Wie KMUs die Cybersicherheit für ihre Kunden verbessern können

Wie KMUs die Cybersicherheit für ihre Kunden verbessern können

Viele Führungskräfte in kleinen Unternehmen glauben, dass ihre Unternehmen vor Cybersicherheitsbedrohungen sicher sind. In einer Studie von Insureon aus dem Jahr 2017 waren nur 16% der 2.400 Befragten besorgt über einen Cybersicherheitsangriff - gegenüber 18% im Vorjahr.

Führungskräfte in kleinen Unternehmen gehen davon aus, dass ihre Teams zu klein sind, um sinnvolle Ziele zu erreichen, oder dass vorhandene IT-Teams mit externen Bedrohungen umgehen können. Insbesondere Gründer von Start-ups müssen bei ihrer Skalierung zahlreiche andere Prioritäten berücksichtigen, z. Wenn Cybersicherheit keine Rolle spielt, ist es weniger wahrscheinlich, dass das Team konzertierte Anstrengungen unternimmt, um die aktuelle Infrastruktur zu verbessern.

Lesen Sie den Auth0-Blog und erfahren Sie alles über Identity Infrastructure, Access Management, SSO, JWT-Authentifizierung und die neueste Sicherheit. AUTH0 BLOG

Dieser Mangel an Aufmerksamkeit kann jedoch ein fataler Fehler sein. Bei Hacking-Vorgängen werden häufig Bots verwendet, um eine Vielzahl von Websites nach bekannten Schwachstellen zu durchsuchen. In diesen Situationen spielt die Unternehmensgröße keine Rolle. Während Sicherheitskatastrophen bei großen Unternehmen wie Anthem und Target die Schlagzeilen dominieren, machen Start-ups und der Rest der kleinen bis mittleren Unternehmen oftmals leichte Beute, weil sie weniger Ressourcen für die Verteidigung aufwenden.

Wie können sich kleine Teams schützen, wenn die Ressourcen knapp werden und andere Projekte um sofortige Aufmerksamkeit wetteifern? In diesem Beitrag werden drei Bereiche hervorgehoben, in denen Führungskräfte von Startups und Kleinunternehmen ihre Zeit und ihr Geld investieren können, um ihre sensiblen Daten zu schützen und sicher zu wachsen.

1. Sichern Sie Ihre Benutzer von Anfang an.

Von dem Moment an, in dem Sie mit der Einstellung beginnen, wird die sichere und einfache Verwaltung des Zugriffs auf Ihre technischen Systeme zu einer Herausforderung. Das Tempo des Start-Up-Wachstums und die sich abzeichnende Gefahr des Scheiterns können es jedoch schwierig machen, Zeit für die Verwaltung von Anmeldeinformationen aufzuwenden.

Ein Mangel an starkem Benutzerverwaltungs- und Authentifizierungssystem kann Sie jedoch schwächen.

In dem jährlichen Bericht von Verizon zu Data Breach Investigations stellten sie fest, dass 63% der bestätigten Verstöße schwache, standardmäßige oder gestohlene Passwörter betrafen. Ein falsches Passwort gefährdet nicht ein einzelnes Konto. Wenn Benutzer Kennwörter wiederverwenden, kann ein gefährdetes Konto zum Verlust vieler anderer Geräte und Systeme führen.

Eine Lösung wie Auth0 bietet eine Multi-Factor-Authentifizierung (MFA), die Kennwortschwachstellen umgeht und Administratoren die sofortige Genehmigung von Anmeldeanforderungen mit einem einzigen Klick für eine Reihe von Geräten ermöglicht.

Mit MFA benötigen Benutzer eine zweite vertrauliche Information, z. B. einen Fingerabdruck oder einen Gesichts-Scan, um auf andere Systeme zugreifen zu können. Hacker mit nur einem Satz von Anmeldeinformationen können nicht weiter kommen.

Auth0 Guardian hilft Startups, in Bewegung zu bleiben, indem Mitarbeiter von lästigen Einweg-Login-Codes befreit werden. Mit Push-Benachrichtigungen können beschäftigte Administratoren Anforderungen genehmigen oder ablehnen, ohne die App öffnen zu müssen. Guardian bietet auch mobile Software Development Kits (SDKs) an, mit denen Sie Ihre eigene MFA-Anwendung entwerfen können, die sich nahtlos in das restliche Branding Ihres Unternehmens einfügt.

2. Planen Sie Ihre Reaktion auf Angriffe.

Leider können Sie es sich angesichts der zunehmenden Datenverletzungen nicht leisten, nicht im Voraus zu planen.

2017 war das Startup Kickico unvorbereitet. Sie erlebten eine Welle von DDoS-Angriffen (Distributed Denial-of-Service), als Hacker ihre Site fälschten, ihre Plattform auf GitHub klonten und den Klon vorbereiteten, um potenzielle Benutzer zu täuschen, sobald die ursprüngliche Site ausfiel. Glücklicherweise schien den Hackern das Geld auszugehen, um die DDoS-Angriffe aufrechtzuerhalten, und GitHub reagierte prompt auf Kickicos Bitte, die Angreifer zu blockieren.

Kickico war nicht bereit und gab zu: "Wir haben kein so kleines und unauffälliges Unternehmen ohne große PR-Maßnahmen realisiert, das Aufmerksamkeit erregen würde."

Viele Startups sind schlecht vorbereitet und es kann viel länger dauern, bis subtile Angriffe erkannt werden. Eine Studie ergab, dass mehr als zwei Drittel der Unternehmen Monate oder länger brauchten, um einen Verstoß zu entdecken - obwohl diese Verstöße nur wenige Minuten in Anspruch nahmen.

Startups können sich auf Tools vorbereiten, die Benachrichtigungen bei Verstößen gegen Kennwörter bereitstellen, sodass Sie über durchgesickerte Anmeldeinformationen sofort informiert werden und Benutzer sogar sperren können, bis sie ihre Kennwörter zurücksetzen.

Wenn die Erkennung von Anomalien aktiviert ist, können Start-ups auch Grenzen für Brute-Force-Anmeldungen festlegen, bevor diese stattfinden.

Diese Best Practices für Cybersicherheit können einen Plan für die Reaktion auf Datenschutzverletzungen unterstützen, der Startups darauf vorbereitet, so schnell wie möglich auf einen Verstoß zu reagieren. Start-ups sollten nicht allein, sondern frühzeitig Beziehungen zu Rechts- und Öffentlichkeitsarbeit sowie zu Unternehmen aufbauen, die mit Datenschutzverletzungen vertraut sind. Sobald Sie einen Verstoß feststellen, können Sie dem Plan folgen und die Experten einsetzen, um sich so schnell und vollständig wie möglich zu erholen.

Datenschutzgesetze nehmen auch Verstöße zunehmend ernst und fordern schnellere Reaktionen und strengere Strafen. Ein gut durchdachter Plan für die Reaktion auf Datenschutzverletzungen, der durch automatische Erkennung informiert wird, wird nur noch notwendiger.

3. Schützen Sie sich vor webbasierten Angriffen.

Ihre Website ist wie die Haustür Ihres Unternehmens, aber Hacker haben tausende Möglichkeiten. Neunundvierzig Prozent der Cyberangriffe sind webbasiert, und 44 Angriffe pro Tag treffen die durchschnittliche Website für kleine Unternehmen.

Die Websicherheit hängt von mehr als der Verbindung zwischen zwei Entitäten ab. Daten gehen über Dritte dorthin, wo sie benötigt werden. Daher ist die Authentifizierung in allen Phasen von zentraler Bedeutung für die sichere Kommunikation.

Wenn nicht die richtigen Kommunikationsprotokolle festgelegt sind, können übertragene Informationen für so genannte Man-in-the-Middle-Angriffe anfällig werden. HTTP, ein Anwendungsprotokoll, das Sie wahrscheinlich in vielen URLs gesehen haben, konzentriert sich in der Vergangenheit auf das Senden von Informationen, nicht auf das Sichern.

HTTPS, ein neueres Protokoll mit integrierter Sicherheit, erschwert das Ausführen von Angriffen erheblich. HTTPS fügt Transport Layer Security (TLS) hinzu, mit der sichergestellt wird, dass ein Client nur mit dem erwarteten Server kommuniziert und alle Daten, die zwischen den Clients übertragen werden, verschlüsselt werden.

Durch die Verwendung eines HTTP Strict Transport Security (HSTS) -Headers wird HTTPS in Ihrer Webanwendung verstärkt, indem angegeben wird, dass auf Ihre Site nur über HTTPS zugegriffen werden kann. Selbst wenn Benutzer eine ältere Version mit einem Lesezeichen versehen oder http: // eingeben, erzwingt ein HSTS-Header, dass Browser und Anwendungen stattdessen HTTPS verwenden. Hacker können nicht auf die verschlüsselten Informationen zugreifen, die Cookies Ihrer Website stehlen oder eine Weiterleitung zu einer gefälschten Website erzwingen.

Auth0 erzwingt HTTPS-Verbindungen zu allen Diensten. Dies bedeutet, dass alle Nicht-HTTPS-Verbindungen aktualisiert werden.

Startups müssen ihre begrenzten Ressourcen mit Bedacht einsetzen, aber auf die gleiche Weise würde ein neues Restaurant nicht an Sperren sparen, und auch Startups sollten diese bewährten Methoden für die Websicherheit nicht ignorieren.

Sicherheit am ersten Tag

Schlechte Cybersicherheit ist technische Verschuldung. Diese Abkürzungen können eine Firma in Bewegung halten, aber im Laufe der Zeit zusammensetzen und schließlich zu teuren Lasten werden. Sie können auf die Einrichtung guter Cybersicherheitsverfahren warten, Hacker jedoch nicht. Je länger Sie brauchen, um Sicherheit zur Priorität zu machen, desto schwieriger wird es, sich rückwirkend zu schützen.

Cybersicherheit ist eine Investition in die Nachhaltigkeit Ihres Unternehmens. Wachstum ohne Best Practices für Cybersicherheit ist Wachstum zum Nutzen von Hackern, die eine hohe Auszahlung anstreben.

Beheben Sie zunächst eine Ihrer wichtigsten Sicherheitslücken: Identität. Mit einem ausgelagerten Anbieter wie Auth0 können Sie die Sicherheit mit dem Benutzerwachstum skalieren, einen informierten Plan für die Reaktion auf Bedrohungen erstellen und eine sichere Anmeldeumgebung erstellen. Frühzeitig in Sicherheit zu investieren, macht Sie sicherer und besser informiert, wenn es darauf ankommt.

Über Auth0

Auth0, ein weltweit führender Anbieter von Identity-as-a-Service (IDaaS), bietet Tausenden von Kunden in allen Marktsektoren die einzige Identitätslösung, die sie für ihre Web-, Mobil-, IoT- und internen Anwendungen benötigen. Die erweiterbare Plattform authentifiziert und sichert nahtlos mehr als 2,5 Milliarden Anmeldungen pro Monat und wird von Entwicklern geliebt und von globalen Unternehmen als vertrauenswürdig eingestuft. Der US-Hauptsitz des Unternehmens in Bellevue, WA, und weitere Niederlassungen in Buenos Aires, London, Tokio und Sydney unterstützen seine globalen Kunden in über 70 Ländern.

Weitere Informationen finden Sie unter https://auth0.com oder folgen Sie @ auth0 auf Twitter.

Ursprünglich veröffentlicht unter https://auth0.com.