Erfolg Ausgabe April/Mai 2017

44 Informatik Ausgabe 4/5 / April / Mai 2017 / ERFOLG Cyber Crime und wie Sie sich schützen können Wolfgang Sidler, Inhaber SIDLER Information Security GmbH und Partner der SASE- RA AG, Master of Advanced Studies in Information Security, Certified ISO 27001 Lead Auditor und Mitautor des «IT-Sicherheitshandbuches für die Praxis» www.sihb.ch Die schnelle Digitalisierung und Mobilität verursacht neue Gefahren und exponiert sensible Unternehmensdaten und stellt für die Unternehmen eine grosse Herausforderung dar. Auch das Verhalten der Benutzer hat sich massiv und schnell verändert. Geschäftsdaten überall, zur jeder Zeit und auf jedem Gerät. Die Bedrohungslage hat sich insoweit geändert, dass die Mittel dazu moderner werden, die Mitarbeitenden immer vernetzter sind und dass ein zu geringes oder gar kein Sicherheitsbewusstsein vorhanden ist. Die grosse Herausforderung ist die Balance zwischen «Sicherheit und Bedienbarkeit». Nach RUAG Vorfall war das Statement von Bundesrat Guy Parmelin «KMU sind sich der Gefahr zu wenig bewusst». Fremde Staaten können E-Mails, Faxe, Telefone durch Satelliten abhören und Wanzen installieren oder können durch IT-Angriffe via Trojaner in Ihr IT-System eindringen und dort meistens unbemerkt Informationen sammeln und weiterleiten (z. B. unbemerktes Weiterleiten aller E-Mails). Problematisch ist auch die schnell zunehmende Vernetzung zwischen den industriellen Kontrollsystemen wie Produktionsmaschinen und den Desktop-Arbeitsplätzen sowie den mobilen Geräten der Ingenieure oder Wartungspersonal, welche wiederum oft einen Internetzugang haben. So entsteht eine Schatten-IT und Mitarbeitende verwenden z. B. Dropbox umso sensible Geschäftsdaten zur eigenen Bequemlichkeit hochzuladen um diese dann später zu Hause oder unterwegs auf private Notebooks oder Tablets zu kopieren. Mobile Kommunikation ist zum wichtigen Ansatzpunkt geworden, um an sensitive geschäftliche und persönliche Informationen zu gelangen. Denn an keiner anderen Stelle kann man so schnell derart viele persönliche und wich- tige Informationen abgreifen. Was lange ausschliesslich eine Domäne von Geheimdiensten war, ist durch technischen Fortschritt und dem Preisverfall beim Equipment zu einem Standard-Werkzeug für Wirtschaftsspionage und Computer-Kriminalität geworden. Was mit dem Smartphone gerade passiert ist für den Benutzer nicht erkenntlich. Und keine IT Abteilung ist vor Ort und kann die Sicherheit der Verbindung überprüfen. Dazu kann ein Smartphone heute gleichzeitig im Mobilfunknetz und über WLAN im firmeneigenen Netzwerk eingeloggt sein. Über diese «Funkbrücke» werden abgeschottet geglaubte Bereiche in einem Unternehmen plötzlich von aussen mit schnellen Mobilfunk-Zugängen erreichbar. Ohne dass der Benutzer es merkt, kann über das SS7 Protokoll über den Basenet Protokoll-Stack z. B. das Mikrophon eingeschaltet werden. Am 21. Dezember 2016 hat der Bundesrat die Vernehmlassung zur Totalrevision des Bundesgesetzes über den Datenschutz eröffnet. Bis am 4. April 2017 läuft die Vernehmlassung mit dem Ziel, dass das neue Schweizer Datenschutzgesetz im Mai 2018 in Kraft treten soll. Unternehmen ist dringend zu empfehlen, sich bereits jetzt auf die neue Gesetzgebung einzustellen und die notwendigen Vorbereitungsarbeiten zur Sicherstellung der künftigen Datenschutzkonformität an die Hand zu nehmen. Dazu gehören z. B. die Analyse der Datenbearbeitungsprozesse und der damit verbundenen Risiken, der bestehenden internen Richt- linien und Weisungen sowie der Verträge mit Dritten, an welche Daten weitergegeben werden oder die Daten im Auftrag bearbeiten, und gestützt darauf die Überprüfung des Anpassungsbedarfs und die Vorbereitung der für dessen Umsetzung erforderlichen Massnahmen. Die bisherige maximale Busse bei Verletzung von datenschutzrechtlichen Pflichten betrug lediglich CHF 10'000.–. Neu wird die maximale Busse auf CHF 500'000.– erhöht durch die Unterlassung der Information der Betroffenen, von angemessenen Massnahmen zur Gewährleistung der Datensicherheit, der Datenschutz-Folgeabschätzung oder der Dokumentation der Datenbearbeitung. Zudem müssen Datenschutz-Vorfälle neu dem eidg. Datenschützer gemeldet werden. Der Hype um die Clouds verschärft das Thema. Der Nutzer weiss in der public Cloud (z. B. Amazon oder Microsoft) nicht, auf welchen Systemen, in welchem Rechenzentrum und in welchem Land der Provider seine Daten speichert. In den entsprechenden Service Level Agreements (SLA) kann zum Beispiel der folgende Passus stehen «Unter bestimmten Umständen kann (Name des Providers) Daten ohne Ihre vorherige Zustimmung weitergeben. Dazu gehört die Befolgung rechtlicher Anforderungen». Für ein rechtlich abgesichertes Cloud-Szenario sind dedizierte Anforderungen an den Cloud Provider sowie wasserdichte Verträge ein Muss. Es ist nicht die Frage ob etwas passieren wird, sondern wann. Welche Gefahren bedrohen unsere innovativen CH-Unternehmen? Wie können Sie sich schützen? – Zeigen Sie Management-Attention in Bezug auf die Informationssicherheit und Datenschutz. – Sensibilisieren Sie alle Mitarbeitenden in Bezug auf die Informationssicherheit (z. B. Umgang mit Smartphones, BYOD, Phishing, Clear Desk Policy, etc.) – Beginnen Sie ein Informationssicherheits-Managementsystem (ISMS) aufzubauen (Notfall- und Krisenmanagement-Konzept, ein Risiko-Management-Konzept, eine Cloud-Strategie, eine Mobile-Device Strategie, ein übergreifendes Berechtigungskonzept für den Zugriff auf vertrauliche Daten, etc.), welches Sie später gemäss ISO 27001 zertifizieren lassen können. – Erstellen Sie eine IT-Nutzungsweisung z.B. Umgang mit E-Mail und Internet, Akten-Vernichtung, Umgang mit USB-Sticks, etc. – Führen Sie Security-Audits und Schwachstellen-Scans durch, um mögliche Schwachstellen (technisch wie auch organisatorischer Natur) im Unternehmen zu finden und zu beheben. – Verschlüsseln Sie Ihr Daten bevor Sie diese in einer Public-Cloud (z.B. Microsoft Office 365, Salesforce) speichern. – Verschlüsseln Sie die Festplatte Ihres Notebooks z.B. mit BitLocker von Windows 10 und einer Pre-boot Authentifizierung. – Verschlüsseln Sie vertrauliche Dokumente, welche Sie via E-Mail versenden. Nur mit einer angemessenen Verschlüsselung können Sie die Vertraulichkeit wahren. – Behandeln Sie geschäftliche Themen und Informationen in der Öffentlichkeit vertraulich während einer Bahn- oder Flugreise oder im Restaurant. Lassen Sie andere nicht mithören und lassen Sie sich nicht aushorchen. – Schliessen Sie vertrauliche Unterlagen weg. Verlassen Sie Ihren Arbeitsplatz jeweils aufgeräumt (Clear Desk). Werfen Sie keine Datenträger (CDs) und Dokumente mit sensiblem Inhalt ungeschreddert in den Papierkorb. Wenn Sie Ihren Arbeitsplatz auch nur

Page 1
Page 2
Page 3
Page 4
Page 5
Page 6
Page 7
Page 8
Page 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Page 16
Page 17
Page 18
Page 19
Page 20
Page 21
Page 22
Page 23
Page 24
Page 25
Page 26
Page 27
Page 28
Page 29
Page 30
Page 31
Page 32
Page 33
Page 34
Page 35
Page 36
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43
Page 44
Page 45
Page 46
Page 47
Page 48