Stark gegen Cyber-Angriffe

Laut dem Allianz Risk Barometer 2023 stehen Cyber-Vorfälle auf Platz 1 der wichtigsten Geschäftsrisiken für Unternehmen, also vor jeglichen anderen negativen Auswirkungen wie Betriebsunterbrechungen oder Makroökonomischen Entwicklungen. Diese Zahlen und Statistiken verdeutlichen, dass Cyberkriminalität ein grosses und wachsendes Problem darstellt. Es ist daher von entscheidender Bedeutung, dass Unternehmen und Organisationen geeignete Massnahmen ergreifen, um ihre IT-Systeme und Daten vor Cyber-Angriffen zu schützen – intern und extern. Denn neben sogenannten Denial of Service Attacken (DDOS) oder Kriminellen, die Geld erpressen, können auch unzufriedene Mitarbeiter:innen versuchen mutwillig Daten zu beschädigen oder Systeme zu sabotieren.

Die Absicherung gegen Cyber-Angriffe ist ein fortlaufender Prozess, der für alle Arten von Unternehmen von grosser Bedeutung ist. Technische Massnahmen und die Optimierung organisatorischer Abläufe können helfen, sich gegen Angriffe zu wappnen. Dazu gehören regelmässige Überprüfung der Datensicherung, Anti-Virus Scans, Verschlüsselung und Schlüsselmanagement sowie die Evaluierung zusätzlicher Sicherheitsmassnahmen.

Die Informationssicherheit ist also ein zeitintensives Thema für Unternehmen, das kontinuierlich angegangen werden muss, um sich den sich ständig verändernden Angriffen entgegenstellen zu können. Hierbei können Verwaltungssysteme im «Software as a Service»-Modell (SaaS) eine wichtige Rolle spielen. Der grosse Vorteil von SaaS-Lösungen besteht darin, dass der Anbieter der Lösung für die Sicherheit verantwortlich ist.

Denn in diesem Modell wird die Software auf Abonnementbasis lizenziert und zentral vom Anbieter gehostet, nicht mehr beim Unternehmen selbst installiert und verwaltet. Doch kann ein Anbieter und dessen Lösung die nötige Sicherheit gewährleisten? Unternehmen sollten bei der Evaluation einer neuen Software einige Fragen klären, um sicherzustellen, dass die Sicherheitsanforderungen erfüllt werden.

Die Sicherheit sollte in jedem Schritt der Softwareentwicklung einbezogen werden und nicht erst am Ende der Entwicklung einige Massnahmen aufgesetzt werden. Bereits bei der Analyse, dem Erarbeiten des Konzeptes und der Architektur, beim Ausarbeiten der Nutzeranforderungen und später dem effektiven Entwickeln und Testen sollte Sicherheit einen festen Platz einnehmen. Wenn ein Lösungsanbieter sich an den sogenannten "Secure Software Development Life Cycle" hält, kann man davon ausgehen, dass die Sicherheit von Anfang an in die Lösungsentwicklung miteinbezogen wurde und sie somit gut gewappnet ist, Angriffe abzuwehren.

Durch die Einhaltung des "Secure Software Development Life Cycle" können ausserdem die neuen Datenschutzbestimmungen "Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen" eingehalten werden. Dies ist für Unternehmen von grosser Bedeutung, da es ihnen hilft, die Datensicherheit und den Datenschutz ihrer Kund:innen zu gewährleisten und somit auch deren Vertrauen zu gewinnen. Eine proaktive Herangehensweise an die Cybersicherheit in der Softwareentwicklung kann somit nicht nur zur Verbesserung der Sicherheit beitragen, sondern auch zum Wettbewerbsvorteil für Unternehmen werden.

Es gibt eine Vielzahl von Massnahmen, die Software-Entwickler und -Anbieter ergreifen können, um ihre Applikationen gegen Cyber-Kriminalität abzusichern. Eine grundlegende Massnahme ist die Implementierung von Verschlüsselungstechnologien, um sicherzustellen, dass sensible Daten nicht von Dritten eingesehen oder gestohlen werden können. Die Technologie, mit der die meisten Vorschriften und Standards eingehalten werden können, ist die End-to-End-Verschlüsselung, «at rest and in transit». Ideal ist es, wenn man Subprozessoren verwendet, um persönliche oder vertrauliche Daten zu verarbeiten, oder seinen eigenen Schlüssel («Bring your own key») und sein eigenes Verschlüsselungsmittel («Bring your own encryption») mitzubringen.

Zudem sollten Entwickler die Benutzer-Authentifizierung stärken, zum Beispiel durch die Implementierung von mehrstufigen Authentifizierungsprozessen wie der Zweifaktor-Authentifizierung. Damit stellen sie sicher, dass nur autorisierte Personen auf die Applikation zugreifen können.

Ein weiterer wichtiger Schutzmechanismus ist das kontinuierliche Überwachen der Anwendung auf mögliche Schwachstellen oder Angriffe. Dazu können automatisierte Überwachungstools eingesetzt werden, die verdächtige Aktivitäten erkennen und Benachrichtigungen an das Sicherheitsteam senden. Eine «Security in Layers» also: Menschen können eine Software testen und verbessern, eine Firewall kann den Zugriff auf die Software verweigern, wenn eine Anfrage kommt, die nicht ins Muster passt. Bei auffälligen Mustern muss ein Experte beurteilen und Massnahmen einleiten.

Eine weitere Massnahme ist die regelmässige Schulung von Mitarbeiter:innen, um sie für potenzielle Cyber-Bedrohungen zu sensibilisieren und ihnen beizubringen, wie sie verdächtige Aktivitäten erkennen und darauf reagieren können.

Schliesslich ist es wichtig, dass die Software regelmässig aktualisiert wird, um mögliche Schwachstellen und Sicherheitslücken zu schliessen. Die Aktualisierung sollte jedoch sorgfältig durchgeführt werden, damit sie nicht zu Kompatibilitätsproblemen oder anderen Störungen führt. Insgesamt sollten Software Entwickler:innen und Anbieter eine umfassende Sicherheitsstrategie implementieren, die auf mehreren Ebenen arbeitet, um ihre Applikationen vor Cyber-Angriffen zu schützen.

Der IT-Betrieb hat die Aufgabe, Software in angemessenem Umfang zur Verfügung zu stellen und störungsfrei zu betreiben. Moderne Systeme und Plattformen sind meist sogenannte Webapplikationen mit Zugriff über das Internet. Dies bedingt, dass die Server entsprechend geschützt werden müssen. Dabei braucht es konkrete Vorgaben wer zugreifen darf, wer administriert, ein Prozess zum Umgang mit Störungen, usw. Präventive Massnahmen wie das Protokollieren von Benutzer- und Administratorentätigkeiten beugen allfälligen Datenmanipulationen vor. Erteilte Berechtigungen sollten regelmässig überprüft und gegebenenfalls angepasst werden.

Bringt ein Software-Anbieter solche Standards und Sicherheitsvorgaben in die Geschäftsbeziehung mit, ist das eine Versicherung für Unternehmen, dass die Lösung ordnungsgemäss betrieben wird.

Ein internes Sicherheitsteam in einer Softwarefirma ist von entscheidender Bedeutung, um die Sicherheit von Anwendungen zu gewährleisten. Eines der Hauptargumente: Ein dediziertes Team ist in der Lage, auf dem neuesten Stand des Wissens über die neuesten Arten von Angriffen zu bleiben.

Die Welt der Cyberkriminalität ist ständig im Wandel und es gibt immer neue Bedrohungen, auf die man achten muss. Wird ein internes Sicherheitsteam regelmässig geschult und bleibt über die neuesten Entwicklungen informiert, kann es effektiv auf diese Bedrohungen reagieren. Massnahmen können proaktiv ergriffen werden, um Anwendungen gegen Angriffe zu schützen. Test-Umgebungen, in denen laufend periodische Tests durchgeführt werden, Support für den Notfall und natürlich Schulung gehören dazu. Werden die Mitarbeiter:innen zum Beispiel schlecht ausgebildet, können Einstellungen im Backend oder auf dem Server falsch konfiguriert werden und so Angriffe ermöglichen.

Ein dediziertes internes Sicherheitsteam ist ausserdem in der Lage, schnell auf Bedrohungen zu reagieren. Wenn eine Bedrohung auftritt, können sie unverzüglich handeln, um die Auswirkungen auf Anwendungen und Systeme zu minimieren. Dies kann dazu beitragen, dass Schwachstellen schnell behoben werden, bevor es zu grösseren Sicherheitsproblemen oder gar Geschäftsausfällen kommt.

Darüber hinaus kann ein internes Sicherheitsteam bei einem Softwareanbieter eng mit anderen Teams zusammenarbeiten. Dies gewährleistet, dass Sicherheitsaspekte in allen Phasen des Entwicklungsprozesses berücksichtigt werden. Und dies trägt wiederum dazu bei, dass Sicherheitslücken von Anfang an vermieden werden und die Applikationen von Grund auf sicher entwickelt werden.

Mehr Sicherheit bedeutet oft mehr Schritte und Barrieren für die Nutzer:innen. Diesen Trade-off muss ein Software-Anbieter in der Balance halten können. Es gibt mittlerweile Fortschritte bei der Nutzer-Authentifizierung, die zu dieser Balance beitragen können. So zum Beispiel die Zweifaktor-Authentifizierung.

Hierbei wird ein zusätzlicher Code an das Smartphone der Nutzer:innen gesendet. Diesen müssen sie eingeben, um sich zu authentifizieren. Das erhöht die Sicherheit, ohne zusätzliche Komplexität für die Nutzer:innen zu schaffen.

Ein weiteres Beispiel ist die biometrische Authentifizierung, wie zum Beispiel Face ID. Hierbei wird das Gesicht der Nutzer:in als biometrischer Faktor zur Authentifizierung verwendet. Dies ist nicht nur sicherer als herkömmliche Passwörter, sondern auch einfacher zu verwenden. Unter der Voraussetzung, dass der Schutz biometrischer Daten gemäss den neuen Datenschutzgesetzen DSG und der DSGVO gewährleistet ist, lassen sich so eine optimierte Sicherheit und eine gute Benutzerfreundlichkeit miteinander verbinden.

Die Datenschutzgesetze in der Europäischen Union (DSGVO) und seit kurzem auch in der Schweiz (nDSG) wurden verschärft, um den technologischen und gesellschaftlichen Entwicklungen gerecht zu werden. Die Datenbearbeitung muss transparenter werden und die Selbstbestimmung der Menschen über ihre Daten muss gestärkt werden. Unternehmen, die sensible Daten verarbeiten, müssen sicherstellen, dass ihre IT-Systeme ein sehr hohes Sicherheitsniveau bieten, auch wenn diese Datenbearbeitung in die Schweiz oder ins Ausland ausgelagert wird. Es geht auch darum, möglicherweise hohe Geldstrafen und Reputationsverluste aufgrund von Datenverletzungen zu vermeiden.

Die Unternehmen sind dafür verantwortlich, die Daten zu schützen bzw. zu überprüfen, ob die Daten durch die Verwaltungs- und Bearbeitungssoftware ausreichend geschützt sind. Dennoch erkennt man einen guten Softwareanbieter daran, dass er eine "innere" Verantwortung dafür empfindet, die Daten seiner Kunden mit sicheren Lösungen zu schützen, und dass er seine Kunden in diesem Bereich auch beraten kann. Auf vertraglicher Ebene bietet ein guter Softwareanbieter von sich aus alle notwendigen Garantien (Vertrag über die Datenberarbeitung, gesetzliche Garantien, Vertragsklauseln, Zertifizierung), damit der Kunde in diesen Punkten Vertrauen haben kann.

Webapplikationen sind ein Einfallstor für klassische Hacker. Es gibt aber viele nützliche Massnahmen, um diesen Angriffen nicht passiv ausgeliefert zu sein. Sicherheit eingebunden in den ganzen Software Entwicklungs- und Lebenszyklus und auf allen Ebenen mit einer Mischung aus menschlichen und Computer-gesteuerten Massnahmen ist am zielführendsten. Eine Cloud-basierte SaaS Lösung nimmt den Unternehmen die Umsetzung dieser Massnahmen ab, damit sie sich auf ihr Kerngeschäft konzentrieren können.