Willkommen in unserem Blog.

Warum sind Sie hier?

Lassen Sie uns keine Zeit verschwenden. Sie sind hier, weil Sie eine Webhook-Funktion in Ihre App einbauen wollen. Leider gibt es eine ganze Reihe von Dingen, die aus der Sicherheitsperspektive schief gehen können. Dieser Artikel soll sicherstellen, dass Sie bei der Erstellung von Webhooks keine bekannten Fehler machen.

Wie funktionieren Webhooks?

Um es kurz zu machen: Webhooks sind HTTP(S)-Anfragen an Dritte, um sie über ein Ereignis in Ihrer Anwendung zu informieren. Wenn Sie beispielsweise eine Anwendung anbieten, die Rechnungen erstellt, könnten Sie Ihren Kunden die Möglichkeit bieten, eine Webhook-Funktion einzurichten, die ausgelöst wird, wenn eine neue Rechnung erstellt wird. Das bedeutet, dass Ihre Anwendung bei der Erstellung der Rechnung eine HTTP(S)-Anfrage an eine vom Benutzer festgelegte Stelle sendet. Der Benutzer kann dies nutzen, um seine eigenen benutzerdefinierten Workflows einzurichten, die durch den Webhook ausgelöst werden, z. B. die Planung von Erinnerungs-E-Mails oder das Senden einer Nachricht an den Kunden auf Slack.

Checkliste: Sicherung von Webhook-Implementierungen

1. Abwehr von Angriffen vom Typ SSRF

Bei dieser Art von Angriff versucht der Angreifer, Informationen (z. B. Instanz-Metadaten in einer Cloud) zu erhalten, indem er die Webhook-Funktion ausnutzt. Um sich dagegen zu wehren, sollten Sie die folgenden Maßnahmen ergreifen.

✅ Benutzereingaben validieren

• Basic: Einfache URL-Validierung durchführen.
• Besser: Sicherstellen, dass die URL mit "https://" beginnt, "file://" und andere Nicht-HTTPS-Schemata nicht zulassen.

✅ Lokale Adressen einschränken

• Blockieren Sie typische lokale IPs: 127.0.x, 192.168.x, 172.x.
• Verbot von "localhost" und "http://"

✅ Grenzwert der Log-Exposition

• Nur HTTP-Statuscodes in benutzerseitigen Protokollen anzeigen.
• Vermeiden Sie die Anzeige von Kopfzeilen oder Textinhalten.

✅ Erweitert: Verbesserte URL-Validierung

• Für POST-Anfragen einen spezifischen Antwort-Header verlangen, der nur für den Kunden gilt.
• Führen Sie diese Überprüfung kontinuierlich durch, auch nach der Ersteinrichtung, um DNS-Änderungen zu verhindern.

2. Ermöglichen Sie Ihren Nutzern, die Authentizität der Daten zu überprüfen

Ihr Webhook-Kunde muss wissen, dass die Daten wirklich von Ihrer Anwendung stammen. Sie können eine der folgenden Methoden verwenden.

✅ Überprüfung der Testmeldung

Ermöglichen Sie es den Benutzern zunächst, eine Testmeldung auszulösen, um die Sicherheitsmechanismen zu testen.

✅ HMAC-Überprüfungshash

Einer der wirksamsten Sicherheitsmechanismen für Webhook-Funktionen ist die Implementierung von HMAC für Datenintegrität und Authentizität.

Der grundlegende Prozess lässt sich wie folgt zusammenfassen:

• Generieren Sie einen Hash der Nutzdaten mit SHA-256 und einem geheimen Schlüssel.
• Senden Sie den HMAC mit der Nutzlast.
• Die Empfänger erstellen den Hash neu, um die Authentizität und Integrität der Nutzdaten zu überprüfen.

✅ Einbeziehung des Zeitstempels

Hierbei handelt es sich eher um eine fortgeschrittene Sicherheitsmaßnahme. Hinzufügen eines Zeitstempels zur Nutzlast, um Replay-Angriffe zu verhindern. Stellt sicher, dass Nachrichten nicht wiederverwendet oder verändert werden.

✅ Client-seitige TLS-Zertifikate

Authentifizierung von HTTP-Aufrufen mit client-seitigen TLS-Zertifikaten. Dies ist besonders für Kunden auf Unternehmensebene interessant.

3. Ratenbegrenzung und Vermeidung von Datenüberschneidungen

Für die Sicherheit von Webhooks ist es sicherer, zu wenig Daten zu senden, als zu viele anzuhängen. Obwohl Webhook-Aufrufe mit HTTPS verschlüsselt werden sollten, kann man nie wissen, wer nach ein paar Jahren noch die Kontrolle über einen Domänennamen haben könnte.

✅ Datenexposition minimieren

• Vermeiden Sie es, personenbezogene Informationen (PII) oder sensible Daten zu versenden.
• Anstatt mehrere Datenpunkte (wie contact_id, email, name) zu senden, senden Sie nur die contact_id. Lassen Sie die Nutzer bei Bedarf weitere Daten über Ihre öffentliche API abrufen.

✅ Kommunikation der Wiederholungsrichtlinie

• Teilen Sie den Nutzern die Wiederholungsrichtlinien und Ratenbeschränkungen klar mit.
• Informieren Sie sie darüber, dass die Nachrichten aufgrund von Wiederholungsversuchen möglicherweise nicht in der richtigen Reihenfolge ankommen.
• Definieren Sie, dass jede 2xx-Antwort ein Erfolg ist; andere Antworten sollten einen erneuten Versuch auslösen.

✅ Verwendung eines Warteschlangensystems für die Zustellung

Implementieren Sie ein Warteschlangensystem, um die Webhook-Zustellung zu verwalten und die Ausgabe zu drosseln. Auf diese Weise können Sie verhindern, dass die Server Ihrer Benutzer in Grenzfällen überlastet werden, z. B. wenn ein umfangreicher CSV-Import übermäßige Webhook-Aufrufe und Wiederholungen auslöst.

4. Bonus: Alarmierung bei Anomalien

Dies dient eher der Bequemlichkeit der Entwickler als der Sicherheit, ist aber dennoch eine gute Sache.

• Benachrichtigung der Benutzer beim Auftreten von 4xx- und 5xx-Antworten
• Benachrichtigungen senden, um die Nutzer über etwaige Fehler zu informieren

Dieser Zusatz verbessert die Transparenz und Reaktionsfähigkeit Ihres Webhook-Systems.

Schlussfolgerung

Und das war's schon! Wir haben einige Schritte beschrieben, um Ihre Webhooks nicht nur funktional, sondern auch sicher und benutzerfreundlich zu machen. Die Umsetzung dieser Schritte wird Ihre Anwendung schützen und auch die allgemeine Benutzererfahrung verbessern. Viel Spaß beim Kodieren! 🚀🔒👨‍💻

Aikido Security ist eine auf Entwickler ausgerichtete Software-Sicherheitsplattform. Wir helfen Ihnen, Ihr Produkt sicher zu machen, damit Sie sich auf das Schreiben von Code konzentrieren können. Sie müssennicht mit einem Vertriebsteam sprechen - verbinden Sie einfach Ihr GitHub-, GitLab-, Bitbucket- oder Azure DevOps-Konto an, um Ihre Repos kostenlos zu scannen.

Die meisten Sicherheitstools verschwenden die Zeit der Entwickler. Wir sind auf einer Mission, dies zu ändern.

Anwendungsentwickler werden nicht dafür bezahlt, sich um die Sicherheit zu kümmern. Ihre Leistung wird an der Geschwindigkeit gemessen, mit der sie dem Unternehmen durch neue Funktionen oder Erweiterungen einen Mehrwert bieten können.

Dies macht herkömmliche Sicherheitstools zu einem Hindernis, da sie nicht für Entwickler konzipiert sind - und sie sind auch nicht darauf ausgelegt, hilfreich zu sein. Ihre Aufgabe besteht einfach darin, eine umfangreiche Liste von Sicherheitswarnungen anzuzeigen und es dem Entwickler zu überlassen, den Rest herauszufinden.

Wir bei Aikido haben es uns zur Aufgabe gemacht, die Sicherung von Anwendungen so schnell und problemlos wie möglich zu gestalten. Eine der wichtigsten Maßnahmen, um dies zu erreichen, ist die Reduzierung von Störsignalen und Fehlalarmen, die die Zeit der Entwickler verschwenden und zu Verzögerungen bei der Bereitstellung von Sicherheitslösungen führen.

Dieser Beitrag wird Ihnen zeigen, was Aikido tut, um ein Heilmittel für Entwickler, die unter dem Alert Fatigue Syndrom leiden, anzubieten.

Verringerung des Lärms

Kenny Rogers hat das in seinem berühmten Lied "The Gambler" sehr gut eingefangen:

"Das Geheimnis des Überlebens ist, zu wissen, was man wegwerfen und was man behalten sollte."

Der größte Einfluss, den Sie auf das Signal-Rausch-Verhältnis haben können, ist, dass Sie den Entwicklern nur die CVEs und Sicherheitswarnungen anzeigen, auf die sie reagieren sollten, und den Rest ignorieren.

Hier erfahren Sie, wie Aikido irrelevante Sicherheitswarnungen und CVEs auf intelligente Weise ignoriert:

Entwicklungsspezifische Abhängigkeiten

Standardmäßig meldet Aikido keine Schwachstellen für Abhängigkeiten, die nur für die Installation in Entwicklungsumgebungen gekennzeichnet sind, da sie in Staging- oder Produktionsumgebungen nicht vorhanden sein sollten.

Ungültige CVEs oder CVEs ohne Fix

Die Anzeige eines CVE ohne Korrektur ist nur eine Ablenkung. Daher verschiebt Aikido diese vorübergehend in eine Liste ignorierter Probleme, bis ein Fix verfügbar ist, bevor sie im Dashboard angezeigt werden.

Unerreichbarer Code

Die Code-Intelligenz und die Erreichbarkeits-Engine von Aikido ignorieren ein CVE, wenn eine verwundbare Funktion nicht in der Codebasis aufgerufen wird.

Dies verringert das Rauschen, besonders bei großen Bibliotheken mit vielen Abhängigkeiten, wie z.B. TensorFlow.

Abgelaufene oder widerrufene Secrets

Aikido ignoriert secrets , die als abgelaufen oder widerrufen verifiziert wurden oder als Variablen erscheinen. Aikido überprüft sicher die Gültigkeit bekannter Geheimnistypen, indem es eine Anfrage an einen API-Endpunkt sendet, der eine Autorisierung erfordert und keine sensiblen Daten erzeugt.

Manuelle Ignorierregeln

Sie können Aikido so konfigurieren, dass Schwachstellen unter bestimmten Bedingungen ignoriert werden, z.B. die Meldung für bestimmte Pfade in einem Repository ignorieren.

Deduplizierung

Da die meisten Unternehmen ihre Sicherheitsinfrastruktur aus verschiedenen Quellen zusammenstellen, ist es üblich, dass mehrere Systeme dieselbe Warnung oder CVE anzeigen - außerdem ist es üblich, dass herkömmliche Tools dieselbe CVE mehrfach in einem einzigen Repository anzeigen. Wir sprechen von Rauschen!

Da es sich bei Aikido um eine All-in-One-Plattform handelt, die Ihnen ein einziges Fenster für alle Sicherheitsprobleme bietet, sehen Sie nur eine einzige CVE-Meldung für jedes Repository mit Unterproblemen, die den Ort jeder Schwachstelle auflisten.

Verstärkung des Signals mit kontextbezogener Empfindlichkeitsabstimmung

Ein Sicherheitsproblem, das in einem Repository entdeckt wird, das sensible Daten verarbeitet, sollte anders bewertet werden als ein rein internes Repository, das keine Daten aufbewahrt.

Aikido liefert verschiedene Kontextindikatoren für jedes Repository, die dabei helfen, mehr Sicherheitsrisiken aufzudecken und den endgültigen Schweregrad eines Problems angemessen zu gewichten.

Durch Hinzufügen eines Domänennamens kann Aikido zum Beispiel gezielte Scans auf Probleme wie SSL-Schwachstellen, Cookie-Fehlkonfigurationen, die Anwendung eines CSP und Cross-Site-Scripting (XSS )-Angriffe durchführen.

Weitere kontextbezogene Beispiele sind, ob die Anwendung über einen Internetzugang verfügt und in welchen Umgebungen die Anwendung eingesetzt wird.

Verstärkung des Signals für das Ausbeutungsrisiko

Aikido verwendet Echtzeit-Indikatoren, um die Wahrscheinlichkeit zu verfolgen, dass ein CVE in freier Wildbahn ausgenutzt wird, wie z.B. bestätigte Fälle von Ausnutzung, öffentlicher Code, der dokumentiert, wie der Exploit ausgeführt wird, und kundenspezifische Cloud-Infrastrukturprobleme, die sie besonders anfällig machen könnten.

Und da Aikido sowohl Ihren Code als auch Ihre Cloud-Infrastruktur überwacht, kann es den Schweregrad von "toxischen Kombinationsproblemen" erhöhen, die sich aus bestimmten Bedingungen ergeben, unter denen Ihre Anwendung gehostet wird, z. B. sind AWS-Instanzen, die IMDS API Version 1 verwenden, anfälliger für SSRF-Exploits, die AWS-Credentials offenlegen können.

Zusammenfassung

Herkömmliche Sicherheitstools kümmern sich nicht um die Produktivität der Entwickler. Sie begraben ein Repository gerne unter einem Haufen von Fehlalarmen und verschwenden damit Zeit, die die Entwickler besser für die Lösung von Sicherheitsproblemen hätten verwenden können.

Das Besondere an Aikido ist, dass wir die Verbindung zwischen Entwicklerproduktivität und Sicherheit sehen. Durch die Beseitigung irrelevanter Warnungen und CVEs erhalten echte Bedrohungen mehr Aufmerksamkeit, und infolgedessen werden Korrekturen schneller umgesetzt.

Diese Win-Win-Situation für Entwickler und Sicherheit ist unser Ziel und hilft unseren Kunden, das Security Alert Fatigue Syndrom zu überwinden.

Möchten Sie es in Aktion sehen? Melden Sie sich an, um Ihre ersten Repos zu scannen und erhalten Sie Ihre ersten Ergebnisse in weniger als 2 Minuten.

Diese Frage wird uns häufig von unseren Kunden gestellt. Der Wortlaut der NIS2-Richtlinie ist nicht immer sehr eindeutig. NIS2 ist ein Rahmen, den die Länder umsetzen müssen. Da es sich um eine Richtlinie und nicht um eine Verordnung handelt, hat jedes EU-Land die Autonomie, sie nach seiner eigenen Auslegung einzuführen.

Der Wortlaut von NIS2 ist weit gefasst, so dass es schwierig ist, sich einen Überblick zu verschaffen, vor allem, bis die Länder ihre spezifischen Bestimmungen veröffentlichen. Wir werden jedoch so klar wie möglich beantworten, welche Unternehmen derzeit von NIS2 betroffen sind.

Aikidosschneller NIS2-Selbsttest, um zu sehen, ob du im Geltungsbereich bist

Wir möchten, dass die Dinge praktisch und unkompliziert sind. Um Ihnen die Arbeit zu erleichtern, finden Sie hier einen schnellen 5-Schritte-Selbsttest, um festzustellen, ob Sie in den Anwendungsbereich der NIS2 fallen:

1. Ist Ihr Unternehmen in einer "wesentlichen" oder "wichtigen" Branche tätig?
2. Prüfen Sie, ob Sie zu einer Teilbranche gehören.
3. Erfüllen Sie die Größenanforderungen?
4. Wenn Sie die Fragen 1, 2 und 3 mit "Nein" beantworten, sollten Sie sich vergewissern, dass Sie keine Ausnahme sind (Profi-Tipp: Um auf Nummer sicher zu gehen, sollten Sie einen Rechtsbeistand hinzuziehen).
5. Und wenn Sie alle diese Fragen mit "Nein" beantworten, prüfen Sie, ob Ihre Kunden in den Geltungsbereich fallen oder nicht.

Für wen gilt die NIS2?

Es gibt zwei wichtige Parameter, die überprüft werden müssen, um festzustellen, ob NIS2 Auswirkungen auf Ihr Unternehmen hat:

• Industrie: Wenn Sie zu einer Branche gehören, die "wesentlich" oder "wichtig" ist.
• Größe: Wenn die Größe Ihres Unternehmens bestimmte "wesentliche" oder "wichtige" Schwellenwerte erfüllt, d. h. mehr als X Beschäftigte, X € Umsatz oder X € Bilanzsumme.

Schauen wir uns beide genauer an.

Für welche Sektoren gilt die NIS2?

Alles beginnt hier. Bei NIS2 geht es darum, wesentliche und wichtige Branchen sicher zu machen. Mit NIS2 wird die Zahl der Branchen, die im Mittelpunkt der ersten NIS-Richtlinie standen, ausgeweitet. Sie unterscheidet zwischen wesentlichen und wichtigen Industrien, aber beide Kategorien sind in ihrem Anwendungsbereich enthalten.

Wesentliche Wirtschaftszweige: Energie, Trinkwasser, Abwasser, Verkehr, Banken, Finanzmärkte, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Gesundheitswesen und Raumfahrt.

Wichtige Branchen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (z. B. medizinische Geräte, Computer/Elektronik, Maschinen/Anlagen, Kraftfahrzeuge, Anhänger/Sattelanhänger/sonstige Transportmittel), digitale Anbieter (z. B. Online-Marktplätze) und Forschungseinrichtungen.

Einige Sektoren sind sofort betroffen, egal wie. Einige Beispiele sind Domänennamen-Registrierungsstellen, Anbieter von Vertrauensdiensten, DNS-Dienstleister, TLD-Namen-Register und Telekommunikationsanbieter.

Darüber hinaus werden die nationalen Behörden befugt sein, einzelne Unternehmen zu benennen, die nicht in die Kategorien wesentlicher oder wichtiger Sektor fallen. Sie können dies tun, wenn sie der Ansicht sind, dass das Unternehmen eine einzige Dienstleistung erbringt, eine bedeutende Auswirkung hat und/oder für die Gesellschaft wesentlich ist.

NIS2-Unternehmensgrößenkriterien

Für die NIS2 gelten Obergrenzen. Das bedeutet, dass Sie die Richtlinie einhalten müssen, wenn Sie bestimmte Schwellenwerte überschreiten.

Was sind wesentliche und wichtige Unternehmen für die Größenkriterien?

• Wesentliche Unternehmen: 250+ Beschäftigte ODER 50 Mio. € Jahresumsatz ODER 43 Mio. € Bilanzsumme
  Hinweis: Ein wesentliches Unternehmen, das die Schwellenwerte für die wesentliche Größe (oben) nicht erreicht, aber dennoch die Schwellenwerte für die Größe wichtiger Unternehmen (unten) erfüllt, wird als wichtiges Unternehmen betrachtet. Es fällt daher weiterhin in den Anwendungsbereich.
• Wichtige Unternehmen: 50+ Mitarbeiter ODER 10 Mio. € Jahresumsatz ODER 10 Mio. € Bilanzsumme

Oberflächlich betrachtet gilt die NIS2 also für mittlere Unternehmen und große Konzerne. Kleine und Kleinstunternehmen bleiben außen vor. Aber es wird Ausnahmen geben. Wenn beispielsweise ein Unternehmen die Größenschwellen nicht erreicht, kann eine nationale Behörde ihr Benennungsrecht wie bei den sektoralen Kriterien ausüben.

Woher weiß ich, welches Land für mein Unternehmen zuständig ist?

Die Europäische Kommission sagt: "In der Regel gelten wesentliche und wichtige Einrichtungen als der Gerichtsbarkeit des Mitgliedstaats unterworfen, in dem sie niedergelassen sind. Ist die Einrichtung in mehr als einem Mitgliedstaat niedergelassen, sollte sie der Gerichtsbarkeit jedes dieser Mitgliedstaaten unterliegen.

Es gibt Ausnahmen. In einigen Fällen ist der Ort entscheidend, an dem das Unternehmen den Dienst anbietet (z. B. DNS-Dienstleister). In anderen Fällen kommt es darauf an, wo sich die Hauptniederlassung befindet (z. B. Anbieter von Cloud-Computing-Diensten).

Gibt es weitere Ausnahmen von den Regeln?

Natürlich gibt es einige, die mit den Vorschriften für die Branche und die Größe zusammenhängen. Darüber hinaus wird es bei der Umsetzung der Richtlinie in den einzelnen Ländern Unterschiede geben, die zu beachten sind, wenn die lokalisierten Regeln in Kraft treten (alle bis zum 17. Oktober 2024).

Wenn Sie zum Beispiel die Größenanforderungen nicht erfüllen, aber der einzige Anbieter eines kritischen Dienstes für gesellschaftliche oder wirtschaftliche Aktivitäten in einem Mitgliedstaat sind, müssen Sie möglicherweise trotzdem NIS2 implementieren.

Hinweis: Wenn Sie in der Finanzbranche tätig sind, sind Sie wahrscheinlich bereits mit dem Digital Operational Resilience Act (DORA) vertraut. DORA ist eine Rechtsvorschrift - keine Richtlinie wie NIS2 - und hat daher Vorrang vor NIS2. Wir empfehlen Ihnen, Ihre Bemühungen zunächst darauf zu konzentrieren, aber informieren Sie sich, wenn NIS2 von Ihrem EU-Mitgliedstaat in lokales Recht umgesetzt wird.

Vergessen Sie auch nicht den Cyber Resilience Act (CRA). Die CRA legt die Cybersicherheitsanforderungen für eine Reihe von Hardware- und Softwareprodukten fest, die auf den EU-Markt gebracht werden. Dazu gehören intelligente Lautsprecher, Spiele, Betriebssysteme usw.

Wünschen Sie sich mehr Details?

Das Centre for Cyber Security Belgium bietet einen guten Überblick über die betroffenen Personen:

Wenn Ihre Kunden betroffen sind, wird sich NIS2 wahrscheinlich auf Sie auswirken

Wussten Sie, dass die NIS2 auch die Mitnahmeeffekte für Dritte beinhaltet? Das heißt, selbst wenn Sie nicht direkt betroffen sind, Ihre Kunden aber schon, müssen Sie wahrscheinlich die NIS2 einhalten.

Unternehmen, die NIS2 umsetzen müssen, müssen die mit ihren "Drittanbietern" verbundenen Risiken "verwalten und bewerten". Dazu gehören beispielsweise die Durchführung regelmäßiger Sicherheitsbewertungen, die Sicherstellung angemessener Cybersicherheitsmaßnahmen und die Umsetzung von Verträgen/Vereinbarungen, die Sie zur Einhaltung der NIS2-Anforderungen verpflichten.

Wenn Sie also ein B2B-Unternehmen sind und dachten, dass Sie aufgrund von Branche und Größe nicht in den Anwendungsbereich fallen, Ihre Kunden aber in den Anwendungsbereich von NIS2 fallen, sollten Sie sich vorbereiten!

Aikido liefert NIS2-Bericht

Aikido Security hat eine NIS2-Berichtsfunktion entwickelt, die in unserer App verfügbar ist. Wir haben diesen Bericht entwickelt, um Unternehmen zu helfen, die die Richtlinie einhalten müssen.

Sind Sie wahrscheinlich von NIS2 betroffen?
Finden Sie heraus, wo Sie mit Ihrer Anwendung in Bezug auf NIS2 stehen.
Obwohl unser Bericht nicht erschöpfend ist (und nur Ihre technische Einrichtung abdeckt), wird er Sie auf den richtigen Weg bringen.

Registrieren Sie sich für Aikido und erhalten Sie Ihren NIS2-Bericht kostenlos!

Aikido hat gerade den Prozess durchlaufen, um ISO 27001:2022 und SOC 2 Typ 2 konform zu werden. Was wir uns gewünscht hätten, wären praktische, unmissverständliche Ratschläge für die ersten Schritte gewesen. Bewährte Verfahren, Dinge, auf die man achten sollte - im Grunde Tipps von jemandem, der den ISO 27001-Zertifizierungsprozess bereits durchlaufen hat.

Lesen Sie mehr über Aikidos Weg zur zur Konformität mit ISO 27001:2022 und die Anforderungen der ISO 27001.

Aus diesem Grund haben wir diesen Blogbeitrag verfasst: um allen SaaS-Unternehmen zu helfen, die sich mit der ISO:27001-Konformität befassen.

8 Dinge, die wir während des ISO 27001-Zertifizierungsprozesses gelernt haben

1. Wissen, worauf man sich einlässt

Wenn Sie das noch nie gemacht haben, fragen Sie als Erstes Ihre Freunde und Geschäftspartner. Wahrscheinlich finden Sie jemanden, der diesen Prozess bereits durchlaufen hat, also sprechen Sie ihn an und holen Sie sich Rat.

Wenn Sie wirklich niemanden finden, können Sie Kontakt zu einem Vorprüfer aufnehmen. Seien Sie sich nur bewusst, dass diese verständlicherweise versuchen werden, Ihnen Dienstleistungen zu verkaufen.

In jedem Fall ist es hilfreich, ein gutes Gefühl dafür zu bekommen, wie das Ganze funktioniert. Das spart Ihnen letztendlich Zeit und hilft Ihnen, Ihr ISO 27001-Zertifikat schneller zu erhalten.

2. Kommunizieren Sie, dass Sie an der Umsetzung von ISO 27001 arbeiten

Die Leute wissen es zu schätzen, wenn Sie erwähnen, dass Sie gerade dabei sind, ISO 27001 einzuführen. Sie werden gerne wissen, dass sie sich in naher Zukunft weniger Sorgen machen müssen. Und das wird sich wiederum positiv auf Ihre Verkäufe und Umsätze auswirken. Erwähnen Sie dies also auf Ihrer Website, in Verkaufsgesprächen, auf LinkedIn und mehr. Lassen Sie Ihre Nutzer wissen, dass Sie Ihr Produkt vorschriftsmäßiger machen.

3. Entscheiden Sie, welche ISO 27001-Norm implementiert werden soll (2013, 2017 oder 2022)

2022 gibt es viel mehr Kontrollen in Bezug auf sichere Kodierung und Softwaresicherheit. (z. B. ist die Erkennung von Malware eine neue Kontrolle). Das bedeutet, dass die Implementierung mehr Arbeit erfordert als bei einer älteren Version. Wenn Sie sich für einen der neueren Standards entscheiden, sind zwar mehr Kontrollen erforderlich, aber Sie sind dann bereits auf die Zukunft vorbereitet. Daher ist es wahrscheinlich besser, sich für die Version 2022 zu entscheiden.

Schneller Tipp: Die ISO 27001-Zertifizierung muss alle drei Jahre einem vollständigen Audit unterzogen werden. Das bedeutet, dass es am besten ist, sich nicht für ISO 27001:2013 zu entscheiden, da diese nur noch zwei Jahre lang gültig ist.

In jeder Version der ISO 27001-Norm wird auch der Risikomanagementprozess anders gestaltet. Die Version 2022 enthält aktualisierte Zertifizierungsanforderungen, die den sich entwickelnden Cybersicherheitsrisiken Rechnung tragen. Daher ist es für Unternehmen wichtig, über ein solides Risikomanagementverfahren zu verfügen, um diese Risiken zu ermitteln, zu bewerten und zu mindern.

Wenn Sie ein großes, ausgereiftes Unternehmen sind, sollten Sie sich für die Version 2017 entscheiden, da diese besser etabliert ist und weniger Störungen in Ihren bestehenden Prozessen verursachen kann.

4. Nicht alles auslagern

Es ist riskant, den gesamten Prozess auszulagern... Auch wenn es möglich ist, den gesamten Prozess an ein Beratungsunternehmen auszulagern, würde ich davon abraten. Sicherlich kann ein Berater helfen, Vorlagen zur Verfügung stellen und dergleichen mehr. Aber wenn Sie alles auslagern und auf ein Problem stoßen, müssen Sie wissen, wie Sie damit umgehen. Ich rate dazu, dass mindestens zwei, maximal vier Personen aus dem Unternehmen beteiligt sind.

Kleiner Tipp: Denken Sie daran, dass das Abschlussaudit von einer akkreditierten Zertifizierungsstelle durchgeführt werden muss!

5. Besorgen Sie sich einen Pentest, der für Ihr Unternehmen sinnvoll ist

Wenn Sie ein Softwareunternehmen sind, sollten Sie einen Pentester auswählen, der sich auf Dinge konzentriert, die nicht von automatisierten Werkzeugen wie OWASP ZAP abgedeckt werden. Entscheiden Sie sich für Pentester mit Bug-Bounty-Jäger-Erfahrung und nicht für Pentester der "alten Schule".

6. Nutzung von compliance und Beschleunigung

Wenn Sie bereits SOC2-konform sind, können Sie schneller ISO-konform werden. Und es ist gut zu wissen, dass, wenn Sie ISO-konform sind, NIS2 (eine neue Verordnung, die in der EU gilt) einfacher sein wird.

Kleiner Tipp: Vergewissern Sie sich, dass Ihr Prüfer auditiert wurde (das ist vorgeschrieben). Geben Sie sich nicht mit jemandem zufrieden, der nicht über die richtigen Qualifikationen verfügt, sonst könnten Sie überlistet werden.

7. Erkennen, dass niemand perfekt ist

Bei einem eventuellen Audit werden immer Nichtkonformitäten gefunden, und es ist in Ordnung, unvollkommen zu sein. Aber Sie müssen über diese Unzulänglichkeiten Bescheid wissen und sicherstellen, dass Sie einen formellen Aktionsplan haben, um die Probleme zu beheben. Es handelt sich um einen kontinuierlichen Verbesserungsprozess, der letztendlich zu einer besseren Sicherheit in Ihrem Unternehmen führen wird. Sicherlich werden Sie nie die "Perfektion" erreichen, aber Sie sollten Ihr Bestes tun, um dorthin zu gelangen!

8. Beginnen Sie frühzeitig mit der Implementierung von Tools, die ISO-Kontrollen abdecken

Wenn Sie erwägen, compliance zu erfüllen, ist es immer eine gute Idee, einen Probelauf mit den Werkzeugen durchzuführen, die Ihnen helfen, bestimmte Kontrollen abzudecken (und auch den erforderlichen Nachweis zu erbringen).

Die ISO verlangt zum Beispiel, dass Sie einige Prozesse in Bezug auf Mitarbeiter implementieren, z. B. Onboarding, Offboarding, Background Checks, Zuweisung und Abruf von Unternehmensressourcen. Wenn Sie diese Prozesse in einem Personalinformationssystem (HRIS) wie Officient, Personio oder Workday implementiert haben, können Sie sofort loslegen, wenn Sie Ihre Nachweise für ISO erbringen müssen.

Das Gleiche gilt für Aikido, das bereits 22 Kontrollen durchführt und einen umfassenden ISO 27001-Bericht erstellt. Dies ist ein weiteres gutes Beispiel dafür, wie man sich auf die ISO vorbereiten kann.

Technisches Schwachstellenmanagement nach ISO 27001:2022

Sind Sie selbst auf dem Weg zur ISO 27001:2022-Zertifizierung? Unsere Plattform Aikido Security erfüllt alle technischen Anforderungen an das Schwachstellenmanagement für ISO 27001:2022-Anwendungen. Wir haben uns außerdem entschlossen, eine Partnerschaft mit Compliance Monitoring-Plattformen (wie Vanta oder Drata) einzugehen, um die Daten einfach zu synchronisieren und sicherzustellen, dass Ihre Schwachstelleninformationen immer auf dem neuesten Stand sind. Auf diese Weise behalten Sie stets den Überblick über Ihre Sicherheitslage.

Fordern Sie unseren Bericht an

Sie können unser eigenes ISO 27001:2022-Zertifikat direkt auf unserer Sicherheitsübersichtsseite anfordern. Wir freuen uns, die Früchte unserer harten Arbeit mit Ihnen zu teilen 😉 .

Ich hoffe, dieser Blogbeitrag ist hilfreich für Sie. Ich wünschte, ich hätte all diese Tipps gewusst, als wir mit dem Prozess begannen. Wenn Sie eine ISO-Zertifizierung anstreben, können Sie sich mit mir auf LinkedIn in Verbindung setzen, und ich werde Ihnen gerne meine Erkenntnisse mitteilen!

Eine IT-Partnerschaft wie geschaffen für... Belgien! Aikido Security, ein SaaS-Startup aus Gent, wird The Cronos Group, einem E-Business-Integrator mit Hauptsitz in Kontich und mehr als 5.000 Kunden in seinen über 570 Unternehmen in den Benelux-Ländern, Anwendungssicherheit bieten. Diese strategische Partnerschaft wird die Sicherheitslage von The Cronos Group und den Einfluss von Aikido Security in der Cybersicherheitsbranche stärken.

Stärkere Sicherheitslage mit Aikido

Die Cronos Group ist jetzt ein neuer Kunde von Aikido. In diesem Zusammenhang ist die Cronos Group dabei, die Sicherheitslösungen von Aikido in vielen ihrer Softwareentwicklungsunternehmen zu implementieren. Warum ist dies für die Cronos Group nützlich? Es trägt nicht nur dazu bei, die Sicherheitslage für jedes Unternehmen in ihrem Netzwerk zu verbessern, sondern es schafft auch einen weiteren großen Vorteil. Aikido bündelt alle Informationen für Cronos, das dadurch einen aufschlussreicheren und standardisierten globalen Überblick über die Sicherheitslage dieser Unternehmen erhält als je zuvor.

Darüber hinaus betraut Aikido die Cronos-Gruppe damit, ebenfalls ein echter Partner zu werden. In diesem Zusammenhang wird Cronos in der Lage sein, seinen Kunden Aikido zur Verfügung zu stellen, so dass auch sie die Möglichkeit haben, von den Dienstleistungen von Aikido zu profitieren. Darüber hinaus arbeiten Cronos und Aikido aktiv zusammen, um die Produkteigenschaften weiter zu verbessern.

Die einzigartigen Sicherheitstools von Aikido und die Fähigkeit, Fehlalarme zu reduzieren, werden den Entwicklungsteams im Unternehmens- und Kundennetzwerk der Cronos Group Effizienz bringen. Dies bedeutet weniger Störungen durch unnötige Alarme, was dazu führt, dass man sich mehr auf das Schreiben von Code konzentrieren kann. Die Cronos Group möchte Unternehmen dabei helfen, kreative, hochwertige und profitable Wege zu finden, um das Beste aus potenziellen neuen Technologien zu machen. Daher passt diese Partnerschaft perfekt zu ihrer Mission.

Aikido fasst all diese Informationen in einem speziellen "Security Partner Portal" zusammen. Durch dieses Partnerportal ist die Cronos Group in der Lage, einen aufschlussreicheren und standardisierten globalen Überblick über die Sicherheitslage ihrer Unternehmen zu erhalten als je zuvor.

Die Cronos-Gruppe und Aikido kommentieren ihre Partnerschaft

Die Cronos-Gruppe kann es kaum erwarten, mit Aikido zu beginnen.

Die Cronos-Gruppe hat schon immer Innovation und Unternehmertum unterstützt, auch im Bereich der Cybersicherheit. Wir sind immer auf der Suche nach Partnern, um unsere Allianzen zu stärken. Mit Aikido wollen wir unsere Entwickler und Kunden in die Lage versetzen, Sicherheit von der ersten Codezeile an einzubauen. Durch die Kombination von Automatisierung und Intelligenz können sie sich auf den geschäftlichen Nutzen konzentrieren, während sie ihre eigene knappe Zeit schützen und das Risiko auf ein Minimum beschränken.
Jonas Buyle, Cronos Security

Welche Vorteile bringt diese neue Partnerschaft für Aikido mit sich? "Wir freuen uns sehr, The Cronos Group in der Aikido Security-Familie begrüßen zu dürfen", erklärt Willem Delbare, Mitbegründer und CEO von Aikido. "Als Kunde und Wiederverkäufer ist die Cronos Group ein wichtiger Partner in unserem Bestreben, die Verwaltung Ihrer Sicherheit zu vereinfachen. Unsere Zusammenarbeit verspricht unvergleichliche Einblicke in die Sicherheitslage des Unternehmensportfolios von The Cronos Group. Gemeinsam streben wir danach, die Standards der Anwendungssicherheit auf breiter Front zu erhöhen."

Über Aikido Security

Aikido Security ist eine Software-Sicherheitsplattform, die sich an Entwickler richtet. Wir scannen Ihren Quellcode und Ihre Cloud, um Ihnen zu zeigen, welche Schwachstellen tatsächlich wichtig sind. Die Suche nach Schwachstellen wird beschleunigt, indem die Zahl der Fehlalarme massiv reduziert und CVEs für Menschen lesbar gemacht werden. Aikido macht es einfach, Ihre Sicherheitslage zu verbessern, um Ihr Produkt sicher zu halten. Und es gibt Ihnen Zeit zurück, das zu tun, was Sie am besten können: Code schreiben.

Über die Cronos-Gruppe

Die Cronos Group ist ein E-Business-Integrator, der hochwertige IKT-Lösungen für Unternehmen und Behörden in den Benelux-Ländern anbietet. Die Cronos Group wurde von und für IKT-Technologen mit dem Ziel gegründet, ihnen bei der Entwicklung ihrer Karrieren und ihres Unternehmertums zu helfen. Diese Mission wurde auf kreative Fachleute ausgeweitet, um gemeinsam kreative und technologisch führende Lösungen für ihre Kunden zu entwerfen und umzusetzen. Seit ihrer Gründung im Jahr 1991 hat sich die Cronos Group von einem Ein-Mann-Betrieb zu einer Unternehmensgruppe entwickelt, die über 9000 Fachleute in mehr als 570 Unternehmen beschäftigt.

Es ist immer eine tolle Nachricht, wenn wir von der Freude eines Kunden über die Nutzung von Aikido Security hören. Aber wir wollen die guten Dinge nicht für uns behalten! Konzentrieren wir uns auf Loctax, die allererste kollaborative Tax-Governance-Plattform für globale interne Steuerteams.

Loctax erbringt seine Steuerdienstleistungen für Unternehmen wie Wise, PedidosYa, Iba, Luxottica und Trainline. Für Loctax ist es von entscheidender Bedeutung, die Sicherheit und compliance ihrer Umgebung und ihrer Kundendaten zu gewährleisten und darüber hinaus zu gehen.

Gemeinsam verbesserten wir die Triagierungsgeschwindigkeit, indem wir Fehlalarme und irrelevante Sicherheitswarnungen reduzierten. Aber das war noch nicht alles. Wir haben auch die Sicherheitslage von Loctax verbessert und gleichzeitig die Produktentwicklung beschleunigt. Insgesamt spart das Unternehmen dadurch wertvolle Zeit und Geld. So wie Loctax die Steuerrisiken für seine Kunden reduziert, reduziert Aikido die Sicherheitsrisiken für Loctax.

Die Herausforderung: ein Gleichgewicht zwischen Geschwindigkeit und Sicherheit

Loctax stand vor einem allgemeinen Dilemma. Wie konnte das Unternehmen ein Gleichgewicht zwischen schneller Produktentwicklung und kompromissloser Sicherheit herstellen? Loctax stand unter dem Druck, erstklassige Lösungen für seine Kunden zu liefern. Gleichzeitig musste Loctax auch sensible Steuerdaten schützen und die höchsten Sicherheitsstandards einhalten. Darüber hinaus musste das Unternehmen dies mit einem kleinen Team bei gleichzeitiger Kostenoptimierung erreichen.

Allerdings stieß Loctax mit seiner bestehenden Sicherheitslösung auf Hindernisse. Falschmeldungen gab es häufiger als Schnee in Alaska, was wertvolle Zeit bei der Triage und Analyse kostete.

Das ist für uns keine Überraschung. In unseren jüngsten Beratungen mit SaaS-CTOs wurden Fehlalarme als zweitwichtigster Sicherheitsmangel bei der Wahl ihrer aktuellen Sicherheitssoftware genannt. Diese CTOs stuften die Beseitigung von Fehlalarmen auch als zweitwichtigste Aktivität ein, um strategische Geschäftsergebnisse zu erzielen. Es stellt sich also heraus, dass die Bedürfnisse von Loctax genau mit dem übereinstimmen, was uns SaaS CTOs mitteilen. Und seien wir ehrlich: Falschmeldungen machen Sie auch unempfindlich gegenüber den Dingen, die wirklich wichtig sind.

Die sich überschneidenden Ergebnisse der verschiedenen Tools waren ein weiteres Hindernis auf dem Weg zur Sicherheit. Die fehlende Integration der Tools machte es schwierig, einen zentralen Überblick über die tatsächlichen Sicherheitsprioritäten zu erhalten.

Zu allem Überfluss stiegen die Abonnementkosten für die bereits verwendeten Sicherheitslösungen aufgrund des raschen Teamwachstums stark an. Diese Gebühr pro Kopf belastete das Sicherheitsbudget.

All dies zusammengenommen machte dem CTO und Mitbegründer von Loctax, Bart Van Remortele, klar, dass er den Ansatz des Unternehmens ändern musste. Er beschloss, neue Tools zur Bewältigung dieser Herausforderungen zu finden und entdeckte Aikido Security.

Aikido Security liefert Ergebnisse für Loctax

Die Umstellung auf das Produkt von Aikido Security war für Loctax eine richtungsweisende Entscheidung und hat viele positive Ergebnisse gebracht.

Auto Triage: die Kraft der Effizienz

Unsere automatische Triagefunktion entpuppte sich als echter schwarzer Gürtel! Sie filterte das Rauschen und die falsch-positiven Ergebnisse heraus, die bisher störend waren. Darüber hinaus bieten wir auch eine benutzerdefinierte Engine für die Erreichbarkeit von Schwachstellen. Diese prüft, ob eine anfällige Funktion tatsächlich erreichbar ist.

Nachdem dieses lästige Durcheinander beseitigt und echte Schwachstellen klar identifiziert und priorisiert waren, konnte das Entwicklungsteam von Loctax effizienter und produktiver werden. Sie steigerten ihre Produktivität, indem sie wertvolle Zeit einsparten, die zuvor durch unnötige Untersuchungen verloren gegangen war.

Ein einheitliches Dashboard: Harmonisierung der Sicherheitsabläufe

Aikido, die Kampfkunst, vermittelt Fähigkeiten, um sich mit möglichst geringem Aufwand effektiv zu verteidigen. Aikido Security wendet dieses Prinzip an. Für Loctax lieferten wir ein einziges Dashboard, das zum Dreh- und Angelpunkt des Sicherheitsbetriebs wurde.

Die Integration in den bestehenden Technologie-Stack von Loctax war ein Kinderspiel. Aikido bietet einen umfassenden Überblick über alle Sicherheitsprobleme, ohne dass sich die Benachrichtigungen überschneiden. Wenn kritische Sicherheitsereignisse auftraten, wurden rechtzeitig Warnungen in den entsprechenden Slack-Kanälen ausgegeben. Durch die mühelose Integration in Projektmanagement-Tools hat Aikido die Verwaltung von Sicherheitsaufgaben vereinfacht.

Kosteneinsparungen: 50%

Die Konsolidierung des Sicherheitstoolsets erwies sich als Meisterleistung. Folglich war der Einfluss von Aikido Security auf die Finanzen von Loctax erheblich. Das Ergebnis? Eine bemerkenswerte Reduzierung der Kosten für den Sicherheitsbetrieb um 50 %. Ja, Sie haben richtig gelesen - 50 %! Als das Team von Loctax weiter wuchs, bereiteten die Sicherheitsausgaben keine Kopfschmerzen mehr. So blieben mehr Ressourcen für die Kernaufgabe von Loctax übrig: den internen Steuerteams einen neuen Standard für Steuerverwaltung und -betrieb zu bieten.

Aikido Security hilft, Ihr SaaS zu schützen

Um es klar zu sagen: SaaS-Unternehmen stehen unter dem Druck, erstklassige Sicherheit zu bieten, und Loctax ist da nicht anders. Aber es ist extrem schwierig für ein Team, das sich auf die Entwicklung eines Produkts konzentriert, auch die Komplexität der gesamten Sicherheitslage intern zu verwalten. Unsere Partnerschaft mit Loctax ist ein Beispiel für die transformative Kraft von Aikido Security für Unternehmen in dieser Situation. Loctax kann sich voll und ganz auf die kollaborative Steuerverwaltung für interne Steuerteams konzentrieren, und Aikido sorgt für die Sicherheit.

Wir haben unsere frühere Lösung durch Aikido ersetzt, weil sie so viel leistungsfähiger und effektiver ist. - Bart Van Remortele, CTO und Mitbegründer von Loctax

Durch die Einführung von Aikidos Lösungen konnte Loctax seine Sicherheitslage optimieren und Fehlalarme vermeiden. Dadurch wurde wertvolle Zeit gespart und eine bemerkenswerte Kosteneffizienz erreicht. Die Geschwindigkeit des Entwicklungsteams blieb unangetastet, und die Sicherheit wurde stärker als je zuvor.

Aikido Security hilft, Ihr SaaS zu schützen

Machen Sie Ihr erstes Tai-Sabaki mit Aikido, indem Sie Ihre Repos kostenlos scannen. In weniger als 2 Minuten erhalten Sie wertvolle Einblicke in Ihre Sicherheitslage. Stärken Sie Ihr Unternehmen, kurbeln Sie die Entwicklung an und genießen Sie den Seelenfrieden, der mit einer soliden Sicherheitsverteidigung einhergeht.

Laden Sie unsere Loctax Kundenfallstudie herunter.

‍