13. November, 2024  |  Business, Security

Cybersicherheit in der Messaging-Branche und unser strategischer Umgang mit neuen Bedrohungen

Zurück zur Übersicht
Cybersicherheit in der Messaging-Branche und unser strategischer Umgang mit neuen Bedrohungen

Das Internet entwickelt sich im Guten wie im Schlechten ständig weiter. Was die Sicherheit betrifft, so entstehen in den Köpfen kreativer Krimineller ständig neue Bedrohungen.

Die Messaging-Branche bildet da keine Ausnahme und wird zunehmend zum Ziel von Betrug und Angriffen wie AIT, SMS-Phishing und Hacking.

Die Cybersicherheit spielt bei GatewayAPI von Anfang an eine wichtige Rolle und ist auch in unsere täglichen Abläufe eingebunden. Angesichts der sich schnell entwickelnden Bedrohungslage stellen wir kontinuierlich mehr Ressourcen zur Verfügung und führen neue Sicherheitsmaßnahmen ein, über die Sie nachfolgend mehr erfahren können. 

Dieser Blogbeitrag ist der erste in einer Reihe zum Thema Sicherheit, in der wir das Thema aus verschiedenen Blickwinkeln der Messaging-Branche betrachten. In diesem Beitrag werden wir nicht auf die DSGVO und unsere ISAE 3000-Zertifizierung eingehen, über die Sie hier mehr erfahren können.

Sicherheitsrahmen auf der Grundlage von ISO-Normen

Wir haben zwar verschiedene Maßnahmen zur Stärkung der Sicherheit bei GatewayAPI umgesetzt, sind uns aber der Bedeutung eines ganzheitlichen und proaktiven Ansatzes bewusst, um aufkommenden Risiken immer einen Schritt voraus zu sein.

Unser Managementsystem für Informationssicherheit (ISMS) spielt dabei eine zentrale Rolle. Dieser Rahmen basiert auf den Grundsätzen der ISO-Normen und stellt sicher, dass wir Risiken systematisch bewerten und Kontrollen einführen, um sie zu mindern. Jedes Jahr führen wir umfassende Risikobewertungen durch, damit wir unsere Strategien anpassen und auf dem neuesten Stand der Best Practices bleiben können. Dieser Rahmen hilft uns nicht nur, unsere Plattform zu schützen, sondern dient auch als Richtschnur für künftige von uns angestrebte Zertifizierungen.

Engagement im gesamten Unternehmen und in der Branche

Wir fördern durch interne Initiativen wie unsere Innovation Days eine Kultur, in der Sicherheit an erster Stelle steht. Diese Veranstaltungen dienen dazu, neue Wege zur Verbesserung der Sicherheit unserer Plattform zu erforschen und unseren Teams die Zusammenarbeit bei der Entwicklung von Lösungen für die neuesten Bedrohungen zu ermöglichen. 

Ein weiterer wichtiger Bereich besteht in unserem Engagement für die Verbesserung der Sicherheit in der Telekommunikationsbranche. Wir tragen aktiv dazu bei, die Sicherheit von SMS für alle Nutzer zu erhöhen, indem wir uns an Initiativen wie dem Schutz der Sender ID beteiligen. Denn dadurch wird verhindert, dass sich Kriminelle als Unternehmen ausgeben. Eine Taktik, die bei Phishing-Angriffen immer häufiger angewandt wird. Darüber hinaus klären wir unsere Kunden über unsere verschiedenen Kommunikationskanäle über Sicherheit auf.

Wir bereiten uns auch auf die Auswirkungen der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) vor, die strenge Sicherheitsanforderungen für eine Reihe von Branchen vorschreibt, die als kritische Infrastruktur gelten. Wir ergreifen proaktive Schritte, um sicherzustellen, dass unsere Systeme diese Standards erfüllen, in dem Bewusstsein, dass diese Richtlinie zukünftige Best Practices in Sachen Sicherheit darstellt.

concrete_initiatives_penetration_test-nov_2024-1200x628px@2x

Konkrete Initiativen: Sicherheitstools, Penetrationstests und Scans 

Bisher haben wir uns angesehen, wie wir strategisch mit Sicherheit umgehen. Im Folgenden werden wir ausgewählte Initiativen hervorheben, die nach unserer Einschätzung einen bedeutenden Einfluss auf die Sicherheit sowohl von GatewayAPI als auch der Branche insgesamt haben. 

Sie bestehen aus: Sicherheitstools in GatewayAPI, einschließlich der automatischen Sperrung nicht autorisierter URLs, IP-Whitelisting und Geo-Permissions. Darüber hinaus bestehen sie aus wiederkehrenden Sicherheitsprozessen, zu denen externe Penetrationstests und Scans gehören.  

Externe Penetrationstests

Im Rahmen unseres jährlichen Compliance Wheels führen wir einen externen Penetrationstest der GatewayAPI durch. Der jüngste Penetrationstest erfolgte durch eine Gruppe internationaler Beratungsunternehmen unter der Leitung von Epiventus und Thursday Consulting und ausgeführt von Shards Cybersecurity Consulting. Der Test umfasste sowohl gründliche automatische Scans als auch manuelle Versuche, Schwachstellen zu finden. 

Einer der großen Vorteile der Hinzuziehung externer Experten besteht darin, dass sie einen auf blinde Flecken hinweisen können, die man möglicherweise übersehen hat. Außerdem arbeiten Spezialisten täglich mit Sicherheitsfragen. Sie sind darauf trainiert, wie Black-Hat-Hacker zu denken, und kennen die Schwachstellen, die ausgenutzt werden können, ganz genau. Daher sind sie oft besser in der Lage, potenzielle Sicherheitslücken zu erkennen als man selbst.

Der Test erfordert zwar eine größere Investition, ist aber äußerst wertvoll und daher durchaus lohnenswert. Am Ende des Penetrationstests steht oft ein Bericht mit einer nach Prioritäten geordneten Liste von Bereichen, die genauer geprüft werden sollten, und mit Empfehlungen für Verbesserungen, so dass man sich zunächst auf die kritischsten Schwachstellen konzentrieren kann – falls es welche gibt.

Den Hackern einen Schritt voraus

Für alle Organisationen ist es von entscheidender Bedeutung, ihre Sicherheitsmaßnahmen ständig zu überprüfen und zu verbessern, um sich vor neuen Bedrohungen zu schützen. Wir bemühen uns stets um Transparenz. Deshalb möchten wir unsere Erkenntnisse mit anderen teilen, in der Hoffnung, dass dieser Blogbeitrag andere Organisationen dazu ermuntert, ihre Systeme ebenfalls einem Service-Check zu unterziehen. Wer den Hackern immer einen Schritt voraus sein will, muss sich über Best Practices und die neuesten Sicherheitsfunktionen auf dem Laufenden halten.