Trust & Security
„Jedes Unternehmen ist ein Ökosystem“
Cybersicherheitsvorfälle wie Solarwinds zeigen: Sicherheit liegt in einer zunehmend vernetzten Welt nicht in der Verantwortung eines einzelnen Unternehmens. Im Interview mit Emily Heath von DocuSign über die aktuelle Bedrohungslage, was Firmen tun können und die Rolle von Technologie und Vertrauen.
- Was macht man als Chief Trust and Security Officer?
- Wieviel Vertrauen können sich Unternehmen heutzutage leisten?
- Wie stellt sich die zunehmende Bedrohung durch Cyberattacken dar?
- Was sind die größten Cybergefahren?
- Welche vorbeugenden Maßnahmen können Unternehmen gegen Cyberangriffe ergreifen?
- Welche Maßnahmen können Unternehmen nach erfolgtem Angriff ergreifen?
- Wie stellt DocuSign die Vertraulichkeit und Sicherheit von Informationen, Dokumenten und Daten sicher?
funkschau: CISO, CSO oder gar CIO sind mitunter geläufige Positionsbezeichnungen, wenn es um die Deklarierung von Sicherheitsverantwortlichen in Unternehmen geht. Als „Chief Trust and Security Officer“ stechen Sie hier etwas heraus. Was hat es mit diesem einmaligen Titel auf sich?
Emily Heath: Ich bin verantwortlich für ein Team aus Sicherheits- und Vertrauensspezialisten, die für alle physischen und Cyber-Sicherheitsaspekte von DocuSign zuständig sind. Ich kümmere mich auch darum, vertrauensvolle Beziehungen zu unseren Kunden aufzubauen, damit sie sich mit uns sicher fühlen. Jedes Unternehmen ist ein Ökosystem, und wir als DocuSign sind Teil des Ökosystems unserer Kunden. Daher ist der Aufbau von Vertrauen und Transparenz für uns entscheidend.
Kunden vertrauen uns sensible Informationen an, und ich möchte dieses Vertrauen um jeden Preis schützen. Unsere Arbeit hat immer eine Sicherheits- und eine Vertrauenskomponente. Sicherheit erfordert, dass unsere vielfältigen Vertragsmanagement-Anwendungen in der „Agreement Cloud“ inklusive aller Server und Cloud-Umgebungen sicher sind. Unsere Kunden erwarten das von uns und wir sind da auch absolut transparent. Vertrauen bedeutet, Beziehungen zu Menschen aufzubauen. Es erfordert ein hohes Maß an Offenheit und Verlässlichkeit und setzt voraus, dass Versprechen auch eingehalten werden. Ich nehme den Teil 'Vertrauen' meines Titels ebenso ernst wie den Teil 'Sicherheit'. Beides sind Versprechen, die wir unseren Kunden gegeben haben und einhalten wollen.
funkschau: Wieviel „Trust“ kann man sich vor diesem Hintergrund in der heutigen Sicherheitspolitik von Unternehmen leisten? Oder anders gefragt: Welchen Stellenwert nimmt Vertrauen heutzutage generell ein?
Heath: Vertrauen ist ein absolutes Muss. Und gleichzeitig ist Technologie ein relevanter Teil-Aspekt jedes Business. Immer mehr Unternehmen arbeiten mit Drittanbietern zusammen oder nutzen SaaS-Anwendungen. Sie sollten davon ausgehen können, dass ihre Betriebsabläufe und Daten sicher sind. Man vertraut Menschen allerdings nicht so leicht, die man nicht kennt. Somit sind der Aufbau von Beziehungen und der menschliche Aspekt der Vertrauensbildung immer noch wichtige Eckpfeiler von Geschäftsbeziehungen. Ich glaube an eine grundlegende Transparenz gegenüber unseren Kunden, wenn es darum geht, wie wir unser Sicherheitsprogramm betreiben – nur so können wir Beziehungen aufbauen und Vertrauen schaffen. Wir müssen darauf vertrauen können, dass der andere dieses genauso ernst nimmt wie man selbst.
funkschau: Cybersicherheitsvorfälle – wie die im Kontext Solarwinds und Kaseya – verdeutlichen, dass Sicherheit in einer zunehmend vernetzten Welt nicht in der Verantwortung eines einzelnen Unternehmens liegt. Wie bewerten Sie die zunehmende Bedrohung durch Cyberattacken?
Heath: Über die Bedeutung von Sicherheit nachzudenken – und über die Rolle, die Vertrauen dabei spielt – war noch nie so wichtig wie heute. Dies zeigt sich auch an den jüngsten Sicherheitslücken in Log4j, einem Teil einer weit verbreiteten Bibliothek für Java-Software. Jedes Unternehmen musste abschätzen, welche Auswirkungen diese Schwachstelle auf die eigenen und die von Partnern genutzten Systeme haben könnte. Es ist unglaublich wichtig, dass wir die Rolle des gesamten Ökosystems verstehen. Gefährdung kann von Dritten ausgehen, so dass gegenseitiges Verständnis und Vertrauen Teil eines jeden guten Sicherheitsprogramms sind.
Als während der Pandemie die meisten Unternehmen Homeoffice ermöglicht haben, haben Malware-Angriffe um 385 Prozent zugenommen. Daher ist es jetzt wichtiger denn je, sich für die passende Sicherheitslösung zu entscheiden, um das Ökosystem zu schützen. Doch die voranschreitende Digitale Transformation, der zunehmende Einsatz von Cloud-Lösungen sowie hybride und dezentrale Arbeitsmodelle in den letzten zwei Jahren haben dazu geführt, dass viele Unternehmen ihre Sicherheitsmodelle anpassen mussten.
Bei den Überlegungen, wie die flexible neue Arbeitswelt sicherer gestaltet werden kann, sollten Unternehmen mögliche Risiken in ihrem Ökosystem berücksichtigen – wie ist es gesichert, wie wird der Zugang kontrolliert –, um dann in die Sicherheit zu investieren, diese Risiken zu beseitigen oder zu mindern. Wichtig ist auch, dass sie ihre Mitarbeiter schulen und ausbilden, um sie nicht nur über bewährte Verfahren, sondern auch über die Risiken von Remote-Arbeit zu informieren.
funkschau: Für Unternehmen stellt sich demnach mittlerweile nicht mehr die Frage, ob sie Opfer eines Cyberangriffs werden, sondern vielmehr wann. Wo sehen Sie in diesem Zusammenhang die größten Gefahren – auch vor dem Hintergrund der Entwicklungen rund um die Pandemie?
Heath: Als Sicherheitsexperten müssen wir unser Unternehmen in- und auswendig kennen und wissen, welche Daten für uns am wichtigsten sind, wo sich diese befinden, wie wir sie schützen und wie verwundbar und gefährdet das Unternehmen ist. Das ist die Grundlage für jedes Sicherheitsprogramm. Die Rahmenbedingungen ändern sich schnell, aber wenn wir diese Fragen beantworten können, können wir Prioritäten setzen und sicherstellen, dass wir die wichtigsten Geschäftsbereiche schützen.
Das Entscheidende ist, einen Cyber-Angriff möglichst schnell zu entdecken, zu handeln und jederzeit den Geschäftsbetrieb aufrechtzuerhalten. Unternehmen agieren heutzutage nicht mehr im luftleeren Raum – deshalb muss Sicherheit über das ganze Ökosystem hinweg gedacht werden. Dies besteht etwa aus Herstellern, Partnern, Distributoren und Kunden und kann oft sehr komplex sein. Und diese Partner haben oft ganz unterschiedliche Sicherheitskonzepte. Doch wenn die Sicherheit nur bei einem Partner gefährdet ist, kann sich dies schnell auf alle anderen ausweiten. Das unterstreicht erneut die Bedeutung von Transparenz und Vertrauen, sowohl innerhalb des Ökosystems eines Unternehmens als auch direkt mit den Endnutzern.
| „Unternehmen müssen einen noch größeren Fokus auf den Aufbau einer Geschäfts-Resilienz legen, damit geschäftskritische Prozesse auch bei einem Problem weiterlaufen.“ |
|---|
funkschau: Welche Maßnahmen können Unternehmen ergreifen, um sich im Vorfeld besser vor Cyberangriffen zu schützen?
Heath: Sichtbarkeit und eine umfassende Bestandsaufnahme – jeder Ressource, Cloud-Umgebung, Anwendung und von allen vernetzen Geräten – sind entscheidend, um Unternehmensabläufe zu erfassen und zu managen. Dies gilt sowohl für interne Anwendungen als auch für alles, was mit Drittanbietern verbunden ist. Hier kommen es wieder auf die Beziehungen und das Vertrauen zu allen Partnern an. Unternehmen sollten etwa sicherstellen, dass alle relevanten Partner im Ökosystem die richtigen Sicherheitstools einsetzen. Sicherheitsexperten im Unternehmen können ungewöhnliche Vorgänge mithilfe von Echtzeit-Monitoring und erweiterter Analysen rechtzeitig erkennen und somit auch zeitnah nötige Maßnahmen einleiten. Für Unternehmen generell wie auch für uns als Vertragsplattform ist das Management sensibler Daten und das Ergreifen entsprechender Vorsichtsmaßnahmen von entscheidender Bedeutung.
funkschau: Und wie können Unternehmen sicherstellen, dass sie gegebenenfalls trotz erfolgter Attacken den Betrieb aufrechterhalten und Ergebnisse liefern können?
Heath: Unternehmen müssen einen noch größeren Fokus auf den Aufbau einer Geschäfts-Resilienz legen, damit geschäftskritische Prozesse auch bei einem Problem weiterlaufen. Beispiel Vertragsverhandlungen und -management: Nutzer solcher Plattformen müssen sich darauf verlassen können, dass es keine Ausfälle gibt. DocuSign bietet mit seiner „Agreement Cloud“ eine 99,99%-ige weltweite Plattformverfügbarkeit. Die Architektur der Technologie basiert dabei auf Echtzeit-Datensynchronisation über drei geografisch verteilte, aktive Standorte hinweg – unter anderem mit einem Rechenzentrum in Frankfurt.
funkschau: DocuSigns Lösungen finden Einsatz in einem sehr sensiblen Geschäftsbereich: Firmen erhalten damit die Möglichkeit, Verträge digital bereitzustellen, diese per elektronischer Signatur gegenzeichnen zu lassen und die Vereinbarungen zu archivieren. Wie stellt DocuSign die Vertraulichkeit und Sicherheit von Informationen, Dokumenten und Daten sicher?
Heath: Alle Anwendungen und Dokumente lassen sich bei uns zunächst durch eine Zwei-Faktor-Authentifizierung und nachvollziehbare, elektronischen Prüfpfade sichern. Grundsätzlich enthalten ja alle Verträge sensible Daten, wie Namen, Adressen, und natürlich vertrauliche Informationen – selbst wenn es nur um eine Abmachung mit einem Bürolieferanten geht. Die Lösungen von DocuSign für das digitale Vertragsmanagement erfüllen die Vorgaben der Datenschutzgrundverordnung und die strengen Sicherheitsstandards in der EU, etwa hinsichtlich der Verschlüsselung. Denn seit Einführung der DSGVO gelten neue Standards, wie persönliche Daten aufbewahrt und abgerufen werden. Wenn Unternehmen solche Daten verarbeiten, müssen sie sicherstellen, dass die eingesetzten Lösungen DSGVO-konform sind und außerdem auch alle weiteren Sicherheitsrichtlinien der EU erfüllen. Deshalb sollten auf Vertrags-Plattformen auch sehr starke Verschlüsselungstechnologien eingesetzt werden. Um unsere Kunden zu schützen, verwenden wir strenge Sicherheits- und Verschlüsselungsstufen für jedes unterzeichnete Dokument.
Lesen Sie mehr zum Thema
