Im Interview mit »manage it« erklärt Fabien Lemarchand, VP of Platform & Security bei ManoMano warum beim Thema Sicherheit der Mensch im Mittelpunkt stehen muss und Unternehmen offensiv, also mehr wie ein Angreifer und weniger wie ein Verteidiger denken sollten. Das Ethical-Hacking-Programm Hack4Values hilft NGOs ihre Websites absichern zu können.
Herr Lemarchand, wie schätzen Sie die aktuelle Lage im Bereich Cybersicherheit bei internationalen E-Commerce-Plattformen im Allgemeinen und bei ManoMano im Besonderen ein, um das digitale Vertrauen Ihrer Partner und Kunden zu sichern?
Der Schutz und die Sicherung von Kundendaten sind von entscheidender Bedeutung, insbesondere für ein expandierendes Unternehmen. Auf diesem Level kann man sich keinen Sicherheitsfauxpas leisten. Dies würde das Wachstum bremsen, den Ruf schädigen und interne Teams sowie Ressourcen überfordern.
Wir haben die gleiche Cyberbedrohungslandschaft wie der E-Commerce-Sektor. Die fünf größten Cyberbedrohungen sind:
- Web-Exploit
- Social Engineering (zum Beispiel Phishing)
- Ransomware/Malware
- Fehlkonfiguration
- Sicherheitslücken/Angriffe auf unsere Partner
Die Cyberbedrohungen nehmen zu. Im Jahr 2019 blockierten wir 100.000 versuchte Cyberangriffe pro Monat – heute liegt die Zahl bei einer Million. Aber das ist normal und hängt mit unserem Wachstum und unserem Aktienmarkt zusammen. Wir sind deutlich sichtbarer.
Fabien Lemarchand,
VP of Platform & Security
bei ManoMano
Wie beurteilen Sie die Entwicklung im Bereich Cybersicherheit bei ManoMano von den Anfängen vor 10 Jahren bis heute?
Unsere Vision ist es, ein vertrauenswürdiges Unternehmen im E-Commerce-Sektor zu sein, indem wir die Standards durch Exzellenz, Innovation und ethisches Hacking prägen.Unser Sicherheitsansatz lässt sich in zwei Worten zusammenfassen: Menschen und Offensive. Wir stellen den Menschen in den Mittelpunkt: Mitarbeitende sind das starke Element. Bei der Offensive versuchen wir, mehr wie ein Angreifer und weniger wie ein Verteidiger zu denken.
Es ist wichtig, die gesamte Zeit und Energie des Sicherheitsteams auf die richtigen Bedrohungen zu lenken und unseren Feind zu kennen. Wir arbeiten transparent mit Mitarbeitenden und Partnern zusammen, um die beste Lösung beziehungsweise Reaktion anzuwenden.
Bei ManoMano ist Sicherheit ein internes Fachgebiet mit einem engagierten Sicherheitsteam, das aus sechs Personen und hauptsächlich ethischen Hackern besteht. Die Cybersicherheitsstrategie ist ein Pfeiler unserer Geschäftsstrategie. Wir haben eine klare Sicherheitsstrategie auf allen Ebenen der Organisation kommuniziert und eine starke Sicherheitskultur aufgebaut. Jeden Tag fordern wir unsere Mitarbeitenden heraus und schulen sie im Umgang mit Cyberbedrohungen, beispielsweise durch Sicherheitstests oder Phishing-Kampagnen.
Um Kommunikations- und Aufklärungsmaßnahmen effektiv zu gestalten, müssen Unternehmen einen jährlichen Fahrplan mit messbaren KPIs in folgenden Bereichen erstellen: Beispielhaftigkeit, Verantwortung, Beteiligung, Praktikabilität, klare Regeln, Einstellung & Verhalten sowie Kommunikation.
Laut der aktuellen Slack Cyber Security Survey haben 70 % der deutschen Arbeitnehmer Angst vor Cyberangriffen in ihrem Arbeitsumfeld. Was können Unternehmen tun, um diese Angst zu lindern und was tun Sie für Ihre Mitarbeitenden?
Es ist enorm wichtig, die Cybersicherheit am Arbeitsplatz ernst zu nehmen und es gibt mehrere Möglichkeiten, diese Herausforderung anzugehen und die Mitarbeitenden zu beruhigen. Dazu gehört, die Cybersicherheit in den Mittelpunkt der Unternehmensstrategie zu stellen, eine klare und verständliche Sicherheitsstrategie mit sichtbaren Resultaten zu entwickeln, transparente Kommunikation, Schulung der Mitarbeitenden mit realen Sicherheitstests (zum Beispiel Phishing, USB-Sticks, physisches Eindringen) und die Ergebnisse mit ihnen zu teilen, um die Sicherheitsmängel zu verstehen und zu beheben.
Sicherheit ist die Aufgabe aller in der Organisation.
ManoMano hat das innovative Bug-Bounty-Programm mit einer Gemeinschaft von internationalen Sicherheitsexperten implementiert, um die Cybersicherheit für Ihre Plattform zu gewährleisten. Bitte erzählen Sie uns mehr über das Programm. Wie viele Personen sind derzeit beteiligt und welche konkreten Cyberangriffe konnten durch das Programm bereits abgewehrt werden?
Kein Risiko ist unrealistisch, aber das Risikomanagement ist überschaubar. Die Bedrohungen und die Hacker, die sich gegen uns richten, sind wie ein hyperwachstumsstarkes Unternehmen: Sie entwickeln und verändern sich unglaublich schnell. Ich neige dazu, mich auf das zweite Paradigma zu konzentrieren: Denken Sie mehr wie ein Angreifer und weniger wie ein Verteidiger. Dazu gehört, dass wir uns selbst ständig hinterfragen und das Unternehmen ohne Status Quo leiten. Dies ist ein guter Weg, um schnelle und innovative Antworten auf wachsende Bedrohungen zu finden und somit die Sicherheit unserer Plattform zu verbessern.
Hier kommt das Bug-Bounty-Programm ins Spiel: Es war die erste Priorität in unserer Strategie. Das Programm ist eine Gemeinschaft von ethischen Hackern und Entwicklern, die es ermöglicht, Fehler einzureichen und das ManoMano-Sicherheitsteam auf Sicherheits- und Datenschutzprobleme und Schwachstellen aufmerksam zu machen, damit die Plattform sowohl zuverlässig als auch sicher ist. Wir haben sie für unsere gesamte Marktplatz-Plattform geöffnet. Die Ethical-Hacking-Community ist eine Erweiterung des ManoMano-Sicherheitsteams, sie ist mächtig!
Dank Bug Bounty haben wir das Sicherheitsniveau unserer Plattform und das Cybervertrauen bei unseren Kunden und Verkäufern stark erhöht.
Sie sind auch an dem Ethical-Hacking-Programm Hack4Values beteiligt, mit dem Ziel, dass NGOs (Nichtregierungsorganisationen) ihre Websites absichern können. Wie funktioniert das Programm und wie ist ManoMano daran beteiligt?
Im Jahr 2022 haben wir das Hack4Values-Programm ins Leben gerufen: Ein kostenloses Bug Bounty für NGOs. Hack4Values ist eine gemeinnützige Organisation, die NGOs dabei hilft, sich vor Cyberbedrohungen zu schützen.
Doch wir können unsere Ziele nicht allein erreichen: Wir arbeiten mit ethischen Hackern auf der ganzen Welt zusammen, um die Cyberbedrohungen zu bekämpfen, die sich gegen die NGO-Organisationen richten. Als Präsident von Hack4Values bin ich sehr froh, dass das ManoMano-Sicherheitsteam voll involviert ist. Sie sind auf der Suche nach Sicherheitslücken bei NGOs und animieren die Gemeinschaft der ethischen Hacker. Ich bin sehr stolz auf die Teams und ihre starken Leistungen. Bislang haben wir acht NGOs an Bord geholt und haben mit mehr als 50 ethischen Hackern mehr als 250 Sicherheitslücken gefunden.
Chat GPT ist im Moment in aller Munde. Wie sehen Sie KI im Zusammenhang mit der Cybersicherheit und was sind Ihre allgemeinen Prognosen für die nahe Zukunft der Cybersicherheit?
In der Zukunft wird KI eine wichtige Rolle in unserer Arbeit spielen. Heute kann ChatGPT als virtueller Assistent helfen, einfache tägliche Aufgaben zu automatisieren. Im Hinblick auf die Cybersicherheit kann ChatGPT ein hervorragender KI-Assistent sein, der hilft, Sicherheitslücken in einem System zu finden.
Wie alle neuen Lösungen sollte auch ChatGPT mit bewährten Praktiken und Grundregeln eingesetzt werden wie beispielsweise:
- Mitarbeitende dürfen keine sensiblen oder vertraulichen Informationen wie persönliche Daten, Finanzinformationen oder Passwörter eingeben oder speichern.
- Es ist wichtig, die potenziellen Risiken in Bezug auf die Vertraulichkeit und Sicherheit von Daten zu berücksichtigen, insbesondere aufgrund der Speicherung von Daten außerhalb der Europäischen Union.
- Mitarbeitende müssen gute Praktiken der Informationssicherheit befolgen wie die regelmäßige Aktualisierung von Passwörtern und die Wahrung der Vertraulichkeit ihrer Gespräche.
- Mitarbeitende müssen sich der begrenzten Verständlichkeit von ChatGPT bewusst sein und die Richtigkeit der erhaltenen Informationen überprüfen, bevor sie diese für wichtige Entscheidungen verwenden.
Vielen Dank für das Gespräch.