würden, sollten Sie bei der Prüfung einer potenziellen Drittanbieteranwendung gründliche Hintergrundprüfungen, gültige Referenzen und technisches Verständnis der Rolle, für die Sie einstellen, für denselben Prozess und dieselbe Methodik einholen. Wenn Sie mehr als einen plausiblen Kandidaten haben, tappen Sie nicht in die Kostenfalle. Schließen Sie diese Option nur nicht aus, bevor Sie diese detaillierteren Fragen zur Sicherheit gestellt haben.
Um Ihnen zu helfen, haben wir eine Checkliste zusammengestellt, die als Fragebogen verwendet werden kann und sollte, wenn Sie Drittanbieterdienste prüfen, die Sie möglicherweise verwenden möchten. Wir haben einige unserer Meinung nach großartige Fragen hinzugefügt, mit denen Sie beginnen können, wenn Sie die Sicherheitsreife einer Dienstanbieteranwendung bewerten.
Zum Herunterladen, klicken Sie hier.