Sicherheitskonzept von Flipster Exchange: Fragen und Antworten zu Sicherheitszertifizierungen, Bug-Bounty-Programmen und Benutzerschutz

Inmitten eines volatilen und sich ständig verändernden Kryptomarktes sehen sich Kryptobörsen einem mächtigen Gegner gegenüber, der entschlossen ist, Nutzerdaten und -gelder zu kompromittieren. Diese Woche führten wir ein exklusives Interview mit Justin Hong, dem Chief Information Security Officer (CISO) von Flipster. Hong erläuterte, wie sich die Kryptohandelsplattform durch Zertifizierungen, Produktinnovationen und Echtzeit-Bedrohungsabwehr schützt.

Laut Hong Flipster allein in diesem Jahr über 15 Sicherheitsupdates auf Produktebene veröffentlicht. Diese Updates, zusammen mit der ISO/IEC 27001-Zertifizierung und dem „AA“-Rating von CER.live, gewährleisten den Nutzern eine sichere Handelsumgebung.

Arbeiten bei Flipster

F: Hallo Justin, bitte erzählen Sie uns etwas über sich selbst, Ihre Rolle als Chief Information Security Officer und warum diese für Web3-Unternehmen so wichtig ist. 

A: Ich bin seit 16 Jahren im Bereich Cybersicherheit tätig und verfüge über Erfahrung in den Bereichen Bankwesen, Fintech und Blockchain. Jeder dieser Bereiche birgt seine eigenen Herausforderungen, und gemeinsam haben sie meine Herangehensweise an Sicherheit geprägt, insbesondere im Web3, wo die Risiken besonders hoch sind. Das hier vorhandene Risiko ist im traditionellen Finanzwesen völlig anders. Es gibt mehr Kontrolle für die Nutzer, mehr Innovationen und leider auch mehr Aufmerksamkeit von Cyberkriminellen.

Bei Flipster leite ich den globalen Sicherheitsbereich, der von Risikomanagement und Compliance über die Reaktiondent bis hin zur Integration internationaler Rahmenwerke wie ISO/IEC 27001 in unsere Abläufe alles umfasst. Die Kryptowelt entwickelt sich rasant, und Bedrohungen verändern sich ebenso schnell. Wir entwickeln unsere Lösungen stets mit Blick auf die Zukunft – wir denken vorausschauend und reagieren nicht nur.

F: Wie ist es, bei Flipster in der schnelllebigen und risikoreichen Welt der Krypto-Handelsplattformen zu arbeiten?

A: Es steht viel auf dem Spiel, und genau das macht die Arbeit so lohnend. Sicherheit in diesem Bereich ist nicht passiv. Man hat es mit einigen der kreativsten und entschlossensten Gegnern der Technologiebranche zu tun. Das hält einen auf Trab und zwingt einen, sich ständig weiterzuentwickeln.

Was Flipster auszeichnet, ist der starke Teamgeist. Unsere Mission ist klar: Wir wollen eine sichere und zuverlässige Handelsplattform entwickeln, auf die sich unsere Nutzer verlassen können. Dieser Fokus spiegelt sich in unserer Arbeitsweise wider – enge Zusammenarbeit, schnelle Feedbackschleifen und kontinuierliches Testen. 

F: Wie defiSie Vertrauen bei Flipster, und wie arbeitet Ihr Team daran, es aufzubauen und zu erhalten?

A: Vertrauen entsteht mit der Zeit durch Beständigkeit – durch Transparenz, Klarheit und Verantwortlichkeit. Wir kommunizieren, wie wir Risiken managen, Kundengelder schützen und aufdentreagieren. Wenn etwas schiefgeht, haben die Nutzer ein Recht darauf zu erfahren, was passiert ist und wie das Problem behoben wird.

Im Backend setzen wir auf ein Zero-Trust-Modell. Jedes System und jeder Benutzer wird – intern wie extern – mit der gleichen Sorgfalt behandelt. Diese Herangehensweise hilft uns, Phishing-Angriffen und anderen Insider-Risiken einen Schritt voraus zu sein. Sicherheit darf jedoch nicht auf Kosten der Benutzerfreundlichkeit gehen. Wir optimieren daher kontinuierlich unsere Funktionen, um die Sicherheit zu erhöhen und die Bedienung intuitiver zu gestalten. Wenn beides optimal zusammenwirkt, müssen Benutzer nicht zwischen Sicherheit und Benutzerfreundlichkeit wählen.

Flipsters ISO/IEC 27001- und CER.live-Zertifizierung

F: Kryptoplattformen entwickeln sich zu einem Brennpunkt fürdent, die in den meisten Fällen zu erheblichen Geldverlusten führen. Sind Sie während Ihrer Tätigkeit bei Flipster mit einem solchen Angriffsversuch in Berührung gekommen, und wie haben Sie ihn eingedämmt?

A: Wir haben schondentVorfälle erlebt – DDoS-Angriffe, Phishing-Kampagnen und Identitätsdiebstahl, um nur einige zu nennen. Diese Bedrohungen sind real und allgegenwärtig.

Nehmen wir beispielsweise DDoS-Angriffe. Angreifer haben versucht, unsere Plattform zu stören und sogar Ransomware zu erpressen. Wir verfügen jedoch über integrierte Erkennungs- und Abwehrmechanismen auf allen Ebenen, und unsere Reaktionsteams sind darauf geschult, schnell zu handeln. Bei Phishing-Angriffen geben sich Angreifer als Bewerber oder Partner aus, um unser Team zum Öffnen schädlicher Dateien zu verleiten. Unsere Systeme sind darauf ausgelegt, diese Bedrohungen schnell zu erkennen, und wir führen im Anschluss an jeden Vorfall einedent Analyse durch, um unsere Abwehrmaßnahmen weiter zu verbessern.

F: Flipster hat kürzlich von CER.live die AA-Zertifizierung erhalten. Was beinhaltet diese Zertifizierung und was bedeutet sie für die Nutzer?

A: Seit 2018bewertet CER.live Hunderte von Börsen anhand einer strengen Methodik, die auf über 18 Sicherheitsindikatoren basiert. Es ist einer der vertrauenswürdigsten unabhängigendent in diesem Bereich.

Für Nutzer ist diese Zertifizierung ein klares Signal. Sie bestätigt, dass eine unabhängige Stelle unsere Plattform geprüft und die Qualität unserer Sicherheitsmaßnahmen bestätigt hat. Zusammen mit unserer ISO/IEC 27001-Zertifizierung ergibt sich so das Bild eines Unternehmens, das Vertrauen ernst nimmt – nicht nur in seine Aussagen, sondern auch in sein Handeln.

F: Welche wichtigen Sicherheitspraktiken oder -protokolle hat Flipster neben der CER.live-Zertifizierung in letzter Zeit implementiert, über die Benutzer Bescheid wissen sollten?

A: Wir haben dieses Jahr über 15 Sicherheitsfunktionen auf Produktebene eingeführt. Zu den wichtigsten Verbesserungen gehören die Unterstützung von Passkeys, Auszahlungssperren und die Whitelist-Funktion für Adressen. Jede dieser Funktionen bietet Nutzern mehr Kontrolle und eine zusätzliche Schutzebene.

Ich empfehle grundsätzlich, sowohl Passkeys als auch das Adressbuch für Auszahlungen zu aktivieren. Diese einfachen Schritte machen einen großen Unterschied. Wir entwickeln außerdem neue Geräteverwaltungstools, mit denen Nutzer die Geräte, die auf ihre Konten zugreifen, tracund verwalten können – eine weitere Möglichkeit, wie wir ihnen helfen, die Kontrolle zu behalten.

F: Einige Plattformen haben von CER.live die AAA-Bewertung erhalten. Ist das auch ein Ziel für Flipster? An welchen Sicherheitsmaßnahmen arbeiten Sie, um dieses Ziel zu erreichen?

A: Wir haben das Thema im Blick und machen stetige Fortschritte. Aktuell konzentrieren wir uns darauf, den Serverschutz zu verstärken, Anti-Phishing-Tools einzuführen und Nutzern durch verbesserte Geräteverwaltungsfunktionen mehr Kontrolle zu geben.

Letztendlich geht es uns nicht um Auszeichnungen, sondern darum, die Plattform für unsere Nutzer tatsächlich zu verbessern. Wenn etwas echten Mehrwert bietet und unsere Sicherheitsvorkehrungen stärkt, setzen wir es um. Die AAA-Bewertung ist ein Meilenstein, nicht das Ziel.

Bug-Bounty-Programm und weitere Sicherheitsfunktionen

F: Wie stellt Flipster sicher, dass White-Hat-Hacker auf eine Weise incentiviert werden, die mit den langfristigen Vertrauens- und Transparenzzielen der Börse übereinstimmt?

A: Wir arbeiten mit Hackenproof an einem öffentlichen Bug-Bounty-Programm, das Forschern einen transparenten und vertrauenswürdigen Weg bietet, ihre Erkenntnisse mit uns zu teilen. Das Team von Hackenproof prüft die Einsendungen auf Relevanz und Qualität, und wir vergeben faire Belohnungen je nach Schweregrad des Fehlers.

Neben dem Aufspüren von Fehlern geht es darum, die globale Sicherheitsgemeinschaft in unsere Mission einzubinden. Wenn Forscher wissen, dass ihre Arbeit wertgeschätzt und umgesetzt wird, sind sie eher bereit, zurtrondes Ökosystems beizutragen. Davon profitieren alle.

F: Welchen Rat würden Sie als CISO und Vordenker in diesem Bereich anderen Unternehmen geben, die ihre Sicherheitsstandards verbessern möchten?

A: Zuerst müssen die Grundlagen stimmen. Die meisten Sicherheitslücken entstehen durch einfache Versäumnisse – fehlende Patches, offene Berechtigungen, schwache Zugriffskontrolle. Wenn Sie diese Punkte beachten, minimieren Sie Ihr Risiko erheblich.

Investieren Sie darüber hinaus in Ihre Mitarbeiter und Ihre Prozesse. Sie können über alle erdenklichen Tools verfügen, aber wenn Ihre Teams nicht geschult oder Ihredent nicht getestet sind, sind Sie angreifbar. Schaffen Sie eine Kultur, in der Sicherheit die Aufgabe aller ist, nicht nur die des CISO. Dieser Mentalitätswandel braucht Zeit, aber er ist jede Mühe wert.

F: Schließlich sind auch Social-Engineering-Angriffe in diesem Bereich weit verbreitet. Welche Maßnahmen haben Sie ergriffen, um die Nutzer zu schützen bzw. sie über Versuche, ihre Konten zu kompromittieren, zu informieren?

A: Wir unterteilen Social Engineering in zwei Kategorien: Kontoübernahmen und betrügerische Überweisungen. Zunächst haben wirtronSchutzmechanismen wie Passwörter, Zwei-Faktor-Authentifizierung, Echtzeit-Anmeldebenachrichtigungen und die Whitelist von Adressen implementiert. In Kürze werden wir auch die Geräteverwaltung hinzufügen.

Nutzerschulungen spielen eine entscheidende Rolle bei der Betrugsprävention. Wir stellen regelmäßig Sicherheitsupdates bereit und entwickeln Tools, die verdächtige oder bekannte Betrugsadressen kennzeichnen. Unser Ziel ist es, Nutzern das nötige Wissen und die passenden Werkzeuge für ihre Sicherheit zu vermitteln. Ein gut informierter Nutzer ist einer der besten Schutzmechanismen.