Schlagwort: Cybersecurity

Am 19.9.2017 nahm der Ständerat die Motion 17.3508 (Schaffung eines Cyber Security-Kompetenzzentrums auf Stufe Bund) mit überwältigendem Mehr (41:4) an, der Nationalrat schloss sich am 7.12.2017 mit 177:2 diesem klaren Verdikt an, und zwar gegen den Widerstand des Bundesrates.

In beiden Räten fanden sich insgesamt nur sechs Parlamentarier, welche die ablehnende Haltung des Bundesrates unterstützten. Die überaus deutlichen Resultate sind ein klares Signal an die Landesregierung, im Bereich Cyber jetzt Nägel mit Köpfen zu machen. Beim Kampf gegen Cyberangriffe geht es nämlich nicht um einen «allgemeinen Hype», wie Bundesrat Ueli Maurer in der Nationalratsdebatte sagte, sondern um eine ernst zu nehmende Bedrohung, welche die allermeisten Länder zuoberst auf ihrer Prioritätenliste haben.

Klarer Auftrag an die Landesregierung
Mit dem Vorstoss wird der Bundesrat beauftragt, im Zusammenhang mit der laufenden Überarbeitung der nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) ein Cyber Security-Kompetenzzentrum auf Stufe Bund zu schaffen und dafür die notwendigen Massnahmen einzuleiten. Diese Organisationseinheit hat die Aufgabe, die zur Sicherstellung der Cyber Security notwen-digen Kompetenzen zu verstärken und bundesweit zu koordinieren. Das Kompetenzzentrum soll departementsübergreifend wirksam sein und mit der Wissenschaft (Hochschulen, Fachhochschulen), der IT-Industrie und den grösseren Infrastrukturbetreibern (insbesondere Energie, Verkehr) zusammenarbeiten.

Unbestrittener Handlungsbedarf
Klar ist, dass es in der Bundesverwaltung viele gute Ansätze gibt, dass eifrig und nach bestem Willen gearbeitet wird, dass diverse Workshops und Veranstaltungen stattfinden. Solche Foren sind gut und recht, aber sie reichen nicht, wenn man die grosse kriminelle Energie der potentiellen Angreifer in Betracht zieht. Der Handlungsbedarf ist unbestritten: es ist eine der Uraufgaben des Staates, sich für die Sicherheit unserer Bevölkerung einzusetzen. Dass die Cyber-Bekämpfung enorm wichtig ist, unterstreicht der kürzliche Angriff auf zwei Departemente in aller Deutlichkeit. Auch die Schweiz ist verwundbar; die Bedrohungslage hat sich in letzter Zeit nicht nur deutlich verändert, sondern auch intensiviert.

Cyber hat beim Bund kein Gesicht
Aus Sicht eines Verantwortlichen, der in der Bundesverwaltung mit seinen Leuten bereits jetzt gegen die zahlreichen und hochprofessionellen Cyberattacken kämpft, gibt es heute drei grosse Defizite:

Der Bund hat zu viele Koordinatoren und zu wenig Spezialisten, die wirklich etwas verstehen von der Sache.
Die Cyberangriffe nehmen immer mehr zu, aber die Departemente haben noch keine Routine, wie sie damit umgehen sollen, das heisst, es wird deshalb noch zu viel improvisiert.
Das Thema «Cyber» hat beim Bund kein «Gesicht», und das ist schlecht, auch für die Öffentlichkeit.

In der Antwort des Bundesrates auf die Motion wird MELANI kurzerhand als nationales Cyber-Kompetenzzentrum bezeichnet. Diese Melde- und Analysestelle und die Personen, die dort arbeiten, machen einen guten Job. Aber als eigentliches Cyber-Kompetenzzentrum des Bundes wurde MELANI bisher nicht wahrgenommen. In der 45-seitigen, noch gültigen Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2012-2017, die 16 konkrete Massnahmen entlang von sieben Handlungsfeldern vorschlägt, kommt das Wort Cyber-Kompetenzzentrum nicht einmal vor, geschweige denn im Zusammenhang mit MELANI.

Die Meinung von ETH-Professoren
ETH-Professoren, die in der Vergangenheit von verschiedenen Bundesstellen in beratender Funktion zu Themen rund um die Cyber-Sicherheit beigezogen wurden und somit die Strukturen in Bundesbern kennen, hielten mir gegenüber folgendes fest: «Das Thema Cyber Security verlangt zwangsläufig die Konsolidierung von zwei komplementären Betrachtungen: Rückblickend (reaktiv) und vorausschauend (proaktiv). Rückblickende Aspekte umfassen die Feststellung und systematische Erfassung von erfolgten Angriffen und bekannten Sicherheitslücken sowie die Definition von Massnahmen. Vorausschauende Aspekte sind die systematische Erforschung von Sicherheitsrisiken, die Bereitstellung von Methoden für die Konstruktion sicherer Systeme, die Erforschung der Sicherheitstechnologie sowie die Bereitstellung eines umfassenden Aus- und Weiterbildungsangebots in all diesen Bereichen.»

«Eine Zeitlang unterschätzt!»
Bundespräsidentin Doris Leuthard hat im Ständerat am 7. Juni 2017 anlässlich der Beratung des Geschäftsberichtes des Bundesrates in aller Offenheit betont, dass das Thema Cyber Security «vielleicht eine Zeitlang unterschätzt oder nicht auf Stufe Gesamtbundesrat eingehend diskutiert wurde.» Mit der Umsetzung der Motion wurde ein Schritt in die richtige Richtung unternommen und das Parlament beobachtet nun die nächsten konkreten Schritte der Landesregierung.

Cyberkriminalität ein globales Milliardengeschäft. Auch mit Opfern in der Schweiz. Erpressung mittels Verschlüsselungstrojaner und Manipulation von Zahlungsflüssen unter Verwendung von Trojanern sind derzeit beliebte Maschen der Cyberkriminellen, die auf einen schnellen finanziellen Gewinn aus sind. KMUs stellen für Cyberangriffe ein leichtes Ziel dar, da sie dem Thema Daten- und Informationssicherheit oft nicht genug Aufmerksamkeit widmen.

Anfang dieses Jahres wurde publik, dass ein KMU Opfer eines Cyberangriffes wurde. Cyberkriminelle waren mittels Schadsoftware in das Netzwerk der Firma eingedrungen. Sie gaben im Namen des Unternehmens Zahlungen in der Höhe von 423’000 Franken über verschiedenen Banken in Auftrag. Nur verschieden nachgelagert Sicherheitsmechanismen bei den involvierten Banken verhinderten einen Totalverlust und hohen finanziellen Schaden.

Dieses Ereignis zeigt, welche Gefahren für KMUs durch Cyberangriffe ausgehen – verursacht durch einzelne Hacker oder professionelle kriminelle Organisationen. Das Management eines KMUs steht vor der Herausforderung sicherzustellen, dass sie die Bedrohung für das Unternehmen versteht und die richtigen Massnahmen sowie Prioritäten setzt. Dies ist, angesichts der Komplexität der Technologie und durch das Tempo der Veränderung welcher sie unterworfen ist, keine leichte Aufgabe. Für Nicht-Spezialisten in diesem Gebiet ist es oft schwierig, zu verstehen wie sie mit der Thematik umgehen sollen und wie sie sich auf die wesentlichen Massnahmen konzentrieren können.

Das Verständnis der Bedrohung sowie die Art des Angriffes sind jedoch zentral, um eine essentielle Voraussetzung zur Beurteilung zu schaffen und Aussagen darüber zu treffen, inwieweit die Organisationen ein Ziel für solche kriminellen Handlungen sind.

Was ist Cyberkriminalität und wer sind die Täter?
Unter Cyberkriminalität versteht man Straftaten unter Ausnutzung elektronischer Infrastruktur, welche bei Unternehmen materielle oder auch immaterielle Schäden verursacht. Der Begriff deckt ein breites Spektrum von Zielen und Angriffsmethoden ab. Das Verstehen von Tätern, also deren Motivation, Organisation und Auftraggeber sowie die Art der Durchführung solcher Angriffe sind unerlässlich für effektive Massnahmen gegen Cyberkriminalität.

Ein wesentlicher Teil analoger Straftaten, die einen direkten Vermögensvorteil zum Ziel haben, verschiebt sich in die digitale Welt – das heisst, dass sich diese im Internet abspielen. Verbrechen geschehen nicht mehr nur im Rahmen krimineller Strukturen, sondern jederzeit und überall. Genaue Zahlen zu Meldungen und Verurteilungen von Cyberdelikten gibt es aufgrund einer hohen Dunkelziffer zwar nicht, doch ausgehend von aktuellen Entwicklungen wird die Bedeutung von Cyberkriminalität weiter zunehmen. Dass das Ziel solcher Aktivitäten nicht nur auf grosse Unternehmen beschränkt, sondern auch kleinere Unternehmen betroffen sind, zeigt das eingangs erwähnte Beispiel.

Das Verständnis für Cyber Risiken
Cyber Risiken sind eine grosse und vielfältige Herausforderung für die Führung von Unternehmen. Die Entschuldigung, die Verantwortung den Experten zu überlassen, soll dabei nicht gelten. Es ist wichtig und unerlässlich, dass die Unternehmensführung das Unternehmen in den folgenden Bereichen lenkt und verantwortet:

Zuteilung von Ressourcen, um Cyber Security betreiben zu können
Eine unternehmensweite Governance, welche risikobasierte Entscheidungsfindung erlaubt
Eine Unternehmenskultur in der jeder um seine Verantwortung weiss

Unternehmen können die Risiken für ihr Geschäft durch den Aufbau von Kapazitäten in den folgenden drei kritischen Bereichen reduzieren: Prävention, Erkennung und Reaktion.

Prävention: Beginnt mit der Governance und Organisation des Unternehmens. Es geht neben strategischen und taktischen auch um technische Massnahmen, einschliesslich der Verantwortung für den Umgang mit Cyber Security innerhalb der Unternehmung sowie Sensibilisierungsmassnahmen für die Schlüsselmitarbeiter.

Erkennung: Durch die Überwachung von kritischen Ereignissen und Sicherheitsvorfällen, kann ein Unternehmen seine Erkennungsmassnahmen stärken. Überwachung und Aufzeichnung von Daten bilden zusammen ein ausgezeichnetes Instrument, um auffällige Muster im Datenverkehr zu erfassen und den Ort der Angriffe zu lokalisieren.

Reaktion: Bezieht sich auf die Aktivierung eines Plans, sobald ein Angriff stattfindet. Bei einem Angriff sollte die Unternehmung in der Lage sein, die betroffene Technologie sofort zu deaktivieren. Bei der Entwicklung einer Reaktion und dem Wiederherstellungsplan, sollte eine Unternehmung Informationssicherheit als kontinuierlichen Prozess etablieren und nicht als eine einmalige Aktivität ansehen.

Die 5 grössten Irrtümer im Zusammenhang mit Cyber Sicherheit bei KMUs

Irrtum 1: “100% Sicherheit”
Die Entwicklung eines Bewusstseins, dass es 100 Prozent Schutz vor Cyberkriminalität gibt. Dies ist weder machbar noch ein geeignetes Ziel. Es ist aber ein wichtiger Schritt auf dem Weg zu einer effektiven Sicherheitspolitik die es dem Unternehmen erlaubt, Entscheidungen über sein Abwehrdispositiv zu machen. Wirksame Abwehrmassnahmen setzen auf dem Verstehen der Bedrohung (d.h. der Täter und Ihrer Tathandlungen) auf. Diese beinhalten Massnahmen in Bezug auf organisatorische Schwachstellen (Prävention), die Implementierung von Mechanismen, um drohende oder tatsächliche Vorfälle (Erkennung) zu erfassen sowie die Fähigkeit auf Vorfälle (Reaktion) sofort zu reagieren zu können, um Verluste zu minimieren.

Irrtum 2: “Wir investieren in die Sicherheit in dem wir die besten erhältlichen Sicherheitstools implementieren”
Das Thema Cyber Security wird auf dem Markt durch spezialisierte Anbieter von technischen Sicherheitsprodukten geprägt. Diese Werkzeuge sind für die Basissicherheit unerlässlich und müssen in die IT-Architektur integriert werden. Sie sind aber nur ein Teil und nicht die Grundlage einer ganzheitlichen und robusten Cyber Security-Politik. Die Investition in technische Hilfsmittel sollte eine Massnahme und nicht der Treiber der Cyber Security-Strategie sein. Es ist wichtig, dass Führungskräfte Verantwortung für den Umgang mit dieser Herausforderung übernehmen. Die Technologie allein kann in dieser Hinsicht nicht helfen. Sie müssen auch bereit sein Mitarbeiter zu schulen, um das Bewusstsein für die Bedrohung durch Cyberangriffe zu fördern.

Irrtum 3: “Unsere Abwehrmassnahmen reichen gegen Angriffe der Hacker aus”
Die Bekämpfung von Cyberkriminalität ist ein markantes Beispiel für einen nicht zu gewinnenden Wettlauf. Die Angreifer sind bei der Entwicklung neuer Methoden und Technologien gegenüber den Verteidigern immer einen Schritt voraus. Aber ist es wirklich sinnvoll in Abwehrmassnahmen zu investieren, um mit den immer raffinierter werdenden Werkzeugen der Angreifer Schritt zu halten? Ja, es ist wichtig den präventiven Ansatz und die damit verbundenen Abwehrmassnahmen auf dem neuesten Stand zu halten, um so einen Einblick in die Absichten der Angreifer und deren Methoden zu erhalten. Das Management muss den Wert der Informationen im Unternehmen und die Implikation bei einem Verlust dieser auf das Kerngeschäft verstehen.

Die Cyber Security-Strategie und -Politik braucht es, um Investitionen in diesem Bereich zu priorisieren, anstatt zu versuchen alle Risiken abzudecken. Kurz gesagt, sollte das Management sich der neuesten Techniken bewusst sein, diese aber risikobasiert und gezielt gegen ihre Bedrohungen einsetzen.

Irrtum 4: “Überwachung ist alles”
Nur Unternehmen die in der Lage sind externe Entwicklungen und Trends zu verstehen und diese Erkenntnis nutzen, um die Sicherheitspolitik und -strategie anzupassen, sind auf lange Sicht in der Prävention erfolgreich. Die Praxis zeigt, dass Cyber Security stark von der Compliance getrieben wird. Dies ist verständlich, denn viele Unternehmen müssen eine Reihe von Gesetzen und Vorschriften erfüllen. Allerdings ist es kontraproduktiv, die Compliance alleine als das ultimative Ziel der Cyber Security-Politik zu sehen.

Irrtum 5: „Wir stellen die besten Experten an, um uns gegen Cyberkriminalität zu schützen”
Cyber Security wird oft als Verantwortung einer Fachabteilung von Informationssicherheitsexperten gesehen.
Diese Denkweise kann ein falsches Gefühl von Sicherheit hervorrufen. Die eigentliche Herausforderung ist, Cyber Security zu einem Mainstream-Ansatz zu machen. Dies bedeutet, dass Cyber Security ein Teil der organisationsweiten Vorgaben und Richtlinien wird. Dies bedeutet aber auch, dass Cyber Security als eine zentrale Funktion bei der Entwicklung neuer IT-Systeme einbezogen wird und nicht wie häufig der Fall, erst am Ende solcher Projekte um ihre Zustimmung angefragt wird.

Zusammenfassung
Das Thema Cyber Security muss auf jeder Management-Agenda eines KMUs stehen. Alle Steakholder; der Verwaltungsrat, die Aktionäre und die Kunden erwarten, dass das Unternehmen dieser Herausforderung genügend Aufmerksamkeit schenkt. Die Unternehmensleitung muss also in der Lage sein, bei der Umsetzungen von Cyber Security die richtigen Fragen stellen zu können, um so durch die Komplexität des Themas zu navigieren und damit das Vertrauen aller Beteiligten zu gewinnen.

Schlagwortarchiv für: Cybersecurity

Souveräne Schweiz im globalen Cyber-Raum

Ähnliche Beiträge

Cyber Risiken – für KMU (k)ein Thema?

Ähnliche Beiträge

RSS abonnieren

Kontakt

Newsletter