Nachts gut schlafen – mit reinorange
von Carl Dressler
Software ist kein Selbstläufer: Oft muss sie auf Servern betrieben werden, welche über das Internet weltweit erreichbar sind. Das ermöglicht Cyber-Angriffe, gegen die euer Unternehmen geschützt sein muss. Wie? Mit reinorange.
Wir möchten in diesem Blog-Beitrag zuerst die Gefahren aufzeigen und danach, wie wir uns proaktiv um die Sicherheit eurer Software kümmern.
Eine unbehandelte Sicherheitslücke kann fatale Folgen haben:
- Persönliche Daten von Mitarbeitenden und Kund:innen werden gestohlen – der Vorfall muss der zuständigen Datenschutzbehörde gemeldet werden und rechtliche Konsequenzen folgen.
- Systeme funktionieren nicht mehr, was zu Verzögerungen, Datenverlust bis hin zur Existenzgefährdung führt.
- Die Reputation leidet und die IT-Kompetenz der Führungsebene wird infrage gestellt.
Davor wollen wir unsere Kund:innen natürlich bestmöglich schützen. Aber wie?
Keine Fehler machen?
Es gibt zwei große Probleme:
- Da wir (wie jedes andere Software-Unternehmen auch) Drittanbieter-Software aus weltweiten Quellen einsetzen, deren Code wir nicht kennen können, ist ein „Einfach genau aufpassen“ leider keine gute Strategie.
- Es gibt internationale Register, an welche Security-Forscher:innen weltweit Sicherheitslücken melden. Dabei werden täglich ca. 135 neue Sicherheitslücken gemeldet. Die können wir unmöglich selber prüfen, denn wir wollen ja noch Zeit haben, gute Software für euch zu bauen!
Wir brauchen einen umfassenden Ansatz, der menschliche Fehler berücksichtigt.
Proaktiv vorbeugen!
Bei reinorange setzen wir Dependency-Track ein, ein digitales Frühwarnsystem für Sicherheitslücken. Es überwacht vollautomatisch die besagten Register und überprüft bei neuen Sicherheitslücken automatisch die Kunden-Systeme. Ist eine gefährdete Komponente im Einsatz, so erhalten alle unsere Entwickler:innen automatisch eine E-Mail und wir kümmern uns unverzüglich.
Die Sicherheitslücken sind in den allermeisten Fällen geringfügig. Beispielsweise setzen sie voraus, dass ein:e Mitarbeiter:in bereits eingeloggt ist und ermöglicht erst dann unzulässige Aktionen. Das ist zwar ärgerlich, aber nicht so problematisch, weil Mitarbeitende kein Interesse an eurem Schaden haben und höchstwahrscheinlich auch nicht über das technische Know-how zum Aushebeln des Systems verfügen.
Es gibt aber auch kritische Lücken, bei denen schnelles Handeln notwendig ist. So können Angreifer im schlimmsten Fall ohne gültigen Login ihren eigenen Code auf euren Produktivsystemen ausführen, eure sensiblen Daten stehlen und Systeme nachhaltig beschädigen. Hier ist die vollautomatische Überwachung und schnelle Lösung sehr wichtig.
Fazit
Unsere vollautomatisierte Überwachung stellt sicher, dass eure Software stets auf einem sicheren Fundament steht. So vermeidet ihr proaktiv
- Einkommenseinbußen bis hin zur Existenzgefährdung
- kostspielige legale Konsequenzen
- Reputationsverlust
und könnt nachts gut schlafen, denn:
Ihr wisst, dass ihr euch um die digitale Sicherheit eurer sensiblen und unternehmensrelevanten Daten und Systeme gekümmert habt – beziehungsweise Expert:innen habt, welche das für euch übernehmen.
Wir sind gerne diese Expert:innen für euch! Sprecht uns einfach an, wenn eure Software auf einem sicheren Fundament stehen soll - egal, ob es die Software schon gibt, oder ob wir sie für euch bauen sollen.
