Die Welt ist vernetzt, Unternehmen und Verbraucher:innen tauschen ständig Daten aus, Daten, die immer sensibler und exponierter werden. Wenn man nicht aufpasst, können sich Schwachstellen entwickeln, die von böswilligen Personen ausgenutzt werden können.
Im Fall eines Unternehmens hat dies enorme Auswirkungen: Vollständige Einstellung der Geschäftstätigkeit über einen bestimmten Zeitraum, Umsatzeinbußen während dieser Zeit, Zahlung von Lösegeld, wenn der Hacker es verlangt, was bei weitem nicht empfehlenswert ist. Um nicht in eine solche Falle zu tappen, ist die Cybersicherheit von entscheidender Bedeutung. Es ist daher notwendig, bestimmte Techniken einzuführen, die das Risiko von Angriffen und Schwachstellen im Unternehmen begrenzt halten. Finden Sie in diesem Artikel heraus, wie sich ein Unternehmen wie Yousign vor Cyberangriffen schützt.
Die Sicherheit des Produkts
Bug Bounty, der Hack zum Aufspüren von Schwachstellen
Bei der Aktualisierung unserer Produkte ist es von entscheidender Bedeutung zu wissen, ob unsere neuen Funktionen anfällig sind.
Yousign nutzt dafür BUG Bounty, eine Jagd nach Schwachstellen durch sogenannte „Hunters”. Die Verwaltung dieser Hunter-Gemeinschaft erfolgt über eine Plattform mit unserem Partner YesWeHack. Wenn ein Hunter eine Schwachstelle entdeckt, reicht er einen Analysebericht an unser Sicherheitsteam ein. Wir führen dann eine Überprüfung durch, um seine Gültigkeit zu bestätigen.
Falls die Schwachstelle gültig ist, passen wir die Belohnung des Hunters an die Kritikalität der entdeckten Schwachstelle an. Um das Programm ständig aktiv zu halten und die Hunter-Gemeinschaft anzuregen, aktualisieren wir unser Programm wöchentlich, um neue Produktentwicklungen vorzustellen.
Pentest, ein Instrument zur Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen
Ein Pentest (oder Penetrationstest) wird verwendet, um die Sicherheit eines Informationssystems, eines Computernetzwerks oder, wie in unserem Fall, einer Anwendung zu bewerten. Yousign fordert regelmäßig Audits an, die von spezialisierten Unternehmen durchgeführt werden. Sicherheits- oder Eindringungsaudits werden wiederkehrend durchgeführt. Dieser Test ergänzt die oben genannten Sicherheitsmaßnahmen.
Was ist die e-Signatur?
Die wichtigsten Änderungen bei Yousign
Um unsere Kund:innen, aber auch Yousign zu schützen, kommen mehrere Neuerungen, um die Sicherheit zu erhöhen.
Die wichtigste Änderung: Unsere Kund:innen und die Empfänger von E-Mails, die von der Yousign-Lösung stammen (Autorisierende, Unterzeichner:innen ...), sollen in die Lage versetzt werden, unsere legitimen Benachrichtigungen von bösartigen E-Mails und Phishing-Versuchen zu unterscheiden.
Yousign integriert seit langem Sicherheitsmechanismen, um diese Bedrohungen zu bekämpfen, aber sie entwickeln sich ständig weiter. Daher haben wir vor kurzem unsere Konfiguration erneut verstärkt, um die Versuche, unsere Versanddomains zu missbrauchen, zu begrenzen.
Hier finden Sie eine Zusammenfassung unserer Maßnahmen zum Schutz der E-Mail-Empfänger, aber auch zur Einschränkung des Identitätsdiebstahls von Yousign. Die Namen sind ein wenig unheimlich, aber keine Sorge, wir erklären Ihnen alles:
SPF (Sender Policy Framework): Explizite Autorisierung von IP-Adressen, die E-Mails im Namen von Yousign versenden dürfen. Die E-Mail-Server, die den Empfang der E-Mail verwalten, stellen sicher, dass die E-Mail von diesen autorisierten Quellen gesendet wurde. Der böswillige Server wird also blockiert, weil er versucht hat, unsere Adressen zu stehlen.
DKIM (DomainKeys Identified Mail): Eine digitale Signatur wird in die, von Yousign gesendeten E-Mails integriert. Der Empfangsserver des Empfängers kann dann automatisch überprüfen, ob der Inhalt manipuliert wurde oder nicht.
DMARC (Domain-based Message Authentication, Reporting and Conformance): Wird oft übersehen und ist schwer zu implementieren, da seine Einstellung im restriktiven Modus ein genaues Verständnis und die Beherrschung der Sendequellen erfordert. Manchmal kommt es hierbei zu erheblichen Änderungen, die zahlreiche interne Teams betreffen können und zu Problemen mit der Zustellbarkeit führen können, wodurch legitime Kund:innen unsere E-Mails nicht mehr erhalten können. Dieser Parameter ergänzt die zuvor besprochenen SPF- und DKIM-Protokolle, indem er die Ausrichtung zwischen verschiedenen technischen Systemen sicherstellt und dem Server eine Anweisung zur Verarbeitung gibt, wenn er eine Nichtkonformität feststellt. Im Fall von Yousign wurde die Richtlinie vor kurzem auf „restriktiv“ gesetzt, nachdem unsere Teams sie mehrere Monate lang vorbereitet hatten, um sicherzustellen, dass es zu keiner Verschlechterung der Qualität unserer Sendungen kommt.
Die interne Sicherheit
Sensibilisierung als Kern der Strategie
In den meisten Fällen sind Cyberangriffe auf menschliche Fehler zurückzuführen. Ein USB-Stick mit einem Virus, irreführende E-Mails, die zum Herunterladen und Öffnen von Dateien auffordern, etc. Es ist äußerst wichtig, die Mitarbeiter:innen für diese Art von Angriffen zu sensibilisieren. Yousign hat daher mehrere Dinge eingeführt:
Croissants: Viele Kolleg:innen in den Büros lauern auf nicht gesperrte Computer, um sich die Freiheit zu nehmen, mit dem ungeschützten Konto des Mitarbeiters „Morgen gibt’s Croissants für alle“ zu schreiben! Wie Sie vielleicht schon bemerkt haben, handelt es sich hierbei um eine Technik, die jeden dazu bringt, sich zu vergewissern, dass sein Computer gesperrt ist, wenn er seinen Arbeitsplatz verlässt.
Schulung: Alle Mitarbeiter:innen müssen an einer Veranstaltung zum Sicherheitsbewusstsein teilnehmen und einen Test bestehen, um zu bestätigen, dass sie die Konzepte verstanden haben.
Phishing-Kampagnen: Phishing-Kampagnen werden mit der Mantra-Lösung durchgeführt, um die Mitarbeiter:innen zu trainieren. Das Tool wird so konfiguriert, dass es E-Mails unter Vortäuschung falscher Namen von Kund:innen/ Kolleg:innen versendet, bestimmte Dateien oder dubiose Websites hervorhebt usw. Die Mitarbeiter:innen müssen diese dann erkennen. Das Tool ermöglicht es, unter realen Bedingungen die Reaktion der Mitarbeiter:innen auf sehr ausgeklügelte Phishing-E-Mails zu beurteilen. Das Sicherheitsteam kann dann auf der Grundlage der Ergebnisse neue Sensibilisierungskampagnen durchführen.
Die Umweltanalyse
Sich über Neuigkeiten rund um das Thema Cybersicherheit auf dem Laufenden zu halten, ist unerlässlich, um nicht überholt zu werden. Da sich diese Welt sehr schnell verändert, wurden mehrere interne Praktiken eingeführt, um sicherzustellen, dass wir mit unseren verschiedenen Tools und den neuesten Sicherheitslücken auf dem Laufenden sind.
Die Komponentenwache
Bei Yousign werden mehrere Komponenten verwendet. Ihre technischen Schwachstellen zu überwachen, ist entscheidend, um Sicherheitslücken zu erkennen und zu beheben. Wie funktioniert das konkret? Wenn eine Sicherheitslücke von anderen Unternehmen oder Personen entdeckt wird, werden sie für alle freigegeben. Sobald die Schwachstelle bekannt ist, wird sie speziell in unserem Kontext analysiert und so eventuell eine Korrektur auf der Seite von Yousign implementiert.
Das Sicherheitswetter
Nun, es ist nicht das Wetter, das man im Fernsehen sieht, aber es kommt dem schon sehr nahe. Das Ziel hier ist es, eine Bestandsaufnahme der verschiedenen Sicherheitslücken zu machen, die aufgetreten sein könnten, die Ergebnisse zusammenzufassen und intern zu diskutieren.
Ein einheitlicher technischer Stack
Durch die Rationalisierung der Auswahl der Technologien, die zur Erstellung der Yousign-Anwendungen verwendet werden, entwickelt sich in diesem Bereich eine Expertise, während die Angriffsfläche und damit die Risiken auf ein Minimum reduziert werden. Je mehr verschiedene Technologien und Sprachen man hat, desto größer ist die Wahrscheinlichkeit, dass eine dieser Technologien eine Schwachstelle aufweist.
Wie Sie sicher bemerkt haben, entwickelt sich die digitale Welt sehr schnell und auch die Praktiken ändern sich. Sicherheit wird immer wichtiger, um den Fortbestand von Unternehmen zu sichern. Die Teams für Sicherheit, Compliance und IT arbeiten jeden Tag an neuen Wegen, um Yousign, seine Kund:innen, seine Mitarbeiter:innen und unsere Unterzeichner:innen zu schützen. Um Sicherheit zu gewährleisten, ist ein Hinterfragen immer notwendig, denn die Lösungen von heute können morgen schon veraltet sein. Man kann sich also fragen, welche Sicherheitssysteme in den nächsten Jahren entstehen könnten. Wie werden sich Unternehmen gegen immer häufiger auftretende Angriffe schützen? Eine passende Antwort lässt sich diesbezüglich sicher erst in einigen Jahren finden.