Tag: integrale sicherheit

03/2019

Weiss das nicht jeder Angestellte? Führungskräfte müssen sich rüsten.

 

Trotz ihrer hochrangigen Positionen sind die Führungskräfte Berichten zufolge das schwache Glied in der Cybersicherheitskette von Unternehmen. Ein neuer Bericht von The Bunker zeigt, dass Cyberkriminelle oft auf diese bekannte Schwachstelle abzielen.

Ein kürzlich veröffentlichtes Whitepaper mit dem Titel Are You The Weakest Link? Wie Senior Executives vermeiden können, die Cybersicherheitskette zu zerreissen, kam zu dem Schluss, dass die Verantwortlichen an der Spitze ein wenig der Grandiosität schuldig sind. Sie ignorieren Cybersicherheitsbedrohungen und -richtlinien unter der fehlgeleiteten Annahme, dass die Regeln nicht für ihre einzigartigen Positionen gelten

“Professionelle Hacker und Gegner werden in der Regel eine gründliche Untersuchung eines leitenden Angestellten oder Vorstandsmitglieds durchführen, einschliesslich einer vollständigen Analyse, die eine eingehende Überwachung der Unternehmenswebsite und der damit verbundenen Social Media Accounts beinhalten könnte", sagte der Bericht. Die meisten Führungskräfte machen die gleichen fünf Fehler, so der Bericht. Führungskräfte erkennen nicht, dass sie Hauptziele für Cyberkriminelle sind, was möglicherweise darauf zurückzuführen ist, dass sie Cybersicherheit als eine IT-Verantwortung betrachten, die nichts mit ihren Führungspositionen zu tun hat

In Wirklichkeit aber heisst es in dem Bericht: "Die IT-Sicherheit ist inzwischen zum Aufgabengebiet aller Menschen geworden, insbesondere derjenigen in den höchsten Positionen jeder Abteilung. Die Führungskräfte müssen die Verantwortung für die besten Praktiken der IT-Sicherheit in ihrem täglichen Verhalten übernehmen". Ein weiterer häufiger Fehler unter den Führungskräften ist, dass sie glauben, dass Cybersicherheitsbedrohungen Angriffe sind, die dem Unternehmen von einem externen bösartigen Akteur passieren, anstatt das Ergebnis von internen Bedrohungen oder Vorfällen zu sein

Viele Top-Führungskräfte glauben Berichten zufolge auch, dass ein Cloud-Anbieter für die Sicherung und Sicherheit aller Informationen verantwortlich ist, obwohl sie Cloud gehostete E-Mails nicht sicher nutzen können. Cyberkriminelle wissen jedoch, dass Top-Führungskräfte oft privilegierten Zugang zu Unternehmensinformationen haben, so dass Hacker bewusst auf ihre persönlichen Accounts abzielen.

"Die Überprüfung der Unternehmensrichtlinien, mit Fokus auf Menschen, Räumlichkeiten, Prozessen, Systemen und Lieferanten, wird wertvolle Einblicke in die zu verbessernden Bereiche liefern. Durch die Förderung einer "Security First"-Kultur sind Unternehmen und ihre Führungskräfte gut positioniert, um die hohen finanziellen Kosten, Reputationsschäden und unerwarteten Ausfallzeiten zu vermeiden, die sich aus einem Cyberangriff oder Datenverlust ergeben könnten", sagte Phil Bindley, Managing Director bei The Bunker.

 

Infosec-magazine.com; Kacy Zurkus; 01.02.2019

https://www.infosecurity-magazine.com/news/execs-remain-weak-link-in/

03/2019

Das Letzte, was ein Unternehmen braucht, ist ein Schwarm von Mythen und Missverständnissen.

 

Cybersicherheit spielt eine integrale Rolle im Bereich guter Geschäftsmodelle. Es wäre schwer für Sie, auf ein Unternehmen zu stossen, das keine Cybersicherheitspolitik als Teil seiner Infrastruktur hat. Aber auch Cybersicherheitsprogramme, die mit guten Absichten gebaut wurden, können nicht ausreichen. Warum? Die besten Absichten basieren oft auf einer Reihe von Mythen, die durch eine Kombination aus Misstrauen, Missverständnissen und Informationsmangel verewigt werden. Dies sind die Mythen der Cybersicherheit, und ich werde einige der häufigsten, die in der gesamten Technologiebranche zu finden sind, aufschlüsseln.

Mythos 1: Sie sind zu klein, um angegriffen zu werden.

Sie lesen ständig über Datenschutzverletzungen. Grosse Unternehmen erleiden Penetrationsangriffe mit Millionen von betroffenen Benutzerdaten, die durch die nebulöse Welt der Hacker gefährdet werden. "Nun," denkst du, "das wird meinem Geschäft nie passieren, es gibt nicht genug Werte, wir sind zu klein." Und das ist einfach falsch. Im Jahr 2016 wurden 43% aller Cyberangriffe gegen kleine und mittlere Unternehmen durchgeführt. Dies ist ein wachsender Trend, da Malware und bösartige Angriffe sowohl in ihrer Komplexität als auch in ihrer Häufigkeit zunehmen. Sie sind genauso wahrscheinlich ein Ziel wie ein Grossunternehmen, also glauben Sie nicht an diese Denkweise.

 

Mythos 2: Passwörter sind ausreichend gut.

Der Untergang jeder Sicherheitspolitik ist die träge "set it and forget it"-Mentalität. Diesen lethargischen Ansatz zu pflegen, ist die Übernahme komplexer Passwörter und der Glaube, dass sie gut genug sind. Sie lassen Ihre Mitarbeiter sich einen 12-stelligen Login-Phrase mit Sonderzeichen, Grossbuchstaben und Zahlen merken? Das muss reichen!

Das ist es nicht, denn eine Mischung aus Social Engineering und komplexen Malware-Angriffen kann sie mit alarmierender Leichtigkeit umgehen. Die plattformübergreifende Wiederverwendung von Passwörtern macht Sie abhängig von der Sicherheit anderer Unternehmen, bei denen ein Verstoss gegen ihre Passwortdatenbank ein Risiko für Konten auf Ihren Systemen darstellt. Böswillige Drittanbieter setzen eine Vielzahl von Bots und Auto-Angriffen ein, um ihren Vorgang zu beschleunigen, und ohne Zwei-Faktor-Authentifizierung und eine Verschlüsselungsstufe (insbesondere in gefährdeten öffentlichen Netzwerken) reicht ein Passwort in der heutigen gefährlichen Cyberwelt einfach nicht mehr aus.

Mythos 3: Antivirus reicht

Ähnlich wie bei der Passwort-Philosophie "set it and forget it" gilt dies auch für Ihr Antiviren-Setup. Es ist verlockend zu glauben, dass die ausgefallene Software, in die Ihr Unternehmen so viel Kapital investiert hat, jeden einzelnen Angreifer blockieren wird, aber auch das ist nicht wahr. Antivirus ist von grundlegender Bedeutung, aber gute Cybersicherheit erfordert ein rigoroses Programm, das Schutz, Erkennung und Reaktionsvorbereitung sowie sichere Praktiken für das Nutzerverhalten umfasst.

Mythos 4: Das ist für die IT-Abteilung

Computer sind nicht einfach, also lassen Sie die IT alles regeln, richtig? Auch das ist eine dumme Art, die Cybersicherheit zu betrachten. Einige Unternehmen haben nicht das nötige Kapital, um erfahrene Mitarbeiter einzustellen. Und selbst mit einem guten IT-Team sind die Mitarbeiter in ihren Fähigkeiten begrenzt. Wenn Sie von Ihrem IT-Team erwarten, dass es jedes einzelne technische Problem bewältigt, vom Zurücksetzen der Anmeldungen über das Verwalten der Netzwerkinfrastruktur bis hin zum Umgang mit potenziellen Eindringlingen, dann fordern Sie Probleme raus. Jeder Mitarbeiter sollte mit guten Cybersicherheitspraktiken vertraut sein.

Mythos 5: BYOD ist sicher

Eine BYOD-Richtlinie (bring your own device) ist zwar beliebt und kostengünstig, stellt aber einen völlig anderen Risikofaktor für ein Unternehmen dar. Die Annahme, dass Smartphones und mobile Geräte, die von Mitarbeitern mitgebracht werden, sicher sind, ist ein schwerer Fehler. Apps mit personenbezogenen Daten, Logins und geschäftsbezogenen Informationen sind leicht zu kompromittieren, und jedes unsichere Gerät ist nur eine weitere potenzielle Lücke in Ihrer Cybersicherheitsgrundlage. Es ist wichtig, dass die Mitarbeiter strenge Richtlinien befolgen, wenn sie ihre eigene Hardware verwenden.

Mythos 6: Absolute Sicherheit ist möglich

Der ewige Kampf der Cybersicherheit ist die ständige Notwendigkeit, sich an neue Bedrohungen anzupassen. Während die Sicherheitsteams Strategien und Taktiken anpassen, um diesen Bedrohungen zu begegnen, entwickeln sich Angriffe weiter, um den Veränderungen zu begegnen. Es ist ein ständiges Schlachtfeld, was bedeutet, dass eine vollständige Sicherheit unmöglich zu erreichen ist. Ein Unternehmen sollte immer mit einer Art Cyberangriff rechnen und über Backup-, Vorfall- und Krisenvorsorge- sowie Disaster Recovery-Massnahmen (BCM) verfügen. Sie können bösartige Bedrohungen nur proaktiv bekämpfen, nicht aber in ihrer Gesamtheit.

Mythos 7: Analysen und Tests sind nicht nötig

Ich konnte mir keinen katastrophaleren Ansatz für einen Cybersicherheitsplan vorstellen. Dies ist wie das Arbeiten an einer Hausarbeit und das Einreichen ohne Korrekturen, Änderungen oder zusätzliche Augen. Sie können nicht vernünftigerweise erwarten, dass Ihre aktuellen Cybersicherheitspläne narrensicher sind, ohne Bewertungen und Penetrationstests durchzuführen. Diese Selbsteinschätzungen sind von unschätzbarem Wert und zeigen, wo Sie am schwächsten und am stärksten sind.

Mythos 8: Bedrohungen kommen nur von aussen

Kompetente Sicherheit erfordert einen ebenso strengen Blick auf interne Mitarbeiter und Richtlinien wie die verschiedenen Angriffe von Dritten. Denn - ob durch menschliches Versagen oder böswillige Absicht - Cybersicherheitsrisiken entstehen sowohl im eigenen Unternehmen als auch ausserhalb. Auch mehr ist gefährdet, wenn man bedenkt, dass die Mitarbeiter der Weg zu den sensibelsten Informationen sind.

 

Darkreading.com; Brian Engle; 31.01.2019
https://www.darkreading.com/vulnerabilities---threats/8-cybersecurity-myths-debunked/a/d-id/1333746

 

03/2019

Kommt er und wenn ja, wann? Der Brexit und das DSG.

 

Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr? Nach dem Referendum im Vereinigten Königreich über den EU-Ausgang (Brexit) im Juni 2016 teilte die britische Regierung ihre Entscheidung zum Austritt aus der EU mit. Das Verfahren für den Austritt des Vereinigten Königreichs aus der Europäischen Union soll am 29. März 2019 abgeschlossen sein. Bis zu diesem Zeitpunkt bleibt das Vereinigte Königreich ein Mitgliedstaat der Europäischen Union. Übermittlung personenbezogener Daten ins Vereinigte Königreich oder nach Gibraltar Um Daten ins Ausland zu übermitteln, müssen die in Artikel 6 DSG genannten Bedingungen erfüllt sein.

Dieser Artikel sieht vor, dass Daten nur dann ins Ausland übermittelt werden dürfen, wenn das Bestimmungsland über Rechtsvorschriften verfügt, die ein angemessenes Datenschutzniveau vorsehen (Art. 6 Abs. 1 DSG) oder, in Ermangelung solcher Vorschriften, wenn das Schutzniveau durch andere Vorschriften oder Garantien gewährleistet wird (Art. 6 Abs. 2 lit. a und g DSG). Nach Artikel 31 Abs. 1 lit. d DSG kann der EDÖB grundsätzlich bestimmen, ob das Schutzniveau in einem Staat angemessen ist, so dass die gesamte Datenübermittlung an diesen Staat zulässig ist. Dies setzt insbesondere voraus, dass der Empfänger der Daten einem Gesetz untersteht, das ein mit dem schweizerischen Recht vergleichbares Datenschutzniveau bietet (Gewährleistung der Rechte der betroffenen Personen, Einhaltung der wichtigsten Datenschutzgrundsätze, unabhängige Aufsichtsbehörde).

Der EDÖB hat auf seiner Website eine Liste der Staaten publiziert, die diese Anforderungen erfüllen (Art. 7 VDSG). Die Liste wird laufend aktualisiert. Das Vereinigte Königreich und Gibraltar gehören derzeit zu den Ländern mit einem angemessenen Niveau, und der EDÖB hat derzeit keine Hinweise, die auf eine Änderung des Status’ auf dieser Liste deuten. Im Hinblick auf die rechtlichen Folgen des Brexit für den Schutz personenbezogener Daten nach dem 29. März 2019 hat die britische Behörde für den Schutz personenbezogener Daten (ICO) auf ihrer Website auch darauf hingewiesen, dass im Vereinigten Königreich ein hohes Mass an Schutz personenbezogener Daten gewährleistet sein wird. Sollte der EDÖB jedoch eine Änderung des Status’ des Vereinigten Königreichs oder Gibraltars auf seiner Staatenliste in Betracht ziehen, würde er die Unternehmen zu gegebener Zeit informieren, damit sie sich insbesondere durch die Verwendung von Standardverträgen vorbereiten können.

 

Edöb.admin.ch; 22.01.2019
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html

 

03/2019

Die Sphären überschneiden sich mehr und mehr. Kennen Sie Ihre physischen und Cyber-Infrastrukturen?

 

Mehr als jeder zehnte Verstoss gegen den Datenschutz beinhaltet laut einem aktuellen Bericht "körperliche Aktivitäten". Dazu gehört die Nutzung physischer Geräte zur Unterstützung eines Angriffs, aber auch von Hacks, bei denen es um den Einbruch in Hardware und Remote-Angriffe auf physische Infrastrukturen geht.

Die Statistik unterstreicht die Realitäten einer schrumpfenden Kluft zwischen physischen und Cyber-Infrastrukturen. Und, so die Meinung von Sicherheitsexperten, die Einzelpersonen, Unternehmen und Regierungen zwingen sollten, sowohl Cyber- als auch physische Sicherheitsmassnahmen zu kombinieren, sagen Experten.

"Wenn Ihr Türschloss, Ihr Einbruchalarm, Ihre Feuerlöschanlage computerisiert, vernetzt und im Internet ist, haben Sie keine andere Wahl, als sie zu integrieren", sagt Bruce Schneier, Sicherheitsexperte. "Integration geschieht, weil sich Computer in einen Raum bewegen, der nur physisch war."

Aber bei allen Vorteilen der Integration gibt es die Sicherheitsprobleme. Von Hoteltürkartensystemen über Überwachungskameras bis hin zu Kühl- und Heizsystemen sind alle diese Geräte offen für Schwachstellen und Hacking.

"Es gibt eine Erkenntnis bei vielen Unternehmen, dass dies eine sehr reale Bedrohung ist", sagte Ali Neal, Director of International Security Solutions bei Verizon. Industrie- und Fertigungsunternehmen, sagte er, suchen nach Möglichkeiten, Geräte zu isolieren und ihre Netzwerke zu segmentieren. Aber jeder, der Internet of Things-Geräte benutzt, hat ein Problem.

"Entwickler müssen sicherstellen, dass die Sicherheit von Anfang an berücksichtigt wird", sagte Neal. "Softwareplattformen müssen so konzipiert sein, dass diese Geräte von Anfang an sicher sind.”

Handeln Sie jetzt, bevor die Maschinen die Kontrolle übernehmen.

Laut der britischen Regierung wird Cyber heute als eine Bedrohung der Stufe eins angesehen. Aber die Sicherung von Systemen ist schwieriger als früher, warnte Mike Gillespie, Geschäftsführer der Sicherheitsberatung Advent IM und Referent auf der jüngsten International Security Expo in London.

Bis in die 90er Jahre befanden sich die meisten kritischen Infrastrukturen - einschliesslich Energie, Wasser und Verkehr - in den Händen weniger grosser, oft staatlich kontrollierter Unternehmen.

"Was wir sehen, ist, dass einige Systeme und die Automatisierung von Systemen eine Cyber-Bedrohung einführen", sagt Lyn Webb, Partner in der Sicherheitspraxis des Professional Services Unternehmens Deloitte.

Die Situation zwingt Unternehmen, einen anderen und stärker vernetzten Ansatz für ihre Sicherheit zu wählen. Wie Webb erklärt, stellen anfällige physische Sicherheitssysteme eine Bedrohung für die IT-Systemsicherheit dar. Aber schwache Cybersicherheit kann auch eine Bedrohung für die physische Infrastruktur eines Unternehmens - oder für seine Mitarbeiter - darstellen.

"In den letzten drei Jahren wurden wir von Firmen eingeladen, ihre physische Sicherheit zu überprüfen, wie z.B. Torwächter", sagte sie. "Aber wenn wir das Gespräch führen, geht es genauso oft um das Verhalten; einen entsperrten Laptop auf dem Schreibtisch oder das Passwort auf einer Notiz zu hinterlassen.... Sie brauchen eine Kultur, in der Cyber- und physische Sicherheit zusammenwirken."

Wie Webb betont, verfügen Sektoren wie Verteidigung, Öl und Gas sowie Energie und Finanzdienstleistungen eher über eine starke Unternehmenssicherheitskultur. Diese Kultur umfasst Informationssicherheit, aber auch Personalüberprüfung und Verhaltensüberwachung sowie eine stärkere Konzentration auf Insiderbedrohungen. Sie sind auch eher bereit, Mitarbeiter zu schulen, um risikoreiches Verhalten zu vermeiden, sowohl online als auch in der physischen Welt.

Aber wenn es um das Internet der Dinge geht, fühlen sich auch sicherheitsbewusste Unternehmen und Regierungen immer noch wohl. Unternehmen müssen die Vorteile der Konnektivität - einschliesslich verbesserter Betriebszeit, geringerer Betriebskosten und eines reichhaltigeren Informationsflusses - mit den Risiken der Online-Bereitstellung intelligenter Geräte in Einklang bringen.

Auf der International Security Expo in London räumte ein Hersteller von Sicherheitsausrüstung für die Luftfahrtindustrie - der nicht identifiziert werden wollte - ein, dass er bei seinen Produkten die Option der Ferndiagnose entfernt habe. Die Käufer waren der Meinung, dass die Sicherheitsrisiken die Vorteile überwiegen.

Ist Security-Regulierung die Lösung?

Für die meisten Geräte ist das Entfernen der Konnektivität jedoch keine Option. Stattdessen, wie Schneier vorschlägt, muss die Industrie die Sicherheit für angeschlossene Geräte verbessern. Wenn die Industrie nicht handelt, dann fordert Schneier die Regierungen auf, den Sektor zu regulieren.

Die Regulierung wird jedoch Zeit in Anspruch nehmen. Fürs Erste müssen Unternehmen handeln, um ihre eigene cyberphysikalische Sicherheit zu verbessern und sich erneut mit der Art der Ausrüstung zu befassen, die sie kaufen.

"Wenn der Standard darin besteht, alles zu verbinden, müssen Sie das, was Sie tun, kommerzialisieren", sagte David Atkinson, Gründer und CEO des britischen Spezialunternehmens Senseon. "Sie verbinden Geräte, die billig hergestellt und in Serie produziert werden. Die Überprüfung des Codes ist eines der ersten Dinge, die beim IoT durchgeführt werden. Es besteht die reale Gefahr einer Pandemie von Geräten mit sehr geringem Sicherheitsschutz."

Wenn Käufer auf mehr Sicherheit und besseren Datenschutz bei Geräten drängen, könnte die Industrie reagieren. Aber zumindest müssen sich CISOs und Technologieeinkäufer - insbesondere ausserhalb der IT - der Risiken bewusst sein, die von Geräten ausgehen, die nicht gesichert, gepatcht oder verwaltet werden können.

Zumindest sollten "riskante" Geräte von kritischen Systemen isoliert werden, unabhängig davon, ob es sich um eine Kundendatenbank eines Unternehmens oder um Bremsen und Motormanagementsysteme eines Automobils handelt. "Du musst wirklich über deine Sicherheitsentscheidungen nachdenken, und wie du das machen wirst, wenn es Hunderte von Millionen oder sogar Milliarden von Geräten gibt", warnte Atkinson. "Das ist die Herausforderung."

"Cybercontrols haben physische Auswirkungen", betont Marina Kidron, Direktorin für Bedrohungsinformationen bei Skybox Security. "Wenn diese Kontrollen beeinträchtigt werden, gilt das auch für die Sicherheit der Mitarbeiter und der Gemeinden. In kritischen Infrastrukturen müssen Cybersicherheit und physische Sicherheit Hand in Hand gehen. Die Leiter beider Programme müssen die Risiken kommunizieren - und ihre Reaktionen planen.”

Verschwimmen der Grenze zwischen APTs und den gewöhnlichen Cyberkriminellen

"Bedrohungsakteure haben in den letzten Jahren erhebliche Anstrengungen unternommen, um in OT-Umgebungen einzudringen, um die Organisation zu stören, zu beschädigen oder zu erpressen, und zwar in einer Schwere, die von Cyber-Kriegsführung bis hin zum einfachen Geld verdienen reicht", sagte Kidron. "Was sich geändert hat, ist, dass sich die Grenzen zwischen der Taktik des Nationalstaates, den APTs und den üblichen Cyberkriminellen verwischen. NotPetya war ein Paradebeispiel für einen nationalstaatlichen Bedrohungsakteur in der Kleidung von Ransomware, und es ist wahrscheinlich nicht das letzte Mal, dass wir von diesen Arten von Angriffen sehen werden."

Das ist keine Science Fiction: Neben Triton und Stuxnet wurden in den Jahren 2015 und 2016 auch die Stromnetze in der Ukraine angegriffen. Forscher behaupten, dass ausländische Mächte weiterhin Energiesysteme und andere kritische Infrastrukturen in den USA und ihren westlichen Verbündeten untersuchen. Und in vielen Fällen fehlt es privaten Unternehmen an der Widerstandsfähigkeit, den Ressourcen und der Erfahrung, um sich gegen einen nachhaltigen, nationalstaatlichen Angriff zu verteidigen.

Aber es gibt noch eine weitere Wendung in der Geschichte. Geräte, die Unternehmen - und Einzelpersonen - kaufen, um ihre Sicherheit zu verbessern, erweisen sich als unsicher. Es ist schon ein paar Jahre her, dass Forscher gezeigt haben, dass sie die Kontrolle über CCTV-Kameras übernehmen können. Aber Unternehmen investieren weiterhin in vernetzte Sicherheitshardware, ohne die Cyber-Risiken zu bewerten.

Hinzu kommen die Risiken von Eskalation und Ansteckung. IoT oder angeschlossene Systeme könnten isoliert betrachtet nicht die nationale Infrastruktur gefährden, aber sie können dies tun, wenn sie in Massen angegriffen werden. Ein angegriffener Mobilfunkbetreiber oder Geldautomatenbesitzer ist teuer und unangenehm, aber es ist keine systemische Bedrohung.

Wenn alle Banken angegriffen werden oder alle Mobilfunknetze, die eine bestimmte Hardware verwenden, offline genommen werden, dann werden die Auswirkungen dieses "Klassenbruchs" viel gravierender sein. Deshalb sind die Regierungen so besorgt über die elektrische Energie. Nur wenige moderne Systeme können ohne sie arbeiten, und wenn das Stromnetz einmal ausgefallen ist, ist es nur eine Frage der Zeit, bis andere Systeme - von der Telekommunikation über das Wasser bis hin zur Gesundheitsversorgung - ausfallen.

Sicherheits- und Strafverfolgungsbehörden beginnen gerade erst zu begreifen, wie ein Angriff auf eine Klasse von Low-Level-Verbindungsgeräten der Auslöser für eine viel tiefere Krise sein könnte.

 

Threatpost.com; Stephen Pritchard; 18.02.2019
https://threatpost.com/cyberattacks-physical-punch/141922/

 

03/2019

Echtes Verstehen ist unabdingbar. Jetzt müssen Sie auf Risiken und die Auswirkungen auf Ihr Unternehmen reagieren.

 

Bis vor kurzem erhielten die Chief Executive Officers (CEOs) Informationen und Berichte, die sie ermutigten, Informationen und Cybersicherheitsrisiken zu berücksichtigen. Nicht alle von ihnen verstanden es jedoch, auf diese Risiken und die Auswirkungen auf ihre Unternehmen zu reagieren. Ein gründliches Verständnis dessen, was passiert ist und warum es notwendig ist, die zugrunde liegenden Risiken richtig zu verstehen und darauf zu reagieren, ist für den CEO und alle Mitglieder des VR eines Unternehmens im heutigen globalen Geschäftsklima erforderlich. Ohne dieses Verständnis können Risikoanalysen und daraus resultierende Entscheidungen fehlerhaft sein, was dazu führt, dass Unternehmen ein grösseres Risiko eingehen als geplant.

Nach der Überprüfung der aktuellen Bedrohungslandschaft möchte ich besonders auf vier Bereiche der Informationssicherheit hinweisen, mit denen alle CEOs im täglichen Betrieb ihres Unternehmens vertraut sein müssen.

Risikomanagement

Cyberspace ist ein zunehmend attraktiveres Jagdrevier für Kriminelle, Aktivisten und Terroristen, die motiviert sind, Geld zu verdienen, aufzufallen, Störungen zu verursachen oder sogar Unternehmen und Regierungen durch Online-Angriffe zu Fall zu bringen. In den letzten Jahren haben wir gesehen, wie Cyberkriminelle ein höheres Mass an Zusammenarbeit untereinander demonstrierten und ein Mass an technischer Kompetenz, das viele grosse Unternehmen unerwartet überrascht hat.

CEOs müssen auf das Unvorhersehbare vorbereitet sein, damit sie die Widerstandsfähigkeit haben, unvorhergesehenen, schwerwiegenden Ereignissen standzuhalten. Cyberkriminalität, zusammen mit der Zunahme der Online-Ursachen (Hacktivismus), der Anstieg der Compliance-Kosten, um mit dem Anstieg der regulatorischen Anforderungen fertig zu werden, gepaart mit dem unerbittlichen Fortschritt der Technologie vor dem Hintergrund, dass zu wenig in Sicherheitsabteilungen investiert wird, kann alles zusammen den perfekten Bedrohungssturm verursachen. Unternehmen, die herausfinden, worauf das Unternehmen am meisten angewiesen ist, sind gut positioniert, um den Business Case zu quantifizieren und in Resilienz zu investieren, wodurch die Auswirkungen unvorhergesehener Ereignisse minimiert werden.

Rufschädigung vermeiden

Angreifer sind organisierter geworden, Angriffe sind ausgefeilter geworden, und alle Bedrohungen sind gefährlicher und stellen mehr Risiken für den Ruf eines Unternehmens dar. Darüber hinaus haben sich die Markenreputation und die Vertrauensdynamik bei Lieferanten, Kunden und Partnern als sehr reale Ziele für den Cyberkriminellen und Hackaktivisten erwiesen. Angesichts der Geschwindigkeit und Komplexität der Bedrohungslandschaft, die sich täglich ändert, erleben wir allzu oft, dass Unternehmen zurückbleiben, manchmal als Folge von Reputations- und finanziellen Schäden.

CEOs müssen sicherstellen, dass sie auf diese ständig wachsenden Herausforderungen bestens vorbereitet sind, indem sie ihre Unternehmen besser für Angriffe auf ihren Ruf rüsten. Dies mag offensichtlich erscheinen, aber je schneller Sie auf diese Angriffe auf die Reputation reagieren können, desto besser sind Ihre Ergebnisse.

Die Lieferkette sichern

Wenn ich nach Schlüsselbereichen suche, in denen die Informationssicherheit möglicherweise fehlt, komme ich immer wieder auf die Lieferkette zurück. Lieferketten sind das Rückgrat der heutigen Weltwirtschaft, und Unternehmen sind zunehmend besorgt über das Management grösserer Lieferkettenstörungen. Zu Recht sollten sich CEOs Gedanken darüber machen, wie offen ihre Lieferketten für verschiedene Risikofaktoren sind. Unternehmen müssen sich jetzt auf die am stärksten gefährdeten Stellen in ihren Lieferketten konzentrieren. Die unglückliche Realität des heutigen komplexen globalen Marktes besteht darin, dass nicht jeder Sicherheitskompromiss im Voraus verhindert werden kann.

Proaktiv zu sein bedeutet jetzt auch, dass Sie - und Ihre Lieferanten - besser in der Lage sein werden, schnell und intelligent zu reagieren, wenn etwas passiert. In extremen, aber durchaus möglichen Szenarien kann diese Bereitschaft und Widerstandsfähigkeit Wettbewerbsfähigkeit, finanzielle Gesundheit, Aktienkurs oder sogar das Überleben des Unternehmens bestimmen.

Sensibilisierung der Mitarbeitenden und Verhaltensänderungen

Unternehmen investieren weiterhin stark in die "Entwicklung des Humankapitals". Keine Rede des CEOs oder kein Jahresbericht wäre vollständig, ohne seinen Wert zu verdeutlichen. Die implizite Idee dahinter ist, dass Bewusstsein und Training immer eine Art Wert liefern, ohne dass man es beweisen muss - die Zufriedenheit der Mitarbeiter wurde als ausreichend angesehen. Dies ist nicht mehr der Fall. Die heutigen CEOs fordern oft Return on Investment-Prognosen für die Projekte, zwischen denen sie wählen müssen, und Sensibilisierung und Training bilden da keine Ausnahme. Die Bewertung und Demonstration ihres Wertes wird zu einem unternehmerischen Gebot. Leider gibt es keinen einzigen Prozess oder keine Methode, um eine Änderung des Verhaltens der Informationssicherheit einzuführen, da Unternehmen in ihrer Demografie, ihren bisherigen Erfahrungen, Erfolgen und Zielen so unterschiedlich sind.

Während viele Unternehmen Compliance-Aktivitäten durchführen, die unter den allgemeinen Begriff "Sicherheitsbewusstsein" fallen, sollte der eigentliche kommerzielle Treiber das Risiko sein und wie neue Verhaltensweisen dieses Risiko reduzieren können. Die Zeit ist reif und die Chance, vom Bewusstsein zum konkreten Verhalten überzugehen, war noch nie so gross. CEOs sind zunehmend cybertauglich geworden, und Aufsichtsbehörden und Interessengruppen drängen kontinuierlich auf eine stärkere Governance, insbesondere im Bereich des Risikomanagements. Der Übergang zu einer Verhaltensänderung wird dem CISO die nötige Munition zur Verfügung stellen, um positive Antworten auf Fragen zu geben, die wahrscheinlich vom CEO und anderen Mitgliedern des Senior Management Teams gestellt werden.

Vermeiden möglicher Sicherheitsstolpersteine

Unternehmen jeder Art und Grösse agieren in einer zunehmend Cyber-fähigen Welt, und das traditionelle Risikomanagement ist nicht agil genug, um mit den Risiken aus Aktivitäten im Cyberspace umzugehen. Das Risikomanagement im Unternehmen muss erweitert werden, um Risikobeständigkeit zu schaffen, die auf einer Grundlage der Vorsorge basiert, die die Bedrohungsvektoren aus einer Position der Geschäftsakzeptanz und des Risikoprofils bewertet.

Unternehmen haben ein unterschiedliches Mass an Kontrolle über sich entwickelnde Sicherheitsbedrohungen, und da sich die Geschwindigkeit und Komplexität der Bedrohungslandschaft täglich ändert, sehe ich viel zu oft, wie Unternehmen zurückbleiben, manchmal im Zuge von Reputations- und finanziellen Schäden. CEOs müssen jetzt die Führung übernehmen und Bilanz ziehen, um sicherzustellen, dass ihre Unternehmen besser vorbereitet und engagiert sind, um mit diesen ständig wachsenden Herausforderungen umzugehen.

 

Infosecisland.com; Steve Durbin; 14.02.2019
http://infosecisland.com/blogview/25172-What-CEOs-Need-to-Know-About-the-Future-of-Cybersecurity.html

 

03/2019

Auf das müssen Sie beim Kauf und bei der Entwicklung von IT und Software achten

 

Was heisst Privacy by Design und Privacy by Default?
Mehr und mehr verbreiten sich im Datenschutzrecht die Konzepte des Privacy by Design (auf Deutsch: Datenschutz durch Technik) und Privacy by Default (auf Deutsch: datenschutzkonforme Voreinstellungen). Die Europäische Datenschutz-Grundverordnung (DSGVO/GDPR) erwähnt sie, und auch im Entwurf zum neuen Schweizer Datenschutzgesetz (E-DSG) fehlen sie nicht.

Privacy by Design betrifft insbesondere die Architektur und Funktionalität von IT und Software. Auf den Punkt gebracht verpflichtet Privacy by Design datenbearbeitende Unternehmen bereits bei der Beschaffung von IT-Produkten zu proaktiven Massnahmen, um den Datenschutz zu gewährleisten.

Privacy by Default bezieht sich auf die Grundeinstellungen in IT-Produkten und IT-Dienstleistungen. IT-Produkte sind demnach standardmässig datenschutzfreundlich einzustellen. So sind zum Beispiel entsprechende Zugriffsregelungen zu treffen, oder es ist sicherzustellen, dass über das IT-Produkt nicht mehr Daten erhoben werden als notwendig. Dabei sollen insbesondere die Nutzer der Produkte, die ihre Voreinstellungen nicht ändern, nicht benachteiligt werden. Sie gelten in den Augen des Gesetzgebers als wenig geneigt, die datenschutzrechtlichen Einstellungen jeweils ihren Wünschen entsprechend anzupassen.

 

Beschaffung und Entwicklung von IT-Produkten
Diese Forderungen sind an und für sich nicht neu. Es ist allerdings zu erwarten, dass Privacy by Design und Privacy by Default aufgrund der strengeren neuen Vorgaben zum Datenschutz auch auf der Stufe Produktentwicklung vermehrte Beachtung finden werden. Mindestens bei gleichem Preis-/Leistungsverhältnis dürften Nutzer und Unternehmen ihre Produktwahl in Zukunft häufiger davon abhängig machen, ob die bearbeiteten Personendaten nutzerfreundlich und gleichzeitig datenschutzkonform gehandhabt werden können.

So wird sich zum Beispiel ein Unternehmen, das ein Web-Analyse-Tool einsetzt, um IP-Masking bemühen müssen (Verschleierung eines Teilbereichs oder der gesamten IP-Adresse mittels «Maske»).

Für Personalgewinnung könnte sich aufgrund von Privacy by Design eine Plattform aufdrängen, die Zugriffe auf Bewerberdossiers über einen Link einräumt, anstatt die Dossiers bloss mit automatisiertem E-Mail-Versand weiterzuleiten. Dezentral abgelegte E-Mails bergen erfahrungsgemäss ein viel höheres Risiko, dass die Kontrolle darüber verloren geht (Gefahr der Schattendossiers).

Privacy by Default verlangt zur Nutzung von Personendaten für Werbezwecke unter Umständen, dass die Einwilligung der betroffenen Person eingeholt wird: Das entsprechende Feld muss in der Voreinstellung dann leer bleiben und darf nicht schon vorangekreuzt sein.

 

Denken Sie auch an Ihr ERP und CRM
Privacy by Design und Privacy by Default sind auch bei Entwicklung und Einsatz von CRM- oder ERP-Lösungen zu berücksichtigen. Noch immer auf dem Markt erhältlich sind CRM- oder ERP-Lösungen, die eine Löschung von Personendaten nicht erlauben, ohne dass die dahinterliegende finanzielle Transaktion automatisch rückabgewickelt wird. Belege müssen zwar revisionssicher aufbewahrt werden. Dies rechtfertigt aber nach Datenschutzrecht nicht in jedem Fall, dass zusätzlich zu den auf dem Beleg erwähnten Personendaten beispielsweise Gewohnheiten und Kauf-History ebenso lang gespeichert bleiben.

Ganz besondere Beachtung finden die Prinzipien Privacy by Design und Privacy by Default schliesslich auch beim Umgang mit sensiblen Daten (z.B. Gesundheitsdaten). Wegen dem Risikopotential der beabsichtigten Datenbearbeitung für die Nutzer werden Käufer von IT-Produkten regelmässig zur Durchführung einer sog. Datenschutz-Folgenabschätzung verpflichtet sein und daher um eine Risikoanalyse zum Design des Produktes nicht herumkommen.

Privacy by Design und Privacy by Default haben deshalb Auswirkungen auf das gesamte datenbearbeitende System.

 

Entwickler sind gefordert
Für Anbieter von IT-Produkten (IT-Infrastruktur, Netzwerke, Cloud, Software, Apps) lohnt sich eine möglichst frühzeitige und gründliche Prüfung der datenschutzrechtlichen Anforderungen bereits deshalb, weil der Lock-in-Effekt bei IT-Lösungen für den Kunden beachtlich sein kann und aus dessen Sicht deshalb gewisse Weichenstellungen nicht verpasst werden sollten, die vermehrt zum allgemeinen Bewusstsein gehören und zukünftig aktiver eingefordert werden.

 

Wir empfehlen Ihnen als IT-Entwickler deshalb: prüfen Sie die aktuellen und künftigen möglichen datenschutzrechtlichen Anforderungen an Ihr Produkt und schaffen Sie so Vertrauen bei Ihrer Käuferschaft. Wenn Sie selber neue IT-Produkte auf dem Radar haben, empfehlen wir Ihnen, nur solche IT-Produkte in die engere Auswahl zu nehmen, bei denen Sie sich davon überzeugt haben, dass sie Ihren datenschutzrechtlichen Bedürfnissen genügen.

 

Haben Sie Fragen zu IT, Software oder Apps? Wenn Sie Produkte entwickeln oder gerade eine IT-Lösung evaluieren, können wir Ihnen weiterhelfen. Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 28.02.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

03/2019

Lösungen zur praktischen Umsetzung: Der Praxisband erläutert Schritt für Schritt, wie betrieblicher Datenschutz in der Praxis umgesetzt werden kann. Bereitgestellt wird das gesamte Know-how zum Thema, angefangen von Grundlagenwissen bis hin zu sofort anwendbaren Handlungsanleitungen und Umsetzungshilfen. Zusätzlich können aus der Beuth-Mediathek über 30 Mustervorlagen abgerufen werden. Die zweite Auflage wurde vollständig überarbeitet und berücksichtigt die EU-Datenschutz-Grundverordnung. Der Datenschutzbeauftragte erhält einen praxisorientierten Leitfaden für seine tägliche Arbeit. Die Autorin erläutert, welche Aufgaben der DSB in der Praxis hat, was er mindestens zu regeln hat, wie er beginnen sollte, welche Form die Regelungen haben sollten.

 

Autoren: DIN e.V. und Grit Reimann

ISBN-10: 9783410279815

03/2019

1. Band: Politik und Wirtschaft: Dieses Beitragswerk bringt Vorreiter, öffentliche Meinungsbildner und renommierte Fachexperten zu Fragestellungen des digitalen Wandels zusammen und bündelt deren Blickwinkel auf dieses entscheidende Zukunftsthema. Somit beleuchten die hochkarätigen Autoren aus Politik, Wirtschaft, Wissenschaft und Recht mit ihren Beiträgen, in zwei Bänden des Herausgeberwerkes, unterschiedliche Facetten der Digitalisierung.

 

Autoren: Christian Bär, Thomas Grädler, Robert Mayr

ISBN-10: 9783662557198

03/2019

Impulse für die Rehabilitation: Die Wiedererlangung von Alltagsfähigkeiten hat für Menschen nach schweren Erkrankungen oder Verletzungen einen hohen Stellenwert, denn selbstständiges Handeln in allen Lebensbereichen schafft Lebensqualität. Besteht Bedarf zur Rehabilitation, werden Maßnahmen eingeleitet, die sich u. a. auf den medizinischen, sozialen, beruflichen, pädagogischen und technischen Bereich beziehen. In den letzten Jahren wurden in all diesen Bereichen Fortschritte erzielt, um Betroffenen noch besser helfen zu können.

 

Autoren: Mario A. Pfannstiel, Patrick Da-Cruz, Harald Mehlich

ISBN-10: 3658239867

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 


IoT – Was ist das?

Vereinfacht gesagt werden «Things», also physische und virtuelle Dinge, vernetzt und kommunizieren untereinander. Viele IoT-Anwendungen betreffen Industrie, Energie und Verkehr. IoT beeinflusst und bestimmt jedoch auch immer mehr den privaten Bereich: Die Fernsteuerung von elektronischen Haushaltgeräten oder der heimischen LED-Beleuchtung ist bequem und kann ein Mehr an Sicherheit oder ein Weniger an Stromverbrauch generieren und die zahlreichen Applikationen, mit denen Schritte, Herz- und Pulsfrequenz usw. ermittelt und ausgewertet werden (Beispiel Smart Watch) sind bereits selbstverständlich.

 

IoT beruht auf dem Konzept, Daten aus unterschiedlichsten Bereichen zu erfassen, zu sammeln, über das Internet zu teilen und zu nutzen. Möglich machen das verschiedene Komponenten wie Sensoren und Aktoren, vor allem aber die sogenannten Smarts. Smarts sind rechnende, koordinierende, kommunizierende und steuernde Komponenten, die je nach Anwendung in beliebiger Form und Vielzahl auftreten können. Smarts tragen die von Sensoren gesammelten Informationen zusammen und verarbeiten sie. Zudem können sie Steuerungsaufträge an Aktoren übergeben und Schnittstellen für menschliche Interaktionen anbieten.

 

IoT News: Aktuelle Infosec Internet News-Beiträge

 

IoT – Was bringt es?

Der grosse Vorteil von IoT liegt in der Vereinfachung von Prozessen, die zu einer deutlichen Effizienzsteigerung führt. Durch die Sammlung beliebig vieler Daten und Informationen lassen sich Geräte ortsunabhängig steuern und überwachen. Das spart Ressourcen und sorgt für eine beispiellose Flexibilität und für Bequemlichkeit im Alltag.

 

Wo wird IoT bereits erfolgreich eingesetzt?

  • Im Industriesektor: Fernüberwachung von Industrieanlagen z.B. Industrial Control Systems (ICS)
  • Im Energiesektor: Smart Grid, Smart Energy (Stichwort intelligente Stromnetze, Steigerung der Netzeffizienz)
  • Im Verkehrsmanagement: Smart City (Erfassung der Verkehrsflüsse)
  • Im Gesundheitswesen: IoT-Geräte beispielsweise zur Überwachung oder sogar zur Steuerung der Vitalwerte von Patienten

 

Und die Sicherheit? Welche Risiken bestehen?

Wie bei allen neuen bzw. weiterentwickelten Technologien stehen den zahlreichen Vorteilen sicherheitsrelevante Risiken gegenüber. IoT bietet die Möglichkeit, riesige Datenmengen zu sammeln und zu verarbeiten, darunter auch kritische, personenbezogene Daten oder Informationen über kritische Infrastrukturen. Solche Datensammlungen sind wertvoll und deshalb potenziell auf dem Radar von Datendieben. Zudem besteht die Gefahr, dass Kriminelle die Kontrolle über IoT-Geräte und deren Steuerung übernehmen. Nicht abschliessend geklärt ist die Frage, wem die Daten auf IoT-Geräten tatsächlich gehören.

 

IoT – aber sicher: mit der Unterstützung unserer erfahrenen Spezialisten

Die zahlreichen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung.
Setzen Sie auf die Erfahrung und das Know-how unserer Spezialisten und sichern Sie sich deren Unterstützung und Beratung in folgenden Bereichen:

  • Konzeptionelle Unterstützung basierend auf anerkannten Grundlagen, beispielsweise
    • ISO/IEC 30141:2018 – Internet of Things (loT) – Reference Architecture: Orientierungshilfe bei der Definition von generischen Ansätzen zur Problemlösung
    • ISO/IEC 15408 – Common Criteria for Information Technology Security Evaluation: Hilfestellung bei der Bewertung der Sicherheit von einzelnen IoT-Anwendungen
    • ISO/IEC 62443 – Industrial communication networks – Network and system security
    • Guide to Industrial Control Systems (ICS) Security: Eine umfassende Ausführung des NIST zur sicheren Integration von ICS
  • Risikoanalysen
  • Audits: technische, konzeptionelle oder Compliance Audits
  • Situationsanalysen von bereits bestehenden IoT-Geräten/Infrastrukturen
  • Evaluation von IoT-Herstellern, -Lieferanten und -Produkten
  • Erarbeitung von Strategien im Umgang mit IoT

 

Der Siegeszug von IoT lässt sich nicht aufhalten. Dank intelligenter Sicherheitskonzepte ist dies auch gar nicht notwendig.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

 

 

 

 

Reto Steinmann

E-Mail
Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

Kontrolle und Optimierung

Dieses Lehrbuch bietet Grundlagenwissen zum Thema Informationssicherheit sowie Informationssicherheitsmanagement. Neben der Erklärung aktueller und relevanter Grundbegriffe bietet es Definitionen und skizziert methodische und rechtliche Rahmen. Die optimale praktische Gestaltung des Informationssicherheitsmanagements wird unter Berücksichtigung zweier gängiger Standards zur Informationssicherheit, des Grundschutzhandbuches und ISO 27001, dargelegt. Damit gibt die Autorin konkrete Antworten auf Fragen der Risikobewertung und Gefahrenanalyse, der Sicherheits- und Datenschutzkontrollen sowie zum Incident Management und dem Security Audit und -Monitoring.

 

Autorin: Aleksandra Sowa

ISBN-10: 3658156260

Mit der EU-Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 anzuwenden ist, wird ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter und die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.

 

Autoren: Jürgen Taeger und Detlev Gabel

ISBN-10: 3800516594

Effizienter Schutz vernetzter Produktionslinien

Komplexer werdende Daten- und Informationsströme in der industriellen Fertigung führen zu einer vermehrt unternehmensübergreifenden Kommunikation. Dies hat direkte Auswirkungen auf die notwendigen Schutzvorkehrungen für IT, Produktion und Produktionsdaten. Ohne ausreichende Security-Maßnahmen entstehen zu hohe Risiken für Manipulation an Prozessen, Daten und Maschinen und damit für die Produktionsmittel und Produkte. Modernes Identity and Access Management (IAM) wird in Zukunft eine zentrale Rolle spielen.

 

Autor: Sebastian Rohr

ISBN-10: 3834333824

04/2019

Alles Wissenswerte über das Zusammenspiel zwischen Datenschutz, gesetzlichen Aufbewahrungs- und Verjährungsfristen

 

Personendaten können nur für eine gewisse Dauer aufbewahrt werden. Danach sind sie nach schweizerischem (DSG) wie auch nach europäischem Datenschutzrecht (DSGVO/GDPR) zu löschen.

 

Ausgenommen von der Löschpflicht sind zunächst Daten, die aufgrund einer gesetzlichen Vorschrift aufbewahrt werden müssen. Ist das der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden. Am wichtigsten ist die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsberichte und Buchungsbelege, die 10 Jahre beträgt.

 

Für die Zeit nach Ablauf dieser Dauer oder falls keine gesetzliche Aufbewahrungsfrist besteht, können Dokumente zunächst solange verwendet und aufbewahrt werden, wie die darin enthaltenen Personendaten zum Zweck, zu dem sie erhoben wurden, noch gebraucht werden. Auch aus dem Grundsatz der Datenrichtigkeit für Personendaten wird die Pflicht zur Löschung abgeleitet: Je älter Personendaten sind, desto eher werden sie in der Tendenz nicht mehr zutreffen.

 

Beispielsweise können Unterlagen, die für das Verfassen eines Zwischenzeugnisses benötigt werden, solange behalten werden, wie das Anstellungsverhältnis dauert. Grundlagendokumente des Unternehmens, wie etwa dessen Statuten oder Organisationsreglement, sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.

 

Werden Personendaten nicht mehr zum ursprünglich erhobenen Zweck gebraucht, kann im Allgemeinen angenommen werden, dass zu Beweiszwecken Unterlagen dennoch so lange aufbewahrt werden dürfen (aber nicht müssen) bis die Verjährungsfrist der zugrundeliegenden Forderung noch nicht abgelaufen ist. Ab diesem Zeitpunkt kann eine Forderung nicht mehr (gerichtlich) durchgesetzt werden. Beispielsweise verjährt die Forderung aus einem Auftragsverhältnis auf Bezahlung eines Übersetzungshonorars 10 Jahre nach seiner Fälligkeit. Hat der Kunde dem Übersetzungsunternehmen die Rechnung nicht bezahlt, kann das Unternehmen dies vom Kunden noch während 10 Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf potenzielle rechtliche Auseinandersetzungen aufgestellt sein will.

 

Zusammengefasst lässt sich die Aufbewahrungsdauer von Personendaten enthaltenden Dokumenten anhand dieser drei Fragen nachvollziehen (in dieser Reihenfolge):

a) Besteht eine gesetzliche Aufbewahrungsfrist?
b) Werden Personendaten noch gebraucht?
c) Wenn nicht: ist eine weitere Aufbewahrung zu Beweiszwecken bis zum Ablauf der Verjährungsfristen erforderlich?

 

Wenn alle drei Fragen mit nein beantwortet werden können, verlangt der Datenschutz, dass Personendaten gelöscht werden oder der Zugriff darauf zumindest stark eingeschränkt wird. Da die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsbericht und Buchungsbelege 10 Jahre beträgt und viele Forderungen nach 10 Jahren verjähren, haben sich als genereller Richtwert 10 Jahre eingebürgert. Es gelten teilweise aber auch andere gesetzliche Aufbewahrungs- und Verjährungsfristen:

 

1.1 Gesetzliche Aufbewahrungsfristen

 2019 03 22 12h00 03

 

1.2 Verjährungsfristen

 Verjährungsfristen

 

Wir empfehlen deshalb: Legen Sie unter Berücksichtigung des Bearbeitungszwecks und der jeweils geltenden Aufbewahrungs- und Verjährungsfristen für die Dokumente in Ihrem Unternehmen, die Personendaten enthalten, Fristen fest, nach deren Ablauf die Personendaten gelöscht werden können.

Haben Sie Fragen zu Personendaten generell oder zur Aufbewahrungspflicht oder Verjährungsfristen im Speziellen? Oder können wir Ihnen weiterhelfen, weil Sie ein individuelles Löschkonzept brauchen? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 20.03.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

04/2019

Warum IoT nur mit einer hohen Stammdatenqualität funktioniert

 

Drei Entwicklungen fordern Unternehmen heraus, das bestehende Potenzial vorliegender Datenbestände effizient und zukunftsweisend zu nutzen:

  • Die Digitalisierung schreitet stetig voran.
  • Der Wettbewerbsdruck steigt.
  • Die Industrie 4.0 beschreibt ein Szenario künftiger Automatisierung der Produktionsabläufe.

 

Grundlage für IoT-Anwendungen ist eine hohe Qualität des Datenmaterials, um mehrwertstiftende Informationen zu gewinnen. Je höher der Mehrwert – respektive die Datenqualität – desto besser die Grundlage, um automatisch relevante Informationen aus der realen Welt zu erfassen, miteinander zu verknüpfen und im Netzwerk verfügbar zu machen. Stammdaten nehmen dabei eine besondere Rolle ein.

 

IoT: Einmalig erstellt, mehrfach genutzt, selten geändert

Stammdaten (engl. „Master Data“) bezeichnen die grundlegenden Unternehmensdaten, die für den laufenden Betrieb in verschiedenen Unternehmensbereichen erforderlich sind. Dazu gehören bspw. Daten von Kunden, Produkten, Mitarbeitern und Lieferanten. Laut ISO sind Stammdaten „Grunddaten eines Unternehmens. Sie existieren unabhängig von anderen Daten und werden in Geschäftstransaktionen referenziert“ (ISO 8000- 1:2011).

Abgegrenzt werden Stammdaten von Transaktions- und Bestandsdaten. Diese Bewegungsdaten sind variable Daten, die sich während eines Geschäftsprozesses häufig ändern und für jeden Geschäftsvorfall neu erfasst, abgeleitet oder berechnet werden müssen. Beispiele sind Bestellmengen, Wertpapierkurse oder Kontensalden.

 

Stammdatenmanagement ist eine Philosophie

Stammdatenmanagement (SDM), engl. „Master Data Management“, bezeichnet die Verwaltung von Stammdaten. Eine passende Definition liefert das Analystenhaus Gartner: „Stammdatenmanagement beschreibt organisatorische und/oder technologiebasierte Aktivitäten, bei denen Geschäftsbereiche zusammen mit der IT-Abteilung arbeiten, um die Qualität der unternehmensweiten Stammdaten zu verbessern und Hoheit über diese zu erlangen.“

 

Ein besonderes Augenmerk liegt dabei auf der Kooperation zwischen der IT und den Fachbereichen wie HR, Marketing oder Einkauf. SDM ist unterdessen kein befristetes Projekt – es ist ein Mindset, welches von allen beteiligten Mitarbeitern und Fachbereichen im Unternehmen gelebt werden sollte.

 

Da die Verbesserung der Datenqualität durchaus eine komplexe Aufgabe ist, bedarf es des Einsatzes und Zusammenspiels verschiedener dedizierter Softwaresysteme (z. B. Integrationsplattformen, Analysewerkzeuge, Datenmodellierungswerkzeuge, Workflow-Engines) zum Datenmanagement. Außerdem sind häufig auch organisatorische und restrukturierende Maßnahmen in Unternehmen erforderlich.

 

IoT-Massnahmen erschwert oder blockiert wegen mangelnder Stammdatenqualität

Die Notwendigkeit des SDM ergibt sich durch die Probleme der Unternehmen aufgrund minderer Stammdatenqualität. Verantwortlich hierfür sind der technologische Fortschritt, der es ermöglicht, immer größere Datenmengen speichern zu können, und die unzureichende Pflege der Daten. Auch die zunehmend heterogenen Systemlandschaften und die Einführung neuer Geschäftslösungen wie Systeme für „Customer Relationship Management“ oder „Enterprise Resource Planning“ haben diesen Trend verstärkt. Hinzu kommen Probleme des Managements, allen voran unzureichend definierte Verantwortlichkeiten bzgl. der Daten. Daraus resultieren die folgenden typischen Probleme im SDM, die in der Konsequenz IoT-Maßnahmen erschweren oder gar blockieren.

  • Datenmehrfach-Erfassung und -Speicherung führt zu Duplikaten
  • Erschwerte Prozessautomatisierung durch unklare Datenbasen
  • Kein einheitliches Datenmodell
  • Fehlende Prozesse zur nachhaltigen Kontrolle der Datenqualität
  • Unterschiedliches Verständnis der Daten bei den Mitarbeitern
  • Fehlende Struktur und Regelwerke für Datenqualitätsmessungen
  • Erschwerte Analysen für Reports
  • Validitätsprobleme von Reports

 

Datenqualität zum Kernziel erklären – für IoT!

Bezogen auf das SDM vor dem Hintergrund der Umsetzung von IoT-Vorhaben ist insbesondere die Verbesserung der Datenqualität eines der zentralen Vorhaben in Unternehmen. Während in der englischen Literatur vorrangig der Begriff „Data Quality“ gebraucht wird, werden in der deutschen Literatur die Begriffe Datenqualität und Informationsqualität häufig synonym verwendet. Grundsätzlich gilt, dass aus Daten erst in Verbindung mit einem Kontext Informationen gewonnen werden und die Qualität der Daten auch nur in diesem Kontext beurteilt werden kann (vgl. Gebauer / Windheuser 2011). Auch stellen Daten, als immaterielles Gut, erst dann einen Wert für eine Organisation dar, wenn sie in ausreichend hoher Qualität vorliegen (vgl. Otto / Reichert 2010). Die Verbesserung der Datenqualität bedarf organisatorischer Anpassungen im Unternehmen – zusammenfassend als Data Governance bezeichnet, die zur effizienten Umsetzung eine Software-Unterstützung benötigen.

 

Am Markt existierende Systeme decken oftmals einen Großteil der erforderlichen Funktionalität zur Pflege und Verbesserung der Daten sowie zur softwareseitigen Unterstützung einer Data Governance ab. Sie beinhalten meist eine Integrationsplattform, die eine Vernetzung singulärer Anwendungen überflüssig macht. Die Stammdatenmanagement-Systeme versprechen eine verbesserte Unterstützung der anstehenden Aufgaben und bieten eine Plattform, die eine Vernetzung zwischen Maschinen überhaupt erst ermöglicht bzw. erheblich vereinfacht.

 

Ein Beispiel der IoT-Ära zur Illustration

Was tun, wenn der Toner leer ist?

 

IoT verfolgt das Ziel, „relevante Informationen aus der realen Welt zu erfassen, miteinander zu verknüpfen und im Netzwerk verfügbar zu machen. Dieser Informationsbedarf besteht, weil in der realen Welt Dinge einen bestimmten Zustand haben (z. B. ‚Luft ist kalt‘, ‚Druckertoner ist voll‘), dieser Zustand im Netzwerk jedoch nicht verfügbar ist.“ (Wikipedia)

 

Nun können diese realen Informationen in unterschiedlicher Weise im Netzwerk zur Verfügung gestellt werden. Entweder durch eine automatisierte, technologisch gestützte Erhebung der Daten (z.B. wenn ein Drucker erkennt, dass der Toner leer ist) oder durch eine manuelle Eingabe (z.B. wenn ein Mitarbeiter im System hinterlegt, dass der Toner leer ist). Insbesondere der manuelle Vorgang ist fehleranfällig. Der Drucker soll nun direkt mit dem Bestellmanagement-System kommunizieren und automatisch einen Bestellvorgang für einen neuen Toner auslösen. Die Bestellung erfolgt mit dem notwendigen Vorlauf bis zum Zeitpunkt des Austauschs, also noch bevor der aktuelle Toner leer ist. Die Herausforderung besteht darin, den Toner vorrätig zu haben und gleichzeitig unter der Maxime zu handeln, die Lagerhaltungskosten zu minimieren. Dies nennt sich Predictive Maintenance.

 

Hierzu muss im Bestellsystem für den Drucker der richtige Tonertyp hinterlegt sein, mit den entsprechenden Einkaufskonditionen. Sind diese Materialstammdaten nicht korrekt, wird aufgrund der schlechten Datenqualität eine fehlerhafte oder überteuerte Bestellung ausgelöst. Zusätzlich kann der Drucker für den Zeitraum der aufwendigen manuellen Neubestellung nicht genutzt werden. Überträgt man dieses plakative Beispiel aus dem Büroalltag in die voll automatisierten Produktionshallen deutscher Hightech-Unternehmen, wird schnell deutlich, welche Tragweite Datenqualität im Kontext von IoT haben kann.

 

Handbuch IoT; Tobias Brockmann, Nadja Schröder; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

E-Health-Innovationen machen unser Leben sicherer und gesünder – ein Milliardengeschäft.

 

Das Marktforschungsunternehmen Gartner erwartet bis 2020 weltweit 20 Milliarden vernetzte Medizingeräte, die im Krankenhaus 4.0, beim Arzt, im Smarthome oder in der Smart City zum Einsatz kommen. Der Gesamtwert des IoMT-Marktes in Europa betrug laut einer Studie von Deloitte letztes Jahr rund 12 Mrd. US-Dollar. 2020 sollen es 40 Mrd. sein. Auf dem Markt tummeln sich dabei nicht nur diverse Start-ups, sondern vor allem auch Big Player wie Siemens, Apple und Google bzw. die Alphabet-Tochter verily.

 

IoMT: Vielfalt der Sensoren

Herzfrequenzsensoren erkennen Anzeichen eines Vorhofflimmerns, Beschleunigungssensoren registrieren schwere Stürze und schlagen Alarm. Sensoren sind heute in der Lage, nahezu jede Körperfunktion rund um die Uhr zu überwachen, machen unser aller Leben und vor allem das von Patienten leichter und sicherer. Diabetiker, Epileptiker und Herzpatienten werden schon gewarnt, bevor sie selber Anzeichen verspüren und Krankenhäuser und (Not-)Ärzte können frühzeitig alarmiert werden. Viele Sensoren sind dabei heute so klein, dass sie einfach mit der Smartwatch getragen werden können. Für spezielle Anwendungen geht es auch noch kleiner bzw. filigraner. Sensoren auf Kontaktlinsen etwa sind in der Lage, anhand der Tränenflüssigkeit den Blutzuckerwert zu messen und zu übermitteln. Im Krankenhaus überwachen Sensoren dabei nicht nur Patienten, sondern auch medizinische Geräte. Diese lassen sich so nicht nur leicht lokalisieren, sondern auch rechtzeitig warten. Durch die Möglichkeiten einer Predictive Maintenance werden so Ausfallzeiten verhindert und Kosten gesenkt.

 

Augmented Reality und Virtual Reality

Durch Augmented Reality lassen sich komplette Eingriffe realitätsnah simulieren. Im echten OP erleichtern auf Datenbrillen projizierte Informationen das Operieren. Der Chirurg muss nicht mehr seinen Kopf zum Monitor heben, sondern kann sich komplett auf den Patienten konzentrieren. In Zukunft sollen Mediziner während einer Operation passgenau CT- und MRT-Bilder über den Patienten eingeblendet bekommen, um bestimmte Bereiche besser lokalisieren zu können.
Ein Forscherteam der RWTH und FH Aachen präsentierte vor Kurzem eine 3-D-Betrachtung eines stark verlagerten Kiefergelenkbruchs mittels einer Virtual-Reality-Brille. Dabei wurde deutlich, wie hilfreich eine solche Darstellung für den Chirurgen bei der Planung seines Eingriffs sein kann. Natürlich ist diese Technologie auch während der fachärztlichen Ausbildung oder während des Studiums besonders vielversprechend.

 

Digitale Gesundheitsakte

Gesundheitsminister Jens Spahn will, dass ab 2021 Versicherte generell ihre Patientendaten auch per Handy oder Tablet einsehen können. Während die Techniker Krankenkasse und die AOK eine eigene Lösung anbieten, ist "vivy" ein Gemeinschaftsprojekt diverser anderer privater und gesetzlicher Krankenkassen. Die App ist dabei elektronische Gesundheitsakte und persönliche Assistentin zugleich. Sie hilft bei der Einhaltung von Medikationsplänen oder erinnert an den nächsten Impf- / Vorsorgetermin. Welche Daten wann an wen übermittelt werden, entscheidet der Nutzer selbst. Auch soll technisch und organisatorisch sichergestellt sein, dass Krankenversicherungen keinen Zugriff auf persönliche Daten bekommen können. Akzeptanz und Vertrauen in derartige Produkte fehlt allerdings dennoch in breiten Schichten der Bevölkerung.

 

Sicherheitsbedenken

Vernetzte Geräte bilden naturgemäß eine Angriffsfläche für Hacker. Neben unseren Gesundheitsdaten kann dadurch auch unmittelbar unser Leben bedroht werden, bspw. wenn der Herzschrittmacher gehackt wird. Nach dem Medizinproduktgesetz müssen vernetzte Medizingeräte zwar besonders hohe Sicherheits- und Qualitätsauflagen erfüllen, doch absolute Sicherheit kann auch dadurch nie gewährleistet werden. Das Potenzial das Leben vor allem von Risikopatienten deutlich sicherer zu machen, scheint dabei aktuell die Risiken mehr als aufzuwiegen. Dies darf aber nicht dazu führen, verstärkte Sicherheitsmaßnahmen zu vernachlässigen.

 

Handbuch IoT, 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Risikofaktor IoT: Schützenswert sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

 

Am 25. Mai 2016 trat die EU- Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU- Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt. Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von Menschen in der EU verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler und KMU. Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert.

 

DSGVO und IoT

Als Daten gelten dabei nicht nur Kontaktdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer. Damit betrifft sie auch das IoT, sammeln seine Geräte doch zuhauf vielfältige Nutzerdaten. Je nach Funktion reichen diese von Blutgruppe, über das bevorzugte TV-Programm bis hin zum Aufenthaltsort des Hundes. Hier sollte ein Privacy-by-Design-Ansatz verfolgt werden, damit schon bei der Entwicklung die Datenschutzrisiken geringgehalten werden können und Datensicherheit gewährleistet ist. Schließlich ist auch zu klären, wo im Unternehmen die Daten überhaupt gespeichert sind und wer Zugriff darauf hat.

 

Was ist neu?
Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden. Hinzu kommt die Verpflichtung, ein sogenanntes "Privacy by Design" einzuführen, mit dem datenschutzrelevante Maßnahmen von Beginn an in Design sowie Entwicklung von Systemen, Prozessen und Produkten integriert werden. Auch sind mehr Daten betroffen, so etwa Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Die Anforderungen an "bestimmbare Personen" sind sehr gering. Auch Lieferanten können betroffen sein, zum Beispiel solche, die von einem Unternehmen beauftragt werden, personenbezogene Mitarbeiterdaten zu verarbeiten.

 

Mehr Rechte für Beschäftigte, mehr Pflichten für die Unternehmen
Nach Auffassung vieler Fachleute werden die Pflichten des Arbeitgebers beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden. Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte haben hier einen großen Aufwand, da die dafür zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen.

 

Vieles hängt von der Art und Größe des Unternehmens ab
Einige Experten warnen, die Aufgaben im Zusammenhang mit der Verordnung zu unterschätzen. Die häufig vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeichnisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentieren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betroffenenrechte. Eine Lösung muss all diese Aspekte mitberücksichtigen und ganzheitlich erfüllen. In welchem "Detailgrad" die Umsetzung auf Unternehmensebene erfolgt, hängt jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.

 

Zertifizierungen als Basis
Manche Unternehmen profitieren von bereits vorhandenen Zertifizierungen, etwa nach ISO 9001 oder ISO / IEC 27001. Diese Zertifizierungen dienen als Basis für ein Datenschutzmanagementsystem (DSMS), das die Compliance mit der EU-DSGVO gewährleistet. Ähnliches gilt für die Zertifizierung nach dem Standard BS 10012:2017. Trotzdem muss vieles noch angepasst werden im Hinblick auf die neuen Regeln.

 

Datenschutz als Querschnittsaufgabe

Wichtig sei es, darin stimmen Experten überein, das Thema EU-DSGVO als Querschnittsthema im gesamten Unternehmen zu verankern und das Bewusstsein der Mitarbeiter für diese Problematik zu schärfen. Vom Vorstand oder der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und teilweise aktiv werden:

  • Vorstand und Geschäftsführung müssen die veränderte datenschutzrechtliche Praxis im Unternehmen kennen;
  • die IT-Abteilung muss prüfen, welche technisch-organisatorischen Maßnahmen für das geforderte Risk-Management notwendig sind;
  • die Finanzabteilung muss die Kosten berücksichtigen, die dem Unternehmen durch Anpassungsprozesse entstehen;
  • die Rechtsabteilung muss viele Verträge anpassen;
  • die Compliance-Abteilung muss die Risiken eines Verstoßes gegen die Verordnungen berücksichtigen – diese betreffen die außerordentlich hohen Bußgelder, aber auch den Vertrauensverlust, der bei Kunden, Lieferanten oder Mitarbeitern entstehen kann;
  • die Forschungs- und Entwicklungsabteilung muss schon bei einem frühen Projektstadium darauf achten, dass die datenschutzrechtlichen Grundsätze eingehalten werden;
  • für die Personalabteilung entsteht ein hoher Aufwand, da sie einerseits Mitarbeiterschulungen zum Thema organisieren, andererseits den Mitarbeitern auf Nachfrage nachweisen muss, wie ihre Daten geschützt werden; auch der Betriebsrat ist einzubinden.

 

Ist es sinnvoll, darüber hinauszugehen?
Vielleicht aber ist es sinnvoll, noch ein paar Schritte weiterzugehen. Die Einhaltung der EU-DSGVO-Compliance sollte Teil einer umfassenden Unternehmensphilosophie sein und von der Spitze her gelebt werden – damit ist das EU-DSGVO-Management Chefsache. Es sollte nicht einfach eine lästige Pflicht sein, denn immerhin geht es darum, das Image  des Unternehmens in der Öffentlichkeit, bei gegenwärtigen und künftigen Mitarbeitern sowie bei Geschäftspartnern als verantwortungsvoll handelnde Organisation zu stärken. Dazu gehören auch ein umfassender Schutz der Daten und der sichere IT-Betrieb.

 

Die Risiken einer Verletzung des Datenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z. B. Kanada oder Japan. Echte Mehrwerte im Wettbewerb entstehen, wenn es gelingt, über entsprechende Maßnahmen und ihre Dokumentation Vertrauen zu schaffen. Zudem fördern transparente personenbezogene Daten die Automatisierung von Prozessen und treiben somit die Digitalisierung voran. Einige aktuelle Studien belegen, dass Unternehmen, die auf diesem Weg vorangegangen sind, sich bereits Vorteile verschafft haben. Es liegt also an den Unternehmen selbst, ob ihnen die EU-DSGVO mehr nutzt oder doch eher schadet.

 

Neue Risiken durch IoT in Industriesystemen

Das Internet der Dinge (IoT) ist insbesondere im Industrieumfeld eine noch junge Technologie. Daher steht bei der Entwicklung von IoT-Komponenten und OT-Lösungen („Operational Technologies“) für viele Unternehmen noch immer die Funktionalität im Vordergrund. Die Produktentwicklung hat genug damit zu tun, die neuen Kommunikationstechniken, das komplizierte Zusammenspiel von Sensoren, Aktoren und PLCs („Programmable Logic Controller“), in den Griff zu bekommen. Wichtig ist, dass die Produkte und Lösungen funktional laufen – Sicherheitsaspekte sind, wenn überhaupt, nur ein Randthema.

 

Doch IoT bringt nicht nur neue Möglichkeiten, sondern auch neue Risiken. Die Verbindung technischer Systeme mit dem Firmennetzwerk und dem Internet über standardisierte Kommunikationsschnittstellen erlaubt eine umfassende Kontrolle und Steuerung dieser Systeme. Allerdings nicht nur für berechtigte Nutzer, sondern bei unzureichender Absicherung auch für Angreifer. Diese können dabei nicht nur Informationen gewinnen, sie können auch die Steuerung der betreffenden Systeme übernehmen und sogar Fehlfunktionen auslösen. Man kann sich entsprechende Schadensszenarien leicht ausmalen; erst recht, wenn IoT auch in kritischen Infrastrukturen zum Einsatz kommt, beispielsweise in der Strom- und Wasserversorgung.

 

Neue Risiken, das bedeutet konkret neue Angriffspunkte. Der einfachste ist der direkte Zugriff auf Anlagen. So erhalten externe Service-Unternehmen oft für Wartungsarbeiten einen Zugriff auf die Steuerung von Anlagen und Maschinen, mitunter verschaffen sie ihn sich auch selbst, indem sie zur Erfüllung von Wartungsverträgen entsprechende Bauteile implementieren. Das muss nicht in böser Absicht geschehen, aber über diese Verbindungen ist der unkontrollierte Zugriff auf Steuersysteme von extern möglich und per „Hopping“ von System zu System steht dem Service-Dienstleister dann auch bei unzureichender Absicherung und nicht vorhandener Segmentierung des Netzwerkes mehr oder weniger das gesamte Netz seines Kunden offen. Dies gilt besonders, wenn im IoT-Endgerät oder der Maschine eine LTE-Komponente verbaut ist; man kann dann die Kommunikation nach außen kaum unterbinden.  Das gezielte Scannen und Stören von Funkverbindungen, das hier gelegentlich vorgeschlagen wird, ist jedenfalls klar verboten.

 

Vielfach werden in IoT-Lösungen technische Komponenten verwendet, die über keine oder nur unzureichende Schutzmechanismen verfügen. Sie verwenden zum Beispiel eine unsichere Hard- und Software-Architektur oder unsichere Kommunikationsprotokolle und lassen sich nicht aktualisieren. Die Hersteller und Anlagenbauer sind nicht für das Thema IoT- / OT- Security sensibilisiert. Wenn etwa Bauteile in der Klimatechnik oder in Brandmeldeanlagen nicht geschützt sind, so können Angreifer die Raumtemperatur oder Luftfeuchtigkeit verändern, was in einem Rechenzentrum katastrophale Folgen haben kann. Das Beispiel Rechenzentrum zeigt deutlich die ungeklärten Zuständigkeiten für Security in Unternehmen. Die Server und Anwendungen im Rechenzentrum werden von der IT meist nach Sicherheitsvorgaben betrieben, das Rechenzentrum selbst mit allen Non-IT-Komponenten liegt aber in einer anderen Zuständigkeit und unterliegt keinen exakten Vorgaben für Security.

 

Ein bevorzugtes Ziel für Angreifer sind auch IoT-Systeme in der Logistik. Hier werden natürlich mobile Verbindungen verwendet, wobei mittlerweile nicht nur Lkw mit entsprechenden Systemen ausgestattet sind, sondern auch Container oder sogar einzelne Paletten. Die IoT-Logistik-Sensoren müssen aufgrund der hohen Stückzahl und des Preisdrucks in der Logistik natürlich günstig sein. Logistiker können damit eine Lieferkette sehr genau verfolgen, sie bieten damit aber auch Angreifern die Möglichkeit, Daten abzufangen oder zu verändern. Die IoT-Systeme laufen hier ja nicht in einem gesicherten Umfeld, sondern weit ab vom jeweiligen Unternehmen; man muss im Grunde nur am richtigen Ort mit einem Lesegerät sein, schon kann man die Daten einsammeln. Auf diese Weise kann man nicht nur detaillierte Informationen über Lieferketten erhalten, sondern kann sie bei Bedarf lahmlegen.

 

Die direkten Abwehrmöglichkeiten gegen derartige Angriffe sind im Nachhinein bei bestehenden Lösungen begrenzt. Wichtig ist vor allem, sich der durch IoT-/OT-Systeme entstehenden Risiken überhaupt erst einmal bewusst zu werden und sich nicht nur an deren Funktionalität zu erfreuen. Unternehmen sollten sich daher bei IoT- / OT-Projekten immer folgende Fragen stellen:

  • Welche IoT- / OT-Komponenten und -Systeme werden im eigenen Unternehmensnetzwerk verwendet? Welche IoT-/ OT-Geräte sind unbekannt?
  • Welche Kommunikationsverbindungen haben diese untereinander und nach außen?
  • Sind von einzelnen Systemen auch andere zu erreichen, die im Normalfall keine Kommunikationsbeziehung untereinander haben? Lässt sich das durch Netzwerksegmentierung unterbinden?
  • Bestehen unkontrollierte Wartungszugänge?
  • Sind die Security-Funktionen der Produkte aktiviert und werden die Softwareversionen der Produkte regelmäßig auf Security-Schwachstellen geprüft?
  • Wer im Unternehmen ist für die Sicherheit der IoT-/OT-Systeme verantwortlich?
  • Besitzen die Verantwortlichen für diese Systeme aus z. B. Produktion, Logistik und Gebäudetechnik sicherheitstechnisches Know-how und Security-Awareness?

 

Noch ein wichtiger Aspekt: Die Sicherung der IoT-Systeme eines Unternehmens ist keine einmalige Aufgabe. Die Technologien rund um IoT und OT entwickeln sich rasant weiter und die IT-Sicherheit muss darauf flexibel reagieren können. Wichtig ist, dass IoT fest in der unternehmensweiten Cyber-Defense-Strategie verankert ist.

 

Handbuch IoT, Dr. Ralf Magagnoli, 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things


Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Das IoT ist voller Daten, Auswertung ist für den optimalen Nutzen zentral

 

Internet of Things (IoT): Einsatz im Produktionsumfeld

Für die in vielen Branchen übliche Nutzung des "Internet of Things" (IoT) gibt es einen ausschlaggebenden Grund: Mit den gewonnenen Daten können Prozesse und Betriebsabläufe genauer gesteuert und die Auslastung kann effizienter geregelt werden. Hier fällt ein hohes Volumen relativ kleiner Datensätze an, wie sie von Sensoren erfasst und weitergemeldet werden. Doch neben der Herausforderung, große Mengen anfallender Daten zu verarbeiten und daraus Schlüsse zu ziehen, gilt es beim IoT  weitere Hürden zu meistern.

 

Denn um auf Echtzeit-Analysen basierende Entscheidungen zu treffen, sind vor allem die Geschwindigkeit der Datenverarbeitung und die Sicherheit der Datenübertragung von entscheidender Bedeutung. Smarte Sensoren und IoT-Geräte unterscheiden sich sowohl in ihrem Einsatzzweck als auch in der Vielschichtigkeit der von ihnen erhobenen Daten. Die verschiedenen Daten zu analysieren, um daraus Erkenntnisse abzuleiten, ist beim Einsatz des IoT ebenso eine Herausforderung wie die Einhaltung von Governance-Richtlinien bei der Datenverarbeitung.

 

In der Fertigung lassen sich Maschinen mit Sensoren ausstatten, die für eine vorausschauende Instandhaltung („Predictive Maintenance“) herangezogen werden können. Im Gegensatz zum herkömmlichen Ansatz, Wartungen nach vorher definierten Arbeitsstunden oder geleisteter Stückzahl stattfinden zu lassen, meldet die Maschine den Status ihrer Abnutzung und ihres technischen Zustandes aktiv an einen Produktionsserver, der das Wartungsintervall individuell auf diese eine Maschine abstimmt. Damit wird zweierlei erreicht: Einerseits wird verspätete Wartung und eventuell einhergehender Schaden vermieden, andererseits entstehen keine zu kurzen Wartungszyklen. Beides schont die finanziellen und logistischen Ressourcen des Unternehmens. Auch die Logistik während und nach der Produktion wird durch Big Data im IoT wesentlich erleichtert. Besonders in der Just-in-time-Fertigung ist es sowohl für produzierende Betriebe als auch Zulieferer wichtig, nachvollziehen zu können, wo sich Werkstücke aktuell befinden. Damit sollen Lagerhaltungskosten weitgehend ausgeschlossen werden.

 

IoT und Big Data in der Energieversorgung

Doch auch andere Branchen setzen mittlerweile auf Big Data und Industry of Things. So sind Energieversorgungsunternehmen durch Veränderungen, beispielsweise bei der Energieerzeugung, mit neuen Anforderungen an ihre betrieblichen Prozesse konfrontiert. Dazu kommt der Wandel der Kundenanforderungen. Auch die vermehrte Nutzung alternativer Heizarten bei Endkonsumenten, beispielsweise Wärmepumpen oder Solaranlagen, führt zu einer weiteren Komplexität beim Stromvertrieb. So sollten Konsumenten mit Preisnachlässen dafür belohnt werden, wenn sie den Strom zu einem Zeitpunkt verbrauchen, an dem er besonders günstig für den Vertrieb bereitsteht. Hierzu messen intelligente Stromzähler („Smart Meter“) den Energieverbrauch und können diese Informationen den Versorgern zeitnah übermitteln. In einem System mit automatisierten Stromzählern werden Verbrauchsdaten in Echtzeit analysiert und entsprechende Muster erkannt, die zur Prognose herangezogen werden. Auch können Sensoren und intelligente Stromzähler rechtzeitig vor drohenden Ausfällen einzelner Komponenten im Stromnetz warnen. Die gewonnenen Daten werden in einer Big-Data-Lösung zusammengefasst, die detaillierten Aufschluss über die aktuelle und künftige Situation liefert. Dadurch wird es Energieversorgern ermöglicht, die Ausfallsicherheit in erheblichem Maß zu steigern, um so die Versorgungssicherheit der Verbraucher zu garantieren.

 

Mit Big Data und IoT zu mehr Gesundheit

Neue medizinische Methoden, verbesserte Behandlungen oder die bessere Anpassung von Medikamenten sind mit enormen Investitionen in Forschung verbunden. Dafür benötigt der Gesundheitssektor – mehr denn je – eine solide Datenbasis. Aber auch die Behandlung der Patienten selbst muss in Zeiten knapper Gesundheitskassen effizienter gestaltet werden. So kann die Erfassung von Patientendaten über mobile Tracker einen vollständigen Überblick über den Gesundheitsstatus bieten. Ein solcher Tracker kann mittels Hautsensor beispielsweise den Blutzuckerspiegel messen. Das gilt ebenso für Vitalfunktionen wie eine Messung von Puls oder Blutdruck, wie sie manche Smartwatch oder mancher Fitnesstracker bereits bietet. Durch den Abgleich von Echtzeit-Analysedaten und Machine-Learning-Modellen, basierend auf historischen Patientendaten, wird eine vorausschauende und nachhaltige Patientenüberwachung gewährleistet. Daraus können Ärzte frühzeitig Abweichungen von individuellen Normalwerten erkennen und so im Idealfall Menschenleben retten. Außerdem ist es möglich, dass diese Daten – anonymisiert – dazu führen, auch anderen Patienten schnell eine erfolgreiche Behandlungsmethode zur Verfügung zu stellen. Zusätzlich können unterstützende Reha- und Wellnessanwendungen entwickelt, getestet und bei Erfolg breit angewendet werden. Dies geschieht über mit dem Internet verbundene Geräte, die beispielsweise Blutdruck und Herzfrequenz überwachen sowie Aufschluss über Cholesterinwerte oder andere medizinisch relevante Faktoren bieten. Mittels maschinellen Lernens können Ärzte, Krankenhäuser und Pharmaunternehmen positive Musterveränderungen erfassen und konsequent weiterentwickeln.

 

Zielführende Versicherungsprodukte

Die Basis der Geschäftstätigkeiten von Versicherungen sind Daten. Sie berechnen Risiken und legen daraufhin die Höhe der Raten für Versicherungspolicen fest. Dies erfolgte bislang über theoretische mathematische Modelle, die auf regelmäßigen Marktanalysen, Studien und Statistiken beruhten. Mit dem zunehmenden Wettbewerbsdruck müssen Versicherer ihre Angebote vielschichtiger und an die Zielgruppe angepasster entwickeln. Auch die Art und Weise, wie und wogegen sich Konsumenten und Unternehmen versichern wollen, ändert sich – etwa durch die Veränderung im Falle von Gebäudeschäden durch den Klimawandel oder die Einführung neuer Technologien wie etwa dem autonomen Fahren im Straßenverkehr.

 

Handbuch IoT; Daniel Metzger; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Sicherheit beginnt mit der Geräteentwicklung.

 

Ein effizienter Schutz von Operational-Technology-Systemen und IoT-Geräten benötigt einen um- fassenden Security-Lifecycle-Ansatz. Gefordert sind einerseits die Hersteller von Maschinen, industriellen Steuergeräten (PLCs) und Anlagen, die ihre Produkte gemäß dem „Security by Design“-Prinzip entwickeln müssen. Aber auch die Unternehmen sowie die Anwender müssen mehr in die Sicherheit der eingesetzten Lösungen investieren.

 

Fertigungsunternehmen aus allen Branchen werden immer stärker zum Ziel von Cyber-Attacken aller Art. Aktuellen Marktzahlen von NTT Security zufolge richten sich mehr als ein Drittel aller Cyber-Attacken gegen die Fertigungsindustrie. Gerade für Industriespionage ist der Anlagen- und Maschinenbau ein lukratives Ziel von Cyber-Angreifern. Klar ist: Unternehmen müssen Operational-Technology (OT)-Systeme und IoT-Geräte besser schützen. Kompromisslose IT-Sicherheit ist nur mit End-to-End-Lösungen und -Services möglich, die auf einem durchgängigen Security-Lifecycle-Modell basieren.

 

OT-Systeme und IoT-Geräte: Sicherheit beginnt mit der Geräteentwicklung

Fachliche Anforderungen und deren technische Umsetzung waren für die Hersteller von Maschinen, Produktionsanlagen, Schaltsystemen und Komponenten, beispielweise im Smart-City-Umfeld, die Richtschnur. Mit Security-Themen haben sich die Entwicklungsingenieure und Techniker bestenfalls am Rande befasst – oder dann, wenn die Systeme bereits in Betrieb waren.

 

Daher lautet die erste Empfehlung: Security by Design. Bereits bei der fachlichen Anforderungsanalyse neuer Geräte, Maschinen und Lösungen, beispielsweise für die industrielle Verfahrenstechnik, sollten Hersteller eine Bewertung der Security-Risiken einplanen. Einerseits geht es um die Ermittlung aktueller Angriffsvektoren, gegen die ein System oder Gerät geschützt werden soll, und andererseits müssen sich Entwickler auch damit befassen, welche Angriffspunkte im weiteren Lebenszyklus entstehen könnten.

 

In diesem Zusammenhang werden Ansätze wie Security-Agility und Crypto-Agility immer wichtiger. Im Kern geht es darum, dass Entwickler und Benutzer der fertigen Produkte, Lösungen und Services sich darauf einstellen müssen, dass die aktuell implementierten Sicherheitsmaßnahmen bei einem Produktlebenszyklus von zehn bis zwanzig Jahren regelmäßig überprüft, aktualisiert und ergänzt werden müssen: Welche Art der Softwarewartung ist geplant? Wie und in welchen Release-Zyklen sollen Software- und Security-Updates eingespielt werden? Ist die in Entwicklung befindliche Hardware auch für die zukünftigen Anforderungen (beispielsweise Speicher, Prozessorleistung usw.) ausgelegt?

 

Wer heute ein sicheres Maschinen-, Produkt- und Geräte-Design erstellen will, muss sich natürlich auch mit Kommunikationsprotokollen befassen – das heißt, mit den aktuell im Einsatz befindlichen Lösungen und deren fortlaufender Aktualisierung. Beispiele dafür sind TLS („Transport Layer Security“) und dessen Vorgänger SSL („Secure Sockets Layer“) zur Absicherung von Datenverbindungen. Aufgrund verschiedener in den letzten Jahren entdeckter und ausgenutzter Schwachstellen lautet die Empfehlung, alle Versionen von SSL und TLS 1.0 zu deaktivieren. Neue Kommunikationsprotokolle und natürlich auch die Nutzung von aktuellen Kryptoverfahren und Schlüssellängen müssen natürlich beim Design der Hardware berücksichtigt worden sein. Bei allen Sicherheitsmaßnahmen kommt es darauf an, dass Hersteller – angelehnt an das IT-Security-Management – einen nachvollziehbaren und dokumentierten Sicherheitsprozess definieren, um die Security über den gesamten Lebenszyklus ihrer Produkte gewährleisten zu können.


Zertifizierung von Produkten

Die Hersteller von Geräten und Systemen für „Kritische Infrastrukturen“ (KRITIS) sind dazu übergegangen, ihre Produkte nach dem „Industrial-IT-Security-Standard IEC (International Engineering Consortium) 62443“ für industrielle Kommunikationsnetze und Systeme zertifizieren zu lassen. Die entsprechenden Zertifizierungen übernehmen etwa der VDE oder die TÜV-Gesellschaften. Unternehmen, die Automatisierungs- und Steuerungssysteme herstellen, können diese Produkte und die Prozesse gemäß den IEC-62443-Vorgaben auf potenzielle Schwachstellen untersuchen lassen und auf Basis der Ergebnisse eine entsprechende Produktzertifizierung erlangen – oder müssen nachbessern und wirkungsvolle Schutzmaßnahmen entwickeln und Prozesse im Unternehmen ausrollen. Schwerpunkt des IEC-62443-Standards bildet die IT-Sicherheit von „Industrial Automation and Control Systems“ (IACS), die überall dort gefordert ist, wo es um einen sicheren und zuverlässigen Betrieb von Anlagen und Infrastrukturen geht. Eine Vorbereitung für eine IEC-62443-Zertifizierung wird meist durch externe OT-Sicherheitsspezialisten unterstützt.

 

Mit einem umfassenden Sicherheitskonzept und einer Security-Roadmap für den gesamten Lebenszyklus von Produkten und Lösungen sind Hersteller auf einem guten Wege. Sie können sich damit einen wichtigen Wettbewerbsvorsprung – auch im Hinblick auf außereuropäische Anbieter – verschaffen.


Um erfolgreich digitalisieren zu können, wird zunächst eine Datenbasis benötigt, die über Unternehmensgrenzen hinaus auswertbar ist.

 

Verbesserte Sicherheit im täglichen Betrieb

In Produktionsnetzen mit Maschinen, Leitständen zur Steuerung, Robotern, Förderbändern und vielem mehr steht seit langer Zeit das Thema Verfügbarkeit im Vordergrund. Die Security ist eher von untergeordneter Bedeutung. Aufgrund der Vielzahl bekannt gewordener Angriffe auf Produktionsanlagen ändert sich das langsam. Eine der ersten Maßnahmen ist die Festlegung von Verantwortlichkeiten für Sicherheitsaufgaben.

 

Die Verantwortung für die Verfügbarkeit der Produktionsnetze liegt beim Produktionsleiter; daran wird sich wahrscheinlich in der Praxis auch so schnell nichts ändern. Unternehmen der Automobilbranche etwa haben eigene Abteilungen gegründet, die sich explizit um OT-Security kümmern. Andere Branchen – und dort vor allem der gehobene Mittelstand – sind erst dabei, Verantwortliche zu benennen. Damit ist ein wichtiger Schritt getan, um die IT-Sicherheit in den Produktionsnetzen gezielt angehen zu können.

 

Sind Verantwortlichkeiten und Rollen geklärt, sollten Unternehmen – meist unterstützt durch externe Sicherheitsexperten und -analysten – ein Security- Assessment ihrer Produktionsnetze durch- führen. Basis dafür bilden Interviews mit den Betreibern und Verantwortlichen der OT-Umgebungen und ein Asset-Discovery, das mithilfe von Threat-Detection-Sensoren eine Bestandsaufnahme der vorhandenen OT- und IoT-Systeme sowie der internen und externen Kommunikationsbeziehungen liefert. Erfahrungen aus der Praxis zeigen, dass dabei immer Geräte und Verbindungen zum Vorschein kommen, von denen zuvor keiner Kenntnis hatte. Gerade diese sind hochriskant: Wenn niemand im Unternehmen von deren Existenz wusste, können Angreifer über dieses Einfallstor unentdeckt Wirtschaftsspionage betreiben. Ein wichtiges Ziel der Bestandsaufnahme ist, bei den er- mittelten Schwachstellen eine Priorisierung vorzunehmen. Was ist von höchster Kritikalität?  Diese Sicherheitslücken müssen sofort geschlossen werden, andere können schrittweise beseitigt werden.

 

Weitere Themen der OT-Security-Analyse sind ein OT-Security-Vulnerability-Assessment, OT-Security-Risk-Assessment, OT- Governance und eine strukturierte Planung der weiteren Schritte zur Erhöhung der OT- Security. Gerade die Priorisierung der umzusetzenden Maßnahmen stellt viele Unternehmen vor große Herausforderungen. Fester Bestandteil der Analyse ist eine genaue Dokumentation der Assets und von deren Kommunikationsbeziehungen. Vorbild dafür ist die Konfigurationsdatenbank (CMDB) der IT-Systeme.

 

Bei der Ermittlung der externen Kommunikationskanäle interessiert zunächst, welche überhaupt vorhanden sind: Einwahlverbindungen, aber auch Standleitungen und Maschinen mit LTE-Karten für die Remote- Wartung. Solche Verbindungen sollten genau unter die Lupe genommen werden: Im Juli 2018 waren als Folge eines Datenlecks bei einem kanadischen Dienstleister namens „Level One Robotics and Controls“ fast 160 GB Daten verschiedener Automobilbauer öffentlich im Internet zugänglich. Die Daten wurden hierbei über direkte Kommunikationsverbindungen zwischen dem Dienstleister und den Automobilkonzernen abgezogen.

 

Dieser Fall verdeutlicht, wie wichtig es ist, zu wissen, wer mit wem kommuniziert und diese Fakten in eine Risikoanalyse einzubeziehen. Die technische Grundlage dafür stellen die Threat-Detection-Sensoren in OT-Umgebungen bereit, die sich nicht nur für eine Bestandsaufnahme, sondern auch für ein kontinuierliches Monitoring nutzen lassen. Dann sind Unternehmen sofort auf einem aktuellen Stand, wissen jederzeit, was in ihren Produktionsnetzen geschieht und können bei Bedarf schnell reagieren. Die Bestandsaufnahme und fortlaufende Überwachung der internen und externen Kommunikationsabläufe in einem Produktionsnetzwerk sind zentrale Bestandteile, um eine hohe Sicherheit von OT-Systemen und IoT-Geräten über den gesamten Lebenszyklus zu erzielen.

 

Handbuch IoT; Christian Koch; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 2)

 

Die Rolle der Cybersecurity besteht darin, die Ziele des Unternehmens zu erreichen und, zunehmend, Wettbewerbsvorteile zu schaffen. Sie sollte einen Mehrwert für Ihre Organisation darstellen und nicht den Fortschritt behindern. Dies erfordert eine positive Cybersicherheitskultur und angemessene Investitionen und ein angemessenes Management der Cybersecurity.

 

Was sollte die Geschäftsleitung tun?

Integrieren Sie Cybersecurity in die Ziele und Risiken Ihrer Organisation.

 

Es gibt zwei Gründe, warum das so wichtig ist.

 

Erstens wirkt sich die Cybersecurity auf jeden Aspekt Ihrer Organisation aus. Um sie richtig zu managen, muss sie daher in das organisatorische Risikomanagement und die Entscheidungsfindung integriert werden. Zum Beispiel:

  • Das operationelle Risiko wird wahrscheinlich durch die Cybersecurity verstärkt, da Sie sich auf die Sicherheit der von Ihnen genutzten digitalen Dienste (E-Mail-Dienste, massgeschneiderte Software usw.) verlassen.
  • Ein gewisses rechtliches Risiko ist mit dem Cybersicherheitsrisiko verbunden (z.B. vertragliche Anforderungen zum Schutz von Daten oder Partnerschaften, regulatorische Anforderungen zum spezifischen Umgang mit Daten).
  • Das finanzielle Risiko wird durch die Cybersecurity beeinflusst (z.B. Geldverlust durch Betrug, der durch Cyber ermöglicht wurde, Umsatzeinbussen, wenn Dienste durch einen Cyberangriff offline genommen werden).
  • Eine gute Cybersecurity ermöglicht es Ihnen auch, ein gewisses Risiko einzugehen, wenn Sie neue Technologien zur Innovation nutzen. Ein zu vorsichtiger Umgang mit Risiken kann zu verpassten Geschäftsmöglichkeiten oder zusätzlichen (und unnötigen) Kosten führen.

Zweitens muss die Cybersecurity integriert werden, damit sie erfolgreich ist. Bei einer guten Cybersecurity geht es nicht nur darum, gute Technologien zu haben, sondern auch darum, dass Menschen ein gutes Verhältnis zur Sicherheit haben und dass Sie über die richtigen Prozesse in der gesamten Organisation verfügen, um diese zu verwalten.

 

Zum Beispiel, um sich vor einem Angreifer zu schützen, der auf sensible Daten zugreifen will (während sichergestellt wird, dass nur diejenigen mit einem aktuellen und gültigen Bedürfnis diese sehen können), benötigen Sie:

  • eine gute technische Lösung zur Speicherung der Daten
  • angemessene Schulung des Personals, dass die Daten bearbeitet
  • einen Prozess zur Verwaltung der Personalbewegungen, der auf die Zugangsverwaltung abgestimmt ist.

 

Spiegeln Sie dies in Ihrer Struktur wider.

Überlassen Sie es nicht einer Person; die Cybersecurity ist die Verantwortung der gesamten Geschäftsleitung.

 

Ein Cybersicherheitsvorfall betrifft die gesamte Organisation - nicht nur die IT-Abteilung. So kann er sich beispielsweise auf den Online-Verkauf oder Vertragsbeziehungen auswirken oder rechtliche oder regulatorische Massnahmen auslösen. Es sollte genügend Fachwissen innerhalb der Geschäftsleitung vorhanden sein, um eine Cybersicherheitsstrategie vorzugeben und Entscheidungen hinterfragen zu können. Jedes Mitglied der Geschäftsleitung benötigt genügend Fachwissen, um zu verstehen, wie sich dies konkret auf seinen Schwerpunktbereich auswirkt, und um die allgemeinen Auswirkungen auf die Organisation als Ganzes zu verstehen.

 

Arbeiten Sie mit Ihren Experten zusammen

Überlegen Sie, ob Ihre Berichtsstruktur es der Geschäftsleitung ermöglicht, sich mit der Cybersecurity wie erforderlich zu befassen. Wenn der CISO an einen Ansprechpartner in der Geschäftsleitung rapportiert, der sich nur auf einen Aspekt konzentriert - sei es Finanzen oder Recht oder Technologie -, kann dies die Fähigkeit der Geschäftsleitung beschränken, die weiteren Auswirkungen der Cybersecurity zu erkennen. In der Mehrheit der FTSE350-Organisationen berichtet der CISO nun direkt an die Geschäftsleitung.

 

Ein guter Ausgangspunkt für die Verbesserung der Cybersecurity in Ihrer Organisation ist die Kommunikation zwischen Experten und Geschäftsleitungsmitgliedern. Die richtige Struktur zu finden, kann helfen, aber wir sehen auch oft eine Zurückhaltung beider Parteien, sich zu engagieren:

  • Technische Mitarbeiter denken, dass die Geschäftsleitung sie nicht verstehen wird.
  • Die Geschäftsleitung ist der Ansicht, dass das technische Personal nicht in der Lage ist, die Fragen im Zusammenhang mit den strategischen Zielen der Organisation zu erläutern.

Die Verbesserung der Kommunikation zwischen diesen beiden Gruppen erfordert Anstrengungen von beiden Seiten:

  • Eine Geschäftsleitung benötigt ein so gutes Verständnis der Cybersecurity, dass sie verstehen kann, wie Cybersecurity ihre übergeordneten Unternehmensziele unterstützt.
  • Das technische Personal muss verstehen, dass die Kommunikation über Cyberrisiken eine Kernkomponente seiner Arbeit ist, und sicherstellen, dass es den Beitrag seines Rolle als zu den Zielen der Organisation versteht.

 


 
Was wäre ein gutes Cybersecurity-Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, Cybersecurity in Ihre Struktur und Ziele zu integrieren.

 

Frage 1

 

Verstehen wir als Geschäftsleitung, wie sich Cybersecurity auf unsere individuelle und kollektive Verantwortung auswirkt?

 

Sie sollten in Betracht ziehen:

  • Verfügt jedes Geschäftsleitungsmitglied über genügend Fachwissen, um die potenziellen Auswirkungen und den Wert der Cybersecurity zu verstehen?
  • Gibt es jemanden, der für die Cybersecurity der Organisation verantwortlich ist?
  • Wer ist für die Überwachung der Cybersecurity verantwortlich?
  • Sind wir uns darüber im Klaren, welche Informationen sowohl die Geschäftsleitung als auch unsere breiteren Interessengruppen benötigen?

 

Frage 2

 

Wer ist in der Organisation derzeit für die Cybersecurity verantwortlich?

 

Dies kann eine Person oder eine Funktion sein, z.B. ein Audit Committee. Sie sollten in Betracht ziehen:

  • Wie arbeiten sie mit der Geschäftsleitung zusammen - berichten sie direkt an die Geschäftsleitung oder passen sie in einen anderen Berichtsprozess? Ermutigt dies die Geschäftsleitung, sich aktiv an den Diskussionen über Cybersecurity zu beteiligen?
  • Was sind ihre Ziele und wer legt sie fest - treiben diese Ziele die Cybersecurity voran, um ein Unternehmen zu unterstützen?
  • Haben sie Zugang zu allen Personen, die sie benötigen, um eine effektive Cybersecurity zu gewährleisten - dies könnte nur im Hinblick auf die Ressourcen erfolgen, die zur Erreichung Ihrer Cybersicherheitsziele erforderlich sind, aber es könnten auch die Teams sein, mit denen sie verbunden werden müssen, z.B. Personal, Finanzen usw.

 

Frage 3

 

Wie stellen wir als Geschäftsleitung sicher, dass die Cybersicherheitsmassnahmen unserer Organisation wirksam sind?

 

Sie möchten vielleicht die Gewissheit haben, dass:

  • Das Unternehmen wendet eine angemessene Palette von technischen Assurance-Tätigkeiten an, deren Ergebnisse der Geschäftsleitung auf sinnvolle Weise vermittelt werden. Assurance-Aktivitäten können die Überprüfung von Abwehrmassnahmen anhand geeigneter Rahmenbedingungen beinhalten.
  • Bedrohungsbewertungen und Verteidigungsprioritäten werden regelmässig überprüft und die Abwehrmassnahmen entsprechend aktualisiert.
  • Der Fokus Ihrer Cybersicherheitsmassnahmen richtet sich nach den Risiken, die Sie identifiziert und priorisiert haben.

 

Frage 4

 

Haben wir als Unternehmen einen Prozess, der sicherstellt, dass das Cyber-Risiko mit dem Geschäftsrisiko integriert wird?

 

Ein Beispiel dafür wäre, wenn ein Risiko von einem Teil der Organisation gegen ein anderes abgewogen wurde. So kann beispielsweise ein Unternehmen beurteilen, dass die Einführung einer Bring Your Own Device (BYOD)-Richtlinie dem Unternehmen einen erheblichen Nutzen in Form von flexibler Arbeit bringt. Im Rahmen des Änderungsfalls, einschliesslich der Bewertung des Geschäftsrisikos, ein BYOD-Modell nicht zu implementieren, sollten Sie auch Folgendes tun:

  • Bewerten Sie den Anstieg des Risikos, das mit der erhöhten Anzahl von Geräten verbunden ist, die an Ihr Netzwerk angeschlossen sind.
  • Bewerten Sie das Risiko, das damit verbunden ist, dass Sie keine Geräte besitzen und somit keine Kontrolle über diese Geräte haben, die mit Ihrem Netzwerk verbunden sind.
  • Wägen Sie bewusst Geschäftsrisiken und -nutzen und technische Risiken und Nutzen von BYOD ab.
  • Berücksichtigen Sie andere Modelle, wie z.B. Corporate Owned, Personally Enabled (COPE) und vergleichen Sie die Risiken und Vorteile.
  • Bewertung der Eignung geplanter Sicherheitsmassnahmen, um sicherzustellen, dass sie die Ziele der flexiblen Arbeit unterstützen und nicht einschränken.
  • In diesem Beispiel wurde das Cyberrisiko der Einführung des neuen Dienstes (BYOD) in das Geschäftsrisiko integriert. Diejenigen, die für einen Dienst verantwortlich sind, sollten bestmögliche Beratung erhalten, damit sie Cyberrisiken und andere Risiken (und Vorteile) bei ihrer Entscheidungsfindung klar abwägen können.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 3)

 

Cyber-Fähigkeiten sind bereits sehr gefragt, und die Studie Global Information Security Workforce schätzt, dass bis 2022 350’000 entsprechend ausgebildete und erfahrene Personen in Europa fehlen werden. Unternehmen müssen jetzt Massnahmen ergreifen, um sicherzustellen, dass sie in Zukunft auf Cybersicherheitsexpertise zurückgreifen können.

 

Was sollte die Geschäftsleitung tun?

Feststellung Ihrer aktuellen Fähigkeiten

 

Die Geschäftsleitung sollte verstehen, welche Cyber-Expertise es in der Organisation gibt und was Sie benötigen. Haben Sie einen CISO? Ein Informationssicherheitsteam? Incident Manager? Wenn nicht, sollten Sie?

 

Diese Informationen geben Ihnen einen Einblick in die Widerstandsfähigkeit der Cybersicherheitsmassnahmen (hängen Sie derzeit von einer Person ab?) und helfen Ihnen auch, die Herkunft der erhaltenen Cybersicherheitsinformationen zu verstehen.

 

Vielleicht sollten Sie auch die Expertise der Geschäftsleitung selbst berücksichtigen. Verfügen Sie derzeit über ausreichende Fachkenntnisse, um sicherzustellen, dass die Geschäftsleitung in der Lage ist, angemessene strategische Entscheidungen zur Cybersecurity zu treffen? Sind Sie wahrscheinlich in der Lage, Schritt zu halten, wenn der technologische Fortschritt neue Sicherheitsherausforderungen mit sich bringt?

 

Was sollte Ihre Organisation tun?

Erstellen Sie einen Organisationsplan

 

Angesichts des Mangels an entsprechend qualifizierten Personen und der zunehmenden Abhängigkeit von digitalen Diensten, die gesichert werden müssen, werden Unternehmen, die sich nicht mit Cybersecurity befassen, bald in Verzug geraten.

 

  1. Finden Sie heraus, welche spezifische Cybersicherheitsexpertise Sie benötigen. "Cybersecurity" umfasst eine Reihe verschiedener Fähigkeiten, von der Netzwerksicherheit über das Risikomanagement bis hin zur Reaktion auf Vorfälle. Es kann nützlich sein, zuerst zu überlegen, welche Fähigkeiten Sie benötigen, um Ihre Ziele oder Risiken mit höchster Priorität zu managen, und dann zu beurteilen, welche (falls vorhanden) dieser Fähigkeiten Sie nicht auslagern können und daher im Haus haben müssen.
  2. Stellen Sie fest, wie dringend Sie diese Fähigkeiten benötigen. Wenn Sie erwägen, bestehende Mitarbeiter zu schulen, unterschätzen Sie nicht, was dies bedeutet. Die Teilnahme an einer Schulung macht jemanden nicht zum Cyber-Sicherheitsexperten: Er muss auch die Möglichkeit haben, praktische Fähigkeiten zu entwickeln, und deshalb bedarf es der Unterstützung durch die Organisation. Wenn Sie kurzfristig Expertise benötigen, ist es vielleicht besser, einen Berater oder Spezialisten zu gewinnen.
  3. Überlegen Sie, wie Sie professionelle Cybersicherheits-Fähigkeiten erkennen können. Dies könnte bedeuten, dass die Überprüfung der Fähigkeit oder Qualität eines neuen Mitarbeiters und/oder die Entwicklung von Ausbildungsplänen schwierig ist. Überlegen Sie, wie Sie mit vertrauenswürdigen Partnern oder Branchenspezialisten zusammenarbeiten können, um Ihnen die nötige Sicherheit zu geben.

 

DIE FÄHIGKEITEN, DIE SIE HABEN, OPTIMAL NUTZEN
Der beste Weg, die Fähigkeiten, die Sie haben, zu nutzen, ist, die Dinge zu identifizieren und sich auf sie zu konzentrieren, die einzigartig für Sie sind (oder die Dinge, für die nur Menschen innerhalb Ihrer Organisation am besten geeignet sind). Dies kann durch den Einsatz etablierter, marktgängiger Technologien ermöglicht werden. So können Sie beispielsweise Cloud-Anbietern den Aufbau und die Sicherung Ihrer Infrastruktur gestatten, so dass Ihre Experten Zeit damit verbringen können, die einzigartigen Einblicke in Ihr Unternehmen zu nutzen.

 

Bauen Sie Ihre beste Belegschaft auf: gleichberechtigt, vielfältig und integrativ.

 

Aufgrund des Defizits an Fähigkeiten im Bereich der Cybersecurity muss Ihre Organisation Talente aus einem möglichst grossen Pool gewinnen und fördern. Die Cybersicherheitsbranche steht vor den gleichen Qualifikationsanforderungen wie alle technologieorientierten Branchen. Unternehmen können es schwierig finden, hochkarätiges Personal aus allen demografischen Gruppen einzustellen und zu halten. Tatsächlich gibt es viele talentierte Frauen und Minderheiten, die in der Cybersecurity arbeiten, aber oft weniger sichtbar sind. Sie können feindliche Arbeitsumgebungen erleben, die ihre Karriere verlangsamen oder unterbrechen oder die Branche ganz vermeiden. Die Zusammenarbeit bei der Bewältigung dieser Herausforderungen verschafft Ihrem Unternehmen einen Wettbewerbsvorteil.

 

ÜBER DIE TECHNISCHEN FÄHIGKEITEN HINAUSBLICKEN
Bei der Gestaltung von Jobrollen und gewünschten Kandidatenprofilen, insbesondere im Einstiegsbereich, sollten Sie ideenreich sein. Der Schutz unserer Organisationen beruht darauf, dass viele verschiedene technische und nicht-technische Fähigkeiten zusammengeführt werden, um Sicherheit zu gewährleisten, die mit den Zielen der Organisation übereinstimmt. Rekrutieren Sie für breitere Geschäftsfähigkeiten, Ambitionen und Potenziale sowie für aktuelle technische Fähigkeiten.

 

SICH UM IHR BESTEHENDES TALENT KÜMMERN
Wenn wir versuchen, unsere Organisationen vielfältiger und integrativer zu gestalten, konzentrieren wir uns oft darauf, neue Talente zu gewinnen, während wir die Probleme ignorieren, die Ihre derzeitigen Mitarbeiter daran hindern, zu bleiben und zu gedeihen, sobald sie einmal da sind. Die verfügbaren Talente mögen sich Ihrer eigenen direkten Kontrolle entziehen, aber Sie können kontrollieren, wie viel Cyber-Sicherheitstalente Sie aufgrund schwieriger Richtlinien und Prozesse sowie einer unangenehmen Arbeitskultur verlieren. Neben einer starken Sicherheitskultur sollten Sie sich auf eine vollständig integrative Arbeitskultur konzentrieren.

 

Schulen, einkaufen oder für die Zukunft entwickeln

 

Im Grossen und Ganzen gibt es 3 Möglichkeiten, um die Cyber-Expertise innerhalb Ihrer Organisation zu erhöhen.

 

SCHULUNG DES BESTEHENDEN PERSONALS
Berücksichtigen Sie nicht nur die Mitarbeiter, die bereits in sicherheitsrelevanten Positionen tätig sind. Schliesslich gibt es viele verschiedene Aspekte der Cybersecurity und jemand, der Experte für das Design einer Netzwerkarchitektur ist, könnte eine ganz andere Qualifikation haben als die Person, die mit dem Personal arbeitet, um sicherzustellen, dass Sicherheitsrichtlinien praktisch und effektiv sind.

Je nach den Bedürfnissen Ihrer Organisation und Ihres Personals kann die Schulung in Form von Training am Arbeitsplatz, beruflichen Qualifikationen oder Praktika erfolgen. Denken Sie daran, dass sich die Entwicklung von Cybersicherheitskompetenz nicht von vielen anderen Berufsbereichen unterscheidet: Die Mitarbeiter werden kontinuierliche Investitionen, Schulungen und Entwicklungsmöglichkeiten benötigen, um ihr Fachwissen zu verfeinern und auch mit den Veränderungen in der Branche Schritt zu halten.

 

BESCHAFFUNG VON EXTERNER EXPERTISE
Für die Einführung von externem Fachwissen stehen mehrere komplementäre Wege zur Verfügung. Eine grosse Organisation wird sie wahrscheinlich alle nutzen.

  1. Rekrutieren Sie einen qualifizierten, nicht geschäftsführenden Direktor für Ihre Geschäftsleitung.
  2. Beauftragen Sie einen Berater mit der Bereitstellung spezifischer Cyber-Sicherheitsberatung.
  3. Identifizieren Sie spezifische Cybersicherheitsdienste, die von einem Dritten erfüllt werden können.
  4. Rekrutieren Sie Mitarbeiter, die bereits über die erforderlichen Fähigkeiten verfügen.

 

 


 

 

Was wäre ein gutes Cybersecurity-Vorgehen?


Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity im Hinblick auf die Steigerung der Expertise im Bereich Cybersecurity ausmacht.

 

Frage 1

 

Als Organisation, welche Cyber-Expertise benötigen wir und was haben wir?

 

Sie sollten herausfinden:

  • Welche Expertise benötigen wir, um unser Cyber-Risiko zu managen? Was müssen wir intern halten und was können wir auslagern?
  • Ist jeder unserer Anforderungen fortlaufend? Zum Beispiel benötigen Sie vielleicht ein Penetrationstestteam, das nur einige Male im Jahr kommt, aber Sie brauchen vielleicht jemanden, der Ihre Systeme das ganze Jahr über überwacht.
  • Welches Fachwissen ist das Minimum für alle Mitarbeiter? Wie können Sie eine gesunde Cybersicherheitskultur in der Organisation sicherstellen? Wie gut und wie oft schulen Sie das Personal in Ihren Sicherheitsrichtlinien und besonderen Bedrohungen, für die Ihr Unternehmen anfällig sein könnte?
  • Wie viele Mitarbeiter haben wir derzeit mit Cyber-Sicherheitsexpertise? Welche Lücken, sagen sie, haben wir?

 

Frage 2

 

Als Organisation, was ist unser Plan zur Entwicklung dessen, was wir nicht haben?

 

Sie sollten herausfinden:

  • Welche Fähigkeiten stehen im Vordergrund?
  • Wer muss die Planung für Cyber-Know-how entwickeln, und wie müssen sie diese erfüllen?
  • Wie findet man Menschen mit der richtigen Eignung für die verschiedenen Cybersicherheitsfähigkeiten? Denken Sie daran, dass Menschen mit unterschiedlichem Hintergrund und mit technischen und nichttechnischen Fähigkeiten für diesen Bereich gut geeignet sein können.
  • Welche Unterstützung kann die Geschäftsleitung diesem Arbeitsfeld geben, sowohl in Bezug auf Investitionen als auch auf weitere Ressourcen?

 

Frage 3

 

Habe ich als Mitglied der Geschäftsleitung genügend Expertise, um Entscheidungen zur Cybersecurity rechtfertigen zu können?

 

  • Habe ich genug Verständnis für die Entscheidungen, die in meiner Organisation zur Cybersecurity getroffen werden, um den Aktionären gegenüber rechenschaftspflichtig zu sein?
  • Wenn nicht, welchen Plan habe ich, um mein Fachwissen zu erweitern? Es gibt auch viele Trainingsanbieter, die Schulungen speziell für die Geschäftsleitungsebene durchführen.

 

Frage 4

 

Bauen wir als Unternehmen eine gleichberechtigte, vielfältige und integrative Belegschaft auf, um unsere Herausforderungen im Bereich Cybersecurity zu bewältigen?

 

  • Haben wir die richtigen Richtlinien, und funktionieren sie in der Praxis gut und sehen auf dem Papier gut aus?
  • Sammeln wir die richtigen Daten und interpretieren sie richtig? Führen wir dann die richtigen Gespräche mit Personen in der gesamten Organisation, um diese Daten zu ergänzen und ein besseres Bild von weniger greifbaren Massnahmen zu erhalten?
  • Machen wir aktive, sinnvolle Anstrengungen, um aus allen Gemeinschaften zu rekrutieren um die Gesellschaft, in der wir tätig sind, zu reflektieren?
  • Verwenden wir eine Reihe von Rekrutierungsmethoden, um unbewusste Verzerrungen zu überwinden und sicherzustellen, dass wir die Stärken der Kandidaten umfassen herauszufinden?
  • Sind wir zuversichtlich, dass wir Mitarbeiter einstellen und entwickeln, um den Herausforderungen unserer Organisation in Zukunft gerecht zu werden und nicht nur die Aufgaben von heute zu erfüllen?
  • Schaffen wir das richtige Umfeld und die richtige Kultur, damit sich die Mitarbeiter sicher fühlen können, offen auf Probleme hinzuweisen?

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 4)

 

Bei der Etablierung und Aufrechterhaltung einer gesunden Kultur in jedem Teil des Unternehmens geht es darum, den Menschen in den Mittelpunkt von Strukturen und Richtlinien zu stellen. Bei der Cybersecurity besteht jedoch manchmal die Tendenz, sich fast ausschliesslich auf die technischen Fragen zu konzentrieren und die Bedürfnisse der Menschen und ihre tatsächliche Arbeitsweise zu übersehen.

 

Das führt selten zum Erfolg. Wir wissen zum Beispiel, dass, wenn die offizielle Policy es jemandem schwer macht, seine Arbeit zu tun, oder wenn eine Policy nicht mehr praktikabel ist, die Menschen Umgehungsmöglichkeiten und "inoffizielle" Wege finden, bestimmte Aufgaben zu erfüllen.

 

Ohne eine gesunde Sicherheitskultur werden sich die Mitarbeiter nicht mit Cybersecurity beschäftigen, so dass Sie nichts über diese Umgehungsmöglichkeiten oder inoffiziellen Ansätze wissen. So haben Sie nicht nur ein ungenaues Bild von der Cybersecurity Ihrer Organisation, sondern verpassen auch die Möglichkeit, wertvolle Beiträge von Mitarbeitern zu erhalten, wie Richtlinien oder Prozesse verbessert werden können.

 

Was sollte die Geschäftsleitung tun?

Mit gutem Beispiel vorangehen

 

Sie geben den Ton an, wenn es um die Cybersecurity geht. Führen Sie mit gutem Beispiel und setzen Sie sich für Cybersecurity in Ihrer Organisation ein.

 

Wir hören oft Geschichten von Führungskräften, die Sicherheitsrichtlinien und -prozesse ignorieren, oder von der Forderung nach einer "Sonderbehandlung" in irgendeiner Weise (z.B. die Forderung nach einem anderen Gerät als dem Standard). Dies sagt allen anderen in der Organisation, dass Sie die Regeln vielleicht nicht für zweckmässig halten und/oder dass es akzeptabel ist, zu versuchen, sie zu umgehen.

 

Wenn Richtlinien für Sie als Geschäftsleitungsmitglied nicht funktionieren (d.h. wenn Sie etwas anderes tun, um Ihre Arbeit leichter zu erledigen), dann besteht eine gute Chance, dass sie auch nicht für andere funktionieren. Wenn es den Anschein hat, dass sich die Politik nachteilig auf die Organisation auswirkt, arbeiten Sie mit den Entscheidungsträgern zusammen, um sie anzupassen.

 

Kultur braucht Zeit und gemeinsame Anstrengungen, um sich zu entwickeln. Gehen Sie nicht davon aus, dass, weil die Geschäftsleitung einen Sicherheitsansatz gebilligt hat, dieser automatisch in der gesamten Organisation kaskadiert wird

 

Was sollte Ihre Organisation tun?

Menschen in den Mittelpunkt der Sicherheit stellen

 

Letztendlich sollte die Rolle der Sicherheit darin bestehen, dass Ihr Unternehmen in die Lage versetzt wird, seine Ziele zu erreichen. Daraus folgt, dass, wenn Ihre Cybersicherheitsmassnahmen für die Leute nicht funktionieren, dann funktionieren Ihre Sicherheitsmassnahmen nicht.

 

Einige Organisationen geraten in die Falle, die Menschen als das "schwache Glied" zu behandeln, wenn es um die Cybersecurity geht. Das ist ein Fehler. Effektive Sicherheit bedeutet, alle verschiedenen Komponenten auszugleichen und nicht zu erwarten, dass der Mensch immer der Technologie gerecht werden muss. Noch wichtiger ist, dass die Organisation nicht ohne Menschen funktionieren kann, daher sollten die Mitarbeiter unterstützt werden, damit sie ihre Arbeit so effektiv und sicher wie möglich erledigen können.

 

Sicherheit und Führung müssen das Beste aus dem machen, was das Verhalten der Menschen ihnen sagt. Während die technische Überwachung nach Anomalien suchen kann, kann der Mensch als Frühwarnsystem fungieren und intuitiv etwas entdecken, das ungewöhnlich aussieht. Sicherzustellen, dass die Mitarbeiter wissen, an wen sie Bedenken melden müssen, kann der Organisation langfristig viel Zeit und Geld sparen. Wenn die Mitarbeiter ein festgelegtes Verfahren umgehen, kann dies eine bestimmte Richtlinie oder einen bestimmten Prozess hervorheben, der einer Überprüfung bedarf.

 

Entwicklung einer "gerechten Kultur"

Die Entwicklung einer "gerechten Kultur" wird es der Organisation ermöglichen, mit dem Personal die bestmögliche Interaktion bezüglich Cybersecurity zu haben. Die Mitarbeiter werden ermutigt, sich zu Wort zu melden und Bedenken zu äussern, es werden geeignete Massnahmen ergriffen, und niemand versucht, Schuld zuzuweisen. Dies ermöglicht es den Mitarbeitern, sich darauf zu konzentrieren, den grösstmöglichen Nutzen für das Unternehmen zu erzielen, anstatt sich auf den Schutz ihrer selbst zu konzentrieren.

 

 


 

 

Was wäre ein gutes Vorgehen?

 

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity im Hinblick auf die Entwicklung einer positiven Cybersicherheitskultur ausmacht.


Frage 1

 

Setze ich als Geschäftsleitungsmitglied ein Beispiel?

 

Sie könnten dies tun, indem Sie:

  • Sicherstellen, dass sich die Mitarbeiter auf allen Ebenen des Unternehmens befähigt fühlen und einen geeigneten Mechanismus haben, um Sicherheitsbedenken anzusprechen.
  • Sich mit Sicherheitsentscheidungen befassen und diese respektieren und mit Entscheidungsträgern zusammenarbeiten, um ineffektive Richtlinien hervorzuheben.
  • Übernehmen Sie Verantwortung für Ihre eigene Rolle in der Cybersecurity, indem Sie das Risiko, das Sie als wahrscheinliches Ziel für Angreifer darstellen, erkennen und entsprechend handeln.
  • Offen und positiv mit den Mitarbeitern darüber sprechen, warum Cybersecurity für das Unternehmen wichtig ist.

 

Frage 2

 

Haben wir als Organisation eine gute Sicherheitskultur?

 

Einige Zeichen dafür, dass eine Organisation einen guten Ansatz hat, wären:

  • Die Mitarbeiter wissen, wie sie Bedenken oder verdächtige Aktivitäten melden können, und fühlen sich dazu ermächtigt.
  • Die Mitarbeiter fürchten keine Repressalien, wenn sie Bedenken oder Vorfälle melden.
  • Die Mitarbeiter fühlen sich in der Lage, Prozesse konstruktiv zu hinterfragen.
  • Die Mitarbeitereinbindung wird nachweislich zur Gestaltung der Sicherheitspolitik genutzt.
  • Die Mitarbeiter verstehen, wie wichtig Cybersicherheitsmassnahmen sind und was sie für das Unternehmen bedeuten.

 

Frage 3

 

Was tun wir als Organisation um eine gute Sicherheitskultur zu unterstützen?

 

Dies kann je nach Grösse Ihrer Organisation sehr unterschiedlich sein. Einige Beispiele, die wir gesehen haben, sind unter anderem:

  • Angemessene Ressourcen für die Mitarbeiter-Awareness.
  • Sicherstellen, dass die Mitarbeiter bei der Erstellung neuer Richtlinien oder Systemdesigns einbezogen werden.
  • Teilen von Sicherheitsmetriken, die sich auf den Erfolg und nicht auf das Scheitern konzentrieren (z.B. wie viele Personen Phishing-E-Mails identifiziert haben und nicht wie viele Personen auf sie geklickt haben).
  • Unterstützung der Wichtigkeit der Cybersicherheit durch die Geschäftsleitung.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 5)

 

Es gibt zwei Aufgaben in diesem Abschnitt, aber wir untersuchen sie Seite an Seite, da sich die Ergebnisse der einen auf die andere auswirkt und umgekehrt. Die beiden Aufgaben sind:

  • Ausarbeitung, welche Komponenten Ihres "technischen Bereiches" (d.h. Ihrer Systeme, Daten, Dienste und Netzwerke) für die Ziele Ihrer Organisation am kritischsten sind.
  • Verständnis dafür, was Ihren technischen Bereich ausmacht, so dass Sie eine Ausgangsbasis schaffen können, die in Ihre Risikobewertungen und Ihre Abwehrmassnahmen einfliesst.

 

Während diese beiden Aufgaben getrennte Zwecke haben, müssen Sie einen Überblick Ihrer technischen Ausstattung haben, um zu verstehen, welche Teile davon geschäftskritisch sind. Gleichzeitig müssen Sie die Bereiche zu priorisieren, die der Baseline zugeordnet werden sollen, da dies für Ihren gesamten technischen Bereich zu tun eine sehr ressourcenintensive Aufgabe wäre.

 

Was sollte die Geschäftsleitung tun?

Finden Sie heraus, was Ihnen am wichtigsten ist.

Wie bei allen anderen Geschäftsrisiken wird Ihr Unternehmen nicht in der Lage sein, alle Cyber-Sicherheitsrisiken zu jeder Zeit zu minimieren. Daher muss die Geschäftsleitung wichtige Ziele kommunizieren (es könnte z.B. sein, "Kunden und Klienten einen guten Service zu bieten"), damit sich die technischen Experten auf den Schutz der Dinge konzentrieren können, die sicherstellen, dass diese Ziele erreicht werden.

 

Die Geschäftsleitung sollte auch prüfen, was für das Unternehmen am wertvollsten ist. So könnte die Geschäftsleitung beispielsweise wissen, dass ein bestimmter Partner für die Organisation entscheidend ist und dass eine Kompromittierung seiner Daten katastrophal wäre. Dies sollte den technischen Teams mitgeteilt werden, damit sie dem Schutz dieser "Kronjuwelen" Priorität einräumen können.

 

Es ist sehr wichtig, dass es sich um eine aktive und kontinuierliche Diskussion zwischen der Geschäftsleitung und ihren Experten handelt:

  • Die Geschäftsleitung wird Geschäftseinblicke haben, die technische Teams möglicherweise nicht haben (z.B. welche Partnerbeziehung priorisiert werden muss).
  • Technische Teams haben Wissen über die Treiber für Schlüsselziele (z.B. welche Netzwerke oder Systeme bestimmte Partner nutzen).

 

Nur wenn man diese beiden zusammenbringt, kann man sich ein vollständiges Bild davon machen, was es zu schützen gilt. Sobald Sie dieses Bild haben, ist es wahrscheinlich, dass die Geschäftsleitung innerhalb dieser Liste noch Prioritäten setzen muss. Dieses Verständnis wird nicht nur dazu beitragen, das Ziel Ihrer Cybersecurity zu fokussieren, sondern auch die Einschätzung der Bedrohung, der Ihr Unternehmen ausgesetzt sein könnte, beeinflussen.

 

Was sind Ihre Kronjuwelen?

Ihre Kronjuwelen sind die Dinge, die für Ihre Organisation am wertvollsten sind. Sie könnten wertvoll sein, weil Sie ohne sie einfach nicht funktionieren könnten, oder weil ihre Kompromittierung Reputationsschäden verursachen würde, oder es zu finanziellen Verlusten führen würde. Einige Beispiele könnten sein:

  • umfangreiche personenbezogene Daten
  • geistiges Eigentum
  • Ihre öffentlich zugängliche Website
  • industrielle Steuerungssysteme

 

Was sollte Ihre Organisation tun?

Finden Sie heraus, wo Sie anfangen.

 

Dies liefert Informationen, die Ihre Risikoentscheidungen auf zweierlei Weise unterstützen.

 

Erstens beeinflusst es die Optionen, die Sie haben. Zu wissen, welche Systeme miteinander verbunden sind, wer und was Zugang zu bestimmten Daten hat und wem welche Netzwerke gehören, ist entscheidend für den Aufbau einer guten Verteidigung. Diese Informationen werden auch bei einem Vorfall benötigt, um eine Bewertung des Schadens, den ein Angreifer verursachen könnte, oder der Auswirkungen von Abhilfemassnahmen, die Sie ergreifen könnten, vorzunehmen.

 

Zweitens könnte es Ihre Risikobewertung beeinflussen. Manchmal kommt ein Risiko nicht von einer Bedrohung eines wichtigen Vermögenswertes, sondern von einer Schwachstelle in den Systemen Ihres Unternehmens. Viele Vorfälle sind das Ergebnis von Schwachstellen in älteren und Legacy-Systemen, und die Vorfälle entstehen nicht, weil die Schwachstelle nicht abgewehrt werden kann, sondern weil die Organisation nicht über ein ausreichendes Verständnis ihrer Systeme verfügte, um zu erkennen, dass sie gefährdet waren.

 

Das Verständnis der Gesamtheit Ihrer technischen Landschaft kann eine gewaltige oder unmögliche Aufgabe sein - insbesondere für Organisationen, deren Netzwerke und Systeme organisch gewachsen sind - aber auch nur ein grundlegendes Verständnis wird helfen, und ein gutes Verständnis Ihrer Prioritäten kann helfen, diese Aufgabe zu fokussieren.

 

Identifizierung kritischer technischer Vermögenswerte

Basierend auf den Prioritäten der Geschäftsleitung müssen Sie ermitteln, welche Teile des technischen Bereichs für die Erreichung der obersten Ziele entscheidend sind. Dies können Systeme, Daten, Netzwerke, Dienste oder Technologien sein. So kann beispielsweise die Pflege eines langfristigen Kundenstamms ein vorrangiges Ziel sein. Es gibt viele Möglichkeiten, wie eine gute Cybersecurity dies ermöglichen könnte. Es könnte sein:

  • Sicherung einer Kundendatenbank zum Schutz ihrer Daten
  • Sicherstellung der Ausfallsicherheit des Auftragsabwicklungssystems, um sicherzustellen, dass die Lieferungen pünktlich erfolgen.
  • Sicherstellung der Verfügbarkeit der Website, damit Kunden Sie problemlos kontaktieren können.

 

Es kann manchmal schwierig sein, diese Abhängigkeiten zu identifizieren, da sie ein so integraler Bestandteil Ihres Betriebs sind, dass sie als selbstverständlich angesehen werden können, aber die folgenden Fragen können helfen. Dies in Verbindung mit dem Baselining Ihrer IT-Landschaft zu tun, wird auch dazu beitragen, potenziell Vermögenswerte zu identifizieren, die Ihnen nicht einmal bekannt waren und die für die Bereitstellung bestimmter Dienstleistungen tatsächlich entscheidend sind.

 

Zusammenarbeit mit Lieferanten und Partnern

Die meisten Unternehmen haben Lieferanten oder Partner, mit denen sie Informationen, Systeme oder Dienstleistungen erhalten, bereitstellen oder teilen. Sie müssen dies in der Baseline Ihrer IT-Landschaft berücksichtigen, da dies potenzielle Einstiegspunkte in Ihre Organisation sind.

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, Ihre Ausgangslage zu ermitteln und herauszufinden, was Ihnen am wichtigsten ist.


Frage 1

Haben wir als Unternehmen ein klares Verständnis dafür, wie technische Systeme, Prozesse oder Vermögenswerte zur Erreichung unserer Ziele beitragen?

 

Einige Fragen, die dabei helfen können, diese Abhängigkeiten zu identifizieren:

  • Was sind unsere "Kronjuwelen" (d.h. die Dinge, ohne die unsere Organisation nicht überleben könnte)?
  • Welche Anforderungen müssen wir erfüllen (z.B. gesetzliche oder vertragliche Anforderungen)?
  • Was wollen wir nicht, dass es passiert, wie könnte es passieren?

 


Frage 2

Haben wir als Geschäftsleitung unsere vorrangigen Ziele klar kommuniziert und haben wir die Gewissheit, dass diese Prioritäten unsere Bemühungen um Cybersecurity leiten?

 

Die Cyber-Sicherheitsstrategie sollte in die Strategie Ihrer Organisation integriert werden, und Ihre strategischen Prioritäten sollten die Abwehrmassnahmen leiten. Eine gute Organisation sollte über einen Prozess verfügen, um sicherzustellen, dass diese Strategien aufeinander abgestimmt bleiben, und sollte in der Lage sein zu zeigen, wie die Investitionen auf diese Prioritäten ausgerichtet sind.

 

Wenn zum Beispiel ein Versprechen an Kunden über ihre Privatsphäre eine Priorität ist, dann könnten Sie Folgendes tun:

  • festzustellen, was dieses Versprechen gefährden könnte, z.B. der Verlust ihrer Kreditkartendaten.
  • festzustellen, welche technischen Mittel erforderlich sind, um diese Daten zu schützen, z.B. Datenbank, Zugangsmanagementsystem.
  • bei der Umsetzung von Cybersicherheitsmassnahmen die Verteidigung dieser Vermögenswerte in den Vordergrund zu stellen.
  • regelmässige Auditierung der Massnahmen

 

Frage 3

Wie identifizieren und verfolgen wir als Unternehmen Systeme, Daten oder Dienstleistungen, für die wir verantwortlich sind?

 

Wenn Sie eine grosse Organisation sind und Ihre Systeme organisch gewachsen sind, kann es unpraktisch sein, die Details Ihrer Systeme, Geräte und Netzwerke zu verstehen. Mindestens sollten Sie sich darüber im Klaren sein, welchen Grad an Verständnis Sie haben und welche potenziellen Risiken sich aus undokumentierten Systemen ergeben können. Im Idealfall beginnen Sie mit einer guten Vorstellung davon beginnen, wie Ihre IT-Landschaft aussieht, und haben dann einen Prozess, um sicherzustellen, dass alle Änderungen berücksichtigt und aufgezeichnet werden, um die Baseline auf dem neuesten Stand zu halten. Diese Baseline kann Informationen beinhalten wie z.B.:

  • Inventarisierung der in der gesamten Organisation verwendeten Hard- und Software
  • ein aktuelles Verzeichnis der Systeme, einschliesslich aller mit dem Internet verbundenen, partnerseitig gerichteten Systeme und Netzwerke.
  • Details zu Datensätzen; welche Dienste, Systeme und Benutzer haben Zugriff auf sie, wo werden sie gespeichert, wie werden sie verwaltet.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 6)

 

Die Art der Bedrohung wird durch die Art der Organisation und die Dienstleistungen einer Organisation bestimmt. So wird beispielsweise die überwiegende Mehrheit der Organisationen nicht gezielt von Nationalstaaten angesprochen und kann sich daher auf die Bedrohungen durch Cyberkriminelle konzentrieren. Organisationen, die Teil des Sektors für kritische nationale Infrastrukturen und Verteidigungsanlagen sind oder Dienstleistungen für diese erbringen, können jedoch durch Nationalstaaten gefährdet sein.

 

Das Verständnis der Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, sei es für sich allein oder aufgrund der Tatsache, mit wem Sie zusammenarbeiten, ermöglicht es Ihnen, den Ansatz Ihres Unternehmens für Investitionen in Cybersecurity entsprechend anzupassen. Sie müssen bewusst entscheiden, gegen welche Bedrohung Sie sich verteidigen wollen, sonst riskieren Sie, sich gegen alles verteidigen zu wollen, und dies erst noch ineffizient.


Cybersecurity: Was sollte die Geschäftsleitung tun?

 

Verstehen Sie die Bedrohung.

Ein Verständnis der Cybersecurity-Bedrohungslandschaft ist der Schlüssel, um der Geschäftsleitung dabei zu helfen, gut informierte Governance-Entscheidungen zu treffen. Beispielsweise können Sie sich anders auf eine Fusion mit einem Unternehmen vorbereiten, wenn Sie wissen, dass sie wichtige Produkte oder Dienstleistungen für kritische nationale Infrastrukturen schaffen und daher ein Ziel für einen Nationalstaat sein können. Die Geschäftsleitung wird bereits einen Einblick in die Bedrohungen oder Herausforderungen ihres Sektors haben. Dies sollte durch ein Bewusstsein für die Motivationen von Angreifern und einen Mechanismus ergänzt werden, um über wichtige Entwicklungen der Cybersecurity (z.B. das Wachstum von Ransomware) auf dem Laufenden zu bleiben.

 

Cybersecurity: Security-Zusammenarbeit

Eine der besten Informationsquellen über bewährte Verfahren und relevante Bedrohungen können Ihre Branchenkollegen sein. Angreifer richten sich oft in ähnlicher Weise gegen eine Reihe von Organisationen im gleichen Sektor. Die Pflege dieser kooperativen Beziehungen im Bereich der Sicherheit hat zwei grosse Vorteile. Erstens kann es dazu beitragen, die Widerstandsfähigkeit der eigenen Organisation zu erhöhen, indem es frühzeitig vor Bedrohungen warnt und die Cybersicherheitspraxis verbessert. Zweitens trägt es dazu bei, die Widerstandsfähigkeit des gesamten Sektors zu erhöhen, was die Attraktivität für potenzielle Angreifer verringern kann.

 

Cybersecurity: Bewerten Sie die Bedrohung

Die Ausarbeitung der für Ihre Organisation relevanten "Bedrohungsakteure" (die Gruppen oder Einzelpersonen, die in der Lage sind, einen Cyberangriff durchzuführen) kann Ihnen helfen, Entscheidungen darüber zu treffen, gegen was Sie sich aktiv verteidigen werden. Obwohl Investitionen in eine gute Ausgangsbasis für Cyber-Sicherheitskontrollen dazu beitragen, Ihr Unternehmen vor den häufigsten Bedrohungen zu schützen, kann die Implementierung effektiver Abwehrmassnahmen gegen einen gezielteren oder nachhaltigeren Angriff kostspielig sein. Abhängig von der Wahrscheinlichkeit und den Auswirkungen dieser Bedrohung könnten Sie entscheiden, dass es sich nicht lohnt, diese zusätzlichen Investitionen vorzunehmen.

 

Die laufende Diskussion zwischen der Geschäftsleitung und Experten wird Ihnen helfen, die Bedrohungen zu priorisieren, gegen die Sie sich aktiv wehren können. Die Experten werden ein vertieftes Verständnis der Bedrohung haben, und die Geschäftsleitung wird in der Lage sein, die Merkmale der Organisation zu identifizieren, die sie zu einem attraktiven Ziel für Angreifer machen könnten. Es ist auch wichtig, diese Diskussion vor jeder Entscheidung zu führen, die das Bedrohungsprofil der Organisation erheblich verändern wird, um dem technischen Personal die Zeit zu geben, die Cybersecurity der Organisation entsprechend anzupassen.

 

Cybersecurity: Zusammenarbeit mit Lieferanten und Partnern

Bei der Beurteilung der Bedrohung sollten Sie nicht nur den Wert berücksichtigen, den Sie als eigenständige Organisation haben könnten, sondern auch den Wert, den Sie als Weg in eine andere, möglicherweise grössere Organisation darstellen können. Beispielsweise können Sie wichtige Dienstleistungen für eine Organisation erbringen, die an der kritischen nationalen Infrastruktur beteiligt ist. In diesem Fall kann ein Nationalstaat Ihre Organisation angreifen, um Zugang zu seinem eigentlichen Ziel zu erhalten.

 

Cybersecurity: Was sollte Ihre Organisation tun?

 

Unterschätzen Sie nicht die Auswirkungen ungeplanter Angriffe

Bei einem ungerichteten Angriff erreicht ein Angreifer mit einem «Giesskannenprinzip»-Ansatz Tausende potenzieller Opfer auf einmal, anstatt ein bestimmtes Opfer anzugreifen. Angreifer verwenden oft automatisierte, weit verbreitete Tools, die öffentlich zugängliche Websites nach bekannten Schwachstellen durchsuchen. Das gleiche Tool wird dann, sobald eine Schwachstelle gefunden wurde, diese Website automatisch ausnutzen, unabhängig davon, zu wem sie gehört. Dies könnte genauso viel Einfluss auf Ihre Organisation haben wie ein gezielter Angriff. Eine gute Grundlage für grundlegende Cyber-Sicherheitskontrollen und -prozesse schützt Ihr System vor den meisten dieser Angriffe.

 

Beschaffen Sie sich gute Informationen – und nutzen Sie sie

Sie benötigen verschiedene Arten von Bedrohungsinformationen für verschiedene Zwecke. Für Governance-Entscheidungen ist ein gutes Gesamtbild der Bedrohungen erforderlich, und für alltägliche und taktische Entscheidungen sind zeitnahe Informationen über Bedrohungen erforderlich. Viele Partner aus Industrie und Verwaltung bieten Informationen über Bedrohungen, von jährlichen Berichten über allgemeine Trends bis hin zu hochtechnischen Berichten über eine bestimmte Art von Malware. Sie benötigen daher einen Mechanismus, um zu ermitteln, welche Informationen Ihre Organisation benötigt, zu welchem Zweck und um diese Informationen intern zu teilen. Entscheidend ist, dass Sie diese Informationen nutzen, um Geschäftsentscheidungen zu treffen, einschliesslich Beschaffung, Outsourcing, Training, Richtlinien und Verteidigung Ihrer Netzwerke.

 

Sie können auch intern Bedrohungsinformationen sammeln. Sie werden wahrscheinlich Erfahrung mit Angriffen auf Ihre eigene Organisation haben, die strategische Einblicke in die Aktivitäten von Bedrohungsakteuren sowie taktische Details über die Methoden der Bedrohungsakteure liefern können. Diese spezifischen Details werden wahrscheinlich aus der Protokollierung oder Überwachung innerhalb Ihrer Organisation entstehen.

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, um die Bedrohung der Cybersecurity für Ihr Unternehmen zu verstehen.

 

Frage 1

 

Welche Bedrohungen bewerten wir als relevant für unser Unternehmen und warum?

Diese Analyse sollte:

  • Identifizierung der potenziellen Motivation für diese Bedrohungen und der Wahrscheinlichkeit, dass sie sich auf Ihre Organisation richten.
  • Beeinflussen, welche Risiken Sie bereit sind zu tolerieren.
  • durch die Zusammenarbeit mit wichtigen Partnern in Ihrer Branche angereichert werden.
  • durch Beweise aus den bisherigen Angriffen gestützt werden

 

Frage 2

 

Wie bleiben wir als Unternehmen über die Cyber-Bedrohung auf dem Laufenden?

Sie können:

  • versuchen, Beweise für Angriffe in Systemprotokollen zu finden, die Sie möglicherweise besitzen.
  • Abonnieren Sie eine Reihe von Feeds mit Informationen über Bedrohungen.
  • Teil einer branchenspezifischen Intelligence-Sharing-Gruppe sein.
  • über Mechanismen verfügen, um wichtige Updates von Cyber-Bedrohungen intern zu teilen.

 

Frage 3

 

Wie nutzen wir als Unternehmen Bedrohungsinformationen, um den Normalbetrieb zu unterstützen?

Dies sollte ein kontinuierlicher Zyklus mit Gefährdungsbeurteilungen sein, die die Normalbetriebsentscheidungen beeinflussen und Normalbetriebserfahrungen, die in die Gefährdungsbeurteilungen einfliessen. Beispiele hierfür können sein:

  • Bewertung der Wahrscheinlichkeit und der Auswirkungen von Bedrohungen als zusätzliche Information für Risikobewertungen und -appetit
  • Aufklärung der Mitarbeiter über die wichtigsten Bedrohungen, denen sie ausgesetzt sind, damit sie fundierte Entscheidungen treffen können.
  • Lehren aus früheren Vorfällen ziehen, die in Bedrohungsbewertungen einfliessen.
  • Nutzung von Bedrohungsinformationen zur Fokussierung von Abwehrmassnahmen
  • Berücksichtigung von Bedrohungen bei Änderungs- oder Beschaffungsentscheidungen (z.B. bei der Auswahl eines neuen IT-Anbieters, bei der Prüfung einer möglichen Fusion oder bei der Entwicklung eines neuen Produkts)

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 7)

 

Die meisten Unternehmen werden bereits Massnahmen ergreifen, um ihr Cybersicherheitsrisiko zu bewerten und zu managen. Es lohnt sich jedoch, darüber nachzudenken, durch was diese Tätigkeit ausgelöst wird. Häufig führen Unternehmen Risikomanagementübungen aus Gründen der "Compliance" durch, die Folgendes beinhalten können:

  • Verpflichtungen aus externem Druck (z.B. regulatorische Anforderungen)
  • Kundenanforderungen
  • rechtliche Beschränkungen

Wenn dies aus diesen Gründen geschieht, besteht die Gefahr, dass das Risikomanagement zu einer Tick-box-Übung wird. Dies kann dazu führen, dass Unternehmen glauben, ein Risiko bewältigt zu haben, obwohl sie in Wirklichkeit lediglich einen Prozess eingehalten haben, der (wenn auch unbeabsichtigte) negative Folgen haben kann.

 

Compliance und Sicherheit sind nicht dasselbe. Sie können sich überschneiden, aber die Einhaltung gemeinsamer Sicherheitsstandards kann mit sehr schwachen Sicherheitspraktiken koexistieren und diese überdecken. Ein gutes Risikomanagement sollte über die reine Compliance hinausgehen. Ein gutes Risikomanagement sollte Einblick in die Gesundheit Ihrer Organisation geben und Chancen und mögliche Probleme erkennen.

 

Was sollte die Geschäftsleitung tun?

 

Integrieren Sie Cybersecurity in die Prozesse des organisatorischen Risikomanagements

Viele Ihrer organisatorischen Risiken haben eine Cyberkomponente. Das Cyber-Sicherheitsrisiko sollte daher in Ihren organisatorischen Ansatz für das Risikomanagement integriert werden. Der Umgang mit dem Cyber-Sicherheitsrisiko als eigenständigem Thema (oder einfach im Sinne von "IT-Risiko") wird es Ihnen schwer machen, die breiteren Auswirkungen dieser Cyber-Sicherheitsrisiken zu erkennen oder alle anderen organisatorischen Risiken zu berücksichtigen, die Auswirkungen auf die Cybersecurity haben.

 

Die Rolle der Cybersecurity sollte darin bestehen, das Unternehmen zu unterstützen und zu befähigen, und zwar durch das Management seiner Risiken, ohne wesentliche Aktivitäten zu blockieren, oder die Dinge zu verlangsamen oder die Kosten für die Geschäftstätigkeit unverhältnismässig hoch zu machen.

 

Machen Sie das Ausmass der Risikoreduktion nicht zum Massstab für den Erfolg

Es kann schwierig sein, den Erfolg der Cybersicherheitsmassnahmen Ihres Unternehmens zu messen. Ein typisches Ergebnis einer guten Cybersecurity ist das Fehlen eines Fehlers, der schwer zu messen ist, und da die Cybersecurity noch ein relativ neues Feld ist, gibt es noch nicht viele etablierte Metriken, auf die man sich stützen kann.

 

Es ist üblich, dass Risikobewertungen eine Art Bewertungsniveau liefern, sei es ein hoch, mittel oder niedrig, oder eine Zahl, und so könnte es verlockend sein, dies als Leistungskennzahl für Ihre Cybersicherheitsmassnahmen zu verwenden. Dies sind jedoch schlechte Metriken für Ihre internen Sicherheitsbemühungen, da sie von externen Faktoren beeinflusst werden, die ausserhalb Ihrer Kontrolle liegen - Faktoren, die sich extrem schnell ändern. Täglich werden neue Schwachstellen entdeckt, und die Zahl der Akteure, die Cyber-Mittel zur Erreichung ihrer Ziele einsetzen wollen, steigt.

 

Die Steigerung der Leistung durch die Reduzierung einer mit dem Cyber-Sicherheitsrisiko verbundenen Zahl wird wahrscheinlich Anreize für Risikobeurteiler und Gutachter schaffen, die Risiken zu unterschätzen, was zu weniger fundierten Entscheidungen führt. Einige Überlegungen darüber, wie "gute Metriken" aussehen, werden bei der Implementierung effektiver Cybersicherheitsmassnahmen angestellt.

 

Was sollte Ihre Organisation tun?

 

Seien Sie realistisch in Bezug auf die Risiken.

Ähnliche Grundsätze des Risikomanagements nach bewährten Verfahren gelten für das Management von Cyberrisiken wie für das Management anderer organisatorischer Risiken. Es gibt jedoch zwei Dinge zu beachten.

 

Erstens schreiten Lösungen und Technologien in der Cybersecurity so schnell voran, dass es leicht ist, sich in veralteten Bewertungen von Cyberrisiken zu verfangen. Daher müssen Sie Cyber-Sicherheitsrisiken möglicherweise häufiger überprüfen als andere Risiken.

 

Zweitens, da die Cybersecurity noch ein relativ neues Gebiet ist, wird die Organisation kein so intuitives Verständnis von Cybersicherheitsrisiken haben, wie es für das finanzielle Risiko der Fall wäre. Wenn neue Technologien auftauchen, gibt es vielleicht keine riesige Evidenzbasis, auf die man sich bei der Erstellung einer Risikobewertung stützen kann. Dies ist bei der Betrachtung des Vertrauens, das Sie in eine Bewertung des Cybersicherheitsrisikos haben, zu berücksichtigen, insbesondere wenn diese Bewertung direkt mit der Bewertung etablierterer Risiken verglichen werden soll.

 

Ein gutes Beispiel dafür ist die Cloud-Sicherheit. Der NCSC sieht viele Organisationen zögern, Cloud-Dienste zu nutzen, weil sie intuitiv davon ausgehen, dass es ein hohes Risiko ist, vor allem durch den Glauben, dass die Speicherung von etwas Wertvollem bei einem Dritten riskanter ist. In Wirklichkeit hat der Dritte (in diesem Fall also ein Cloud-Service-Provider) möglicherweise bessere Sicherheitsmassnahmen in seinen Rechenzentren als Ihre eigene Vor-Ort-Speicherung. Das Gesamtrisiko kann also geringer sein. Eine Entscheidung für den Einsatz neuester Technologien - wie Cloud Storage - müsste auf einem umfassenden Verständnis aller Risiken beruhen und nicht auf einer intuitiven Bewertung.

 

 


 

 

Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity im Hinblick auf das Management von Cybersicherheitsrisiken ausmacht.

 

Frage 1

 

Haben wir als Unternehmen einen Prozess, der sicherstellt, dass die Entscheidungsträger so gut wie möglich informiert sind?

Der Hauptfokus Ihres Prozesses sollte sein, dass Entscheidungsträger die fundiertesten Entscheidungen treffen können. Die Entscheidungsträger können die Geschäftsleitung sein (die eine Risikobereitschaft basierend auf dem Verständnis eines technischen oder operativen Risikos festlegen muss) oder die Praktiker, die entscheiden müssen, wie eine bestimmte, von der Geschäftsleitung vorgegebene Vorgehensweise umzusetzen ist. Beide müssen so gut wie möglich informiert sein (in einer verständlichen Form), damit diese Entscheidungen gut getroffen werden können. Das bedeutet, dass die Ergebnisse der Risikobewertungen sinnvoll ausgedrückt werden müssen. Qualifizierte Ergebnisse sind in der Regel am effektivsten und sind sinnlosen Ergebnissen vorzuziehen, bei denen manchmal beliebige Zahlen addiert oder multipliziert werden, um eine Punktzahl abzuleiten.

 

Frage 2

 

Wie bleiben wir als Unternehmen über die Cyber-Bedrohung auf dem Laufenden?

Jeder Entscheidungsträger in Ihrer Organisation sollte sich der Bedeutung des Cyber-Sicherheitsrisikos bewusst sein und über genügend Fachwissen (oder Zugang zu Fachwissen) verfügen, um das Cyber-Sicherheitsrisiko bei seinen Entscheidungen zu berücksichtigen. Zuerst sollten Sie vielleicht Folgendes tun:

  • bewusst mögliche Cyber-Sicherheitsrisiken in Ihre Entscheidungsprozesse einbauen.
  • Fokussierung auf Schulung der Mitarbeitenden über Cybersecurity

Eine Möglichkeit, zu überprüfen, ob dies funktioniert, besteht darin, sich eine in Ihrer Organisation getroffene Entscheidung anzusehen und zu überprüfen, ob das Cyber-Sicherheitsrisiko mit anderen Geschäftsrisiken im Gleichgewicht ist. So kann beispielsweise ein Unternehmen beurteilen, dass die Einführung einer Bring Your Own Device (BYOD)-Richtlinie dem Unternehmen einen erheblichen Nutzen in Form von flexibler Arbeit bringt. Es gibt viele verschiedene Dinge, von denen Sie erwarten würden, dass sie bei dieser Entscheidung berücksichtigt werden, einschliesslich:

  • die potenzielle Verbesserung der Mitarbeiterproduktivität
  • die potenziellen Auswirkungen auf die Sicherheit, wenn Geräte vorhanden sind, deren Verbindung zu den Netzwerken der Organisation von der Organisation nicht kontrolliert wird.
  • die Kostenauswirkungen
  • die Auswirkungen auf die Haftung

Wurden diese bei der Entscheidung gemeinsam berücksichtigt oder wurde die Sicherheit erst diskutiert, als die Entscheidung bereits getroffen wurde?

 

Frage 3

 

Wie nutzen wir als Unternehmen Bedrohungsinformationen, die in den Normalbetrieb einfliessen sollen?

Sowohl die Geschäftsleitung als auch die Praktiker sollten in der Lage sein, den Prozess in wenigen Minuten klar und einfach zu artikulieren. Die Einzelheiten dieses Rahmens können Folgendes umfassen:

  • wie Risiken eskaliert werden
  • wie hoch ist die Schwelle für die Beteiligung der Geschäftsleitung an einer Risikoentscheidung.
  • wie wir das Vertrauen in eine bestimmte Risikobewertung vermitteln.
  • wie oft die Risiken überprüft werden
  • wer welche Risiken besitzt
  • wer für das Framework selbst und dessen Zweckmässigkeit verantwortlich ist (z.B. Sicherstellung, dass die Ergebnisse des Risikobewertungsprozesses die Bewertung des Risikos wirklich widerspiegeln)

 

Frage 4

 

Haben wir als Geschäftsleitung klar definiert, welche Arten von Risiken wir bereit wären einzugehen, und welche inakzeptabel sind?

  • Unterstützen Sie Entscheidungsträger, wenn sie Risikoentscheidungen innerhalb der von Ihnen festgelegten Parameter treffen.
  • Klarheit über den Prozess und den Schwellenwert für die Eskalation des Risikos.
  • Seien Sie so spezifisch wie möglich in Bezug auf die Risikoarten und die Höhe des Risikos. Beispielsweise sind Sie möglicherweise nicht bereit, ein erhebliches Risiko für personenbezogene Daten zu tolerieren, würden aber akzeptieren, dass E-Mails für einen Tag nicht verfügbar sind.
  • Betrachten Sie das kumulative Risiko, das Sie eingehen; es ist möglich, dass alle Ihre Cyberrisiken gleichzeitig eintreffen können. Wegen einem einzigen Vorfall können Sie für einen Tag E-Mails verlieren, die öffentliche Website ist möglicherweise nicht verfügbar und Finanzdaten, die Sie besitzen, können gestohlen werden. Auch wenn Sie ein gewisses Risiko akzeptiert haben, dass all diese Dinge passieren, haben Sie vielleicht nicht darüber nachgedacht, ob die Organisation es tolerieren könnte, dass sie alle auf einmal passieren.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 8)

 

Die Implementierung guter Cybersicherheitsmassnahmen ist nicht nur ein wichtiger Bestandteil der Erfüllung der gesetzlichen Anforderungen, sondern trägt auch dazu bei, die Wahrscheinlichkeit eines signifikanten Vorfalls zu verringern. Die Implementierung selbst sehr einfacher Cyber-Sicherheitskontrollen wird dazu beitragen, die Wahrscheinlichkeit eines Vorfalls zu verringern.

 

Was sollte die Geschäftsleitung tun?

Werden Sie ein wenig technisch

Ein grundlegendes Verständnis der Cybersecurity kann Ihnen helfen, die richtigen Fragen zu stellen, um die Sicherheit der Cyberresistenz Ihrer Organisation zu gewährleisten - so wie Sie ein gewisses Verständnis der Finanzen haben müssen, um die finanzielle Gesundheit Ihrer Organisation zu beurteilen. Ein guter Ausgangspunkt ist es, Ihre bestehenden Cybersicherheitsmassnahmen mit Ihren Experten zu besprechen, und die folgenden Fragen geben einen Anhaltspunkt dafür, welche Fragen Sie stellen sollten.

 

Was sollte Ihre Organisation tun?

Beginnen Sie mit einer Cybersicherheits-Baseline.

Angreifer verwenden oft gängige Methoden, um ein Netzwerk anzugreifen. Viele dieser Methoden können durch die Implementierung grundlegender Cyber-Sicherheitskontrollen abgeschwächt werden. Es gibt mehrere Frameworks, die zeigen, wie gute Cyber-Sicherheitskontrollen aussehen. Dazu gehören die 10 Schritte des NCSC zur Cyber Security, ISO/IEC 27002 und das NIST Cyber Security Framework.
Passen Sie Ihre Abwehrmassnahmen an Ihre Risiken mit höchster Priorität an.

 

Die grundlegenden Cyber-Sicherheitskontrollen helfen, die häufigsten Cyberangriffe abzuschwächen, aber sobald Sie diese Baseline erreicht haben, müssen Sie Ihre Abwehrmassnahmen so anpassen, dass sie Ihre Risiken mit höchster Priorität mindern. Ihre Massnahmen werden sowohl auf Ihre IT-Landschaft (Schutz der Dinge, die Ihnen am wichtigsten sind) als auch auf die Bedrohung (Schutz vor Methoden bestimmter Akteure) zugeschnitten.

 

Erstellen Sie Ihre Verteidigungsmassnahmen in Schichten

Wie bei der physischen und personellen Sicherheit kann die Cybersecurity auf mehrere Massnahmen zurückgreifen, die (bei gleichzeitiger Umsetzung) dazu beitragen, die Wahrscheinlichkeit eines Single Point of Failure zu verringern. Dieser Ansatz wird allgemein als "tiefgehende Verteidigung" bezeichnet. Jede Massnahme bietet eine Sicherheitsebene und wird gemeinsam eingesetzt, um die Wahrscheinlichkeit eines Cybervorfalls erheblich zu reduzieren. Sobald Sie Ihre Cybersicherheits-Baseline festgelegt haben, können Sie sich darauf konzentrieren, Ihre Abwehrkräfte um diejenigen Dinge zu schichten, die für Sie am wichtigsten sind - oder besonders wertvoll für jemand anderen.

 

Schutz vor jemandem in Ihrem Netzwerk

Die Verteidigung endet nicht an der Grenze Ihres Netzwerks. Eine gute Verteidigung setzt voraus, dass ein Angreifer auf Ihr System zugreifen kann und arbeitet daran, den Schaden, den er anrichten kann, zu minimieren, sobald er sich in ihm befindet. Eine der wichtigsten Massnahmen, die Sie ergreifen können, um mögliche Schäden zu begrenzen, ist die Einschränkung ihrer Bewegung und ihres Zugangs. Die effektive Verwaltung von Benutzerrechten und die Trennung Ihres Netzwerks sind gängige Ansätze. Die schnellstmögliche Identifizierung eines Angreifers in Ihrem System hilft auch, den Schaden zu begrenzen, den er verursachen kann. Überwachung und Protokollierung sind der Schlüssel, um Anzeichen von bösartigen Aktivitäten erkennen zu können.

 

Diese Massnahmen werden auch dazu beitragen, die Bedrohung durch einen bösartigen Insider zu mindern; jemanden, der legitimen Zugriff auf Ihre Systeme hat, diesen Zugriff aber dann nutzt, um Schaden anzurichten. Diese Bedrohungen unterscheiden sich in Potential und Absichten, von einem verärgerten Mitarbeiter bis hin zur Unternehmensspionage.

 

Überprüfung und Bewertung Ihrer Massnahmen

Gute Cybersecurity ist ein kontinuierlicher Kreislauf, in dem es darum geht, die richtigen Informationen zu haben, fundierte Entscheidungen zu treffen und Massnahmen zur Risikominderung zu ergreifen. Sie müssen Ihre Abwehrmassnahmen kontinuierlich bewerten und anpassen, wenn sich die Bedürfnisse Ihrer Organisation und das Profil der Bedrohung ändern. Um dies zu tun, ist es wichtig, eine Möglichkeit zu haben, um zu beurteilen, ob Ihre Verteidigung effektiv ist.

 

Es gibt mehrere Mechanismen, um die Wirksamkeit Ihrer Sicherheitskontrollen technisch zu bewerten. Dies kann beispielsweise das Testen der Sicherheit Ihrer Netzwerke (Pen-Testing) bis hin zur Zertifizierung von Produkten oder Dienstleistungen umfassen. Sie können eine Kombination aus internen Mechanismen und objektiver Bewertung durch eine externe Quelle verwenden.
Der Kontakt mit dem Personal hilft Ihnen auch, sich ein genaueres Bild von den Verteidigungmechanismen Ihrer Organisation zu machen. Es gibt Ihnen auch die Möglichkeit, wertvolle Anregungen von Mitarbeitern zu erhalten, wie Richtlinien oder Prozesse verbessert werden können. Kennzahlen oder Indikatoren können Ihnen auch sagen, wo Sie Ihren Ansatz ändern oder sich an neue Gegebenheiten anpassen müssen. Wenn Sie genau verstehen wollen, was ein Indikator Ihnen sagt, müssen Sie möglicherweise die Situation genauer untersuchen. Ein Beispiel ist die Anzahl der Personen, die verdächtige E-Mails melden. Ein Rückgang der Anzahl der Personen, die eine solche Meldung machen, kann entweder bedeuten, dass weniger bösartige E-Mails in die Posteingänge der Personen gelangen, oder es könnte bedeuten, dass weniger Personen Bedenken melden, weil sie kein Feedback erhalten, wenn sie es tun, und daher glauben, dass nichts danach getan wird.

 

 


 

 

Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, die Cybersicherheitsmassnahmen Ihrer Organisation zu bewerten.

 

Frage 1

Wie stellen wir als Unternehmen sicher, dass unsere Massnahmen effektiv sind?

Sie können diese Informationen einholen durch:

  • Penetration Tests, die von einer externen Organisation durchgeführt werden, und Massnahmen, die auf der Grundlage ihrer Ergebnisse ergriffen werden.
  • Automatisiertes Testen Ihrer Abwehrmassnahmen und Überwachung der Aktivitäten in Ihren Netzwerken durch Ihr IT-Sicherheitsteam.
  • Bei der Überprüfung von Abwehrmassnahmen anhand geeigneter Standards/Normen kann es sich um einen internen Review oder einen unabhängigen Berater handeln.
  • Sicherstellung, dass Bedrohungsbeurteilungen und Verteidigungsprioritäten regelmässig überprüft und die Abwehrmassnahmen entsprechend aktualisiert werden.
  • Sicherstellen, dass der Fokus Ihrer Cybersicherheitsmassnahmen auf die Risiken ausgerichtet ist, die Sie identifiziert und priorisiert haben.

 

Frage 2

Als Unternehmen, welche Massnahmen ergreifen wir, um den Schaden zu minimieren, den ein Angreifer in unserem Netzwerk anrichten könnte?

Bedenken Sie Folgendes:

  • Wie Sie Benutzer oder Systeme authentifizieren und ihnen Zugriff gewähren. Sie möchten sicherstellen, dass diese Massnahmen nicht einfach zu umgehen sind und Sie nur autorisierten Zugriff gewähren.
  • Wie Sie die Präsenz eines Angreifers in Ihren Netzwerken erkennen würden - normalerweise durch Überwachung.
  • Wie Sie Ihr Netzwerk so trennen, dass ein Angreifer, wenn er Zugang zu einem Gerät erhält, nicht auf Ihre gesamte IT-Landschaft zugreifen kann.

 

Frage 3

Implementieren wir als Unternehmen Cyber-Sicherheitskontrollen, um uns gegen die häufigsten Angriffe zu schützen?

Wie wehren wir uns als Unternehmen gegen Phishing-Angriffe?

  • Wir filtern oder blockieren eingehende Phishing-E-Mails.
  • Wir stellen sicher, dass externe Post als extern gekennzeichnet wird.
  • Wir stoppen Angreifer, unsere eigenen E-Mails zu "fälschen".
  • Wir helfen unseren Mitarbeitern, verdächtige E-Mails zu identifizieren und zu melden.
  • Wir begrenzen die Auswirkungen von Phishing-Angriffen, die durchkommen.

 

Wie kontrollieren wir als Unternehmen die Verwendung von privilegierten IT-Konten?

  • Wir verwenden "geringste Privilegien" bei der Einrichtung von Mitarbeiterkonten.
  • Wir reduzieren die Auswirkungen von Angriffen, indem wir privilegierte Konten kontrollieren.
  • Wir haben starke Verbindungen zwischen unseren HR-Prozessen und der IT Account-Funktion.

 

Wie stellen wir als Unternehmen sicher, dass unsere Software und Geräte auf dem neuesten Stand sind?

  • Wir haben Prozesse definiert, um alle ausnutzbaren Schwachstellen in unserem technischen Bestand zu identifizieren, zu analysieren und zu beheben.
  • Wir haben einen 'End of Life Plan' für Geräte und Software erstellt, die nicht mehr unterstützt werden.
  • Unsere Netzwerkarchitektur minimiert den Schaden, den ein Angriff verursachen kann.
  • Wir nutzen angemessen Drittanbieter- oder Cloud-Services und konzentrieren uns darauf, wo wir den grössten Einfluss haben können.

 

Als Unternehmen, welche Authentifizierungsmethoden werden verwendet, um den Zugriff auf Systeme und Daten zu kontrollieren?

  • Wir ergreifen Massnahmen, um die Verwendung sinnvoller Passwörter zu fördern.
  • Wir stellen sicher, dass Passwörter die Mitarbeiter nicht unverhältnismässig belasten.
  • Wir implementieren nach Möglichkeit eine Zwei-Faktor-Authentifizierung (2FA).

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 9)

 

Es gibt vier Gründe, warum Cybersecurity eine wichtige Rolle bei der Zusammenarbeit mit Lieferanten und Partnern spielt:

  1. Sie erhöhen die Anzahl der Routen und externen Berührungspunkte in Ihrer Organisation. Wenn also einer von ihnen gefährdet ist, sind auch Sie in Gefahr.
  2. Sie können als Zugang in die Organisation, die Sie beliefern, gezielt angesprochen werden.
  3. Ihre Lieferanten können als Zugang in Ihr Unternehmen gezielt angesprochen werden.
  4. Möglicherweise geben legen Sie sensible oder wertvolle Daten oder Informationen offen, die von Lieferanten geschützt werden sollten.

Der Nachweis eines guten Cybersicherheitsniveaus ist zunehmend ein wichtiger Bestandteil von Liefer- und Dienstleistungsverträgen und ist bereits Voraussetzung für viele Regierungsaufträge.

 

Cybersecurity: Was sollte die Geschäftsleitung tun?

 

Integrieren Sie Cybersecurity in jede Entscheidung

Alle Organisationen werden eine Beziehung zu mindestens einer anderen Organisation haben, sei es der Anbieter Ihres E-Mail-Dienstes oder die Entwickler der von Ihnen verwendeten Buchhaltungssoftware bis hin zu Ihrer traditionellen Beschaffungslieferkette. Die meisten Unternehmen werden auf mehrere Beziehungen angewiesen sein. Jede dieser Beziehungen hat ein gewisses Mass an verbundenem Vertrauen, normalerweise eine Form des Zugriffs auf Ihre Systeme, Netzwerke oder Daten. Es gibt drei wesentliche Dinge, die Sie daher sicherstellen müssen:

  1. Dass dieser Zugriff für einen Angreifer keinen Weg darstellt, um Zugang zu Ihrer Organisation zu erhalten, entweder durch vorsätzliches Handeln oder unbeabsichtigte Folge.
  2. Dass ein Partner oder Lieferant mit sensiblen Daten angemessen und sicher umgeht.
  3. Dass jedes Produkt oder jede Dienstleistung, die Sie kaufen, über die entsprechende Sicherheit verfügt.

Das Cyber-Sicherheitsrisiko sollte bei jeder Entscheidung über neue Beziehungen oder Kooperationen eine zentrale Rolle spielen. Dazu gehören Entscheidungen über Lieferanten, Anbieter, Fusionen, Übernahmen und Partner.

 

Cybersecurity: Was sollte Ihre Organisation tun?

 

Identifizieren Sie Ihr gesamtes Spektrum an Lieferanten und Partnern, welche Sicherheitsgarantien Sie von ihnen erwarten, und kommunizieren Sie dies klar und deutlich.

Überprüfen Sie Ihre aktuellen Lieferkettenvereinbarungen, um sicherzustellen, dass Sie Ihre Sicherheitsbedürfnisse klar darlegen und die daraus resultierenden Massnahmen identifizieren. Wenn Sie selbst Lieferant sind, stellen Sie sicher, dass Sie die von Ihrem Kunden für Sie festgelegten Sicherheitsanforderungen mindestens erfüllen.

 

Stellen Sie sicher, dass die von Ihnen festgelegten Sicherheitsanforderungen gerechtfertigt und verhältnismässig sind und den bewerteten Risiken für Ihren Betrieb entsprechen. Achten Sie auch auf den aktuellen Sicherheitsstatus Ihrer Lieferanten, um ihnen Zeit zu geben, die notwendigen Verbesserungen vorzunehmen.

 

Gewinnen Sie Sicherheit

Sicherheit sollte von Anfang an in alle Vereinbarungen integriert werden, und Sie sollten darauf vertrauen können, dass Ihre Sicherheitsbedürfnisse erfüllt werden. Abhängig von Ihrer Beziehung zum Lieferanten oder Anbieter und Ihren Ressourcen können Sie sich diese durch Prüfung, Auditierung oder Einhaltung von Akkreditierungsstandards sichern.

 

Berücksichtigen Sie die Auswirkungen, wenn Ihr Lieferant gefährdet ist

Unabhängig davon, wie umfassend Ihre Sicherheitsvereinbarungen mit Ihren Partnern sind und wie gut sie ihre Kontrollen umsetzen, sollten Sie davon ausgehen, dass Ihre Partner irgendwann gefährdet sein werden. Unter Berücksichtigung dieser Annahme sollten Sie die Sicherheit Ihrer Netzwerke, Systeme und Daten entsprechend planen. Das ist auch in Ihren Sicherheitsvereinbarungen zu berücksichtigen; was erwarten Sie von ihnen und ihrer Antwort? Müssen sie Sie benachrichtigen? Müssen sie Ihnen helfen, wenn Sie in Folge auch gefährdet sind?

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity ausmacht, wenn es darum geht, die Cybersicherheitsmassnahmen Ihrer Organisation zu bewerten.

 

Frage 1

 

Wie können wir als Unternehmen die Risiken mindern, die mit dem Austausch von Daten und Systemen mit anderen Unternehmen verbunden sind?

Sie sollten:

  • Haben Sie ein gutes Verständnis für Ihre Lieferanten, welche Daten und Netzwerke sie haben und haben Sie einen Prozess, um diese Informationen auf dem neuesten Stand zu halten.
  • Setzen Sie klare Erwartungen daran, wie Ihre Partner Ihre Daten schützen und auf Ihre Systeme zugreifen.
  • Sicherheit in alle Beziehungen und Vereinbarungen von Anfang an integrieren.

Um dies zu tun, können Sie:

  • Wenn Sie eine sehr grosse Anzahl von Supply-Chain-Unternehmen haben, vereinbaren Sie mit Ihren Hauptlieferanten Prozesse darüber, wie sie alle Arbeiten untervergeben, insbesondere welche Verpflichtungen sie haben, Sie zu informieren.
  • Wählen Sie Organisationen, die die Sicherheit ihrer Sicherheitsmassnahmen nachweisen können. So werden beispielsweise grössere Unternehmen regelmässig Pen-Tests durchgeführt und auf die Ergebnisse reagiert haben, um ihre verbleibenden Schwachstellen zu verstehen.
  • Beschränken Sie die mit anderen Organisationen ausgetauschten Dienste und Informationen auf das erforderliche Minimum.
  • Implementieren Sie Benutzer- und System-Authentifizierung und -Autorisierung, bevor der Zugriff gewährt wird.
  • Auditieren Sie alle sensiblen Aktionen oder den Datenaustausch/Zugriff.

 

Frage 2

 

Wie stellen wir als Unternehmen sicher, dass die Cybersecurity bei jeder Geschäftsentscheidung berücksichtigt wird?

Sicherheit sollte in Ihre Kultur und Strategie eingebettet sein und daher bei jeder Entscheidung über Beschaffung, Fusionen oder Übernahmen bewusst berücksichtigt werden. Wenn es einen Prozess gibt, um diese Entscheidungen zu treffen, kann die Sicherheit explizit als relevante Gegenleistung identifiziert und alle Schlussfolgerungen festgehalten werden.

 

Frage 3

 

Sind wir als Unternehmen zuversichtlich, dass wir unsere Sicherheitsanforderungen als Lieferant erfüllen?

Wenn Sie ein Lieferant für andere Unternehmen sind, sind Sie einem erhöhten Risiko ausgesetzt. Sowohl ein Reputationsrisiko (wenn Ihr Produkt dazu führt, dass Ihr Kunde gefährdet wird) als auch ein operatives Risiko (da Sie jetzt Zugang zu mehr und potenziell wertvolleren Organisationen haben). Sie sollten:

  • Wissen, wie Sie reagieren würden, wenn Ihr Unternehmen gefährdet wird, Partnernetzwerke, mit denen Sie verbunden sind, gefährdet werden oder Kundendaten, die Sie möglicherweise besitzen.
  • Verstehen Sie Ihre Kunden und die Auswirkungen, die sie auf Ihr Bedrohungsprofil haben können

 

Frage 4

 

Haben wir als Geschäftsleitung eine klare Strategie für den Einsatz von Lieferanten und haben wir diese kommuniziert?

Wenn Beschaffungs- und Lieferantenentscheidungen unterhalb der Geschäftsleitung getroffen werden, beschreiben Sie klar:

  • Welches Risiko sind Sie bereit, bei der Nutzung von Lieferanten einzugehen? Wenn beispielsweise Ihre Organisation durch einen Angriff auf die Lieferkette gefährdet ist, sind Sie möglicherweise nicht dem gleichen Reputationsrisiko ausgesetzt wie wenn Sie direkt gefährdet wären, aber Sie sind möglicherweise dem gleichen finanziellen Risiko ausgesetzt.
  • Welche Erwartungen haben Sie an die Sicherheit der Lieferanten und wie viel sind Sie bereit, für eine bessere Sicherheit zu zahlen? Wenn beispielsweise Unternehmen A teurer, aber auch sicherer ist, wie viel billiger müsste Unternehmen B sein, um es zur besseren Option zu machen?
  • Welche Chancen versuchen Sie zu nutzen? Dies sollte durch ein Bewusstsein dafür unterstützt werden, was Sie innerhalb Ihrer Organisation leisten können und was Sie auslagern werden. Wenn Sie beispielsweise der Meinung sind, dass es nicht möglich ist, Ihren eigenen Datenspeicher zu unterstützen, nutzen Sie dann die Vorteile des wettbewerbsorientierten Cloud-Datenspeichermarktes?

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Eine Einführung für die Geschäftsleitung (Teil 10)

 

Vorfälle können einen enormen Einfluss auf ein Unternehmen in Bezug auf Kosten, Produktivität und Reputation haben. Die Bereitschaft, Vorfälle zu erkennen und schnell darauf zu reagieren, trägt dazu bei, zu verhindern, dass der Angreifer weiteren Schaden anrichtet und damit die finanziellen und operativen Auswirkungen zu reduzieren. Die effektive Bewältigung des Vorfalls im Rampenlicht der Medien wird dazu beitragen, die Auswirkungen auf Ihren Ruf zu reduzieren.

 

Was sollte die Geschäftsleitung tun?

 

Stellen Sie sicher, dass Sie einen Plan haben.

Jedes zehnte Unternehmen hat keinen Vorfallmanagementplan. Wenn Sie eine dieser Organisationen sind, dann sollten Sie sich sofort damit befassen.

 

 

Verstehen Sie Ihre Rolle im Vorfallmanagement.

Vorfälle treten oft in ungünstigen Momenten auf und die Entscheidungsfindung der meisten Menschen ist in Krisenzeiten beeinträchtigt. Aus diesen Gründen muss jeder im Voraus ein klares Verständnis seiner Rolle und der organisatorischen Reaktion haben, insbesondere Geschäftsleitungsmitglieder, die das Unternehmen wahrscheinlich in den Medien vertreten würden.

 

Die Geschäftsleitung muss auch explizit angeben, wem sie bereit ist, die Zuständigkeit zu übertragen (insbesondere ausserhalb der Kernarbeitszeit), und was genau diese Zuständigkeit abdeckt. Zum Beispiel, umfasst das den Anruf bei einer vertraglich vereinbarten Incident Response Company oder das Abschalten einer öffentlich zugänglichen Website? Die Geschäftsleitung muss auch explizit darüber informiert werden, wann sie über einen Vorfall informiert werden möchte, sowohl in Bezug auf den Zeitpunkt des Vorfalls als auch in Bezug auf die Bedeutung des Vorfalls, über den sie informiert werden muss.

 

 

Nehmen Sie an Übungen teil

Der beste Weg, diese Prozesse und Schwellenwerte zu testen (und ein gutes Verständnis der Rolle der Geschäftsleitung zu erlangen), ist die Ausübung des Incident Management Plans. Wenn Sie während eines echten Vorfalls involviert wären, sollten Sie auch an einer Übung beteiligt sein. Dies in Zusammenarbeit mit dem operativen Personal kann auch dazu beitragen, Fragen der Autorität für kritische Entscheidungen aufzuzeigen. Auch wenn Sie keine direkte Rolle bei der Reaktion auf einen Vorfall spielen, kann die Durchführung einer Übung eine gute Möglichkeit sein, die Realitäten der Auswirkungen eines Vorfalls auf Ihr Unternehmen zu verstehen.

 

 

Eine "schuldlose" Kultur fördern

Die Post-Incident-Analyse liefert Erkenntnisse, die Ihnen helfen können, die Wahrscheinlichkeit von Vorfällen in der Zukunft zu reduzieren und deren potenzielle Auswirkungen zu reduzieren. Entscheidend für diese Erkenntnis ist, dass man ehrlich und objektiv darüber sein muss, was passiert ist. Dies kann nur in einer Kultur ohne Vorwürfe geschehen, wie Sie sie bei der Untersuchung von Gesundheits- und Sicherheitsvorfällen verwenden würden. Kritisch für die Geschäftsleitung ist die neue Regelung, wie z.B. GDPR, klar, dass die Verantwortung für Vorfälle oder Datenschutzverletzungen bei der Organisation und nicht bei einer Person liegt. Daher ist die Geschäftsleitung als Leitungsorgan letztendlich für alle Cybersicherheitsvorfälle verantwortlich. Die Zuweisung von Schuldzuweisungen an eine bestimmte Person innerhalb der Organisation wird als schlechte Cybersicherheitspraxis behandelt.

 

Was sollte Ihre Organisation tun?

 

Finden Sie heraus, wie ein Vorfall aussehen würde.

Eines der häufigsten Dinge, die übersehen werden, ist die Möglichkeit, zu erkennen, was ein Vorfall ist. Das hat zwei Aspekte:

  • herauszufinden, wie Sie ein Ereignis überhaupt erkennen würden.
  • Ausarbeitung, an welchem Punkt ein Ereignis (etwas, das in Ihren Netzwerken oder Systemen passiert) zu einem Vorfall wird.

 

Cybersecurity: wie würden Sie ein Ereignis erkennen?

Abhängig von seinen Motiven wird ein Angreifer Ihnen wahrscheinlich nicht sagen, wann er Ihre Organisation erfolgreich gefährdet hat. Daher benötigen Sie Ihre eigenen Methoden, um einen Eindringling oder einen Angriff zu identifizieren. Dies geschieht in der Regel in Form einer Überwachung. Überwachung bezieht sich auf die Beobachtung von Daten oder Protokollen, die in Ihren Netzwerken oder Systemen gesammelt wurden, um Muster oder Anomalien zu identifizieren, die auf bösartige Aktivitäten hinweisen könnten. Auch wenn Sie keine Überwachung zur Identifizierung des Vorfalls haben, ist es dennoch sinnvoll, System- oder Netzwerkprotokolle zu sammeln (insbesondere solche, die für Ihre kritischen Anlagen relevant sind), damit Sie sie nachträglich überprüfen können, sobald Sie wissen, dass ein Vorfall aufgetreten ist.

 

Cybersecurity: wann wird ein Ereignis zu einem Vorfall?

Dies ist oft keine klare Entscheidung. Sie können versuchen, so viele Informationen wie möglich zu sammeln, um Ihre Einschätzung eines "Ereignisses" einzustufen, aber Sie werden wahrscheinlich kein vollständiges Bild davon haben, was passiert ist. Eine Vorfallsreaktion auszulösen, kann Auswirkungen auf Kosten, Ruf und Produktivität haben, daher sollten Sie sich überlegen, wer die Befugnis hat, diese Entscheidung zu treffen, und welche Schwellenwerte für einen Vorfall im Voraus gelten.

 

Cybersecurity: was ist ein Cybersicherheitsvorfall?

Eine Verletzung der Sicherheitsregeln für ein System oder einen Dienst - am häufigsten:

  • Versuche, sich unberechtigten Zugang zu einem System und/oder zu Daten zu verschaffen.
  • unbefugte Nutzung von Systemen zur Verarbeitung oder Speicherung von Daten
  • Änderungen an einer System-Firmware, -Software oder -Hardware ohne Zustimmung des Systemeigentümers.
  • böswillige Unterbrechung und/oder Denial-of-Service

 

 

Verwenden Sie die Informationen, die Sie bereits haben.

Alle Informationen, die Sie zuvor über das, was wichtig ist, den Schutz, die Bedrohung und Ihre IT-Landschaft, gesammelt haben, liefern wichtige Erkenntnisse in zwei Schlüsselbereichen:

  • Es wird Ihnen einen Einblick in die Auswirkungen von Vorfällen gegeben. Wenn der Angreifer auf ein bestimmtes Benutzergerät zugegriffen hat, auf was kann er dann zugreifen? Konnten sie auf die Dinge zugreifen, die Ihnen am wichtigsten sind?
  • Es wird Ihnen helfen, Ihre operative Reaktion zu bestimmen. Wenn sich der Angreifer in einem bestimmten Netzwerk befindet, können Sie dieses Netzwerk isolieren? Wenn ja, welche Auswirkungen hätte das auf Ihre Organisation?

 

 

Ergreifen von Präventivmassnahmen

Ergreifen Sie Massnahmen, um den Schaden, den ein Angreifer anrichten könnte, zu verringern. Das könnte sein:

  • Einführung von Massnahmen, die ihre Bewegung einschränken, sobald sie sich in Ihrem Netzwerk befinden.
  • präventive Reduzierung der Auswirkungen von Angriffen (z.B. hilft die Sicherung Ihrer Daten, die Auswirkungen eines Ransomware-Vorfalls zu reduzieren).

Wie bei allen anderen Abwehrmassnahmen sollten diese darauf ausgerichtet sein, das zu schützen, was für Sie am wichtigsten ist.

 

 

Erstellen eines Vorfallmanagementplans

Cyber Incident Response ist ein komplexes Thema, da keine zwei Vorfälle gleich sind. Wie bei jeder Business Continuity-Planung können Sie jedoch einen Plan entwickeln, der die wichtigsten Elemente Ihrer Antwort beschreibt. Ihr Plan sollte nicht nur die technischen Elemente abdecken, sondern auch:

  • die Personen- und Prozesselemente wie Medien-, Kunden- und Stakeholder Handling
  • Berichterstattung an die Regulierungsbehörden
  • Umgang mit Klagen

Für häufigere Vorfälle (z.B. DDOS) kann es hilfreich sein, ein spezifisches "Playbook" zu entwickeln, das die Reaktion Ihrer Organisation beschreibt.

 

 

Testen Sie Ihren Plan

Das Üben Ihrer Reaktion auf verschiedene Szenarien ist der Schlüssel, um sicherzustellen, dass Ihre Pläne effektiv sind und aktuell bleiben. Es gibt verschiedene Trainingspakete, die Sie verwenden können. Dies wird ein entscheidender Teil der Rolle für alle Mitarbeiter sein, die direkt am Vorfallmanagement beteiligt sind, aber jedes Geschäftsleitungsmitglied muss auch seinen spezifischen Verantwortungsbereich während eines Vorfalls verstehen.

 

 

Ziehen Sie Ihre Lehren draus

Ein oft übersehener Aspekt des Vorfallmanagements ist die Überprüfung nach einem Vorfall. Ein Vorfall kann wertvolle Einblicke in Ihre Cyber-Bereitschaft geben, darunter:

 

1. Die Bedrohung, der Ihr Unternehmen ausgesetzt ist.

  • Wer führte den Angriff durch und war er gezielt?
  • Haben sie es so gemacht, wie Sie es erwartet haben?
  • Sind sie hinter den Dingen her, die Sie erwartet haben?

 

2. Die Effektivität Ihrer Verteidigungsmassnahmen

  • Wovor haben Ihre Verteidigungsanlagen Sie geschützt?
  • Wovor haben sie es nicht getan?
  • Könnten sie verbessert werden?

 

3. Die Effektivität Ihrer Massnahmen zur Gefahrenabwehr

  • Was hätten Sie anders gemacht?
  • Hat Ihre Reaktion dazu beigetragen, die Auswirkungen des Vorfalls zu reduzieren?
  • Hat das einige Aspekte verschlimmert?

 

Zusammenarbeit mit Lieferanten und Partnern: Ihr Plan sollte auch berücksichtigen, wie Sie die Auswirkungen auf Partner oder Kundenorganisationen mindern, wenn Sie gefährdet sind. Wann informieren Sie sie? Welche Mechanismen gibt es, um den Schaden zu begrenzen, den es für sie anrichten könnte? Sie sollten auch darüber nachdenken, was Sie tun würden, falls ein Lieferant gefährdet wird; Sie haben möglicherweise keine Kontrolle darüber, wie er mit dem Vorfall umgeht. Was können Sie selbstständig tun, um die Auswirkungen auf Ihr Unternehmen zu reduzieren? Der beste Weg, dieses Risiko zu minimieren, ist ein kooperativer Ansatz für Ihre Sicherheit mit Ihren Partnern und Lieferanten.

 

 


 

 

Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was "gute" Cybersecurity bei der Reaktion auf Cyber-Vorfälle ausmacht.

 

Frage 1

 

Haben wir als Unternehmen einen Vorfallmanagementplan und wie stellen wir sicher, dass dieser für Cyber-Vorfälle wirksam ist?

Ein grundlegender Plan sollte Folgendes umfassen:

  • Identifizierung der wichtigsten Ansprechpartner (Incident Response Team oder Anbieter, Senior Management, Legal, PR- und HR-Kontakte, Versicherungsanbieter usw.).
  • Klare Eskalationswege (z.B. für das Top-Management) und definierte Prozesse für kritische Entscheidungen.
  • Klare Zuordnung der Verantwortlichkeiten (insbesondere ob es sich um normale Arbeitszeiten oder 24/7 handelt).
  • Grundlegendes Flussdiagramm oder Prozess für den gesamten Lebenszyklus eines Vorfalls.
  • Mindestens eine Konferenztelefonnummer, die für dringende Vorfallsanrufe zur Verfügung steht.
  • Anleitung zu regulatorischen Anforderungen, z.B. wann Vorfälle gemeldet werden müssen und wann Rechtsbeistand in Anspruch genommen wird.
  • Notfallmassnahmen für kritische Funktionen.

 

Frage 2

 

Wissen wir als Unternehmen, wo wir bei einem Vorfall Hilfe suchen können?

Dies kann sein:

  • Intelligence Sharing-Gruppen, für Details zu anderen Unternehmen, die den gleichen Vorfall erleben)
  • Relevante Beratungsunternehmen bzw. Dienstleister

 

Frage 3

 

Lernen wir als Unternehmen aus Vorfällen und Beinaheunfällen?

Es ist wichtig, Lehren aus Vorfällen und aus Beinaheunfällen zu ziehen. Diese geben Ihnen wertvolle Einblicke in die Bedrohung, der Sie ausgesetzt sind, die Wirksamkeit Ihrer Verteidigung und mögliche Probleme mit Ihrem Weisungswesen oder Ihrer Kultur. Eine gute Organisation wird diese Erkenntnisse nutzen, um besser auf zukünftige Vorfälle zu reagieren und nicht versuchen, Schuldzuweisungen vorzunehmen. Die Geschäftsleitung kann beschliessen, dass sie nicht die Details jedes Vorfalls kennen muss, sondern nur die wichtigsten Erkenntnisse aus den erlebten Vorfällen.

 

Frage 4

 

Wie sollen wir als Unternehmen wissen, wann ein Vorfall eingetreten ist?

Dies umfasst zwei Aspekte: Was sind die Auslöser, die uns mitteilen können, dass ein Vorfall stattgefunden hat, und wie teilen wir diese Informationen dann innerhalb der Organisation mit?

 

Wenn Sie sich überlegen, was einen Vorfall auslösen könnte, müssen Sie Folgendes berücksichtigen:

  • Welche Überwachung gibt es in Bezug auf kritische Vermögenswerte (z.B. personenbezogene Daten), die bei Gefährdung, Verlust oder Änderung Auswirkungen haben würden?
  • Wer untersucht die Protokolle und ist ausreichend geschult, um abnormale Aktivitäten zu identifizieren?
  • Welche Meldeverfahren gibt es, damit die Mitarbeiter verdächtige Aktivitäten melden können?
  • Sind die Schwellenwerte für Warnmeldungen auf das richtige Niveau eingestellt - sind sie niedrig genug, um angemessen vor potenziellen Vorfällen zu warnen, und hoch genug, dass das mit ihnen befasste Team nicht mit irrelevanten Informationen überlastet wird?
    Wenn Sie überlegen, wie ein Vorfall intern mitgeteilt werden wird, sollten Sie Folgendes berücksichtigen:
  • Was ist ein Vorfall?
  • Wer hat die Befugnis, diese Entscheidung zu treffen?
  • Wer muss die Details des Vorfalls kennen?
  • Hat die Geschäftsleitung die Schwelle für den Fall, dass sie über einen Vorfall informiert werden möchte, ausdrücklich festgelegt?

 

Frage 5

 

Wissen wir als Geschäftsleitung, wer bei einem Vorfall führt und wer die Befugnis hat, Entscheidungen zu treffen?

Dies hängt von Ihrer Organisationsstruktur ab. Dies kann bei einem Geschäftsleitungsmitglied oder einer der Führungskräfte liegen oder in verschiedene Rollen aufgeteilt sein. Im Idealfall sollten Sie:

  • Geben Sie genau an, wer in der Lage ist, Entscheidungen zu welchen Aspekten zu treffen.
  • Haben Sie Backup-Pläne, wenn diese Entscheidungsträger nicht in der Lage sind, diese Pflicht zu erfüllen (z.B. ausserhalb der Arbeitszeit).
  • Testen Sie diesen Entscheidungsprozess mit Fokus auf mögliche Bereiche mit sich überschneidender Verantwortung.

 

Frage 6

 

Verstehe ich als Geschäftsleitungsmitglied, was von meiner Rolle während eines Vorfalls verlangt wird, und hatte ich eine Ausbildung, um mich für diese Rolle zu rüsten?

 

Bedenken Sie:

  • Habe ich das nötige Verständnis, um Entscheidungen potenziell ausserhalb der Arbeitszeit und unter Zeitdruck zu treffen?
  • Brauche ich ein Training, um meine spezifische Rolle bei einem Vorfall zu unterstützen, wie z.B. das Verständnis relevanter Vorschriften oder den Umgang mit den Medien?

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Datenschutzwissen über die korrekte Verwendung von DSGVO-konformen Messenger-Diensten in Ihrem Unternehmen

 

Nicht erst seit Geltung der Datenschutz-Grundverordnung (DSGVO) herrscht grosse Verunsicherung bezüglich des Einsatzes von Messenger-Diensten. Letztes Jahr hat etwa die Empfehlung des Zürcher Datenschutzbeauftragten hohe Wellen geworfen, wonach WhatsApp aus den Schulen zu verbannen sei. Nur wenige Kantone vertreten eine andere Position.

 

Wie steht es nun um den Gebrauch von WhatsApp in meinem Unternehmen? Bei der Beurteilung der Rechtmässigkeit fällt nüchtern betrachtet weniger ins Gewicht, ob WhatsApp, sondern wie genau WhatsApp eingesetzt wird. Aber zuerst der Reihe nach:

 

Kritisiert wird zunächst einmal der automatische Abgleich des Adressbuchs, damit WhatsApp erkennen kann, welche eigenen Kontakte WhatsApp bereits nutzen. Gerade diejenigen Kontakte, die WhatsApp bewusst nicht installiert haben, dürften mit einer Übertragung ihrer Daten aber längst nicht immer einverstanden sein. Kommt hinzu, dass sich WhatsApp seinen Nutzungsbedingungen nach vorbehält, Informationen wie Protokoll- und Nutzungsdaten an Facebook, deren Tochterfirma WhatsApp ist, weiterzuleiten. Gerade deswegen kann Begehren betroffener Personen auf Auskunft und Löschung nicht wie erforderlich nachgekommen werden. Aber nicht alles an WhatsApp ist schlecht: Datenschutzrechtlich wünschenswert ist auf jeden Fall die gebotene Ende-zu-Ende-Verschlüsselung für die mit WhatsApp versendeten Inhalte.

 

Worauf muss ich aber nun achten, um in meinem Unternehmen WhatsApp rechtskonform zu nutzen?

  • Das Adressbuch sollte möglichst ausschliesslich Kontakte enthalten, die WhatsApp bereits nutzen.
  • Es sollten per WhatsApp keine besonders schützenswerten Personendaten (Rückschlüsse möglich auf religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre oder Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen) oder Persönlichkeitsprofile ausgetauscht werden (Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt).
  • Auf die Kommunikation mit WhatsApp sollte generell verzichtet werden, wenn aus dem konkreten Zusammenhang heraus bereits die Tatsache einer Kommunikation sensibel sein kann (z.B. Kontakt mit Berufsgeheimnisträgern oder vertrauliche Übernahmeverhandlungen).

 

Das Bayerische Landesamt für Datenschutzaufsicht schlägt ausserdem vor (was auch auf das Schweizerische Datenschutzrecht passt):

  • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
  • Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
  • WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung (Mobile Device Management) betrieben werden.

Die Hürden für einen datenschutzrechtskonformen Einsatz von WhatsApp sind also ziemlich hoch. Im Anwendungsbereich der DSGVO gelten zusätzlich noch strengere Vorgaben (vgl. z.B. Stellungnahmen der deutschen Datenschutzaufsichtsbehörden Bayern und Niedersachsen). Es könnte sich daher unter Umständen lohnen, als Alternative zu WhatsApp Messenger-Dienste wie das Schweizerische Threema oder Signal in Betracht zu ziehen.

Fragen Sie sich, ob die DSGVO für Ihr Unternehmen relevant ist und wie Sie mit Messenger-Diensten umgehen sollten? Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter. www.infosec.ch/dsgvo

 

Swiss Infosec AG; 29.04.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

05/2019

Eine Einführung für die Geschäftsleitung (Teil 1)

 

Cybersecurity ist der Schutz von Geräten, Diensten und Netzwerken - und der darin enthaltenen Informationen - vor Diebstahl oder Beschädigung durch elektronische Mittel.

 

Was muss ich über Cybersecurity wissen?

Es gibt drei gemeinsame Mythen über die Cybersecurity. Wenn Sie verstehen, warum sie falsch sind, können Sie einige wichtige Aspekte der Cybersecurity verstehen.

 

Mythos 1: Cyber ist kompliziert, das werde ich nicht verstehen

Realität: Sie müssen kein technischer Experte sein, um eine fundierte Entscheidung zur Cybersecurity zu treffen.

Wir alle treffen jeden Tag Sicherheitsentscheidungen (z.B. ob wir die Alarmanlage einschalten sollen), ohne unbedingt zu wissen, wie der Alarm funktioniert. Die Aufsichtsräte treffen regelmässig Finanz- oder Risikoentscheidungen, ohne die Details jedes Kontos oder jeder Rechnung kennen zu müssen. Die Geschäftsleitung sollte sich auf seine Cyber-Sicherheitsexperten verlassen, um Informationen zu erhalten, damit die Geschäftsleitung fundierte Entscheidungen über die Cybersecurity treffen kann.

 

Mythos 2: Cyber-Angriffe sind ausgeklügelt, ich kann nichts tun, um sie zu stoppen

Realität: Wenn Sie einen methodischen Ansatz für die Cybersecurity verfolgen und relativ kleine Änderungen vornehmen, kann das Risiko für Ihre Organisation erheblich reduziert werden.

Die überwiegende Mehrheit der Angriffe basiert immer noch auf bekannten Techniken (z.B. Phishing-E-Mails), gegen die man sich wehren kann. Einige Bedrohungen können sehr komplex sein und mit fortschrittlichen Methoden in bestens verteidigte Netzwerke eindringen. Normalerweise sehen wir dieses Mass an Einsatz und Fachwissen nur bei Angriffen von Nationalstaaten. Die meisten Organisationen werden wahrscheinlich kein Ziel für einen nachhaltigen Angriff dieser Art sein, und selbst diejenigen, die es sind, werden feststellen, dass selbst der raffinierteste Angreifer mit der einfachsten und billigsten Option beginnt, um ihre fortgeschrittenen Methoden nicht zu verraten.

 

Mythos 3: Cyberangriffe erfolgen gezielt, ich bin nicht gefährdet

Realität: Viele Cyber-Angriffe sind opportunistisch und jede Organisation könnte von diesen ungezielten Angriffen betroffen sein.

Die Mehrheit der Cyber-Angriffe erfolgt nicht gezielt und ist opportunistisch. Der Angreifer hofft, eine Schwäche (oder Schwachstelle) in einem System auszunutzen, egal wem dieses System gehört. Diese können ebenso schädlich sein wie gezielte Angriffe; die Auswirkungen von WannaCry auf globale Unternehmen sind ein gutes Beispiel dafür. Wenn Sie mit dem Internet verbunden sind, dann sind Sie diesem Risiko ausgesetzt. Dieser Trend zu ungezielten Angriffen wird sich wahrscheinlich nicht ändern, denn jede Organisation - auch Ihre - wird für einen Angreifer einen Wert haben, auch wenn es nur das Geld ist, das Sie bei einem Ransomware-Angriff bezahlen könnten.

Wie funktionieren Cyber-Angriffe?

Eine gute Möglichkeit, Ihr Verständnis von Cybersecurity zu verbessern, sind Beispiele, wie Cyberangriffe funktionieren und welche Massnahmen Organisationen ergreifen, um sie zu mindern. Die Überprüfung von Vorfällen, die in Ihrem Unternehmen aufgetreten sind, ist ein guter Ausgangspunkt.

 

Cyber-Angriffe haben im Allgemeinen 4 Stufen:

  • Beobachtung - Untersuchung und Analyse der verfügbaren Informationen über das Ziel, um potenzielle Schwachstellen zu identifizieren.
  • Lieferung - an den Punkt in einem System kommen, an dem sie einen ersten Einstieg in das System haben.
  • Verletzung - Ausnutzung der Schwachstelle(n), um sich unbefugten Zugriff zu verschaffen.
  • Beeinflussen - Ausführen von Aktivitäten innerhalb eines Systems, die das Ziel des Angreifers erreichen.
Abwehr von Cyberangriffen

Das Wichtigste, was man über Cyber-Sicherheitsverteidigung verstehen muss, ist, dass sie in Schichten gestaltet werden und verschiedene Massnahmen umfassen muss, von Technologielösungen über Benutzeraufklärung bis hin zu effektiven Richtlinien.

Als Geschäftsleitungsmitglied sind Sie ein Ziel

Führungskräfte oder Interessenvertreter in Unternehmen sind oft das Ziel von Cyber-Angriffen, da sie Zugang zu wertvollen Ressourcen (in der Regel Geld und Informationen) und Einfluss innerhalb der Organisation haben.

 

Angreifer können versuchen, Ihre IT-Konten direkt anzugreifen, oder sie können versuchen, Sie mit einer überzeugend aussehenden gefälschten E-Mail-Adresse zu verkörpern. Sobald sie die Fähigkeit haben, sich als Sie auszugeben, ist ein typischer nächster Schritt, Anfragen zu senden, um nicht regelkonforme Geldüberweisungen zu tätigen. Diese Angriffe sind billig und oft erfolgreich, da sie die Zurückhaltung der Mitarbeiter ausnutzen, um eine nicht standardisierte Anfrage von jemandem weiter oben in der Organisation zu hinterfragen.

 

Ein gutes Cyber-Sicherheitsbewusstsein in Ihrer gesamten Organisation, zweckmässige Sicherheitsrichtlinien und einfache Meldeprozesse tragen dazu bei, dieses Risiko zu minimieren. Es ist auch wichtig, dass die Geschäftsleitungsmitglieder die Sicherheitsrichtlinien ihrer Organisation verstehen und befolgen, damit die Mitarbeiter, wenn ein Nachahmer versucht, sie zu umgehen, erkennen können, dass etwas nicht stimmt.

Sie sollten auch überlegen, wie Informationen über Sie (die öffentlich zugänglich sind) einem Angreifer helfen können, der versucht, sich als Sie auszugeben.

 

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

05/2019

Firmenwissen schützen vor Social Engineering

 

Das Risiko ungewollt zum Mittäter von Angreifern zu werden, welche es auf das Firmenwissen unserer Unternehmen abgesehen haben, ist allgegenwärtig und es kann jeden treffen. "Schwachstelle Mensch: Unternehmen schützen" beschreibt die Gefahr durch Social Engineering für jeden leicht verständlich und nachvollziehbar.

 

Autor: Michael Willer

ASIN: B07C283D25

05/2019

Leitfaden für ein Regelwerk zur IT-Sicherheit im Unternehmen

 

Das Buch richtet sich an Führungskräfte und Sicherheitsbeauftragte, die vor der Aufgabe stehen, Regelungen zur IT-Sicherheit für ihr Unternehmen zu definieren. Dieses Buch liefert dazu eine konkrete Anleitung. Es basiert auf internationalen Standards wie BSI Grundschutz-Handbuch, Cobit und ITIL.

 

Autoren: Ralf-T. Grünendahl, Andreas F. Steinbacher und Peter H.L. Will

ISBN-10: 383480598X

05/2019

Die Welt im Schatten der Computerkriminalität

 

Wahlmanipulation, Erpressung, Rufmord, Handel mit Kinderpornografie: Viele traditionelle Formen der Kriminalität bedienen sich zunehmend moderner Informations- und Kommunikationstechnologien – die Digitalisierung der Kriminalität schreitet voran. Dazu kommen neue Formen der Computerkriminalität, die erst mit der jetzt erreichten Verbreitung und Nutzung von Computern möglich sind.

 

Autor: Cornelius Granig

ASIN: B07QFXK9J1

06/2019

Standardwerk für Kader und Spezialisten

 

Wissen und Know-how: Informationssicherheit, IT-Sicherheit, Datenschutz

Das Online-Standardwerk der Swiss Infosec AG ist Ihr unentbehrlicher Begleiter im Bereich der Integralen Sicherheit und bietet effiziente Unterstützung für Ihre tägliche Arbeit. Das unverzichtbare und umfassende Nachschlagewerk ist das Online-Tool für Ihre täglichen Problemstellungen und Ihr Schlüssel zu mehr Sicherheit für Ihre Unternehmung.

 

Reto C. Zbinden

ISBN 3-952-039-608

06/2019

 

Einführung zum Leitfaden in 7 Kapiteln

 

Aufbau einer «cybersicheren» Kultur

Die Kultur Ihres Unternehmens ist entscheidend für den Aufbau einer erfolgreichen Cybersecurity. Seine Kultur muss Sicherheitsverhalten betonen, verstärken und Ohne eine Cybersecurity-Kultur wird es keine widerstandsfähige Belegschaft.


Einstellung
Die Einstellung einer Organisation ist ein kritischer Bestandteil der Kultur. Wenn wir Awareness in die Unternehmenskultur einführen, erhöhen wir unsere Fähigkeit, Cyberrisiken anzugehen. Jedes Unternehmen ist gefährdet, sei es ein kleines gemeinnütziges oder ein Fortune-100-Unternehmen. Angesichts der Häufigkeit von Cyberangriffen müssen wir wachsam und vorbereitet sein. Die Einstellung wird angemessene Verhaltensweisen auf individueller Ebene fördern und zu der belastbaren Belegschaft beitragen, die jedes Unternehmen benötigt.

 

Führung
Die Führungskräfte der Organisation geben den Ton an. Führung ist der wichtigste Faktor, um Awareness und Einstellung zu beeinflussen. Führungskräfte müssen sich der Cybersecurity-Weiterbildung, der Einstellung und Best Practice widmen. Führungskräfte müssen auch Sicherheitsinvestitionen unterstützen und sich für Cybersecurity im Risikomanagement von Unternehmen einsetzen. Von Führungskräften wird kein vertieftes technisches Wissen verlangt, sondern sie sollten gute persönliche Sicherheitsgewohnheiten auf Grundlage solider Richtlinien vorleben. Die Einbeziehung von Führungskräften ist für ein Cyber-Secure-Unternehmen von entscheidender Bedeutung.

 

Training und Sensibilisierung
Sobald Führungskräfte eine Cybersecurity-Kultur fördern, ist der nächste Schritt die Implementierung von Sensibilisierungsschulungen für die Mitarbeitenden. Diese Schulungen vermitteln ein Verständnis für Risiken und - was am wichtigsten ist - liefern konkrete Schritte zur Minderung dieser Risiken. Trainingsprogramme gibt es in vielen Formen; die meisten beinhalten computergestützte Lernmodule und praktische Übungen.

 

Der Einsatz von Social Engineering um Exploits via ahnungslose Mitarbeitende zu verbreiten, ist ein zunehmendes Risiko. Sie können selbst Zugang zu den betreffenden Daten oder Systemen haben oder ausgenutzt werden, um diejenigen zu erreichen, die dies tun. Ein Schlüsselelement eines Trainingsprogramms ist die Abhärtung Ihrer Mitarbeitenden gegen die Realität von Social Engineering-Angriffen. Kein Programm führt zu einer nachhaltigen Erfolgsrate von 100% gegenüber Angriffen durch Menschen, kann aber den Umfang und die Auswirkungen von Angriffen erheblich reduzieren; Ihre Cyber-Verteidiger können sich auf eine kleinere, überschaubare Menge von Vorfällen konzentrieren.

 

Ein weiterer gängiger Weg, um den Aufbau einer Cybersecurity-Kultur zu unterstützen, sind interne Sensibilisierungskampagnen. Von Postern und Newslettern über Wettbewerbe bis hin zu Gewinnspielen haben Unternehmen effektive Wege gefunden, um Begeisterung für wichtige Sicherheitsthemen zu erzeugen.

 

Leistungsmanagement
Anreize und Abschreckungsmittel können einen tiefgreifenden Einfluss auf das menschliche Verhalten haben. Damit ein echter kultureller Wandel bezüglich Cybersecurity-Akzeptanz eintritt, müssen die individuellen Leistungsziele mit den Zielen des Unternehmens übereinstimmen. Leistungsziele für die Sicherheit können der Abschluss der erforderlichen Schulungen, verbesserte Reaktionen auf Phishing-Übungen, die Einhaltung von Richtlinien und die Vermeidung von riskantem Online-Verhalten sein. Finanzielle und operative Kennzahlen sind in Unternehmen üblich; Sicherheitsmetriken sollten es auch sein.

 

Stärkung durch Technologie und Vorgaben
Technische Kontrollen im Zusammenhang mit menschlichem Verhalten können implementiert werden, um die Cybersecurity-Kultur zu stärken. So wie physische Zugangskontrollen das mentale Bewusstsein für einen physischen Perimeter stärken, können auch Passwortrichtlinien, Multi-Faktor-Authentifizierung und Lösungen für das Management mobiler Geräte die Sicherheitskultur stärken. Richtlinien auf Unternehmensebene können auch die Umsetzung von Kontrollen vorantreiben, indem sie die negativen Folgen von Verstössen aufzeigen.

 

Es gibt viele Möglichkeiten, wie diese Richtlinien umgesetzt werden können, die die einzigartige Kultur jedes Unternehmens widerspiegeln. Entscheidend ist, dass sie die Grundlage für die Entwicklung einer Cybersecurity-Kultur bilden, indem sie das Bewusstsein schärfen und die richtige Denkweise fördern. Mit einer soliden Cybersecurity-Kultur kann sich jede Unternehmensfunktion auf ihren eigenen Beitrag zum Schutz des Unternehmens konzentrieren.

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Management, Planung und Governance

 

Cybersecurity-Generalaufgaben: Festlegung der Gesamtrichtung und Prioritäten, Aufrechterhaltung des Einflusses und Risikominderung

 

Welche Rolle spielen Führung, Planung und Governance?
Wenn Sie für die allgemeine strategische Ausrichtung des Unternehmens oder für die Aufrechterhaltung der Kontrollen und die Risikominderung verantwortlich sind, gilt dieser Abschnitt für Sie.

 

Führungs-, Planungs- und Governance-Experten sind oft die obersten Führungskräfte oder unterstützen strategische Entscheidungsträger direkt. Sie können an Vorstandsprozessen beteiligt sein, als leitende Angestellte mitwirken oder eine komplexe Regierungsbehörde mit treuhänderischer Verantwortung und Haushaltsbefugnis leiten. Oder Sie sind der Eigentümer und Betreiber eines kleinen Unternehmens oder Franchiseunternehmens. Was alle diese Rollen gemeinsam haben, ist, dass endgültige Entscheidungen von Ihnen getroffen werden, oder Sie unterstützen diejenigen, die diese Entscheidungen treffen. Da konkurrierende Anforderungen ausgeglichen werden müssen und nur begrenzte Ressourcen zur Verfügung stehen, spielen Sie eine entscheidende Rolle bei der Festlegung von Prioritäten und deren Einhaltung. Gleichzeitig müssen strategische Risiken für das Unternehmen angegangen werden. Sie sind oft der Schiedsrichter bei schwierigen Entscheidungen.

 

Sie sind für die Organisation wichtig, denn ohne Sie fehlt der Organisation die Richtung und der Zusammenhalt. Sie sind die Drehscheibe, um die vielen Bereiche des Unternehmens zu verbinden, zu koordinieren und zu steuern.

 

Führungs-, Planungs- und Governance-Rollen befassen sich bezüglich Cybersecurity mit:

  1. Management und Minderung der gesamten cyberbezogenen Geschäftsrisiken
  2. Einrichtung effektiver Governance-Kontrollen
  3. Priorisierung und Ressourcenbeschaffung für Cybersecurity-Programme
  4. Schutz der vertraulichen Informationen, auf die Sie sich bei der Planung und Entscheidungsfindung verlassen
  5. Etablierung einer Cybersecurity-Kultur innerhalb des Unternehmens


Was Management, Planer und Governance-Experten bzgl. Cybersecurity tun sollten:

  • Verstehen Sie die Grundlagen und Best Practice in der Cybersecurity so gut, dass eine fundierte Entscheidungsfindung möglich ist
    • Etablierung eines regelmässigen Berichtsprozesses für Cyberrisiken innerhalb des Unternehmens
    • Zusammenarbeit mit vertrauenswürdigen Dritten, um sich über Cyberrisiken und deren Eindämmung zu informieren - dazu gehören Berater, Branchengruppen, Anbieter von Cybersecurity-Dienstleistungen und Schulungsanbieter
    • Regelmässige Beauftragung objektiver Risikobewertungen des Unternehmens
    • Leiten Sie die Umsetzung von (inter-)national anerkannten Cybersecurity-Best Practice-Frameworks
  • Ziehen Sie Cyberrisiken in den Risikomanagementprozess des Unternehmens mit ein
    • Vermeiden Sie es, Cyberrisiken als eigenständige und mysteriöse Angelegenheit nur für Technologen zu behandeln
    • Verstehen Sie die organisatorischen Auswirkungen von Cyber-Vorfällen
    • Berücksichtigen Sie die möglicherweise von Partnern und Lieferanten eingeführten Risiken
    • Durchführung von Krisenstabsübungen, um sich und Ihr Unternehmen mit der Vorgehensweise bei Katastrophen und Sicherheitsvorfällen vertraut zu machen
    • Priorisieren Sie cyberbezogene Risiken, um sicherzustellen, dass angemessene Aufmerksamkeit und Anstrengungen auf deren Minderung gerichtet sind
  • Entwickeln und unterhalten Sie Informationssicherheitsvorgaben und -richtlinien für Ihr Unternehmen
    • Stellen Sie sicher, dass die Richtlinien zur Informationssicherheit auf Risikobewertungen, Vorschriften und Normen/Best Practices basieren
    • Stellen Sie sicher, dass die Sicherheitsrichtlinien des Unternehmens angemessen umgesetzt, institutionalisiert und kommuniziert werden
    • Seien Sie sich der relevanten Datenschutzbestimmungen und -gesetze bewusst, um sicherzustellen, dass diese von Ihrem Unternehmen eingehalten werden
    • Erstellen Sie einen Zeitplan, um die Richtlinien regelmässig zu überprüfen und zu aktualisieren
  • Fördern Sie die Entwicklung effektiver funktionsübergreifender Teams zur Erreichung von Cybersecurity-Zielen für die Organisation
  • Sorgen Sie für die angemessene Finanzierung von Cybersecurity-Ressourcenanforderungen
    • Digitale Ressourcen können nicht ohne menschliche und technische Ressourcen geschützt werden; seien Sie bereit, Ressourcen einzusetzen, die auf eine kohärente Cybersecurity-Strategie ausgerichtet sind
    • Planen Sie für zukünftige Bedürfnisse
  • Schützen Sie sensible strategische, finanzielle, rechtliche und Risikoinformationen
    • Geben Sie nur notwendige Informationen weiter
    • Stellen Sie sicher, dass die Informationen in Übereinstimmung mit den Richtlinien zur Datenspeicherung des Unternehmens oder externen Vorschriften aufbewahrt/vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
  • Schützen Sie den Zugriff auf Online-Datenaustausch-Plattformen oder Plattformen zur Unterstützung von Entscheidungsprozessen, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Hersteller-Updates aktivieren
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, sie zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie nach Möglichkeit Virtual Private Networks (VPN), um auf Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen.
    • Geben Sie mit öffentlichen Computern keine sensiblen Informationen ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen spezifischen drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Nutzen Sie Social Media sinnvoll
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie auf Geschäftskonten keine personenbezogenen Daten weiter
    • Geben Sie keine Geschäftsinformationen auf persönlichen Konten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Verkauf, Marketing, Kommunikation

 

Cybersecurity-Generalaufgaben: Sensibilisierung, Kommunikation, Generierung von Einnahmen und Interaktion mit Kunden

 

Welche Rolle spielen Vertrieb, Marketing und Kommunikation
Wenn Sie mit Kunden, Klienten, Spendern oder Bürgern interagieren, gilt dieses Kapitel Ihnen: Fachleute aus den Bereichen Vertrieb, Marketing und Kommunikation sind diejenigen, die potenzielle und bestehende Kunden ansprechen, um das Bewusstsein für Produkte und Dienstleistungen zu fördern, das Interesse zu wecken und Einnahmen durch Verkäufe oder andere Mittel zu generieren. Möglicherweise sind Sie auch an der öffentlichen und medienwirksamen Kommunikation beteiligt. Sie sind die Botschafter der Organisation, die Nachrichten über die guten Dinge, denen, die es wissen müssen, zur Verfügung stellen und auf aktuelle Ereignisse reagieren. Dazu gehört auch die entscheidende Arbeit, Geschäftsideen in echte Geschäftsabschlüsse umzusetzen. Zusammen mit den Menschen, die die Produkte oder Dienstleistungen liefern, sind Sie oft die sichtbarsten und nach aussen gerichteten Personen in Ihrem Unternehmen.

 

Sie sind für das Unternehmen wichtig, denn ohne Sie sitzen Ideen, Produkte und Dienstleistungen still - Sie machen das Unternehmen zu einem lebenden Teil der Umwelt.

 

Die Rolle von Vertrieb, Marketing und Kommunikation in der Cybersecurity besteht aus:

  1. Schutz der Unternehmensmarke, der Reputation und des Vertrauens von Bürgern, Kunden und Partnern
  2. Verhinderung/Begrenzung von Informationsverlust bei der Interaktion mit der Aussenwelt
  3. Reduzierung der Risiken für das Unternehmensnetzwerk bei Remote-Arbeit, Telearbeit und Reisen

 

Was Vertriebs-, Marketing- und Kommunikationsexperten tun sollten:

  • Kommunizieren Sie die Bedeutung von Cybersecurity-Fragen an Ihre Interessengruppen
    • Greifen Sie auf seriöse Quellen zu, um ein umfassendes Verständnis dafür zu entwickeln, wie Informationen und Systeme in das menschliche Ökosystem passen, mit dem Sie interagieren - dazu gehören Berater, Industriegruppen, Cybersecurity-Dienstleister und Bildungseinrichtungen
    • Inventarisieren Sie die Arten von Informationen, die Ihrem Unternehmen anvertraut werden und berücksichtigen Sie die möglichen Auswirkungen von kompromittierten Daten auf Ihre Kunden und Partner
    • Verstehen Sie die potenziellen Auswirkungen eines Cyberunfalls auf Ihr Unternehmen, einschliesslich Kundenvertrauen und Wettbewerbsvorteil
  • Entwickeln Sie einen Kommunikationsplan für den unvermeidlichen Cyber-Ereignisfall
    • Teilnahme an der Planung des internen Incident Response Teams
    • Machen Sie sich mit dem Reaktionsplan für Cyber-Vorfälle vertraut
    • Teilnahme an "Tabletop-Übungen" und anderen Planungsarbeiten zur Antizipation von Cyber-Vorfällen
    • Entwurf eines Kommunikationsplans im Einklang mit regulatorischen Anforderungen, rechtlichen Überlegungen, branchenspezifischen Best Practices und Verpflichtungen gegenüber externen Interessengruppen
  • Schützen Sie gemeinsam genutzte Dateien
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an/von Kunden und Partnern übermitteln
  • Schützen Sie den Zugriff auf Ihre Customer Relationship Management (CRM)-Plattform durch die Anwendung von Best Practices, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
    • Einschränkung der Zugangsmöglichkeiten nach Bedarf
    • Löschen von Mitarbeitenden oder Lieferanten, wenn sie nicht mehr involviert sind
  • Schützen Sie Kundeninformationen in Angeboten, Bestellungen, Rechnungen, Zahlungen und Präsentationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder den geltenden Vorschriften vernichtet werden
  • Bringen Sie die Cyber-Bedenken Ihrer Kunden in das Unternehmen ein
  • Seien Sie sich der Auswirkungen bewusst, die sich aus der Geschäftstätigkeit in ausländischen Jurisdiktionen mit unterschiedlichen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) der EU ergeben

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Facilities, physische Systeme und Betrieb

 

Cybersecurity-Generalaufgaben: Entwicklung und Bereitstellung von Produkten und Dienstleistungen, Verwaltung von Abläufen und Wartung der physischen Umgebung.

 

Mit was sich Facilities, physische Systeme und Betrieb beschäftigen
Wenn Sie die Produkte und Dienstleistungen Ihres Unternehmens für Ihre Kunden entwerfen und bereitstellen, Teil der Abläufe zur Unterstützung der Bereitstellung sind oder die physische Umgebung verwalten und warten, gilt dieser Abschnitt für Sie.

 

Da die Arten von Produkten und Dienstleistungen sehr unterschiedlich sind, decken Facilities, physische Systeme und Betrieb eine Vielzahl von Funktionen ab, von der Standortverwaltung über den Produktingenieur, den Betriebsanalytiker bis hin zum Vertriebsleiter und darüber hinaus. Sie liefern der Welt die Wertigkeit des Unternehmens aus und erfüllen damit seinen Hauptzweck. Ihre Rolle wirkt sich direkt auf Bürger, Kunden und Partner aus, die von den Produkten und Dienstleistungen Ihres Unternehmens abhängig sind.

 

Sie sind dem Unternehmen wichtig, denn die erfolgreiche Entwicklung und Lieferung seiner Produkte und Dienstleistungen hängt von Ihnen ab. Das Unternehmen würde ohne die von Ihnen bereitgestellten Fähigkeiten nicht mehr funktionieren und der Hauptzweck des Unternehmens würde unerfüllt bleiben. Ihre Leistung ist auch entscheidend für die Aufrechterhaltung eines Wettbewerbsvorteils - was Ihr Unternehmen einzigartig und anerkannt macht - in einer lauten und geschäftigen Welt. Darüber hinaus bergen die von Ihnen betriebenen Technologiesysteme, einschliesslich derjenigen, die physische Prozesse steuern (Operational Technology (OT), weniger Informationstechnologie (IT)), potenzielle Risiken für Leib und Leben, so dass Ihre Sicherheitsbereitschaft an erster Stelle steht.

 

Die Rolle von Facilities, physischen Systemen und Betrieb in der Cybersecurity ist:

  1. Schutz der Einzigartigkeit der Produkte und Dienstleistungen, die Ihr Unternehmen anbietet
  2. Sicherung physischer Systeme vor Beeinträchtigung durch alle Gefahren, einschliesslich physischer und Cyberrisiken
  3. Integration von Cybersecurity mit physischer Sicherheit und Sicherung

 

Was die Fachleute für Facilities, physische Systeme und Operationen tun sollten:

  • Identifizierung von Cyberrisiken für die Widerstandsfähigkeit physischer Systeme, einschliesslich Kontrollsysteme
    • Einbeziehung von IT- und OT-Stakeholdern
    • Vertrauenswürdige Dritte einbeziehen, um ein Verständnis für Cyberrisiken in der physischen Umgebung zu entwickeln
    • Durchführung einer umfassenden Bewertung der physischen Umgebung, um Schwachstellen zu identifizieren
  • Sicherstellen, dass angemessene physische Sicherheitskontrollen in den Einrichtungen umgesetzt werden
  • Entwicklung eines umfassenden Plans zur Verbesserung der Sicherheit von Kontrollsystemen
    • Nutzung von Best Practice-Frameworks für die Cybersecurity
  • Einbeziehung von Cybersecurity-Massnahmen in das allgemeine Sicherheitsprogramm
    • Sicherstellen, dass die Mitarbeiterschulung das Bewusstsein für Cyberrisiken in der physischen Umgebung beinhaltet
    • Nutzung des Sicherheitsprogramms als weiteres Mittel zur Förderung einer Cybersecurity-Kultur
    • Zusammenarbeit mit der IT-Abteilung bei der Entwicklung eines Systems für Gäste, die auf die physische Umgebung zugreifen: Einschränkung des direkten Zugriffs, Bereitstellung eines eingeschränkten Wi-Fi-Netzwerks usw.
  • Schutz des geistigen Eigentums
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an/von Kunden und Partnern übermittel
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass sensible Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verhindern Sie Fernzugriff auf Systeme, es sei denn, dies ist absolut notwendig
  • Berücksichtigung von Sicherheitsrisiken und -minderungen in der Lieferkette
    • Sicherstellen, dass Sicherheitskontrollen bei Bedarf in die Produkte integriert sind
    • Sicherstellen, dass Lieferanten die Best Practices für die Sicherheit einhalten
  • Schützen Sie den Zugriff auf Ihre Informationsspeicher, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Finanzen und Verwaltung

 

Cybersecurity-Generalaufgaben: Unterstützung aller Funktionen innerhalb des Unternehmens bei der Planung, Prognose, Buchhaltung, Transaktionen und Verwaltung

 

Was Finanzen und Verwaltung in mehr Detail machen
Wenn Sie an der Verwaltung der Finanzen des Unternehmens beteiligt sind, von der Planung und Budgetierung über die Buchhaltung bis hin zur Abwicklung von Transaktionen, gilt dieser Abschnitt Ihnen.

 

Sie sind dafür verantwortlich, dass jeder Teil des Unternehmens in der Lage ist, für Waren und Dienstleistungen zu bezahlen, innerhalb eines Budgets zu arbeiten, Einnahmen und Ausgaben zu verfolgen und Geschäfte mit externen Einheiten - von Kunden bis Lieferanten - zu tätigen. Sie können auch administrative Unterstützung für die Planungs- und Governance-Funktion leisten oder den Bürobetrieb verwalten.
Diese Funktion umfasst alle Personen, die in diesen Bereichen eine Vollzeitbeschäftigung ausüben, gilt aber auch für alle Führungskräfte, Manager und Mitarbeitenden, die sich mit Finanz- und Verwaltungsangelegenheiten befassen, also fast alle.

 

In vielen Fällen beinhaltet die Funktion Finanzen und Verwaltung das unternehmensweite Risikomanagement mit den dazugehörigen Prozessen und die Personalberichterstattung an einen Chief Financial Officer (CFO) oder eine ähnliche Funktion. Auch interne Audit- und Compliance-Funktionen können einbezogen werden.

 

Sie sind für das Unternehmen wichtig, denn ohne die Fähigkeit, die finanzielle Gesundheit aufrechtzuerhalten, wesentliche Transaktionen durchzuführen, Geschäftsrisiken zu managen und die Planungs- und Governance-Funktion zu unterstützen, ist der Geschäftsbetrieb gefährdet.

 

Die Rolle von Finanzen und Verwaltung bei der Cybersecurity beinhaltet:

  1. Integration von Cyberrisiken in den Risikomanagementprozess des Unternehmens
  2. Ressourcenbeschaffung für Cybersecurity-Initiativen im Einklang mit der Sicherheitsstrategie und im Gleichgewicht mit anderen IT-Investitionen
  3. Wahrung der Vertraulichkeit und Integrität sensibler Finanzinformationen, um die Sicherheit und Einhaltung der geltenden Richtlinien zu gewährleisten

 

Was Finanz- und Verwaltungsfachleute tun sollten:

  • Sicherstellen, dass Cyberrisiken in den Risikomanagementprozess des Unternehmens integriert werden
    • Identifizieren Sie cyberbezogene Risiken für das Unternehmen im Risikomanagementprozess frühzeitig und nicht als separate Aktivität oder spätere Ergänzung
    • Verstehen Sie die vielen verschiedenen geschäftlichen Auswirkungen von Cyber-Bedrohungen, die von Geschäftsunterbrechungen und Reputationsverlust bis hin zu gesetzlicher Haftung und Sachschäden reichen
  • Bereitstellung ausreichender Mittel, um den Erfolg der Cybersecurity-Strategie des Unternehmens zu ermöglichen
    • Verweisen Sie auf die Sicherheitsstrategie des Unternehmens und externe Best Practice-Frameworks, um die Priorisierung von Investitionen zu unterstützen
    • Zusammenarbeit mit Cybersecurity-Managern, um zu verstehen, wie ihre Ressourcenanforderungen mit der Strategie übereinstimmen (was wiederum mit dem Risikomanagement des Unternehmens übereinstimmen sollte); Unterscheidung zwischen Must-Haves und Nice-to-Haves
    • Entwicklung einer vollständigen Übersicht über die sicherheitsrelevanten Ausgaben, die oft auf mehrere Funktionsbereiche und Budgetpost verteilt sind
  • Zusammenarbeit mit anderen Unternehmensfunktionen für die Planung von Notfallausgaben
    • Im Falle eines Cybervorfalls sollten die Reaktionspläne für Vorfälle auch den Kauf der benötigten Geräte oder Dienstleistungen umfassen
    • Lieferanten und Auftragnehmer sollten bereits überprüft worden sein, wenn ein solcher Vorfall eintritt
    • Für den Verlust von Finanzsystemen sollten Notfallpläne erstellt werden, um bei minimaler Unterbrechung die Kontinuität zu gewährleisten
    • Erwägen Sie den Abschluss einer Cyber-Risikoversicherung, um die finanziellen Auswirkungen von Sicherheitsvorfällen auszugleichen
    • Sicherstellen, dass der Notfallplan Ausgleichsleistungen für die betroffenen Parteien umfasst, wie z.B. Kreditüberwachungsdienste
  • Zusammenarbeit mit den Bereichen Recht und Compliance sowie IT, um sicherzustellen, dass Verträge mit Dritten Klauseln für eine wirksame Überwachung der Cybersecurity der Lieferanten, die Benachrichtigung über Vorfälle und die Einhaltung relevanter branchenspezifischer und staatlicher Richtlinien und Vorschriften enthalten
  • Definition des angemessenen Ausgleichs der Ressourcenallokation zwischen Geschäftsbetrieb, Geschäftsverbesserung und Geschäftssicherung
    • Während erstere eine engere Ausrichtung an den Unternehmenszielen und -leistungen aufweisen können, führt eine übereilte Umsetzung oft zu neuen Risiken
    • Bei richtiger Anwendung können Verbesserungen im IT-Betrieb auch die Sicherheit und Compliance verbessern, da viele grundlegende Sicherheitskontrollen (z.B. wie Asset Profiling, Vulnerability Management, Konfigurations- und Patch-Management sowie Access Management) für eine gut funktionierende IT-Umgebung unerlässlich sind
  • Schützen Sie die finanzielle Tragfähigkeit und Reputation des Unternehmens, indem Sie die Einhaltung von Gesetzen, Vorschriften, Regeln, Standards und Richtlinien (sowohl extern als auch intern) sicherstellen
    • Verständnis der regulatorischen Anforderungen im Zusammenhang mit Finanzinformationen
    • Unterstützung der Bemühungen des Cybersecurity-Teams zur Sicherung der Systeme, die von diesen Anforderungen betroffen sind
  • Schützen Sie sensible strategische, finanzielle, rechtliche und risikobezogene Informationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
  • Schützen Sie den Zugriff auf jede Online-Datenaustauschplattform oder Plattformen zur Entscheidungsunterstützung, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Personalwesen und HR

 

Cybersecurity-Generalaufgaben: Planung, Einstellung und Unterstützung der Entwicklung, Bindung und Vergütung der Mitarbeitenden des Unternehmens

 

Was die Personalabteilung leistet
Wenn Sie für das Management und die Optimierung der Personalressourcen des Unternehmens verantwortlich sind - vom Einsteiger bis zum Management - sowie für externe Stakeholder (Stellenbewerber bis hin zu Personalvermittlern, Beratern, Personalverbänden und Leistungserbringern), gilt dieser Teil Ihnen.

Sie steuern die Personalstrategie in Übereinstimmung mit der Strategie des Unternehmens. Zu Ihren Aufgaben gehören Personalweisungen und -management, Personalgewinnung und -entwicklung, Personal- und Nachfolgeplanung, Mitarbeiterbeziehungen und -engagement, Kultur und Vielfalt, Leistungsmanagement sowie Vergütung und Zusatzleistungen. Möglicherweise sind Sie auch an der Pflege von Datensätzen in Personaladministrationsportalen und Tools zur Personalgewinnung beteiligt.

 

Sie sind für das Unternehmen wichtig, denn ohne Ihr Fachwissen und Ihre Bemühungen, das wertvollste Gut des Unternehmens, seine Mitarbeitenden, zu gewinnen, zu entwickeln und zu erhalten, würde das Unternehmen nicht über das Wissen und die Fähigkeiten verfügen, die für den Erfolg notwendig sind. Dank Ihnen können Best Practices für das Personalmanagement konsequent angewendet werden.

 

Die Rolle der Personalabteilung in der Cybersecurity beinhaltet:

  1. Implementierung von Best Practices in den Bereichen Organisationsänderungs-Management, Mitarbeiterschulung und Performance Management, um eine Cybersecurity-Kultur zu ermöglichen
  2. Sicherstellung, dass kritische Cybersecurity-Rollen besetzt werden und dass die Mitarbeitenden über die notwendigen Kenntnisse, Fähigkeiten und Fertigkeiten auf dem Laufenden bleiben
  3. Schutz vertraulicher Mitarbeiterinformationen
  4. Führungsrolle bei den Bemühungen zur Risikominderung von Insider-Bedrohungen

 

Was Personalverantwortliche tun sollten:

  • Sicherstellen, dass Kenntnisse, Fähigkeiten und Fertigkeiten im Bereich der Cybersecurity in die Aus- und Weiterbildungsprogramme der Mitarbeitenden integriert werden
  • Reduzieren Sie die Risiken, die durch Neueinstellungen entstehen, indem Sie Hintergrundprüfungen durchführen
  • Forderung und Verfolgung der Teilnahme an Cybersecurity-Schulungen und Sensibilisierungsprogrammen für alle Mitarbeitenden im gesamten Unternehmen
  • Nutzung von Best Practices im Personalbereich zur Reduktion der Personalfluktuation in kritischen Cybersecurity-Rollen
  • Stellen Sie eine Auswahl von Dienstleistern sicher, die die Vertraulichkeit der persönlichen Daten der Mitarbeitenden, die häufig besonders schützenswerte Daten enthalten, effektiv wahren können
  • Schützen Sie den Zugriff auf Ihre Personalmanagement-Plattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
  • Schützen Sie sensible Informationen bei der Rekrutierung, Leistung, Vergütung und den Sozialleistungen von Mitarbeitenden
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie intern oder extern mit Interessengruppen wie z.B. Personalvermittlern oder Stelleninteressenten teilen
  • Sicherstellen, dass die Konten der ausgetretenen Mitarbeitenden umgehend geschlossen werden
    • Sofortige Benachrichtigung der IT-Abteilung über anstehende oder tatsächliche Personalaustritte
    • Aktualisieren Sie Verzeichnisse mit dem neuem Status, um sicherzustellen, dass Berechtigungsänderungen plattform- und anwendungsübergreifend kaskadiert werden
    • HR-Sätze entsprechend aktualisieren

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für Recht und Compliance

 

Cybersecurity-Generalaufgaben: Sicherstellung der Einhaltung von Gesetzen, Vorschriften und Standards, Risikominderung und Befassung mit Rechtsangelegenheiten

 

Womit sich die Abteilung Recht und Compliance beschäftigt
Wenn Sie sich darauf konzentrieren, rechtliche Risiken zu mindern oder Compliance-Fragen zu beantworten bzw. darauf zu reagieren, gilt dieser Abschnitt für Sie.

 

Sie tun dies zu einem grossen Teil, indem Sie sicherstellen, dass das Unternehmen in Übereinstimmung mit den zahlreichen anzuwendenden Gesetzen, Vorschriften und Normen bleibt. Sie können auch auf externe Anfragen, Herausforderungen oder Beschwerden sowie auf interne Angelegenheiten sensibler Natur reagieren.

 

Sie sind enge Berater von Führungskräften und helfen, Richtlinien und Prioritäten so festzulegen, dass der Hauptzweck des Unternehmens mit den Risiken, denen es ausgesetzt sein könnte, in Einklang steht. Sie reagieren schnell auf juristische Bedrohungen und können zum Mittelpunkt der Interaktion mit Personen ausserhalb des Unternehmens werden, wenn Rechts- oder Compliance-Fragen behandelt werden müssen, wie beispielsweise bei Rechtsstreitigkeiten, Gerichtsverfahren, Audits und wenn Behörden involviert sind.

 

Sie sind dem Unternehmen wichtig, weil Sie sicherstellen, dass es Gesetze, Vorschriften und Normen befolgt, so dass es sich auf seine Kernkompetenzen konzentrieren kann. Ohne Sie könnte sich das Unternehmen leicht in Schwierigkeiten befinden und strafrechtlichen, zivilrechtlichen und Audit-Forderungen ausgesetzt sein.

 

Die Rolle von Recht und Compliance bei der Cybersecurity ist:

  1. Minimierung der Verbindlichkeiten im Zusammenhang mit der Cybersecurity des Unternehmens
  2. Sicherstellung der Einhaltung von Gesetzen, Vorschriften und Standards zur Cybersecurity
  3. Auseinandersetzung mit den rechtlichen Auswirkungen von Vorfällen, wenn sie auftreten.

 

Was Rechts- und Compliance-Experten tun sollten:

  • Verstehen Sie die rechtlichen Auswirkungen der Cybersecurity, um eine solide Risikominderung zu ermöglichen
    • Zusammenarbeit mit glaubwürdigen Dritten, um sich über Cybersecurity und Recht zu informieren - dazu gehören Berufsverbände, Branchengruppen, Berater und Ausbildner
    • Bleiben Sie auf dem Laufenden über neue Vorschriften und Normen
  • Implementierung eines effektiven Compliance-Programms für das Unternehmen
    • Bewertung der Exposition des Unternehmens gegenüber Gesetzen, Vorschriften und Industriestandards, um eine angemessene Abdeckung zu gewährleisten
    • Einrichtung und Durchsetzung von Informationsklassifizierungs- und Zugriffsprozessen
    • Nutzung bestehender Best Practices für die Durchsetzung von Compliance-Anforderungen
    • Sicherstellung der Einhaltung von Richtlinien zur Cybersecurity durch Dritte durch Vertragsbedingungen, wie z.B. Service Level Agreements (SLAs)
  • Aktive Teilnahme am Risikomanagementprozess des Unternehmens, in Zusammenarbeit mit Planung und Governance, Finanzen und Verwaltung sowie anderen Geschäftsfunktionen, um Risiken ganzheitlich zu minimieren
  • Umsetzung von Massnahmen zur Minderung von durch Partner und Lieferanten entstehenden Risiken
  • Aktive Unterstützung der Reaktionskräfte des Unternehmens bei einem vermuteten Verstoss, einschliesslich, soweit möglich, der Ergreifung geeigneter Massnahmen zur Wahrung des Rechtsprivilegs
  • Nach einem Vorfall und wo erforderlich Einbezug der Strafverfolgungsbehörden und Information der Lieferanten und der Öffentlichkeit
  • Schützen Sie den Zugriff auf jede Online-Datenaustausch- oder Entscheidungsunterstützungsplattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
  • Schutz vertraulicher Rechts- und Compliance-Informationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übertragen
  • Leitung der Bemühungen des Unternehmens zur Entwicklung und Umsetzung von Datenschutzrichtlinien in Übereinstimmung mit den geltenden Gesetzen, Branchenvorschriften und bewährten Verfahren

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

 

Generalaufgaben für IT, Kommunikation und Netzwerk (ITC)

 

Cybersecurity-Generalaufgaben: Nutzung von Technologielösungen für Geschäftskonnektivität, Produktivität und wichtige Prozesse

 

Was die IT macht
Wenn Sie Technologielösungen für das Unternehmen definieren, entwickeln, testen, bereitstellen, unterstützen, warten und schützen, gilt das Folgende für Sie.

 

Sie sind verantwortlich für das "zentrale Nervensystem" des Unternehmens, verwalten die Computersysteme und Netzwerke, die Entscheidungsfindung und Kommunikation ermöglichen, und übersetzen diese Inhalte dann in Prozesse, die das Unternehmen führen. Sie sind wahrscheinlich in die Interaktion mit Endbenutzern involviert, um deren Anforderungen zu erfassen und zu erfüllen. Sie können eng mit den Funktionen Personalwesen sowie Recht und Compliance zusammenarbeiten, um ein unternehmensweites Bewusstsein für und die Einhaltung von Cybersecurity-Richtlinien zu gewährleisten. Möglicherweise sind Sie auch an der Interaktion mit externen Anbietern für Technologieakquisition und -unterstützung beteiligt. Im Falle eines Cybersecurity-Vorfalls interagieren Sie wahrscheinlich mit Dienstleitstern, Strafverfolgungsbehörden und externen Cybersecurity-Organisationen.

 

Sie sind für das Unternehmen wichtig, weil Sie es jedem ermöglichen, zu kommunizieren, Daten zu erfassen, Informationen zu verarbeiten und die Systeme zu verwalten, von denen die Arbeit abhängt. Kritische Vermögenswerte, einschliesslich vertraulicher Informationen, geistiges Eigentum, Wettbewerbsvorteile und Kundendaten, können aufgrund Ihrer Rolle ordnungsgemäss genutzt und geschützt werden.

 

Die Rolle der Informationstechnologie in der Cybersecurity beinhaltet:

  1. Zurverfügungstellung von technischer Expertise für die Sicherheit von Informationssystemen und zugehörigen Technologieplattformen
  2. Implementierung und Aufrechterhaltung eines robusten mehrschichtigen Ansatzes für die Informationssicherheit des Unternehmens, der mit den besten Praktiken der Branche und den geltenden Vorschriften und Standards übereinstimmt
  3. Reaktion auf und Minderung von sicherheitsrelevanten Vorfällen

 

Was Informationstechnologie-Profis tun sollten:

  • Bereitstellung von technischem Fachwissen zur Unterstützung des Cybersecurity-Programms der Organisation
    • Sicherstellung des aktuellen Wissens über Tools, Techniken und Verfahren der Cybersecurity, einschliesslich sicherer Anwendungen und Plattformdesign
    • Cross-Training anderer IT-Funktionen mit Security-Funktionen, um ein breiteres Bewusstsein und mehr Kapazität zu schaffen
    • Proaktive Zusammenarbeit mit anderen Unternehmensfunktionen im gesamten Unternehmen
  • Implementierung eines robusten Cybersecurity-Programms mit geeigneten technischen und Prozesskontrollen im Einklang mit der Risikominderungsstrategie des Unternehmens
    • Nutzung von anerkannten Best Practice-Frameworks für die Cybersecurity
    • Verweisen Sie auf sichere Konfigurationsstandards von massgeblichen Stellen
    • Zusammenarbeit mit externen Stellen wie Beratern, Wirtschaftsprüfern, Berufsverbänden sowie Produkt- und Dienstleistungsanbietern, um die besten Werkzeuge für den Job zu finden
  • Integration von Security in IT-Design, Architektur, Bereitstellung und Routinebetrieb
    • Betrachten Sie Security im Voraus, nicht als nachträglichen Gedanken
    • Integrieren Sie Security in den gesamten Prozess der Anwendungsentwicklung, des Testens, der Bereitstellung, einschliesslich DevOps
    • Nutzung von Best Practices im IT-Betrieb zur Verbesserung der Security
  • Erstellung von und Unterstützung bei der Durchsetzung effektiver Security-Richtlinien für Mitarbeitende, Auftragnehmer und Lieferanten, die in Richtlinien für die zulässige Nutzung und anderen einschlägigen Normen festgelegt wurden, denen gegenüber sie zur Rechenschaft gezogen werden können
    • Enge Zusammenarbeit mit dem Top-Management, um die Unterstützung der Richtlinien zu gewährleisten
    • Anwendung des Grundsatzes der Aufgabentrennung für kritische Security-Aufgaben und den Umgang mit sensiblen Informationen
  • Erstellung, Überprüfung und Durchsetzung robuster Cloud Security-Richtlinien für das Unternehmen
    • Stellen Sie sicher, dass Cloud Service Provider das Security-Niveau bieten, das das Unternehmen benötigt
    • Verstehen Sie die Modelle der gemeinsamen Verantwortung, die mit der Nutzung von Cloud Services verbunden sind
    • Erstellung und Durchsetzung interner Security-Richtlinien für die Nutzung von Cloud Services
  • Schützen Sie den Zugriff auf jede Online-Datenaustausch- oder Entscheidungsunterstützungsplattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
    • Verwendung von Passwortmanagementsystemen oder -anwendungen
  • Schutz vertraulicher Unternehmensinformationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
    • Sicherstellung einer redundanten Speicherung kritischer Informationen
  • Aufrechterhaltung eines hohen Masses an technischer Kompetenz in den für die Cybersecurity unerlässlichen Bereichen
    • Aktive Mitgliedschaft von Fachverbänden und Teilnahme an Konferenzen und Veranstaltungen
    • Anerkannte Weiterbildungen in relevanten Bereichen
    • Erlangung technischer Zertifizierungen in Cybersecurity-Bereichen

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr

06/2019

Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren

 

Kristin Weber, Andreas E. Schütz und Tobias Fertig zeigen in diesem essential, wie Mitarbeiter in acht Schritten für das Thema Informationssicherheit sensibilisiert werden können. Vorgestellt wird ein Vorgehen, welches Erkenntnisse aus der Verhaltenspsychologie berücksichtigt und somit eine passgenaue Auswahl von Sensibilisierungsmaßnahmen erlaubt.

 

Autoren: Kristin WeberAndreas E. SchützTobias Fertig

ISBN-10: 3658262575

06/2019

Datenschutzleitfaden mit 60 wertvollen Tipps für die Praxis von Unternehmern für Unternehmer

 

Die neuen, seit Ende Mai 2018 zur Anwendung kommenden Datenschutz-Vorschriften der EU stellen Unternehmer und Unternehmen vor viele Herausforderungen. Der weite Ermessensspielraum, den die Datenschutz-Grundverordnung bietet, stellt Verantwortliche vor zahlreiche Fragen. Auf viele dieser Fragen haben die Autoren, die Unternehmen verschiedenster Branchen und Firmengrößen beim Umsetzen der DSGVO beraten, bereits Antworten gefunden, die sich an der alltäglichen, unternehmerischen Praxis orientieren - also auch tatsächlich mit angemessenem Aufwand an Zeit und Kosten umgesetzt werden können.

 

Autoren: Andreas DolezalMatthias Aichinger

ISBN-10: 9783990708989

06/2019

Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden

 

Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken oft zu ihrem Vorteil aus. Die Vielzahl der IT-Systeme, ihre unterschiedlichen Nutzungsarten und ihre Innovations- und Lebenszyklen haben zu hohen Sicherheitsrisiken für Unternehmen und staatliche Einrichtungen geführt.

 

Autoren: Michael BartschStefanie Frey

ISBN-10: 9783658216542

06/2019

Gerne informieren wir Sie im nachfolgenden Artikel darüber ob und wann ein Cookie-Banner (Cookie-Hinweis) auf Ihrer Webseite rechtskonform ist.

 

Die Cookie-Hinweise auf Webseiten haben in den letzten Monaten verschiedene Formen angenommen. Ein Grund für die Vielfalt ist die immer noch bestehende Rechtsunsicherheit zu diesem Thema.

 

Was sagt die Cookie-Richtlinie?

Die rechtliche Situation zu den Cookies wird in der EU durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde (z.B. Frankreich, nicht aber Deutschland).

 

Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird. Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen.

 

Cookie-Banner und die EU-Datenschutz-Grundverordnung (DSGVO)

Die Verarbeitung von personenbezogenen Daten, worunter auch Cookies fallen, sofern sich ein Personenbezug nachweisen lässt, erfordert nach DSGVO eine Rechtsgrundlage. Als Rechtsgrundlage in Frage kommen die Einwilligung oder die berechtigten Interessen (vgl. Art. 6 DSGVO). Unabhängig von der Rechtsgrundlage sind die betroffenen Personen in jedem Fall über den Einsatz von Cookies angemessen zu informieren (Art. 12 ff DSGVO).

 

Nach DSGVO werden Cookie-Banner deshalb eingesetzt, um:

  • die Einwilligung der Webseitenbesucher (nachfolgend auch Nutzer genannt) zur Verwendung von Cookies einzuholen; oder auch nur,
  • um die Nutzer über die Verwendung von Cookies vorschriftsgemäss zu informieren.

 

Nach allgemeiner Auffassung kann ein normales bzw. niederschwelliges Besuchertracking, d.h. die Verwendung von Cookies zur Aufzeichnung und Verarbeitung pseudonymisierter Daten für rein statistische Zwecke (wie z.B. Google Analytics mit IP-Masking) auf der Rechtsgrundlage der berechtigten Interessen der Unternehmung, welche Cookies einsetzt, gestützt werden. Das berechtigte Interesse besteht darin, dass die Nutzung der Webseite zur Verbesserung des Inhalts und zur Verbesserung der Werbemassnahmen genutzt werden soll (Marketingzwecke). Eine explizite Zustimmung zum Einsatz von Cookies ist bei Verarbeitung zu diesen Zwecken nicht erforderlich. Die Datenschutzkonferenz in Deutschland vertritt dem gegenüber in ihrem Positionspapier die Meinung, dass beim Einsatz von personenbezogenen Cookies explizit die Einwilligung des Webseitenbesuchers einzuholen ist. Die Beschlüsse der Datenschutzkonferenz sind allerdings rechtlich nicht bindend.

 

Anders sieht es aus, wenn eine über das normale Besuchertracking hinausgehende Verarbeitung personenbezogener Daten erfolgt, wie dies oftmals bei Online Behavioural Advertising oder Retargeting der Fall ist. Nach DSGVO wird in diesen Fällen eine sog. informierte Einwilligung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung des Nutzers gefordert, bevor Cookies platziert werden dürfen. Hier muss deshalb mindestens ein Bestätigungs-Button geklickt werden, bevor das Analyse-Cookie gesetzt werden darf (sog. Soft Opt-In Option). Die Lehre verlangt ausserdem, dass dem Webseitenbesucher genau aufgezeigt wird, welche Cookies verwendet werden sollen und ihm die Möglichkeit gegeben wird, der Verwendung der einzelnen Cookies separat zuzustimmen.

 

Hat die Cookie-Richtlinie bald ausgedient?

Die E-Privacy-Verordnung soll die bisher geltende «Cookie-Richtlinie» ablösen und wie auch die DSGVO unmittelbar auf die EU-Mitgliedstaaten anwendbar sein. Die Verordnung wird auch für Gesellschaften mit Sitz in der Schweiz relevant sein. Ähnlich wie die Regelung in der DSGVO ist auch der räumliche Anwendungsbereich der vorgeschlagenen E-Privacy-Verordnung weit gefasst.

 

Die Einholung der Einwilligung zur Verwendung von Cookies soll demnach erheblich vereinfacht werden: Künftig sollen Nutzer den Einsatz von Cookies generell über die Privatsphäre-Einstellungen ihres Webbrowsers regeln können. Die Cookie-Banner sollen deshalb nach der Vorstellung der EU-Kommission bald der Vergangenheit angehören.

 

Wie der genaue Text der E-Privacy-Verordnung aussehen wird, ist derzeit noch nicht klar. Für grössere Umstellungen bei der Handhabung von Cookies könnte es vorteilhaft sein, den finalen Text dieser Verordnung abzuwarten. Ein Inkrafttreten ist nicht vor 2022 geplant.

 

Die Cookie-Banner, die uns bis dato im Netz begegnen, genügen den Anforderungen an ein wirksames OptIn mit Einwilligung oftmals nicht. Dazu dürften Cookies, wie erwähnt, erst dann bei Nutzern gespeichert werden, nachdem sie über diese aufgeklärt wurden und sich der Nutzer mit ihnen einverstanden erklärt hat. Nach unserer Erfahrung haben Unternehmen oftmals Mühe, dies so in technischer Hinsicht umzusetzen, weshalb regelmässig die Einholung der rechtskonformen Einwilligung verzichtet wird.

 

Mit den gängigen Cookie-Bannern wird lediglich darauf hingewiesen, dass die Webseite Cookies verwendet. Bei diesen Bannern macht es keinen Unterschied, ob der Nutzer auf «Ich stimme zu/ok» klickt oder einfach weitersurft und sich bei jedem Seitenwechsel aufs Neue von dem Hinweis begrüssen lässt.

 

Cookies und das Schweizer Datenschutzgesetz (DSG)

In der Schweiz besteht seit 2007 eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur europäischen Cookie-Richtlinie aber auch der DSGVO wesentlich weniger restriktiv.

 

Die entsprechende schweizerische Cookie-Regelung findet sich in Art. 45c lit. b des Fernmeldegesetzes (FMG). Die Cookie-Regelung in der Schweiz enthält in der Regel keine Formvorschriften. Das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] ist nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Eine explizite Einwilligung ist demnach nicht erforderlich. Eine solche ist nur dann notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden (Art. 4 Ziff. 5 DSG).

 

Webseitenbetreiber in der Schweiz müssen den Besucher hingegen über verwendete Cookies informieren und dabei auch den Zweck nennen. Ausserdem muss dem Nutzer erklärt werden, wie Cookies abgelehnt, das heisst, im Browser deaktiviert werden können. Ein Verstoss gegen diese Cookie-Regelung gilt als Ordnungswidrigkeit und kann mit Busse bis zu 5000 Franken bestraft werden (Art. 53 FMG).

 

Im Minimum das Minimum: Unser Fazit

Nach wie vor ist unsicher, ob nach DSGVO explizit eine Einwilligung zum Einsatz von Cookies auf der Webseite erforderlich ist oder nicht. Was jetzt genau gilt, bleibt vorerst allerdings unklar. Letztendlich werden die EU-Aufsichtsbehörden und die EU-Gerichte diese Frage zu entscheiden haben.

 

Für den Einsatz von Cookie-Bannern sprechen die Transparenz und das Vertrauen. Fairness gebietet es, Besucher einer Webseite darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist so gesehen eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute Best Practice ist.

 

Sofern Sie nicht über ein normales Besuchertracking hinausgehende Verarbeitung tätigen oder schützenswerte Daten verarbeiten, empfehlen wir deshalb einen sogenannten «Informationsbanner» zu implementieren, womit der Nutzer über die Verwendung von Cookies informiert wird.

 

Fragen Sie sich, ob der Cookie-Banner auf Ihrer Webseite den Anforderungen von DSGVO & Co. entspricht? Wir unterstützen Sie inhaltlich und technisch bei der Einhaltung von Schweizer Datenschutz und DSGVO. www.infosec.ch/dsgvo

 

Swiss Infosec AG; 27.05.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

Ausgewähltes Expertenwissen

Events und Business Meetings rund um das Thema Integrale Sicherheit

Treffen Sie unsere Spezialisten und Persönlichkeiten aus der Wirtschaft! Die Swiss Infosec AG ist seit mehr als 25 Jahren als produkte- und herstellerneutrales, unabhängiges Beratungs- und Ausbildungsunternehmen erfolgreich tätig. Das aus der Praxis gewonnene Wissen und unsere Erfahrung geben wir gerne weiter. Nicht nur in Kursen und Lehrgängen, sondern auch im Rahmen von Events und Business Meetings.

Nice to know: Fachspezifischer Wissenstransfer direkt vom Experten

An unseren Events und Business Meetings.erfahren Sie mehr über aktuelle Sicherheitsthemen und Lösungsansätze. Spannende Expertenreferate und Keynotes, die den Begriff „Sicherheit“ noch weiter fassen, garantieren Ihnen einen Mehrwert an Wissen auf hohem Niveau.


Nice to meet: Networking ist an unseren Events und Business Meetings inklusive

An unseren Events und Business Meetings steht nicht nur der Wissenstransfer im Mittelpunkt, sondern auch der persönliche Austausch zwischen den Teilnehmenden. Stichwort Networking. Hier können Sie wertvolle Kontakte knüpfen und vertiefen.

 

Events und Business Meetings by Swiss Infosec AG: Best Practice im besten Sinne.


Security Events und Business Meetings: Anlässe, die Sie weiterbringen

Sie wollen Ihre Sicherheitskompetenzen stärken. Ergänzen Sie unsere individuellen Aus- und Weiterbildungsangebote mit dem Besuch unserer Events und Business Meetings. Unser Wissen bringt Sie weiter.

Informieren Sie sich über aktuelle Events und Business Meetings und planen Sie schon heute Ihre Teilnahme!

Ein Blick auf unsere Events-Agenda hält Sie auf dem Laufenden. So können Sie Ihre Teilnahme allenfalls perfekt auf weitere Aus- und Weiterbildungsaktivitäten abstimmen. +41 41 984 12 12, infosec@infosec.ch

 

Events und Business Meetings by Swiss Infosec AG: Kostenlose Teilnahme, unbezahlbarer Wissensgewinn, unbezahlbare Begegnungen.

Wir freuen uns auf Sie!

 

Miro Schenker

Unterschrift MIR

Chief Strategy Officer

miro.schenker@infosec.ch
+41 79 634 77 49

MEET SWISS INFOSEC!

Die führende Fachveranstaltung der Schweiz für Integrale Sicherheit

MEET SWISS INFOSEC! ist die ideale Plattform für Ihr Unternehmen. Die MEET SWISS INFOSEC! findet zweimal jährlich im Hotel Radisson Blu in Zürich Flughafen statt und steht ganz im Zeichen der Integralen Sicherheit. Die Fachveranstaltung zieht Security-Interessierte aus dem In- und Ausland an und kombiniert Security und Networking in gelungener Weise. Sie ist deshalb bestens geeignet, um Ihr Unternehmen auf attraktive und innovative Art zu präsentieren.

MEET SWISS INFOSEC!: Die attraktive Verbindung von nice to know und nice to meet.

MEET SWISS INFOSEC!: aktuell, informativ, überraschend

Der Fokus der Referate an der MEET SWISS INFOSEC! liegt auf aktuellen Themen, Trends und Lösungsansätzen. In der abschliessenden Keynote wird das Thema „Sicherheit“ oftmals aus einer überraschenden Perspektive heraus betrachtet. Prominente Referenten sorgen dabei für den Wow-Effekt. Rückblick auf die aktuelle Ausgabe der MEET SWISS INFOSEC!

FACTS & FIGURES: 35x MEET SWISS INFOSEC! 6500+ Anmeldungen, 250+ Anmeldungen pro Event, 240+ Referate

 

 

MEET SWISS INFOSEC!: Best Practice in ihrer schönsten Form

MEET SWISS INFOSEC!: Ihr place to be

Stellen Sie Ihre Sicherheitslösungen einem Fachpublikum vor und profitieren Sie von persönlichen Begegnungen und Feedbacks. Ob spannende, praxisorientierte Erfahrungsberichte zu integralen Aspekten der Sicherheit, ob interessante Ausführungen zu Informationssicherheit, IT-Sicherheit und Datenschutz: Sie finden offene Ohren.

UNSERE KUNDEN: Ihre Zielgruppe

grafik diagramm branchen

MEET SWISS INFOSEC!: Massgeschneiderte Sponsoring-Engagements

Wählen Sie zwischen Sponsoring-Engagements mit der Bezeichnung S, M, L und XL und erreichen Sie mit unseren firmeneigenen Werbekanälen Ihre Zielgruppe.

 

MEET SWISS INFOSEC!: Nutzen Sie Ihre Möglichkeiten!

Wir beraten Sie gerne. Kontaktieren Sie uns jetzt unverbindlich und nutzen Sie die MEET SWISS INFOSEC! als Plattform für Ihr Unternehmen. +41 41 984 12 12, infosec@infosec.ch

 

Wir freuen uns über Ihren Kontakt.

 

Miro Schenker

Unterschrift MIR

Chief Strategy Officer

miro.schenker@infosec.ch
+41 79 634 77 49

 

 

 

 

 

Miro Schenker

E-Mail

Externer Security Officer

Keine Zeit für Informationssicherheit?
Ab sofort erhalten Sie Security-Unterstützung auf Abruf!

Ausbildungsagenda 2019

Meeting Points: Hier werden Sie besser!
Mit unserem Kursangebot schnell und sicher ans Ziel kommen.

Security Awareness & Online-Kurse

Awareness- und eLearning-Module: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

Jubiläumsanlass 30 Jahre Swiss Infosec AG

23. September 2019, Zürich Flughafen
13 bis 17 h, anschliessend Apéro riche

Sicherheit im Fokus auf Informationssicherheit, IT-Sicherheit, Datenschutz, Cyber Security, Cloud Security und Krisenmanagement

Ihre Teilnahme ist kostenlos!

Für Betriebliche Datenschutzverantwortliche und Informations- und IT-Sicherheitsbeauftragte

27. September 2019, Sursee
9 bis 12 h, anschliessend Lunch

Treffen Sie sich an diesem kostenlosen Refresher mit ausgewiesenen Sicherheits-Spezialisten für den Fachaustausch und erfahren Sie mehr über die aktuellen Tendenzen und Neuerungen im Bereich des Datenschutzes und der Informations- und IT-Sicherheit.

Event Review

Wolken vs. Cloud
24. Juni 2019, Zürich Flughafen

Der Himmel über Zürich präsentierte sich am 24. Juni fast wolkenlos. Trotzdem waren an der Sommerausgabe der MEET SWISS INFOSEC! alle Augen auf Wolken und die Cloud gerichtet. Das Motto Wolken vs. Cloud lockte an diesem warmen Tag mehr als 200 Personen in den angenehm kühlen Saal des Radisson Blu Hotels in Zürich-Flughafen. Sie alle wollten mehr über die Cloud und ihre Kolleginnen von der Wetterfront erfahren und wurden nicht enttäuscht. Die Referenten vermittelten nicht nur gekonnt Fakten, Tipps und Lösungsansätze, sondern sorgten mit Referatstiteln, die sich an das Motto anlehnten, auch für den berühmten roten Faden. Das Thema "Cloud" wurde aus verschiedensten Blickwinkeln beleuchtet. Thomas Bucheli, Leiter SRF Meteo, spannte in seiner Keynote schliesslich den Bogen zu den Wolken am Himmel und lieferte eindrückliche und überraschende Parallelen zur virtuellen Cloud.

 

  • Reto C. Zbinden

    Reto C. Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG, begrüsst das Publikum, Referenten und Event Partner zur 35. MEET SWISS INFOSEC!

  • Gabriel Kälin

    «Klare Sicht im Azorenhoch bzw. bessere Sichtbarkeit des Netzwerkverkehrs auf MS Azure» verspricht Gabriel Kälin, Channel Systems Engineer, Fortinet dank Security Best Practices

  • Cornel Furrer

    «Wo ist die Cloud» fragen Cornel Furrer und Tobias Sturzenegger, beide Swiss Infosec AG. (Unter dem Tuch übrigens nicht)

  • Cornel Furrer

    Beim Generationen-Dialog sind sich jung und jünger, Cornel Furrer und Tobias Sturzenegger, beide Swiss Infosec AG, nähergekommen.

  • André Duvillard

    Der Himmel lichtet sich, weil Bund, Kantone und die Gesellschaft Cyber-Sicherheit gemeinsam angehen wollen, weiss André Duvillard, Delegierter Sicherheitsverbund Schweiz.

  • Pause & Networking

    Pause & Networking
    Pausengespräch an der MEET SWISS INFOSEC!

  • Pause & Networking

    Pause & Networking
    Fachsimpeln in der Pause

  • Pause & Networking

    Pause & Networking
    Gesunde Stärkung in der Pause

  • Pause & Networking

    Pause & Networking
    Süsse Stärkung in der Pause

  • Georg Bommer

    Georg Bommer, Consultant, DataGovernance Technologies Ltd: Datenklassifizierung als integraler Teil der Data Governance.

  • Martin Hüsser

    Martin Hüsser, Consultant, DataGovernance Technologies Ltd: Entspannt dank automatischer Klassifizierung von Millionen unstrukturierter Daten.

  • Andreas Hausmann

    «Wissen Sie zu 100%, was in Ihrem Netzwerk ist?», fragt Andreas Hausmann, Aruba Chief Technologist, Hewlett Packard Enterprise

  • Thomas Bucheli

    Fast wie im Fernsehstudio: Thomas Bucheli, Leiter SRF Meteo, während seines Referats «Cloud der ersten Art».

  • Thomas Bucheli

    Ein Mann, der weiss, was Wolken sind: Thomas Bucheli, Leiter SRF Meteo.

  • Thomas Bucheli

    Thomas Bucheli, Leiter SRF Meteo, als Referent in Hochform.

  • Apéro

    Apéro riche mit…

  • Apéro

    …kompetenter Unterstützung zum Abschluss einer erfolgreichen MEET SWISS INFOSEC!

  • Auf Wiedersehen

    Auf Wiedersehen an der nächsten MEET SWISS INFOSEC! vom 23. September 2019, die ganz im Zeichen von 30 Jahre Swiss Infosec AG steht.

  • Auf Wiedersehen

    Auf Wiedersehen an der nächsten MEET SWISS INFOSEC! vom 23. September 2019, die ganz im Zeichen von 30 Jahre Swiss Infosec AG steht.

 

Begrüssung: Reto C. Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG, freut sich über das Interesse an der MEET SWISS INFOSEC! und am Thema "Wolken vs. Cloud" und heisst seine Gäste, die Referenten und Event- Partner herzlich willkommen. In seiner kurzen Einführung nimmt er Bezug auf die Kernkompetenzen der Swiss Infosec AG, die dieses Jahr ihr 30jähriges Bestehen feiert, und verspricht in diesem Zusammenhang eine besondere Ansage am Ende der Veranstaltung.

 

Herzlichen Dank: Die Swiss Infosec AG darf bei der Durchführung der MEET SWISS INFOSEC! einmal mehr auf namhafte Event-Partner zählen: ARUBA (a Hewlett Packard Enterprise Company), DATAGOVERNANCE TECHNOLOGIES, INFINIGATE, SWISS GRC und VMWARE unterstützen die führende Fachveranstaltung für Integrale Sicherheit.

 

Klare Sicht im Azorenhoch bzw. bessere Sichtbarkeit des Netzwerkverkehrs auf Microsoft Azure verspricht Gabriel Kälin, Channel Systems Engineer, Fortinet, dank Security Best Practices. Er erläutert, weshalb der Netzwerkverkehr auf Microsoft Azure anders ist und wie er sich vom Netzwerk-Traffic auf anderen Cloud Computing-Plattformen unterscheidet. Die erschwerte Sichtbarkeit des Netzwerkverkehrs auf Microsoft Azure ist dabei eine besondere Herausforderung. Zudem verlangen die vielfältigen Kommunikationsströme (alle Hosts in einem VNET und peered VNET können direkt kommunizieren) erhöhte Aufmerksamkeit. Gabriel Kälin präsentiert mit einer Live-Demonstration Lösungsansätze und verrät Security Best Practice-Tipps, die den Netzwerkverkehr auf Microsoft Azure sichtbarer und auch sicherer machen.

Referat hier herunterladen

 

Um die Sichtbarkeit von Netzwerk-Traffic geht es auch im Referat von Thomas Kretzschmar, Networking & Security, VMware Schweiz. Mit "Wolkig mit Aussicht auf Exploits" beschreibt er die Grosswetterlage rund um sichere Umgebungen und rät, diese mit flexibler Segmentierung, künstlicher Intelligenz und Application Whitelisting zu verbessern. Weder die in den 60er Jahren des letzten Jahrhunderts (nicht primär für die Sicherheit) entwickelten Protokolle, noch die verschiedenen Firewalls der 90er Jahre genügen den heutigen Ansprüchen an Netzwerksichtbarkeit und -sicherheit. Intelligente, flexible Lösungen sind gefragt, und auch ein anderer Blickwinkel in Bezug auf die Erkennung von Gefahren: Dem Blacklisting-Ansatz (Auflistung von unerwünschten Anwendungen, die deren Ausführung verhindert) wird der Application Whitelisting-Ansatz gegenübergestellt (Liste von Anwendungen, die ausgeführt werden dürfen). Vor dem Hintergrund flexibler Segmentierung und künstlicher Intelligenz in Verbindung mit einer entsprechenden Software favorisiert Thomas Kretzschmar den Whitelisting-Ansatz klar.

Referat hier herunterladen

 

Cornel Furrer, COO, Managing Consultant, Swiss Infosec AG, und Tobias Sturzenegger, Consultant, Swiss Infosec AG, (der den erkrankten Niklaus Manser ersetzt) verlassen die Tiefen der Technik und katapultieren das Publikum zurück an die Oberfläche. In ihrem Generationen-Dialog "Wo ist die Cloud?" machen sie den IT-Graben zwischen jung und jünger oder Nutzer und Nerd sichtbar. Auf unterhaltsame Weise bringen sie Begriffe wie "Computerwurm", "Virus" und "Firewall" auf den Punkt. Komplexes in einfachen Worten zu erklären, ist gerade im IT-Bereich mit seiner eigenen hochspezialisierten Fachsprache oft alles andere als einfach, aber notwendig und wirkungsvoll. So gelingt es dem Nerd, dem Nutzer die abstrakte Cloud und deren Vor- und Nachteile plausibel zu machen, ihn auf seine Eigenverantwortung hinzuweisen, aber auch auf die Möglichkeit von Audits (Stichwort ISAE 3402) betreffend Compliance und Wirksamkeit des Cloud-Betreibers durch spezialisierte Firmen. Fazit des Dialogs: Jung und jünger sind sich nähergekommen und: Anschaulichkeit macht schlau(er).

Referat hier herunterladen

 

"Der Himmel lichtet sich." freut sich André Duvillard, Delegierter Sicherheitsverbund Schweiz (SVS). Grund dafür ist, dass Cyber-Sicherheit (endlich) als gemeinschaftliche Aufgabe von Bund, Kantonen und der Gesellschaft betrachtet wird. André Duvillard zeigt auf, wie sich der Sicherheitsverbund Schweiz für eine inklusive Strategie im Cyberbereich stark macht. Der SVS ist die föderale Antwort auf neue Sicherheits-herausforderungen, die durch Bedrohungen verschiedenster Herkunft und durch Konflikte an die Schweiz gestellt werden. Der Bedrohung im Cyberraum kommt dabei eine besondere Bedeutung zu. Nicht nur, weil die Gefahr akut ist, dass dieser virtuelle Raum immer raffinierter und öfter missbraucht wird, sondern auch weil diese - wie André Duvillard sie nennt - Querschnittsbedrohung bewusst macht, dass das bisherige Silodenken überwunden werden muss. Die Nationale Cyber Strategie II (NCS) trägt diesem Umstand Rechnung und listet 10 Handlungsfelder auf, mit denen die Vision einer resilienten, vor Cyber-Risiken geschützten und handlungsfähigen Schweiz Realität werden soll: Ein grosse Aufgabe, die nur gemeinsam bewältigt werden kann.

Referat hier herunterladen

 

Millionen unstrukturierter Datenobjekte automatisch klassifizieren. Was wie ein Traum klingt, ist mit der richtigen Software bereits machbar, wissen Georg Bommer, Consultant, DataGovernance Technologies Ltd, und Martin Hüsser, Consultant, DataGovernance Technologies Ltd. Datenklassifizierung als integraler Teil der Data Governance ist nicht nur für die Sicherheit und Compliance im Unternehmen wichtig. Sie ist der zentrale Trigger für alle Data Governance-Prozesse und für die effiziente Bewirtschaftung unstrukturierter Daten. Und solche unstrukturierten Datenobjekte gibt es in Unternehmen millionenfach und meistens erst noch über verschiedene Speicherorte (Systeme, Cloud) verteilt. Ohne automatisierte Datenklassifizierung ist dieser Datenmenge unmöglich beizukommen. Martin Hüsser präsentiert einen Lösungsansatz, der anstelle des funktionalen Ansatzes auf dem sogenannten Information Centric-Ansatz beruht, der für die effiziente Steuerung der Data Governance zwingend ist und auch den Herausforderungen gerecht wird, die das Speichern der Daten in der Cloud (Transparenz und Kontrolle) mit sich bringt.

Referat hier herunterladen

 

"Wissen Sie zu 100%, was in Ihrem Netzwerk ist?" Diese Frage von Andreas Hausmann, Aruba Chief Technologist, Hewlett Packard Enterprise, muss ehrlicherweise wohl mit Nein beantwortet werden.
Umso mehr als durch Mobilität und BYOD der Überblick nicht einfacher geworden ist. Wer darf sich womit verbinden? Wie steht es um die Rechtevergabe auf eigenen Geräten, im Firmen- oder Gastnetz? Wer hat welche Zugriffsrechte und wie können Zugriffe kontrolliert werden? Diese Fragestellungen zeigen, dass separate Systeme eine veritable Sicherheitsherausforderung sind. Eine Herausforderung, die sich mit einer spezifischen Softwarelösung, wie sie Andreas Hausmann vorstellt, jedoch meistern lässt. Sie legt den Fokus auf Angriffe und gefährliches Verhalten innerhalb des Netzwerks und analysiert sowohl das Verhalten der Nutzer als auch der Ereignisse. Damit können kleine Veränderungen, aber auch gefährliche Anomalien erkannt und Nutzer/Geräte frühzeitig isoliert werden.

Referat hier herunterladen

 

Thomas Bucheli, Leiter SRF Meteo, Schweizer Radio und Fernsehen SRF, nimmt sich der Cloud der ersten Art an und wagt als Meteorologe eine wolkenguckerische Schlussbetrachtung. Wolken sind im wahrsten Sinne des Wortes nicht be-greifbar, sie sind aber – anders als die Cloud – zumindest sichtbar. Und: Wolken sind der Ursprung von allem. Ohne Wolken – so paradox das klingen mag – gäbe es kein Licht. Clouds der ersten Art sind sichtbar gemachte Energie. Energiegeladen führt Thomas Bucheli dann weiter durch sein Thema: Er streift die Systematik der Wolken, beschreibt das globale Zusammenspiel der Faktoren, die das Wetter beeinflussen, geht auf den philosophisch-wissenschaftlichen Ansatz der Prognose ein, verweist auf heutige Prognosemethoden (inkl. Ameise aus dem Muotathal) und immer leistungsfähigere Rechner und stellt schliesslich augenzwinkernd die Referatstitel dieser MEET SWISS INFOSEC! in den Wetterkontext. Ein Referat ohne Tiefs, aber mit Tiefe. Ein Meteorologe in Hochform.

Referat hier herunterladen

 

Herzlichen Dank und auf Wiedersehen: Bevor Reto C. Zbinden die 35. MEET SWISS INFOSEC! beschliesst und zum Apéro einlädt, lüftet er noch das Geheimnis um die Ansage zu Beginn der Veranstaltung: Die nächste MEET SWISS INFOSEC! steht ganz im Zeichen von 30 Jahre Swiss Infosec AG und findet bereits am Montag, 23. September 2019, statt. Die Swiss Infosec AG feiert ihr Jubiläum mit einem ganz besonderen Programm, das von Sonja Hasler vom Schweizer Radio und Fernsehen moderiert, von hochkarätigen Referenten wie David Rosenthal und Hannes Lubich bestritten und mit Musik umrahmt wird. Reto C. Zbinden freut sich auf ein Wiedersehen an der 36. MEET SWISS INFOSEC! und bedankt sich beim Publikum, den Referenten, den Event Partnern und bei seinem Team rund um Mr. MEET SWISS INFOSEC!, Miro Schenker.

 

Online Feedbackabgabe

 

Wir freuen uns auf ein Wiedersehen mit Ihnen!
Melden Sie sich hier gleich an.

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK