Verbessern Sie Ihre Cybersicherheitsbereitschaft: Vier wichtige Erkenntnisse aus unserem aktuellen Webinar

Nicht kategorisiert

Lauren Wedell | 24. Mai 2023

Verbessern Sie Ihre Cybersicherheitsbereitschaft: Vier wichtige Erkenntnisse aus unserem letzten Webinar

Die weltweite Cyberkriminalität nimmt zu und kann der Weltwirtschaft erheblichen Schaden zufügen – Branchenschätzungen zufolgebis zum Jahr 2025 10,5 Billionen US-Dollar.

Da die Bedrohung durch Cyberkriminalität zunimmt, ist ein robustes Cybersicherheitsprogramm ein wesentlicher Schutz für Unternehmen jeder Größe. Wir haben kürzlich zwei Cybersicherheitsexperten von Battery Portfolio Unternehmen eingeladen – Cassio Goldschmidt, den Chief Information Security Officer (CISO) von ServiceTitan*, und Daniel Schwalbe, den CISO von DomainTools*, um zu diskutieren, wie Unternehmen eine starke Cybersicherheitshaltung aufbauen können. In einem Webinar teilten die beiden außerdem ihre umfassenderen Sicherheitskenntnisse und ihr Fachwissen mit anderen Mitgliedern des Battery Portfolio.

Von der Einführung eines Cybersicherheitsprogramms bis hin zur Verbesserung der Cybersicherheitsbereitschaft sind hier vier wichtige Erkenntnisse aus der Diskussion:

1. Beim Aufbau eines Cybersicherheitsprogramms kann man leicht überfordert sein, aber lassen Sie sich dadurch nicht davon abhalten, es zu versuchen.

Schwalbe nannte dies einen wichtigen Ratschlag und verwies auf seinen bevorzugten Ansatz „Due Care“, ein Konzept, das seinen Ursprung im juristischen Bereich hat. Auf die Cybersicherheit angewendet bedeutet dies, dass Unternehmen angemessene Maßnahmen zum Schutz ihrer Informationen und zum Risikomanagement ergreifen sollten. „Nichtstun“ ist keine Option, aber große Investitionen sind keine Voraussetzung für den Einstieg. Auch wenn Ihr anfängliches Budget vielleicht bescheiden ist, können Sie sich im Laufe der Umsetzung auf Ihre Hauptziele konzentrieren und Ihre Cybersicherheitslage durch schrittweise Schritte verbessern.

Es gibt mehrere Bereiche mit großer Wirkung, auf die sich Ihr Team beim Start eines Cybersicherheitsprogramms konzentrieren kann. Sowohl Schwalbe als auch Goldschmidt sind sich einig, dass Single-Sign-On (SSO) und Zwei-Faktor-/Multi-Faktor-Authentifizierung (2FA/MFA), insbesondere für E-Mail, aus mehreren Gründen unerlässlich sind. Der erste Grund liegt auf der Hand: Die Kompromittierung geschäftlicher E-Mails stellt eine erhebliche Bedrohung dar. Das zweite ist vielleicht weniger bekannt: Viele Cyber-Versicherungsunternehmen verlangen, dass Sie diese Kontrollen implementieren, bevor sie eine Police ausstellen. Und drittens können diese Funktionen als schnelle Verteidigungslinie dienen, wenn ein Mitarbeiterkonto kompromittiert wird oder wenn Mitarbeiter Ihr Unternehmen verlassen. Durch die Deaktivierung einer wichtigen Anmeldeinformation kann sichergestellt werden, dass der gesamte Zugriff auf Unternehmenssysteme gesperrt wird. Schwalbe und Goldschmidt empfehlen außerdem die Implementierung einer grundlegenden Protokollaggregation mit Alarmierungskapazität. Dadurch wird verhindert, dass Ihre Systeme Teammitglieder mit Warnungen bombardieren, wodurch sich die Wahrscheinlichkeit verringert, dass Sie die Nadel einer Cyberbedrohung im Heuhaufen übersehen.

2. Erwägen Sie eine umfassende Verteidigung: nicht nur die richtigen Programme, sondern auch die richtige Aufklärung und Befähigung der Benutzer.

Es steht außer Frage, dass Ihr erster Mitarbeiter im Bereich Cybersicherheit viele Aufgaben übernehmen wird. Goldschmidt erinnerte sich an seine Zeit in dieser Funktion und fungierte sowohl als Sicherheitsevangelist als auch als Praktiker. „Ich habe Sicherheit gepredigt, ich habe den Menschen etwas über Sicherheit beigebracht, ich war die Cheerleaderin, die versucht hat, die Menschen zu der Überzeugung zu bewegen, dass Sicherheit für ihr Unternehmen von grundlegender Bedeutung ist. Und gleichzeitig war ich dort die Polizei und versuchte, den Leuten zu sagen, was sie tun und was sie nicht tun sollten“, erinnert er sich.

Dieser erste Sicherheitsmitarbeiter sollte auch über die technischen Fähigkeiten verfügen, um alle erforderlichen Untersuchungen durchzuführen, und im Fall von SaaS-Unternehmen auch als Ingenieur fungieren. Als Faustregel gilt: Erwägen Sie die Einstellung eines Cybersicherheitsmitarbeiters pro 100 bis 200 Mitarbeiter. Cybersicherheitsingenieure sollten etwa drei Prozent Ihrer gesamten technischen Belegschaft ausmachen.

Auch die teamübergreifende Koordination ist von entscheidender Bedeutung. Für die meisten Unternehmen ist es nicht die Frage, ob , sondern wann es zu einem Verstoß kommt. Stellen Sie sicher, dass Sie in Abstimmung mit Ihrem Rechtsteam einen Aktionsplan haben, insbesondere wenn es sich nicht um ein internes Team handelt. Wenn Sie Ihren Plan im Voraus kennen, können Sie sicherstellen, dass bei einem Verstoß Maßnahmen ergriffen werden können und alle ersten Entdeckungen erledigt werden können. Dies spart wertvolle Zeit und Ressourcen.

Wenn Sie sich mit Ihrem Team und Ihrem Vorstand abstimmen, lohnt es sich, auch den Artikel „ Sieben dringende Fragen zur Cybersicherheit, die Boards stellen müssen“ der Harvard Business Review zu lesen.

3. Bewerten Sie kontinuierlich Lücken in Ihrem Programm und kennen Sie dabei Ihre wichtigsten Schwachstellen – insbesondere die „Kronjuwelen“ Ihres Unternehmens.

Schwalbe definiert die „Kronjuwelen“ eines Unternehmens als Dinge, die, wenn sie durch einen Verstoß kompromittiert werden, zum Untergang des Unternehmens führen könnten. Bei der Beurteilung von Lücken in Ihrem Programm sollten Sie besonders auf die Kronjuwelen achten. Das Critical Security Controls-Framework des Center for Internet Security (CIS) kann Sie durch die Bewertung verschiedener Bereiche Ihres Unternehmens führen und eine Bewertung erstellen, die Ihnen dabei helfen kann, Ihre Bemühungen zu fokussieren und zu priorisieren. Datensicherungen (und regelmäßige Tests dieser Sicherungen) können ein einfacher Ausgangspunkt zum Schutz wichtiger Vermögenswerte und geistigen Eigentums sein, wie Schwalbe hervorhebt.

Wenn Unternehmen reifer werden, sollten sie ihre Cybersicherheitslage und Investitionen weiterhin neu bewerten. Bei ServiceTitan nutzt Goldschmidt mehrere Anti-Spam- und Anti-Scam-Tools. Darüber hinaus empfiehlt er Endpoint Detection and Response (EDR) sowie Managed Detection and Response (MDR)-Lösungen, um unvermeidliche Vorfälle unter Umgehung dieser Tools zu erkennen. Es sei auch wichtig, eine gute verhaltensbasierte Lösung für Ihre Endpunkte zu haben, betont er.

Goldschmidt ist auch ein Verfechter des „Microlearning“ für Anwender. Durch diese Art der interaktiven und immersiven Schulung können Benutzer nicht nur lernen, Vorfälle zu melden, sondern ihnen auch ein Bewusstsein für die neuesten Arten von Cyberangriffen vermitteln. Eine Technik ist die Herdenimmunität, bei der ein Benutzer eine E-Mail als potenzielle Bedrohung markiert und dabei alle anderen benachrichtigt, die die E-Mail ebenfalls erhalten haben. Um ein Dorf zu verteidigen, braucht es ein Dorf.

Planung kann einen großen Beitrag zur Identifizierung und Quantifizierung Ihrer Sicherheitslücken leisten und Ihnen bei der Erstellung eines Investmenthelfen. Denken Sie daran: Sie können schrittweise auf Ihre Ziele hinarbeiten, aber Sie müssen einen klaren Plan haben, worauf Sie hinarbeiten.

4. Und zu guter Letzt: Unterschätzen Sie nicht die Bedeutung von Mentoring beim Aufbau Ihres Cybersicherheitsprogramms.

Jeder im Internet ist ein Cybersicherheitsexperte, was bedeutet, dass die Ideen und Empfehlungen, die Sie online finden können – oft konkurrierend – endlos sind. Anstatt bei Google nach Ratschlägen zu suchen, sollten Sie versuchen, mit jemandem in Kontakt zu treten, der schon seit einiger Zeit CISO ist, oder mit einer CISO-Roundtable-Gruppe in Kontakt zu treten. Das Battery-Team hilft jederzeit gerne bei der Vermittlung dieser Einführungen auch für Portfolio .

Da die weltweite Cyberkriminalität weiter zunimmt, hilft Ihnen und Ihrem Unternehmen ein robustes Cybersicherheitsprogramm mit den entsprechenden Tools und teamübergreifender Zusammenarbeit, Bedrohungen abzuwehren. Wir arbeiten weiterhin eng mit unserem Portfolio zusammen, um es auf potenzielle künftige Cybersicherheitsherausforderungen vorzubereiten.

Die hierin enthaltenen Informationen beruhen ausschließlich auf der Meinung von Morad Elhafed und sind nicht als Anlageberatung zu verstehen. Dieses Material wird zu Informationszwecken zur Verfügung gestellt und stellt weder eine Rechts-, Steuer- oder Anlageberatung noch ein Angebot zum Verkauf oder eine Aufforderung zum Kauf einer Beteiligung an einem von Battery Ventures oder einem anderen von Battery verwalteten Fonds oder Anlageinstrument dar und darf in keiner Weise als solche angesehen werden.

Die Informationen und Daten beziehen sich auf den Zeitpunkt der Veröffentlichung, sofern nicht anders angegeben.

Inhalte, die aus Drittquellen stammen, werden zwar als zuverlässig erachtet, wurden jedoch nicht von unabhängiger Seite auf ihre Richtigkeit oder Vollständigkeit hin überprüft und können nicht garantiert werden. Battery Ventures ist nicht verpflichtet, den Inhalt dieses Beitrags zu aktualisieren, zu ändern oder zu ergänzen oder Leser*innen zu benachrichtigen, falls sich darin enthaltene Informationen, Meinungen, Prognosen, Vorhersagen oder Schätzungen ändern oder später ungenau werden.

Die oben genannten Informationen können Prognosen oder andere zukunftsgerichtete Aussagen über zukünftige Ereignisse oder Erwartungen enthalten. Vorhersagen, Meinungen und andere Informationen, die in diesem Blogbeitrag besprochen werden, können sich fortlaufend und ohne Vorankündigung jedweder Art ändern und sind nach dem angegebenen Datum möglicherweise nicht mehr wahr. Battery Ventures übernimmt keine Verpflichtung und verpflichtet sich nicht, zukunftsgerichtete Aussagen zu aktualisieren.

*Bezeichnet ein Battery-Portfoliounternehmen. Für eine vollständige Liste aller Battery-Investments klicken Sie bitte hier.

Zurück zum Blog

DIESEN ARTIKEL TEILEN

ARTIKEL VON

Lauren Wedell

Lauren, eine Vice President, kam 2018 zu Battery und konzentriert sich auf Spätphasen- und Buyout- Software , mit besonderem Schwerpunkt auf Software.

Ein monatlicher Newsletter zum Austausch neuer Ideen, Erkenntnisse und Einführungen, um Unternehmer*innen beim Ausbau ihres Geschäfts zu helfen.

SCHWERPUNKTE

GESCHÄFTSFUNKTIONEN

News und Markttrends von Battery Fallstudien Personalwesen & Finanzen Leadership Vertrieb & Marketing

Cookie	Duration	Description
AWSELB	session	Associated with Amazon Web Services and created by Elastic Load Balancing, AWSELB cookie is used to manage sticky sessions across production servers.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
optimizelyRumLB	session	This cookie controls the AWSELB cookie's attributes (e.g., SameSite and Secure).
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	Persistent	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	Persistent	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	Persistent	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	Persistent	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
sb	2 years	This cookie is used by Facebook to control its functionalities, collect language settings and share pages.

Cookie	Duration	Description
_gat	1 minute	This cookie is installed by Google Universal Analytics to restrain request rate and thus limit the collection of data on high traffic sites.
AWSELBCORS	session	This cookie is used by Elastic Load Balancing from Amazon Web Services to effectively balance load on the servers.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
pvc_visits[0]	1 day	This cookie is created by post-views-counter. This cookie is used to count the number of visits to a post. It also helps in preventing repeat views of a post by a visitor.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
__Host-GAPS	2 years	This cookie allows the website to identify a user and provide enhanced functionality and personalisation.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.

Cookie	Duration	Description
_cookie_id	session	No description available.
_scribd_session	3 years	No description available.
scribd_ubtc	100 years	No description available.
VISITOR_PRIVACY_METADATA	6 months	Description is currently not available.

BRANCHEN

TEAMS

SERVICES

1. Beim Aufbau eines Cybersicherheitsprogramms kann man leicht überfordert sein, aber lassen Sie sich dadurch nicht davon abhalten, es zu versuchen.

2. Erwägen Sie eine umfassende Verteidigung: nicht nur die richtigen Programme, sondern auch die richtige Aufklärung und Befähigung der Benutzer.

3. Bewerten Sie kontinuierlich Lücken in Ihrem Programm und kennen Sie dabei Ihre wichtigsten Schwachstellen – insbesondere die „Kronjuwelen“ Ihres Unternehmens.

4. Und zu guter Letzt: Unterschätzen Sie nicht die Bedeutung von Mentoring beim Aufbau Ihres Cybersicherheitsprogramms.