Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

Steven Murray

05.07.2017

E-Mail

1 min read

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

Wichtige Erkenntnisse

    • Attestationen allein garantieren keine Sicherheit. Sie bestätigen, dass bestimmte Standards erfüllt sind, aber nicht, dass Kontrollen ordnungsgemäß funktionieren oder überwacht werden.

    • Die betriebliche Bereitschaft ist wichtiger als die Zertifizierung. Ein Unternehmen kann ein Audit bestehen, während seine Sicherheitswerkzeuge—wie IDS/IPS-Systeme—nicht funktionsfähig sind.

    • Prüfer verifizieren oft die Existenz, nicht die Leistung. Viele Attestationen bewerten, ob Systeme existieren, nicht ob sie korrekt konfiguriert oder aktiv gewartet werden.

    • Ein starkes Cloud-Sicherheitsprogramm vereint Compliance mit kontinuierlicher Überwachung. Attestationen bieten eine Compliance-Grundlage, aber kontinuierliche Tests und Bewertungen gewährleisten wirklichen Schutz.

    • Drittanbieter-Penetrationstests decken reale Schwachstellen auf. Sie bieten tiefere Einblicke als Umfragen oder Checklisten und bestätigen, dass Sicherheitsmaßnahmen unter realen Bedingungen funktionieren.

    • Bei der Bewertung von Anbietern sollten Datenzugriff und Risikobereitschaft berücksichtigt werden. Partner, die mit sensiblen Informationen umgehen, verdienen genauere Überprüfung und regelmäßige Evaluierung.

    • Effektive Sicherheit erfordert Transparenz. Reife Organisationen teilen bereitwillig Richtlinien, Rahmenwerke für die Vorfallreaktion und Verfahren zum Schwachstellenmanagement.

Q&A Highlights

  • Warum sind Attestations kein verlässliches Maß für die Sicherheitsreife?

    Weil sie nur beweisen, dass erforderliche Kontrollen existieren, nicht dass sie funktionieren. Wahre Sicherheitsreife beinhaltet laufende Validierung, Überwachung und Reaktionsfähigkeit auf Bedrohungen.

  • Was ist ein häufiger Fehler, wenn man sich ausschließlich auf Compliance-Checks verlässt?

    Organisationen könnten Werkzeuge einsetzen, nur um das Minimum zu erfüllen. Zum Beispiel könnte ein IDS installiert sein, aber nicht tatsächlich konfiguriert sein, um Bedrohungen zu erkennen oder darauf aufmerksam zu machen.

  • Was sollten Sie über Attestierungen hinaus prüfen, wenn Sie einen Vendor bewerten?

    Untersuchen Sie immer den vollständigen Befundbericht (nicht nur die Zusammenfassung), fragen Sie nach jährlichen Penetrationstests und fordern Sie Zugang zu wichtigen Sicherheitsdokumentationen an.

  • Wie kann Third-Party-Testing ein Security-Programm verbessern?

    Penetrationstests simulieren Angriffe aus der realen Welt und decken Schwachstellen auf, die Compliance-Audits übersehen. Dies stellt sicher, dass die Abwehrmaßnahmen wie vorgesehen funktionieren.

  • Was definiert ein ausgereiftes Cloud Security Programm?

    Ein ausgewogener Ansatz, der Bescheinigungen, kontinuierliche Überwachung, Datenschutzstrategien, Bereitschaft zur Reaktion auf Vorfälle und proaktives Schwachstellenmanagement kombiniert.

  • Wie sollten Sie die Sicherheitslage der Anbieter beurteilen?

    Bewerten Sie basierend auf der Sensibilität der Daten, auf die sie zugreifen—Anbieter, die Kundendaten verarbeiten, sollten höhere Sicherheitsstandards erfüllen und regelmäßigen Überprüfungen unterzogen werden.

Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gern ich auch auf einen Aspekt meines Sicherheitsperimeters als Beispiel verweisen würde, gibt es mehrere Punkte, die hervorgehoben werden sollten.

Attestations messen nicht immer Ihre defensive Haltung

Eine Bescheinigung, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Fall der Sicherheit, speziell Sicherheitsprogramme, bedeutet es, in offizieller Funktion zu zertifizieren.

Oft fragen mich Leute, was ein gutes Sicherheitsprogramm ausmacht. So sehr ich auch einen Aspekt meines Sicherheitsumfelds als Beispiel hervorheben möchte, es gibt mehrere Punkte, die erwähnt werden sollten. Die Branche verlässt sich auf Bescheinigungen und Zertifikationen, um Ihre Sicherheitsabwehr zu messen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächliches Sicherheitsumfeld und Ihre Bedrohungsbewertungsfähigkeiten Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, es sind sowohl die Einhaltungszertifikate als Maßstab als auch die operativen Fähigkeiten Ihres Sicherheitsteams, die Ihr Programm definieren. Obwohl Bescheinigungen allein kein genauer Maßstab sind, um ein Programm zu bewerten.

Bescheinigungen sind eine Branchennotwendigkeit, um die Einhaltung von bundesstaatlichen, lokalen und staatlichen Gesetzen sowie branchenüblichen Standards zu gewährleisten. ISO-, NIST- oder DoD-Standards bilden die Grundlage der meisten Bescheinigungen. NIST beispielsweise, veröffentlicht eine Reihe von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Sicherheitsbarrieren zu errichten, die der Regierung „akzeptabel“ sind. Wie ich jedoch darlegen werde, bedeutet das nicht, dass die Umsetzung immer hervorragend ist, nur weil die Standards festgelegt sind.

Eine Bescheinigung, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Fall der Sicherheit, speziell Sicherheitsprogramme, bedeutet es, in offizieller Funktion zu zertifizieren.

Oft fragen mich Leute, was ein gutes Sicherheitsprogramm ausmacht. So sehr ich auch einen Aspekt meines Sicherheitsumfelds als Beispiel hervorheben möchte, es gibt mehrere Punkte, die erwähnt werden sollten. Die Branche verlässt sich auf Bescheinigungen und Zertifikationen, um Ihre Sicherheitsabwehr zu messen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächliches Sicherheitsumfeld und Ihre Bedrohungsbewertungsfähigkeiten Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, es sind sowohl die Einhaltungszertifikate als Maßstab als auch die operativen Fähigkeiten Ihres Sicherheitsteams, die Ihr Programm definieren. Obwohl Bescheinigungen allein kein genauer Maßstab sind, um ein Programm zu bewerten.

Bescheinigungen sind eine Branchennotwendigkeit, um die Einhaltung von bundesstaatlichen, lokalen und staatlichen Gesetzen sowie branchenüblichen Standards zu gewährleisten. ISO-, NIST- oder DoD-Standards bilden die Grundlage der meisten Bescheinigungen. NIST beispielsweise, veröffentlicht eine Reihe von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Sicherheitsbarrieren zu errichten, die der Regierung „akzeptabel“ sind. Wie ich jedoch darlegen werde, bedeutet das nicht, dass die Umsetzung immer hervorragend ist, nur weil die Standards festgelegt sind.

Eine Bescheinigung, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Fall der Sicherheit, speziell Sicherheitsprogramme, bedeutet es, in offizieller Funktion zu zertifizieren.

Oft fragen mich Leute, was ein gutes Sicherheitsprogramm ausmacht. So sehr ich auch einen Aspekt meines Sicherheitsumfelds als Beispiel hervorheben möchte, es gibt mehrere Punkte, die erwähnt werden sollten. Die Branche verlässt sich auf Bescheinigungen und Zertifikationen, um Ihre Sicherheitsabwehr zu messen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächliches Sicherheitsumfeld und Ihre Bedrohungsbewertungsfähigkeiten Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, es sind sowohl die Einhaltungszertifikate als Maßstab als auch die operativen Fähigkeiten Ihres Sicherheitsteams, die Ihr Programm definieren. Obwohl Bescheinigungen allein kein genauer Maßstab sind, um ein Programm zu bewerten.

Bescheinigungen sind eine Branchennotwendigkeit, um die Einhaltung von bundesstaatlichen, lokalen und staatlichen Gesetzen sowie branchenüblichen Standards zu gewährleisten. ISO-, NIST- oder DoD-Standards bilden die Grundlage der meisten Bescheinigungen. NIST beispielsweise, veröffentlicht eine Reihe von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Sicherheitsbarrieren zu errichten, die der Regierung „akzeptabel“ sind. Wie ich jedoch darlegen werde, bedeutet das nicht, dass die Umsetzung immer hervorragend ist, nur weil die Standards festgelegt sind.

Die Einführung eines Tools bedeutet nicht, dass es einen Wert bietet

Kontrollen ermöglichen Flexibilität bei der Implementierung, operationalem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, ohne dass echte Verteidigungsmaßnahmen vorhanden sind.

Ein gutes Beispiel für dieses Problem sind Eindringungserkennungs-/schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme, anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Eindringungserkennungssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“, und es wurden sogar Beispiele für den Verkehr gegeben. Als ich tiefer in die Telemetrie eintauchte, die das Tool bereitstellte, stellte ich fest, dass der Verkehr überhaupt nicht analysiert wurde. Vielmehr passierte der Verkehr den Sensor, da er nicht so konfiguriert war, dass er irgendeinen Verkehr erfassen oder überhaupt Warnungen ausgeben konnte. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Abgang nie aktualisiert. Das Tool saß im Grunde monatelang untätig, ohne dass jemand eingriff. Dies setzt das Unternehmen nicht nur einem Risiko aus, sondern gefährdet auch die Außengrenze.

Ein versierter Prüfer hätte das Problem nicht erkannt, da die Bescheinigungen nicht nach „betrieblichen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Bescheinigungen einfach nur, ob das Tool existiert, nicht die Betriebsfähigkeit. Darüber hinaus sind die meisten Prüfer nicht technisch genug, um ein funktionales IDS/IPS von einem nicht-funktionalen zu unterscheiden. Der Hauptteil der Prüfung beruht darauf, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Prüfer müssen bei einer Prüfung auch eine Vielzahl von Kontrollen abdecken, daher ist die Zeit ein wesentlicher Faktor für die Qualität ihrer Analyse.

Eine Bescheinigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Wenn Sie einen potenziellen Partner auffordern, einen Lieferantenfragebogen auszufüllen, wird Ihnen das ebenfalls kein Vertrauen geben. Fragebögen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Kontrollen ermöglichen Flexibilität bei der Implementierung, operationalem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, ohne dass echte Verteidigungsmaßnahmen vorhanden sind.

Ein gutes Beispiel für dieses Problem sind Eindringungserkennungs-/schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme, anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Eindringungserkennungssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“, und es wurden sogar Beispiele für den Verkehr gegeben. Als ich tiefer in die Telemetrie eintauchte, die das Tool bereitstellte, stellte ich fest, dass der Verkehr überhaupt nicht analysiert wurde. Vielmehr passierte der Verkehr den Sensor, da er nicht so konfiguriert war, dass er irgendeinen Verkehr erfassen oder überhaupt Warnungen ausgeben konnte. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Abgang nie aktualisiert. Das Tool saß im Grunde monatelang untätig, ohne dass jemand eingriff. Dies setzt das Unternehmen nicht nur einem Risiko aus, sondern gefährdet auch die Außengrenze.

Ein versierter Prüfer hätte das Problem nicht erkannt, da die Bescheinigungen nicht nach „betrieblichen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Bescheinigungen einfach nur, ob das Tool existiert, nicht die Betriebsfähigkeit. Darüber hinaus sind die meisten Prüfer nicht technisch genug, um ein funktionales IDS/IPS von einem nicht-funktionalen zu unterscheiden. Der Hauptteil der Prüfung beruht darauf, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Prüfer müssen bei einer Prüfung auch eine Vielzahl von Kontrollen abdecken, daher ist die Zeit ein wesentlicher Faktor für die Qualität ihrer Analyse.

Eine Bescheinigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Wenn Sie einen potenziellen Partner auffordern, einen Lieferantenfragebogen auszufüllen, wird Ihnen das ebenfalls kein Vertrauen geben. Fragebögen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Kontrollen ermöglichen Flexibilität bei der Implementierung, operationalem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, ohne dass echte Verteidigungsmaßnahmen vorhanden sind.

Ein gutes Beispiel für dieses Problem sind Eindringungserkennungs-/schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme, anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Eindringungserkennungssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“, und es wurden sogar Beispiele für den Verkehr gegeben. Als ich tiefer in die Telemetrie eintauchte, die das Tool bereitstellte, stellte ich fest, dass der Verkehr überhaupt nicht analysiert wurde. Vielmehr passierte der Verkehr den Sensor, da er nicht so konfiguriert war, dass er irgendeinen Verkehr erfassen oder überhaupt Warnungen ausgeben konnte. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Abgang nie aktualisiert. Das Tool saß im Grunde monatelang untätig, ohne dass jemand eingriff. Dies setzt das Unternehmen nicht nur einem Risiko aus, sondern gefährdet auch die Außengrenze.

Ein versierter Prüfer hätte das Problem nicht erkannt, da die Bescheinigungen nicht nach „betrieblichen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Bescheinigungen einfach nur, ob das Tool existiert, nicht die Betriebsfähigkeit. Darüber hinaus sind die meisten Prüfer nicht technisch genug, um ein funktionales IDS/IPS von einem nicht-funktionalen zu unterscheiden. Der Hauptteil der Prüfung beruht darauf, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Prüfer müssen bei einer Prüfung auch eine Vielzahl von Kontrollen abdecken, daher ist die Zeit ein wesentlicher Faktor für die Qualität ihrer Analyse.

Eine Bescheinigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Wenn Sie einen potenziellen Partner auffordern, einen Lieferantenfragebogen auszufüllen, wird Ihnen das ebenfalls kein Vertrauen geben. Fragebögen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Bewerten Sie das gesamte Cloud Security Program

Zuerst sollten Sie mindestens die Erklärungen und den Untersuchungsbericht überprüfen, nicht die Zusammenfassung. Das verschafft Ihnen einen Überblick über das Programm, das von Dritten geprüft wurde. Zusätzlich sollten umfassende Sicherheitsprogramme robuste Datenschutzstrategien wie Datenbank-Backup- und Wiederherstellungsverfahren beinhalten, um die Geschäftskontinuität und Datenintegrität bei Sicherheitsvorfällen sicherzustellen. Zweitens sollten Sie auf jeden Fall überprüfen, ob das Unternehmen einen Penetrationstest oder ein Bug-Bounty-Programm von Dritten durchführt. Persönlich bin ich kein Fan von Bug-Bountys, aber ein Fan von jährlichen Penetrationstests durch Dritte. Penetrationstests bieten Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (gewöhnlich Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Implementierung nutzt, überprüfen. Dazu gehören unter anderem eine Sicherheitspolitik, ein Reaktionsplan auf Vorfälle und ein Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte im normalen Geschäftsverkehr zu teilen.

Ich mache es zur Selbstverständlichkeit, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer strengeren Prüfung als ein Anbieter, der dies nicht tut. Beachten Sie den Geschäftszweck, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall fragen Sie immer nach weiteren Informationen.

Zuerst sollten Sie mindestens die Erklärungen und den Untersuchungsbericht überprüfen, nicht die Zusammenfassung. Das verschafft Ihnen einen Überblick über das Programm, das von Dritten geprüft wurde. Zusätzlich sollten umfassende Sicherheitsprogramme robuste Datenschutzstrategien wie Datenbank-Backup- und Wiederherstellungsverfahren beinhalten, um die Geschäftskontinuität und Datenintegrität bei Sicherheitsvorfällen sicherzustellen. Zweitens sollten Sie auf jeden Fall überprüfen, ob das Unternehmen einen Penetrationstest oder ein Bug-Bounty-Programm von Dritten durchführt. Persönlich bin ich kein Fan von Bug-Bountys, aber ein Fan von jährlichen Penetrationstests durch Dritte. Penetrationstests bieten Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (gewöhnlich Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Implementierung nutzt, überprüfen. Dazu gehören unter anderem eine Sicherheitspolitik, ein Reaktionsplan auf Vorfälle und ein Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte im normalen Geschäftsverkehr zu teilen.

Ich mache es zur Selbstverständlichkeit, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer strengeren Prüfung als ein Anbieter, der dies nicht tut. Beachten Sie den Geschäftszweck, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall fragen Sie immer nach weiteren Informationen.

Zuerst sollten Sie mindestens die Erklärungen und den Untersuchungsbericht überprüfen, nicht die Zusammenfassung. Das verschafft Ihnen einen Überblick über das Programm, das von Dritten geprüft wurde. Zusätzlich sollten umfassende Sicherheitsprogramme robuste Datenschutzstrategien wie Datenbank-Backup- und Wiederherstellungsverfahren beinhalten, um die Geschäftskontinuität und Datenintegrität bei Sicherheitsvorfällen sicherzustellen. Zweitens sollten Sie auf jeden Fall überprüfen, ob das Unternehmen einen Penetrationstest oder ein Bug-Bounty-Programm von Dritten durchführt. Persönlich bin ich kein Fan von Bug-Bountys, aber ein Fan von jährlichen Penetrationstests durch Dritte. Penetrationstests bieten Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (gewöhnlich Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Implementierung nutzt, überprüfen. Dazu gehören unter anderem eine Sicherheitspolitik, ein Reaktionsplan auf Vorfälle und ein Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte im normalen Geschäftsverkehr zu teilen.

Ich mache es zur Selbstverständlichkeit, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer strengeren Prüfung als ein Anbieter, der dies nicht tut. Beachten Sie den Geschäftszweck, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall fragen Sie immer nach weiteren Informationen.

Andere Neuigkeiten

Mehr lesen aus dieser Kategorie

A person is standing at a desk while typing on a laptop.

Die komplette AI-native Plattform, die mit Ihrem Business skalierbar ist.

Kontaktieren Sie den Vertrieb

Kostenlos starten

© 2025 Bird

Support kontaktieren

A person is standing at a desk while typing on a laptop.

Die komplette AI-native Plattform, die mit Ihrem Business skalierbar ist.

Kontaktieren Sie den Vertrieb

Kostenlos starten

© 2025 Bird

Support kontaktieren

A person is standing at a desk while typing on a laptop.

Die komplette AI-native Plattform, die mit Ihrem Business skalierbar ist.

Kontaktieren Sie den Vertrieb

Kostenlos starten

© 2025 Bird

Support kontaktieren