Unser Kunde (aus Diskretionsgründen nennen wir hier keine Namen) ist ein mittelständisches Handelsunternehmen Unternehmen mit mehr als 20 Jahren Erfahrung. Einen sehr großer Teil des Umsatzes generiert das Unternehmen über seinen eigenen Onlineshop.
Herausforderung
Das Unternehmen wollte seinen Onlineshop schützen und seinen Kunden und Partnern ein Höchstmaß an Sicherheit bieten. Das Thema IT-Sicherheit war keine Kernkompetenz des Unternehmens. Dadurch wollte der IT-Leiter nicht alleien entscheiden, wo das Sicherheitsbudget des Unternehmens investiert werden sollte.
Die Lösung
Daher wurden wir beauftragt, den Kunden bei der Auswahl der richtigen IT-Sicherheitsmaßnahmen zu beraten. Wir haben einen Penetrationstest sowie eine Security-Awareness-Schulung empfohlen.
Der Penetrationstest zur Ermittlung von Sicherheitslücken
Ein sogenannter "Penetrationstest" ist ein simulierter Cyberangriff, durchgeführt von zertifizierten Experten. Der Pentest sollte Schwachstellen im Onlineshop aufdecken und dem Unternehmen helfen, diese zu beheben.
Daher führten unsere Cybersecurity-Experten einen Grey-Box-Penetrationstest in 6 Phasen durch:
- Planung und Vorbereitung
- Reconnaissance (Informationsbeschaffung)
- Scanphase.
- Gaining Access (Zugriff erlangen)
- Maintaining Access (Zugriff aufrechterhalten)
- Analyse
Der Penetrationstest ergab mehrere Schwachstellen im Onlineshop, darunter:
- 1 kritische Schwachstelle: Diese Schwachstelle hätte es Angreifern ermöglicht,die Kontrolle über den Onlineshop zu übernehmen.
- 2 Schwachstellen mit hoher Kriminalität: Diese Schwachstellen hätten es Angreifern ermöglicht, Kundendaten zu stehlen oder den Onlineshop lahmzulegen.
Security-Awareness-Schulung zur Sensibilisierung der Belegschaft für Cyberbedrohungen
Die Security Awareness Schulung umfasste folgende Themen:
- Grundlagen der IT-Sicherheit: Die Mitarbeiter wurden über die wichtigsten Bedrohungen und Risiken im Bereich der IT-Sicherheit informiert.
- Umgang mit Phishing-Mails und Social-Engineering-Angriffen: Die Mitarbeiter lernten, wie sie Phishing-Mails und Social-Engineering-Angriffe erkennen und vermeiden können.
- Erstellung von sicheren Passwörtern: Die Mitarbeiter wurden über die Bedeutung von sicheren Passwörtern und deren Erstellung informiert.
- Verhalten im Falle eines Cyberangriffs: Die Mitarbeiter lernten, wie sie sich im Falle eines Cyberangriffs verhalten sollten.
Ergebnisse
Der Penetrationstest ergab mehrere Schwachstellen im Onlineshop, darunter:
- 1 kritische Schwachstelle: Diese Schwachstelle hätte es Angreifern ermöglicht,die Kontrolle über den Onlineshop zu übernehmen.
- 2 Schwachstellen mit hoher Kriminalität: Diese Schwachstellen hätten es Angreifern ermöglicht, Kundendaten zu stehlen oder den Onlineshop lahmzulegen.
Die Security Awareness Schulung führte zu einer deutlichen Steigerung des Sicherheitsbewusstseins der Mitarbeiter. Die Mitarbeiter waren nun in der Lage, Bedrohungen und Risiken im Bereich der IT-Sicherheit besser zu erkennen und zu vermeiden.
Der Nutzen für unseren Kunden
Das Unternehmen konnte durch den Penetrationstest und die Security Awareness Schulung die Sicherheit seines Onlineshops deutlich verbessern. Durch die Behebung der Schwachstellen und die Sensibilisierung der Mitarbeiter konnte das Unternehmen:
- Das Risiko von Cyberangriffen deutlich reduzieren: Das Unternehmen konnte das Risiko von Datendiebstahl, finanziellen Schäden und Reputationsschäden deutlich reduzieren.
- Vertrauen aufbauen: Das Unternehmen konnte seinen Kunden und Partnern zeigen, dass es das Thema IT-Sicherheit ernst nimmt.
- Den Ruf des Unternehmens schützen: Das Unternehmen konnte seinen Ruf als sicherer und zuverlässiger Online-Shop schützen.
Die Stimme unseres Kunden
Wir haben das Thema IT-Sicherheit immer ernst genommen. Seit dem Sicherheitstest und vor allem der Behebung der Sicherheitslücken kann ich deutlich ruhiger schlafen. Es beruhigt mich, dass Profis sich die Sicherheitslage unseres Shops angesehen haben und unsere Leute geschult haben. Vielen Dank für die professionelle Durchführung!
IT-Leiter Handelsunternehmen