Warum wir der Sicherheit auf der Magnolia Digital Experience Platform Priorität einräumen

Wir alle freuen uns über die verschiedenen Möglichkeiten, wie die Welt dank der digitalen Technologie zusammenwächst, aber das bedeutet auch, dass sie Akteuren neue Möglichkeiten für Bedrohungen bietet. Die Sicherheit einer Website ist nicht nur eine Funktion, sondern eine grundlegende Notwendigkeit, auf die jede Digital Experience Plattform aufbauen muss.

Auch wenn eine Plattform keine persönlichen Informationen oder sensiblen Daten verarbeitet, ist die Sicherheit im Internet ein wichtiger Aspekt. Als Website-Betreiber sehen Sie ein starkes Sicherheitslevel vielleicht nur als Instrument zur Einhaltung von Vorschriften, aber es ist ein wesentlicher Bestandteil des Vertrauensaufbaus und der Gewährleistung der Integrität digitaler Erlebnisse.

Eine anfällige Website oder App kann zu einem Vertrauensverlust bei Nutzern und Kunden führen und den Ruf Ihrer Marke stark beeinträchtigen. Betriebsunterbrechungen, finanzielle Verluste und rechtliche Konsequenzen unterstreichen die entscheidende Bedeutung von robusten Sicherheitsmaßnahmen für Webanwendungen. Heute möchten wir Ihnen zeigen, wie Magnolia Cybersecurity angeht, um Benutzer bei der Bewältigung dieser verschiedenen Herausforderungen zu unterstützen.

Betrachten Sie jede digitale Erfahrung als ein Fenster zu Ihrem Unternehmen, und betrachten Sie Malware oder andere Sicherheitsprobleme als Risse oder Schlieren auf der Glasscheibe. Jedes technische Problem kann enorme Reputationsrisiken mit sich bringen und sich erheblich auf Ihre Fähigkeit auswirken, neue Kunden zu gewinnen. Wenn Ihre Website nicht schnell genug lädt, ist das wie eine klemmende Eingangstür, die die Nutzer nur schwer öffnen können.

Noch schlimmer ist es natürlich, wenn die Website Ihres Unternehmens ausfällt, vor allem im elektronischen Handel. Keine Online-Präsenz bedeutet kein Geschäft, und Ihren Kunden wird es egal sein, ob der Grund dafür Malware oder ein fehlerhafter Server ist. Fehlinformationen, die selbst der treueste Kunde nie ganz aus seinem Unterbewusstsein verbannen kann, können ebenso schädlich sein. Und es ist nicht nur der Kunde, um den Sie sich Sorgen machen müssen. In stark regulierten Branchen können diese Probleme zu saftigen Geldstrafen führen, ganz abgesehen von der Blamage und der Schädigung des Rufs.

Aus diesen Gründen kann es sich kein Unternehmen leisten, Sicherheit als rein technische Aufgabe zu betrachten, und wir bei Magnolia auch nicht.

Unsere Reise im Bereich Web-Security begann vor über 15 Jahren mit unserem ersten Unternehmenskunden, einer Bank. Die spezifischen Anforderungen des Kunden zwangen uns dazu, unsere Sicherheitslösung vom ersten Tag an in das Produkt zu integrieren. Dazu gehörten Benutzerrechte, Zugriffsprüfung, Datenänderung und Protokollspeicherung. Bis heute sind wir diesem Kunden sehr dankbar, denn es ist schwierig, Sicherheit in ein Produkt zu integrieren, das bereits fertig ist. Es ist viel einfacher, sie von Anfang an einzubauen, und das haben wir mit diesem Kunden geschafft.

Außerdem hilft uns die modulare Architektur unserer Plattform bei der Anpassung an unterschiedliche Kundenbedürfnisse und Sicherheitspositionen. Wir können Module einfach einbauen und bei Bedarf austauschen. In der Zwischenzeit müssen wir uns keine Sorgen über Malware oder Cyberangriffe machen, da man auch mit diesen Modulen nicht aus der Sandbox entkommen kann. Unser Team hat die gesamte Plattform so konzipiert, dass sie sich selbst wiederherstellen kann. Im Falle eines Sicherheitsdefekts erholt sie sich automatisch von selbst, und wir können später isolierte Module aus Backups wieder einführen.

Die meisten unserer Kunden laden nur dann Daten in unsere Plattform hoch, wenn sie ohnehin für die Öffentlichkeit bestimmt sind; die einzigen Ausnahmen sind Intranets und Schulungswebsites, bei denen der Zugang streng kontrolliert wird.

Das bedeutet jedoch nicht, dass Unternehmen alles auf einmal veröffentlichen. Oft müssen unsere Nutzer zeitkritische Informationen vorhalten, die sie nicht vor einem bestimmten Ereignis veröffentlichen wollen (oder können), sei es ein Finanzbericht oder eine Produktfreigabe. Eine verfrühte Freigabe dieser Informationen kann oft finanzielle oder sogar rechtliche Folgen haben. Außerdem kann dies die gesamte PR-Kampagne, die ein Unternehmen für eine Produkteinführung geplant hat, zunichte machen. Dies ist ein großes Problem für Branchen mit sehr begeisterten Fans, wie z. B. Sport oder Videospiele.

Andere Kunden sind sehr anfällig für Angriffe.

Für uns bedeutet das, dass wir spezielle Webanwendungen anbieten müssen, um sicherzustellen, dass sie Informationen rückgängig machen oder ändern können, falls etwas passieren sollte. Das Gleiche gilt für den Schutz vor Ransomware und Distributed-Denial-of-Service (DDoS), was für Kunden wie uns besonders wichtig ist:

In einigen Fällen haben wir zusätzliche Penetrationstests und eine ausgefeilte 24/7-Überwachung angeboten, wenn Kunden sich Sorgen über einen DDoS-Angriff oder die Entfernung von Malware gemacht haben. Selbst in der heutigen Landschaft ist dies jedoch nicht für jeden notwendig, weshalb wir es als Teil eines zusätzlichen Serviceangebots anbieten.

Bei der Cybersicherheit geht es heute vor allem um Tiefenverteidigung, d. h. Sie bauen mehrere Schutzschichten auf, weil Sie davon ausgehen, dass einzelne Schichten irgendwann versagen werden - vom soliden Webhosting bis hin zu verschiedenen Arten von Schwachstellenscannern.

So isolieren wir beispielsweise die Daten jedes Kunden vollständig, und zwar nicht nur durch logische Partitionierung, sondern durch verschiedene virtuelle Infrastrukturen. Darüber hinaus wenden wir verschiedene Protokolle an, die das Betriebssystem auf der Netzwerk- und Anwendungsebene schützen. Innerhalb jedes Programms können die Benutzer den Zugriff und die Berechtigungen fein abstimmen, und diese Berechtigungen können auch von der zugrundeliegenden Infrastruktur übernommen werden, wenn sie diese nicht direkt gestalten wollen. Damit ist gewährleistet, dass sich jeder mit Problemen im Zusammenhang mit unbefugtem Zugriff befassen kann, ohne gezwungen zu sein, eine bestimmte Einrichtung zu verwenden.

Magnolia wendet einen umfassenden Ansatz zur Datenverschlüsselung an, der ein Höchstmaß an Sicherheit für Informationen bei der Übertragung gewährleistet. Alle Daten werden durch robuste Verschlüsselungsprotokolle geschützt, mit der Option, den Advanced Encryption Standard 256 (AES 256) zu verwenden, der eine zusätzliche Schutzschicht bietet. Wir unterstützen auch die Protokolle Transport Layer Security (TLS) v. 1.2 oder v. 1.3, die von Magnolias Secure Sockets Layer (SSL)-Zertifikatsinfrastruktur unterstützt werden, wodurch die Verpflichtung der Plattform zu sicherer und verschlüsselter Kommunikation noch verstärkt wird.

Wir überprüfen regelmäßig die Berechtigungen auf der Ebene der Anwendungsprogrammierschnittstelle (API), um sicherzustellen, dass die Mitarbeiter an den Assets und Funktionen arbeiten können, die sie für ihre jeweiligen Aufgaben benötigen. Diese Kontrollen bestehen aus zwei Teilen: Zunächst kontrollieren wir, ob Sie das Recht haben, auf bestimmte Funktionen zuzugreifen. Dann prüfen wir, ob Sie die Berechtigung haben, diese Funktion in einer bestimmten Datei auszuführen. Viele unserer Kunden fordern diesen fein abgestuften Zugriff während der Einführungsphase und sind froh, dass sie diese Option haben, auch wenn sie sich bei der Skalierung als schwierig erweisen kann.

Diese Flexibilität ist der Schlüssel zu allem, was wir bei Magnolia für unsere Kunden tun. Sie erhalten eine breite Palette an detaillierten Anpassungsoptionen, um manuelle Sicherheitsrichtlinien zu definieren, aber die meisten Benutzer legen nur ein paar Richtlinien auf höchster Ebene fest, um eine sichere Umgebung zu erhalten.

Deshalb ist es wichtig zu bedenken, dass jeder Benutzer durch seine Konfigurationsentscheidungen aktiv zu seiner eigenen Sicherheit beiträgt. Wenn Sie zum Beispiel Ihre Domänenzertifikate erstellen, müssen Sie festlegen, welche Modi Sie zulassen. Wenn Sie schwächere Verschlüsselungsmodi zulassen, können Sie damit möglicherweise eine größere Anzahl von Clients unterstützen. Aber Sie müssen auch wissen, dass andere nun die Kommunikation abfangen oder Man-in-the-Middle-Angriffe durchführen können.

Wenn Sie als Kunde der Magnolia-Plattform beitreten, sorgt unser Team dafür, dass die Basisimplementierung Ihrer Einrichtung sicher ist. Wir führen Penetrationstests durch, um sicherzustellen, dass sie so solide ist, wie sie nur sein kann. Für das, was Sie darauf aufbauen, sind Sie jedoch selbst verantwortlich, zumindest größtenteils. Das Magnolia-Team kann Ihnen Hilfestellung geben und wird Sie sogar auf Systemfehler hinweisen, wenn Sie die Live-Checkliste durchgehen. Letztlich geht es bei der Kompositionsfähigkeit aber auch um Offenheit, so dass Sie als Nutzer eine Rolle dabei spielen müssen, Ihre Website sicher zu halten.

Magnolia bietet verschiedene Bereitstellungsoptionen, um unterschiedliche Kundenanforderungen zu erfüllen. Alle erfüllen eine Reihe von Industriestandards, wie z. B. die SOC 2-Konformität für die Verwaltung von Kundendaten und die ISO 27001-Zertifizierung zur Gewährleistung der Informationssicherheit.

Unsere Platform-as-a-Service (PaaS) DXP bietet einige zusätzliche Vorteile. Da wir alles in der Cloud ausführen, können wir die Verschlüsselung sicherstellen und die gesamte Infrastruktur kontrollieren, einschließlich der Zertifikate, die unsere Kunden verwenden. Diese strenge Kontrolle verringert das Risiko, dass böswillige Akteure intern auf Inhalte zugreifen, die nicht für die Öffentlichkeit bestimmt sind.

Abgesehen von dieser Option können Sie Magnolia selbst hosten, was bedeutet, dass Sie nicht auf das Cloud-Hosting von Magnolia angewiesen sind. Da Magnolia auf Ihrer Infrastruktur läuft, sind Sie nun für Aufgaben wie Single Sign-On, Anmeldedaten und Berechtigungen, Netzwerkeinrichtung, Patches, Datenbankkonfiguration und verschlüsselte Datenspeicherung verantwortlich (und haben die volle Kontrolle darüber). Während sich viele Kunden auf unsere Sicherheitsinfrastruktur verlassen, gibt es auch einige, die dies lieber selbst in die Hand nehmen. In der Regel handelt es sich dabei jedoch um Kunden, die sich auf ihre eigenen Sicherheitsexperten verlassen können, um ihre Infrastruktur aufrechtzuerhalten, egal was passiert. Wir freuen uns, dass wir alle diese Ansätze unterstützen können.

Wir bei Magnolia versuchen nicht, Sie zu einer bestimmten Lösung zu drängen. Wenn Sie sich für die Infrastruktur von Magnolia entscheiden, sorgen wir dafür, dass Sie die beste Infrastruktur erhalten, auf die sich Ihr Unternehmen verlassen kann. Um dies zu erreichen, unterstützen wir Multi-Regionen- und Multi-Cloud-Setups über Regionen hinweg, die unerwarteten Herausforderungen wie Serverausfällen, Netzwerkstörungen oder anderen kritischen Szenarien standhalten und letztlich einen unterbrechungsfreien Service für Ihre Kunden garantieren.

Wie wir bereits erläutert haben, können auch die besten Sicherheitsmaßnahmen einen Angriff oder eine Sicherheitsverletzung nicht verhindern. Es ist nicht die Frage, ob es passiert, sondern wann. Um dem Rechnung zu tragen, hat Magnolia mehrere Überwachungs- und Warnsysteme eingerichtet. Für bestimmte Teile unserer Infrastruktur arbeiten wir mit spezialisierten Partnern zusammen, die auf einen Vorfall reagieren können.

Die meisten Sofortmaßnahmen, die zum Schutz der Daten unserer Kunden erforderlich sind, sind bereits in Runbooks festgelegt, die uns genau sagen, was zu tun ist, wenn ein Vorfall eintritt. Magnolia kümmert sich um die erste Reaktion, weil es einfach mehr Sinn macht. Wir sehen alle Netzwerkprotokolle, so dass es für uns ein Leichtes ist, die betroffenen Kunden sofort zu informieren. Wenn es bei einem Verstoß ein Muster gibt, können wir schnell auf Netzwerkebene reagieren oder alle Kunden benachrichtigen, anstatt dass sie versuchen, das Problem selbst zu lösen.

Im Falle eines Sicherheitsvorfalls benachrichtigt das System die zuständigen Teams, damit diese sofort mit der Untersuchung des Problems beginnen können. Wenn sie eine Sicherheitsverletzung entdecken, isolieren sie den betreffenden Teil der Infrastruktur oder schalten ihn ab, um den laufenden Betrieb zu schützen. Später untersuchen wir die forensischen Daten, um herauszufinden, ob es einem Angreifer gelungen ist, Dateien zu infiltrieren oder sich seitlich durch das Netzwerk zu bewegen. Alle diese Informationen fließen dann in künftige Updates ein, um sicherzustellen, dass niemand den gleichen Angriff wiederholen kann. Um zu analysieren, wie Angreifer in ein System eingedrungen sein könnten, sehen wir uns alle unsere Ingress-Logs und ausgeführten Abfragen an.

Einige von Magnolias sicherheitssensiblen Kunden haben sogar ihre eigenen Notfallteams. In solchen Fällen würde unser Team jeden Vorfall in Zusammenarbeit mit den Experten des Kunden im virtuellen Kriegsraum untersuchen. Unabhängig davon, welcher Kunde betroffen ist, kann ein Angreifer nur über das Internet in sein System eindringen, nicht über die Rechenzentren. Das bedeutet, dass es keine seitlichen Bewegungen von einem Kunden zum anderen gibt.

Wenn Sie nicht regelmäßig mit diesen Szenarien zu tun haben, mag das alles erschreckend klingen, aber lassen Sie uns ein Beispiel aus der Praxis betrachten, um etwas Kontext zu schaffen. Vor einiger Zeit war die Log4Shell-Sicherheitslücke in allen Schlagzeilen, weil sie die meisten Endgeräte betraf. Über Java-Code auf Servern oder Computern konnten Angreifer sensible Informationen ausspähen. In diesem Fall hatte das Magnolia-Team das Problem innerhalb von zwei Stunden nach der Ankündigung vollständig behoben.

In anderen Fällen sind wir vielleicht nicht so schnell, aber wir können uns immer noch auf eine Web Application Firewall vor unserer Infrastruktur verlassen. Denken Sie daran: Es geht um mehrschichtigen Schutz. Wir sind auch in der Lage, kundenspezifische Sicherheitsregeln zu aktivieren. Wenn wir feststellen, dass nur einer unserer Kunden von bösartigem Code betroffen ist, können wir ihn blockieren, ohne dass andere Benutzer davon betroffen sind.

Das alles geschieht im Hintergrund, aber unser Team tauscht sich auch regelmäßig mit Ihnen als Nutzer aus. Bei unseren Frühjahrs-Checks und vierteljährlichen Überprüfungen beraten wir unsere Kunden beispielsweise über die Leistung ihrer Systeme und mögliche Sicherheitsprobleme. Das kann vor allem dann hilfreich sein, wenn sie vor kurzem ihre Einrichtung geändert haben und ein Relaunch ansteht. Wenn ein solcher Kunde uns um Ratschläge für eine künftige Aktualisierung bittet, prüfen wir, wie sich diese auf die Sicherheit und Leistung auswirken könnte.

Außerdem raten wir jedem Kunden, sein Endprodukt vor der Markteinführung einem Penetrationstest zu unterziehen, vor allem wegen der Anpassungsmöglichkeiten, die es den Kunden ermöglichen, ihre eigenen Lösungen auf unserer Plattform aufzubauen. Um zwischen kundenspezifischen Problemen und solchen innerhalb der Basisplattform zu unterscheiden, führen wir laufend Penetrationstests des Systems durch. Auf diese Weise können wir uns immer auf Scans mit den neuesten Informationen verlassen.

Wie Sie sehen können, ist Magnolia nach wie vor bestrebt, eine führende Rolle im Bereich der Sicherheit im DXP-Bereich einzunehmen, und wir ermutigen Sie, die Bedeutung der Sicherheit auch in Ihrer digitalen Strategie zu berücksichtigen.

Wenn Sie neugierig auf Magnolias Sicherheitsansatz sind und wissen möchten, wie er als Modell für Ihr Digital Experience Management dienen kann, nehmen Sie Kontakt mit unseren Experten auf, um Ihre spezifischen Sicherheitsanforderungen zu besprechen.