MEDIENSPIEGEL - Swiss Infosec AG

MEDIENSPIEGEL Telefon +41 (0)41 984 12 12, infosec@infosec.ch

Inhaltsverzeic
Inhaltsverzeichnis
Inhaltsverzeic nis
Netzwoche, Januar 2012, Militärische Erfahrung für Krisenmanagement ......................................... 3
Basler Zeitung, Januar 2012, Kameraüberwachung gegen Datenklau ist Illusion ............................. 4
ISACA-Newsletter, Dezember 2011, Social Engineering – Theorie und Praxis .................................. 6
Sicherheit Sécurité Sicurezza, Mai 2010, Mentale Selbstverteidigung ........................................... 10
Sicherheit Sécurité Sicurezza, Mai 2010, Cornel Furrer – Einbrecher auf Bestellung .................... 12
Tages Anzeiger, April 2010, Einbrecher auf Abruf: Alles im Namen der Sicherheit ......................... 15
Blick.ch, Februar 2010, Geht jetzt der grosse Datenklau los? ......................................................... 17
Organisator, September 2009, Mögliche Stolpersteine für KMU beim Datenschutz ...................... 18
InfoWeek.ch, März 2008, Business Continuity – mehr als nur Theorie ........................................... 20
WOZ, Die Wochenzeitung, Februar 2008, Wir knackten sie alle .................................................... 22
Neue Luzerner Zeitung, Juli 2007, Spione im Dienst der Sicherheit ............................................... 24
Handelszeitung, Februar 2007, Der Mensch ist das grösste Sicherheitsrisiko ................................. 26
PC-Online, September 2006, ISMS Tool Box ................................................................................. 27
IT-Security, Mai 2006, Neue Herausforderungen ........................................................................... 28
Computerworld, November 2005, IT-Krisen: vorbereitet sein ist alles ............................................ 33
Computerworld, November 2005, Schwachstelle ist der Mensch .................................................. 34
Handelszeitung, Oktober 2005, Späher in heikler Mission ............................................................. 35
WindowsITPro, Oktober 2005, Tool für Sicherheitsbeauftragte ..................................................... 37
Computerworld, August 2005, Blended Learning bringts .............................................................. 38
Atel Inside, August 2005, Daten-Diebstahl im Hauptgebäude ....................................................... 39
Computerworld, Juli 2005, Schwächstes Glied .............................................................................. 41
Berner Zeitung, Juni 2005, Der Spion, der durch die Tabuzonen fremder Firmen spaziert............. 42
Computerworld, 17/2005, Automatisierte IT-Sicherheit ................................................................ 44
20minuten, April 2005, Plauderi sind gefährlich ............................................................................ 45
Klink und Heim, 3/2004, IT-Sicherheit gerade im Gesundheitswesen systematisch anpacken ....... 46
Netzguide E-Security, 2004, Zertifizierung als Sicherheitsstütze ..................................................... 48
Digma, Dezember 2003, Richtige Planung von IT-Security Projekten ............................................ 50
Swissconsultants.ch, 3/2003, Organisation der IT-Sicherheit systematisch anpacken .................... 53
Klinik und Heim, 4/2003, Zwischen Hightech und Persönlichkeitsschutz ....................................... 55
Swissconsultants.ch, 2/2003, Absichern statt abwarten ................................................................. 57
Netzguide E-Security, 2002, Wie sicher ist Ihr E-Business? ............................................................. 60
Handelszeitung, Januar 2002, Handlungsbedarf wird nicht erkannt .............................................. 63
NZZ, September 2001, Die Dunkelziffer ist gross .......................................................................... 65
CASH, September 2001, Keine Angst vor wilden Viren .................................................................. 68
MQ Management und Qualität, September 2001, Kein Buch mit sieben Siegeln .......................... 70
Beobachter, Juni 2001, Die Unternehmen haben Erklärungsbedarf ............................................... 74
Sonntagszeitung, Februar 2001, Der Image-Schaden ist oft am schlimmsten ................................ 75
K-Tip, März 2000, Konto-Knacken – ein Kinderspiel? ..................................................................... 76
BLICK, März 2000, So geben Sie Hackern keine Chance ................................................................ 79

11.01.2012 15:10 | Update 11.01.2012 10:39 (Marcel Hegetschweiler)
Militärische Erfahrung für Krisenmanagement
Reinhard Obermüller neu bei Swiss Infosec
Der Jurist Reinhard Obermüller ist beim IT-Sicherheitspezialisten
Swiss Infosec neu zuständig für Krisenprävention,
Krisenmanagement, Business Continuity Planning und
Objektsicherheit. Der ehemalige Berufssoldat besitze sowohl
betriebswirtschaftliches Rüstzeug als auch Erfahrung in der
Erwachsenenbildung.
Der Jurist Reinhard Obermüller verstärkt das Beratungs- und
Ausbildungsunternehmen für integrale Sicherheit Swiss Infosec AG im
Bereich Krisenmanagement und Business Continuity Planning.
Wie es in der Pressemitteilung von Swiss Infosec heisst, ist der ehemalige
Berufsoffizier, Truppenkommandant und Generalstabsoffizier ein
Reinhard Obermüller
ausgewiesener Spezialist im Bereich der Stabs- und Teamarbeit und der
verstärkt Swiss Infosec. Entwicklung massgeschneiderter Krisenmanagementorganisationen, -
prozesse und -infrastrukturen.
Erfahrung im Krisenmanagement
Reinhard Obermüller verfüge zudem über vertiefte Kenntnisse in den Bereichen Logistik,
Kommunikation und Personalführung. Diese Kenntnisse und sein Interesse für die Risiko- und
Bedrohungsanalyse im Nachrichtendienst würden ihn zum idealen Mann für den Job als Spezialisten
für Krisenprävention, Krisenmanagement, Business Continuity Planning und Objektsicherheit bei
Swiss Infosec machen.
people, humans, e-security, career
http://www.netzwoche.ch/de-CH/News/2012/01/11/Reinhard-Obermueller-neu...
21.02.2012
Medienspiegel www.infosec.ch 3 von 79

Kameraüberwachung gegen Datenklau ist Illusion
Von Angela Barandun. Aktualisiert am 07.01.2012 23 Kommentare
Der Dieb der Kontoauszüge des SNB-Präsidenten hat einen Bildschirm fotografiert. Hildebrand
selber sagte, man könnte mit Videoüberwachung dagegen vorgehen. Ein Sicherheitsberater winkt
ab.
Ob sensible Bankdaten ein Büro wie dieses der CS Uetlihof verlassen, hängt in erster Linie von den Mitarbeitern ab. Foto: Keystone
Bildstrecke
Hildebrand nimmt Stellung
Der Präsident der Nationalbank äussert sich zu
den Vorwürfen gegen ihn.
Bildstrecke
WIRTSCHAFT
Der Mörder ist immer der Gärtner. Und der Datendieb ist immer der
Informatiker. Schon Heinrich Kieber, der 2001 bei der
liechtensteinischen LGT Daten klaute, war Informatiker. Hervé Falciani
arbeitete ebenfalls in der IT-Abteilung, als er 2008 die Daten der
Privatbank HSBC in Genf stahl. Und auch im aktuellen Fall ist der Dieb
ein IT-Angestellter.
Neu ist bloss der Trick des 39-jährigen Thurgauers: Er soll mit Handy
oder Kamera den Bildschirm mit den Kontobewegungen von Philipp
Hildebrand fotografiert haben. Gemäss Hildebrand offenbar kein
Einzelfall: «Es gibt Banken, die angefangen haben,
Überwachungskameras zu installieren, die sozusagen permanent auf die
Bildschirme gerichtet sind», sagte er am Donnerstag.
«Ich kenne keine Bank, die so etwas macht»
Medienspiegel www.infosec.ch 4 von 79

Die Chronologie der Affäre Hildebrand
Der Fall Hildebrand: Wie es dazu kam – und
welche Personen darin verwickelt sind.
Dossiers
Die Affäre Hildebrand
Jeder ist ersetzbar
«Da verkommt der Moralismus zu
Heuchelei»
«Die Stimmung ist bedrückt»
Artikel zum Thema
Widmer-Schlumpf: Rücktritt von Hildebrand
wäre gravierend
So unterscheiden sich die Regeln für
Hildebrand und Draghi
«Ich krebse nicht zurück»
Hat Christoph Blocher gelogen?
Valentin Landmann vertritt Lei
«Man muss von einer Kampagne sprechen»
Schwefel hängt in der Luft
Sein Hang zur Provokation bringt Claudio
Schmid in die Klemme
Stichworte
SNB
Bank Sarasin
Bankgeheimnis
SwissquoteExklusiver Trading-Partner
SNB
Bank Sarasin
Das scheint allerdings die Ausnahme zu sein. Gegenüber dem TA
äusserten sich mehrere Banken kritisch. Auch Sicherheitsexperte Cornel
Furrer von Swiss Infosec hält das für «wenig sinnvoll»: «Ich kenne keine
Bank, die so etwas macht.» Schliesslich könne man einen Bildschirm
auch fotografieren, ohne dass eine Überwachungskamera das merke.
Kommt hinzu: «Datenschutzrechtlich könnte eine solche Überwachung
ebenfalls problematisch sein», so Furrer. Nicht einmal die
Bank Sarasin, (BSAN 27.4 -0.90%) bei der Hildebrands Daten gestohlen
wurden, plant derzeit die Einführung von Überwachungskameras.
Kein USB-Stick, kein E-Mail
Standard bei den meisten Banken sind hingegen strikte
Zugriffsbeschränkungen bei Kundendaten. Nur wer die Daten tatsächlich
für seine tägliche Arbeit braucht, erhält entsprechende Rechte. Bei der
Raiffeisen-Gruppe haben von insgesamt 700 Informatikern nur 50
Zugriff auf Kundendaten. Bei vielen Banken sind die Möglichkeiten,
solche Unterlagen aus dem System zu holen, zudem stark eingeschränkt.
Computer haben keine CD-Laufwerke oder nur solche, die nicht
schreiben können. USB-Steckplätze sind standardmässig gesperrt.
Geschäftliche E-Mails werden überprüft, der Zugang zu privaten E-Mail-
Adressen ist gesperrt. Wer wann was mit den Daten macht, wird
aufgezeichnet. Drucken oder exportieren ist kaum möglich. Die ZKB
versucht bereits bei der Rekrutierung ungeeignete Personen
auszuschliessen – indem sie die «charakterliche Neigung» der Anwärter
vor der Anstellung ergründet.
Sicherheit kann Effizienz gefährden
Laut Sicherheitsberater Furrer gibt es noch weitere Massnahmen, die für
Banken durchaus sinnvoll wären: «Tatsächlich ist es aber so, dass diverse
Banken aus ablauftechnischen Gründen solche Sicherheitsbarrieren
scheuen.» Im Klartext: Sobald eine Massnahme die Effizienz behindert,
fällt sie durch.
Die grosse Ausnahme stellt die Postfinance dar: Ihre Angestellten können
jederzeit CDs brennen und USB-Sticks anschliessen. Ohne jegliche
Einschränkungen. Stattdessen setzt man auf den Anstand der
Mitarbeiter. Denn: «Wer in krimineller Absicht Daten stehlen will, wird früher oder später einen Weg finden», so
Sprecher Alex Josty. Tatsächlich: Der CS-Datendieb etwa hat sich die Daten von Hand notiert. (Tages-Anzeiger)
Erstellt: 07.01.2012, 17:00 Uhr
Medienspiegel www.infosec.ch 5 von 79

social engineering
Die Angriffsform nutzt
die Schwachstelle Mensch
aus und erfordert
anspruchsvolle Schutzmassnahmen
seite 75
Nr. 04 | Dezember 2011 | www.isaca.ch
Newsletter
CIsA
Für das älteste der
vier ISACA­Personenzertifikate
muss eine vierstündigen
Prüfung bestanden
werden seite 79
social engineering –
theorie und Praxis
«Guten Tag Frau Müller, hier ist Herr Meier von der IT. Wir haben gerade
ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr
Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht
an vertrauliche Informationen mittels Social Engineering zu gelangen.
Vo n R e t o C. Z b i n d e n
Um ein Unternehmen über das Internet oder
direkt anzugreifen und so vertrauliche Informationen
zu erlangen, nutzen Social Engineers
die Gutgläubigkeit, Bequemlichkeit, Höflichkeit
oder sogar die Begeisterungsfähigkeit der
Menschen aus. Aus diesem Grund ist es anspruchsvoll,
gegen einen Angriff Schutzmassnahmen
zu ergreifen, denn die Opfer merken
oft gar nicht, dass sie hintergangen wurden
oder sie weigern sich dies überhaupt zuzugeben.
Die Motive eines Social Engineers, also
einer Person, die versucht unbefugterweise
Zugriff auf Computersysteme, Informationen
oder andere Objekte zu erlangen, ähneln
denen eines Hackers: Sie wollen an Geldmittel,
Informationen oder IT-Ressourcen eines
Unternehmens gelangen.
Ein Social Engineer versucht Mitarbeitende
zur Preisgabe von Informationen zu überreden,
die es ihm erlauben, ohne angemessene
Autorisierung IT-Systeme oder Systemressourcen
zu nutzen oder sich entsprechend unbefugt
Informationen zu beschaffen. Ein solches
Vorgehen wird üblicherweise als Trickbetrug
bezeichnet.
Art. 146 StGB Absatz 1 hierzu lautet wie folgt:
«Wer in der Absicht, sich oder einen andern
unrechtmässig zu bereichern, jemanden durch
Vorspiegelung oder Unterdrückung von Tatsachen
arglistig irreführt oder ihn in einem Irrtum
arglistig bestärkt und so den Irrenden zu
einem Verhalten bestimmt, wodurch dieser
sich selbst oder einen andern am Vermögen
schädigt…». Geschieht der Social Engineering-
Angriff jedoch bezüglich einer Datenverarbeitungsanlage,
kommt Art. 147 StGB Absatz 1
zum Tragen: «Wer in der Absicht, sich oder
einen andern unrechtmässig zu bereichern,
durch unrichtige, unvollständige oder unbefugte
Verwendung von Daten oder in ver-
IsACA-training
Aktuelle Aus­ und
Weiterbildungsmöglichkeiten
für
Mitglieder und
Nicht­Mitglieder seite 79
gleichbarer Weise auf einen elektronischen
oder vergleichbaren Datenverarbeitungs- oder
Datenübermittlungsvorgang einwirkt und dadurch
eine Vermögensverschiebung zum Schaden
eines andern herbeiführt oder eine Vermögensverschiebung
unmittelbar darnach
verdeckt…». Beide Artikel sehen eine Geldstrafe
oder eine Freiheitsstrafe von bis zu fünf
Jahren vor.
Viele Unternehmen sind ungeachtet ihrer
Grösse der Ansicht, dass Social Engineering-
Angriffe nur ein Problem für die «Anderen»
darstellt, da sich ein Angriff nur dort lohnen
würde. Dies mag in der Vergangenheit so gewesen
sein. Der Anstieg der Internetkriminalität
zeigt jedoch, dass es Angreifer nun auf alle
Nutzer von Informatik- und Kommunikationstechnologien
abgesehen haben, vom Grosskonzern
bis zum Einzelbenutzer. Viele Kriminelle
bestehlen Unternehmen direkt, indem
Medienspiegel www.infosec.ch 6 von 79
ISACA News Nr. 04 | Dezember 2011
75

sie Finanzmittel und Ressourcen umleiten.
Andere verwenden jedoch auch Unternehmen
als Mittel zum Zweck für kriminelle Aktionen
gegen andere. Auf diese Weise sind sie entsprechend
auch für Behörden wesentlich
schwerer zu fassen.
Um Mitarbeitende und Unternehmen vor
Social Engineering-Angriffen zu schützen,
muss man die Angriffsformen und -motive
kennen und sich bewusst sein, was Angreifer
im eigenen Unternehmen suchen könnten und
abschätzen, welche Verluste dies für das Unternehmen
bedeuten könnte. Mit diesem Wissen
können vorhandene interne Regelungen
um präventive Massnahmen und Regeln gegen
Social Engineering-Angriffe ergänzt werden.
Diese Massnahmen und die notwendigen flankierenden
Ausbildungs- und Sensibilisierungsmassnahmen
sollen dem Mitarbeitenden helfen,
im Fall der Fälle richtig zu reagieren.
Die Angriffsvektoren
Im Allgemeinen versuchen Social Engineers,
ihre Angriffe, abhängig von Motiv und Gelegenheit,
über alle Kanäle auszuführen, die aus
und in das Unternehmen führen, dazu gehören
typischerweise:
‣ Online via E-Mails
‣ Telefon
‣ Abfallentsorgung
‣ Persönliche Kontakte
‣ Reverse Social Engineering
Es reicht jedoch nicht aus, nur diese Angriffspunkte
zu (er)kennen, man muss sich auch
entsprechend bewusst sein, auf was es die
Angreifer abgesehen haben könnten. Deren
Motive beruhen auf dem Streben nach Dingen,
die uns alle antreiben: Geld, sozialer Aufstieg
oder Selbstwertgefühl. Sie wollen Geld oder
Ressourcen, sie wollen Anerkennung in der
Gesellschaft oder unter ihresgleichen, und sie
möchten stolz auf sich selbst sein. So versuchen
Social Engineers, diese Ziele illegal durch
Diebstahl oder Eindringen in Systeme zu erreichen.
Angriffe jeder Art sind für ein Unternehmen
kostspielig, sei es wegen entgangener
Umsätze, entwendeter Ressourcen, veruntreuter
Informationen, eingeschränkter Verfügbarkeit
oder beschädigter Reputation. Im Hinblick
auf die Abwehr und zur Identifikation des Nutzens
entsprechender Härtungsmassnahmen
wird selbstverständlich auch hier empfohlen
das Instrument der Risikoanalyse unter Berücksichtigung
der Wahrscheinlichkeit und des
76
dadurch verursachten immateriellen und materiellen
Schadens einzusetzen.
E-Mail und Internet
Elektronische Kommunikation erlaubt es Social
Engineers, Mitarbeitenden aus der relativen
Anonymität des Internets heraus (massenweise)
zu kontaktieren. Social Engineers überreden
einen Mitarbeitenden eines Unternehmens
durch glaubhafte List zur Preisgabe von
Informationen. Diese Informationen können
das Ziel des Angriffes sein oder nur ein weiterer
Schritt zur Erreichung des Zieles. Die erhaltenen
Informationen können unter Umständen
den sich anschliessenden Malware-Angriff
unterstützen oder erst ermöglichen. Deswegen
müssen die Mitarbeitenden regelmässig darin
geschult werden, wie sich Social Engineering-
Angriffe am besten erkennen und vermeiden
lassen. «Seien Sie vorsichtig!».
Viele Mitarbeitende erhalten Dutzende oder
sogar Hunderte E-Mails pro Tag, sei es von
Computern von Unternehmen oder Privaten.
Diese Menge an E-Mails macht es heute unmöglich,
jeder Nachricht die ihr gebührende
Aufmerksamkeit zu schenken. Diese Tatsache
kommt einem Social Engineer leider sehr entgegen.
Es ist unrealistisch zu glauben, dass Mitarbeitende
den Internetzugang des Unternehmens
nur für geschäftliche Zwecke verwenden,
auch wenn dies unter Umständen so
vorgeschrieben wäre. Die meisten Angestellten
surfen auch aus privaten Gründen im
Web, um etwas zu kaufen oder eigene Recherchen
durchzuführen. Durch privates Surfen
können die Mitarbeitenden – und damit
die Computersysteme des Unternehmens – in
Kontakt mit Social Engineers kommen. Selbst
wenn es diese Angreifer nicht auf ein spezi-
ISACA-Newsletter
fisches Unternehmen abgesehen haben,
könnten sie dessen Mitarbeiter dazu missbrauchen,
Zugriff auf dessen Unternehmensressourcen
zu erlangen.
In diesem Zusammenhang sind natürlich
auch die Social Media-Plattformen zu erwähnen.
Jeder Social Engineer, der etwas auf sich
hält, wird versuchen, via die entsprechenden
Websites Informationen zu gewinnen, die er
für seine Angriffe benutzen kann. Man muss
sich nur vor Augen führen, wie schnell beispielsweise
unbekannte Menschen zu «Freunden»
werden und auf der anderen Seite, wie
unkritisch viele Benutzer solcher Sites private
und/oder geschäftliche Informationen einem
erstaunlich weiten Kreis zur Verfügung stellen.
Das gezielte Suchen von Informationen, in
diesem Zusammenhang bekannt als «Information
Gathering», beispielsweise über ein
Zielsystem oder eine Firma, wird oftmals unter
der Verwendung von Internetsuchmaschinen
gemacht. Hierbei werden natürlich auch Foren,
Newsgroups oder Blogs durchsucht. Da die
meisten Menschen viel zu sorglos mit ihren
persönlichen Daten umgehen, ist es hier ein
Leichtes, an detaillierte Informationen zu kommen.
Da auch vermeintlich abgeschlossene
Bereiche wie z.B. myspace.com und ähnliche
durchsucht werden können, ist auch hier Vorsicht
bei der Eingabe von persönlichen oder
gar firmeninternen Daten geboten.
Das Telefon
Das Telefon stellt ein weiteres Angriffsmittel
für Social Engineering-Angriffe dar. Es ist ein
vertrautes Medium, doch es ist auch unpersönlich,
da wegen der Distanz das Opfer den
Angreifer nicht sehen kann. In grösseren Unternehmen
kennen sich die Mitarbeitenden
nicht persönlich oder es sind gar Geschäftsbereiche
wie beispielsweise die IT ausgelagert.
«Seien Sie auch am Telefon aufmerksam und
hinterfragen Sie, welche Informationen der
Anrufer von Ihnen wünscht.»
Abfälle
Das illegale Durchstöbern von Abfall ist ebenfalls
ein viel versprechendes Betätigungsfeld
für Angreifer. Papierabfälle in Container, die
am Strassenrand stehen oder entsorgte Computer
und deren Bestandteile können Informationen
enthalten, die für Social Engineers von
unmittelbarem Nutzen sind, beispielsweise
weggeworfene Zettel mit Kontonummern und
Benutzer-IDs oder Baupläne, die als Hintergrundinformationen
dienen können, etwa Telefonlisten
und Organisationsdiagramme.
Diese Art von Informationen ist für einen Social
Engineer von grösstem Wert, da sie ihn bei
seinem Angriff glaubwürdiger erscheinen
Medienspiegel www.infosec.ch 7 von 79
ISACA News Nr. 04 | Dezember 2011

ISACA-Newsletter
lässt. Wenn der Angreifer beispielsweise gut
über das Personal in einer Unternehmensabteilung
Bescheid weiss, wird er wahrscheinlich
erfolgreicher vorgehen können. Die meisten
Mitarbeitenden werden davon ausgehen,
dass jemand, der so viel über das Unternehmen
weiss, selbst ein erfahrener Mitarbeiter
ist, da er dadurch automatisch eine natürliche
Autorität ausstrahlt.
Datenträger
Noch nützlicher können elektronische Medien
sein. Wenn in einem Unternehmen keine Regeln
für die korrekte Entsorgung nicht mehr
benötigter Datenträger vorhanden sind, lassen
sich auf weggeworfenen Festplatten, CDs und
DVDs die vielfältigsten Informationen finden
und dies unter Umständen in sehr grossen
Mengen. Die hohe Beständigkeit fester und
wechselbarer Datenträger bedeutet, dass die
für IT-Sicherheit zuständigen Personen Richtlinien
für die Entsorgung von Speichermedien
festlegen müssen, die das Löschen der Inhalte
oder die Zerstörung dieser Medien regeln.
Der Mensch selber
Am einfachsten und billigsten kommt ein Angreifer
an Informationen, indem er eine Person
direkt danach fragt. Diese Methode mag
primitiv und allzu offensichtlich erscheinen,
doch sie ist seit Urzeiten die gängigste Art des
Trickbetrugs. Social Engineers haben vor allem
mit den folgenden vier Methoden Erfolg:
‣ Einschüchterung: Hierzu gibt sich der Angreifer
als Autoritätsperson aus, um ein
Opfer dazu zu bringen, der Forderung nachzukommen.
‣ Überredung: Die gängigsten Formen der
Überredungskunst sind Schmeichelei und
die Erwähnung der Namen bekannter Personen
(Vorgesetzte, Direktor, etc.).
‣ Einschmeichelung: Diese Methode ist meistens
längerfristig angelegt: Ein untergeordneter
oder gleichrangiger Kollege baut
Schritt für Schritt ein Vertrauensverhältnis
zum Opfer auf, um schliesslich auch Informationen
von ihm zu bekommen.
‣ Hilfe: Der Angreifer bietet dem Opfer Hilfe
an. Um diese Hilfe nutzen zu können, muss
das Opfer letztendlich persönliche Informationen
preisgeben, die der Hacker dann
missbraucht.
Reverse Social Engineering
Reverse Social Engineering (umgekehrtes Social
Engineering) bezeichnet eine Situation, in
der die Opfer selbst den Kontakt anbahnen
und dem Angreifer die gewünschten Informationen
anbieten. Eine solche Situation mag
abwegig erscheinen, doch Autoritätspersonen
– insbesondere Personen, die hohes fachliches
oder soziales Ansehen geniessen – erhalten
oftmals unverlangt wertvolle persönliche Informationen
wie Benutzer-IDs und Kennwörter,
da sie über jeden Verdacht erhaben zu sein
scheinen. Beispielsweise würde kein Helpdesk-Supportmitarbeiter
eine Benutzer-ID
oder ein Kennwort von einem Hilfe suchenden
Anrufer verlangen. Die Probleme werden ohne
diese Angaben gelöst. Viele Benutzer, die IT-
Probleme haben, geben aber in der Hoffnung,
dadurch die Lösung des Problems beschleunigen
zu können, von sich aus diese sicherheitsrelevanten
Daten an. Der Social Engineer
braucht also gar nicht erst danach zu fragen.
Frage 1: Könnte man so in
Ihr Unternehmen eindringen?
Durch Mitlaufen in einer Mitarbeitergruppe,
die das Gebäude betreten oder so tun als sei
man mit Telefonieren beschäftigt, dann den
Badge-geschützten Lift betreten und warten
bis der Lift in eine andere Etage gerufen wird.
Oder man könnte bei Ihnen beschäftigt, telefonierend
an einem anderen Ein- oder Ausgang
warten, bis jemand die Tür öffnet und diese
dann für den unberechtigten Zutritt nutzen?
Weitere Beispiele zu ähnlichen Szenarien
gäbe es viele!
Frage 2: Können Sie sicher sein,
dass Ihre Mitarbeitenden die
folgenden Punkte einhalten?
Alle Mitarbeitenden und Besucher tragen den
Badge immer gut sichtbar. Die Clear Desk Policy
wird ausnahmslos eingehalten. Auf mobilen
Geräten werden vertrauliche Informationen
immer nur verschlüsselt
gespeichert. USB-Sticks
können nur sehr beschränkt
an Ihre Computer
angeschlossen werden.
Vertrauliche Informationen
werden richtig
und sicher entsorgt, usw.
Wenn Sie sich bei der
Beantwortung der obigen
Aussagen nicht sicher
sein können, sollten Sie
sich überlegen, Ihre getroffenenSicherheitsmassnahmen
durch eine
externe Fachstelle überprüfen
zu lassen und
deren Umsetzung zu auditieren.
Bei der Swiss Infosec AG wird Social Engineering
als eine Auditmethode nur im Auftrag
eines Unternehmens durchgeführt und dies
mit dem Ziel, die Infrastruktur und Mitarbeitenden
des jeweiligen Unternehmens zu
schützen.
Jede Unternehmung hat ein elementares
Interesse (Image, Konkurrenzvorsprung, Risk
Management, Qualitätsmanagement) ihre Informationen,
die nicht für die Öffentlichkeit
bestimmt sind, vor unberechtigtem Zugriff zu
schützen. Auf der anderen Seite wird entsprechend
durch Gesetzesbestimmungen vorgegeben,
dass bestimmte Informationen, insbesondere
schützenswerte oder besonders schützenswerte
Personendaten, einer speziellen
Behandlung bedürfen.
Das Management und alle verantwortliche
Personen sind ausserdem gefordert, die an sie
gestellten Anforderungen und Ziele bezüglich
der Sicherheitssensibilisierung der Mitarbeitenden
zu erfüllen – auch im Sinne einer Vorbildfunktion.
Ein Social Engineering-Audit
Diese Auditmethode ist die am besten geeignete
Methode, um festzustellen, inwieweit die
notwendigen, intern definierten oder beabsichtigten
«weichen» mitarbeiterbezogenen
Regeln in der Praxis effektiv wirken und beachtet
werden. Oder in anderen Worten: Mittels
eines Social Engineering-Audits erhält
eine Organisation Steuerungsinformation zum
aktuellen Niveau der Awareness und der Umsetzung
fundamentaler Sicherheitsregeln. Ein
hervorzuhebender Nebeneffekt ist, dass die
involvierten Stellen bzw. Personen gleichzeitig
und sehr effektiv sensibilisiert werden. Ein
Social Engineering Audit lässt sich in unterschiedlichstem
Umfang und Tiefe durchführen.
Medienspiegel www.infosec.ch 8 von 79
ISACA News Nr. 04 | Dezember 2011
77

Phasen eines
Social Engineering-Audits
In einer ersten Phase werden die Anforderungen
seitens der Organisation aufgenommen,
die Vorgaben für die Abwicklung festgehalten
sowie das Einsatzgebiet definiert und
dokumentiert. In einem nächsten Schritt werden
die Auditobjekte festgelegt, dabei wird
unterschieden zwischen Auditobjekten in fachlicher
und in geografisch-organisatorischer
Hinsicht.
Fachliche Auditobjekte und -bereiche können
hierbei sein: Informations- und IT-Sicherheit
allgemein, sprich technisch, organisatorisch,
personell (beispielsweise Ausbildungsstand),
rechtlich, physisch (Zutrittsschutz zu
Rechenzentrum, Personalakten, Datenschutz).
Oder spezifische Audits in Bezug auf einen
Vorfall, ein aktuelles Problem, Benutzerfreundlichkeit,
Umsetzungsgeschwindigkeit,
Machbarkeit, Wirtschaftlichkeit, Akzeptanz von
Vorgaben, etc.
Im Rahmen eines Social Engineering-Audits
können aber auch spezifische Punkte überprüft
werden wie z.B.: Wo existieren ungeschützte
Informationen, Netzverbindungen,
Dokumente, Datenzugriffe, usw. Diese Auflistung
ist nicht abschliessend und selbstverständlich
den jeweiligen Erfordernissen des
Unternehmens anzupassen.
In geografisch-organisatorischer und zeitlicher
Hinsicht können mit einem Social Engineering-Audit
unter anderem folgende Punkte
überprüft werden: Unterschied von Geschäftsbereichen
in nationaler und internationaler
Hinsicht, bestimmte Tochtergesellschaften oder
Organisationseinheiten. In diesem Zusammenhang
kann auch flächendeckend auditiert werden
oder man konzentriert sich im Rahmen
des konkreten Auftrages auf Stichproben bzw.
Teilgebiete oder das Audit wird während oder
ausserhalb der Bürozeiten durchgeführt oder
nur an bestimmten Arbeitstagen.
Vorgehensweise
In Phase II werden spezifische Informationen,
je nachdem, ob der Auftraggeber einen Black,
78
DER AUToR
Reto C. Zbinden,
Rechtsanwalt, CEo
Swiss Infosec AG
Centralstrasse 8A
6210 Sursee
+41 (0)41 984 12 12
infosec@infosec.ch
White oder Grey Box-Ansatz gewählt hat, betreffend
des Social Engineering-Audits zwischen
der Auftraggeberin und dem Auditor
ausgetauscht und dokumentiert. Folgende Angriffsformen
lassen sich kombinieren: Information
Gathering (u.a. telefonisch, persönliche
Gespräche vor Ort); Begehung, Zutritt
und Aufenthalt im Gebäude; Phishing und
Ethical Hacking (WLAN); Ausnutzung situativer
Gelegenheiten; Einschleichen, Lügen, Erschleichen,
Täuschen, Entwenden, usw. sowie der
Einsatz von Keyloggern, Kameras, Tonbändern,
Kopierern, usw.
In diesem Zusammenhang ist es wichtig
darauf hinzuweisen, dass sämtliche Aktionen
vorgängig seitens der Auftraggeberin im Detail
bewilligt werden.
Das Social Engineering-Audit
In Phase III wird aufgrund der in Phase I abgesprochenen
Vorgehensweise der aktuelle
Stand festgehalten und das Sicherheitsverhalten
im Unternehmen getestet. Solche Audits
werden nur unter der Voraussetzung durchgeführt,
dass sich ein Ansprechpartner des Auftraggebers
vor Ort befindet, der kontaktiert
werden kann, sollte eine Deeskalation erforderlich
sein.
Vereinfacht kann man zwischen den folgenden
Typen von Social Engineering-Audits
unterscheiden:
Standard
Beim Standard Social Engineering-Audit wird
mit Hilfe technischer Kommunikationsmittel
(wie Telefon, E-Mail) versucht, vom Angesprochenen
Informationen zu erhalten, ohne dass
diese weitergeleitet werden bzw. der Anfragende
identifiziert wird. Unter diesen Umständen
geben wir uns unter anderem als Systemadministrator,
Sicherheitsbeauftragter, Helpdesk-Mitarbeiter
oder Mitglied der
Geschäftsleitung aus.
Advanced
Mit dem Advanced Social Engineering-Audit
wird zusätzlich versucht, direkt auf die entsprechenden
Zielpersonen respektive Zielobjekte
zuzugehen, sei dies als Handwerker
oder Mitglied einer Putzequipe, als neuer Mitarbeiter
oder auch als Mitarbeiter der IT-Abteilung.
Individual
Das Individual Social Engineering-Audit ist ein
mit dem jeweiligen Unternehmen individuell
zusammengestelltes Vorgehen, unter Berücksichtigung
spezieller Wünsche und Bedürfnisse.
Jedoch ist in diesem Zusammenhang
darauf hinzuweisen, dass hierbei keine Vorge-
ZUSAMMEnFASSUng
ISACA-Newsletter
‣ Social Engineering ist eine Angriffsform, die
die Schwachstelle Mensch ausnutzt
‣ Social Engineering-Audits dienen der Überprüfung
der Umsetzung und Einhaltung von Regeln
und der Wirksamkeit von Aus- und Weiterbildungen.
Ziel und Zweck eines Social Engineering-Audits
‣ Beschaffung von Steuerungswissen über die
firmenweite Verbreitung und Umsetzung von
Sicherheitsmassnahmen
‣ Sensibilisierung und Verhaltensüberprüfung
aller Beteiligten
‣ Begründung und Herleitung von Optimierungsmassnahmen
‣ Mögliche Betriebsunterbrüche verhindern
‣ Ihr Image und Vertrauen stärken
‣ Ihre Konkurrenzfähigkeit und Wettbewerbsvorteile
ausbauen
Ein Social Engineering-Audit liefert Antworten
unter anderem zu folgenden Fragen:
‣ Wie stark ist unsere Sicherheitskette und wo
sind ihre Schwachstellen?
‣ Was muss passieren, damit wegen einer sicherheitsrelevanten
Situation der Sicherheitsdienst
alarmiert wird?
‣ Wie verhalten sich die beteiligten Mitarbeitenden,
wenn eine sicherheitsrelevante Situation
erkannt wird und wie reagiert der Sicherheitsdienst?
hensweise unterstützt wird, die gegen den
Persönlichkeitsschutz verstossen könnte. Auch
ist es hierbei unabdingbar, das Vorgehen im
Detail zu besprechen, damit generell ein widerrechtliches
Handeln ausgeschlossen werden
kann. Aus diesem Grunde lassen wir uns
vom Auftraggeber auch immer eine schriftliche
Einverständniserklärung bezüglich der
Vorgehensweise geben.
Auswertung und Resultate
Die während dem Audit gesammelten Daten
werden ausgewertet und analysiert. Dabei
darf das Vertrauensverhältnis zwischen Arbeitnehmer
und Arbeitgeber nicht gestört werden.
Deswegen wird auch grosser Wert darauf gelegt,
dass in den Auswertungen alle Hinweise
auf spezifische Personen neutralisiert werden,
es sei denn, es fänden sich Hinweise auf illegale
Tätigkeiten.
Massnahmen und Konzepte
Die Auditauswertung führt, basierend auf dem
Analysebericht, zu einem Massnahmenkatalog
mit Vorschlägen zur Korrektur der festgestellten
Schwachstellen.
Medienspiegel www.infosec.ch 9 von 79
ISACA News Nr. 04 | Dezember 2011

Mentale Selbstverteidigung
Der Erfolg von Social Engineering stützt sich zu einem grossen Teil auf das Faktum, dass Menschen in
schwierigen oder unklaren Situationen vorhersagbare Wege einschlagen, um Entscheidungen zu treffen.
Diese Sicherheitslücke lässt sich nur durch Training schliessen.
Bettina Weßelmann
Awareness-Massnahmen, von Posterkampagnen bis hin zu
multimedialen Unterweisungen, sind heute in vielen Unternehmen
bereits Teil der Strategie gegen Gefahren wie Industriespionage,
Sabotage, Diebstahl oder Angriffe auf die Informationssicherheit.
Gegen Social-Engineering-Attacken – die direkte
Manipulation von Personen durch Vorgaukeln von Autorität, fachlicher
Zuständigkeit, Sympathie, Zeitdruck oder anderer Momente,
die Sicherheitsregeln ausser Kraft setzen können – helfen diese
«klassischen » Anstrengungen zur Mitarbeitersensibilisierung allerdings
nur zum Teil. Sie wirken so, als warne man ein Kind permanent
vor den Risiken des Strassenverkehrs, gehe den Weg zur
Schule aber nicht mit ihm ab.
Zur Abwehr von Social Engineering muss das Einüben des richtigen
Verhaltens in kritischen Situationen die Sensibilisierung ergänzen.
Anhand der Mechanismen, die dem Erfolg eines Auftritts
mit gespielter Autorität zugrunde liegen, lässt sich die Notwendigkeit
dieses Trainings besonders leicht zeigen. Diese Form der
Manipulation ist für Social Engineers ein Königsweg, um Daten zu
ergaunern oder Zutritt zu verschlossenen Gebäudeteilen, technischen
Installationen oder anderen Ressourcen zu erlangen. Um bestimmte
Handlungen wie die Herausgabe eines Kennworts oder
Zugangscodes erfolgreich einzufordern, reicht es oft schon, bei ei-
nem Mitarbeiter den Eindruck zu erwecken, dass man sich in einer
fremden Dienststelle an übergeordneter Position befindet oder in
offizieller Mission eine Kontrollfunktion ausübt. Gibt der Angreifer
vor, in einem besonderen Vertrauensverhältnis zu Vorgesetzten
des Opfers zu stehen oder in deren Namen zu handeln, schaffen die
so ausgenutzten Grauzonen der internen Hierarchie für den angegriffenen
Mitarbeiter einen besonders komplexen Handlungsrahmen,
in dem überall negative Konsequenzen drohen. Selbst die
Überprüfung der vorgeblichen Stellung des Angreifers kann schon
Ärger bedeuten.
Schritt vom Wissen zum Verhalten
�
Er nutzt das Ungleichgewicht
zwischen Angreifer
und Verteidiger ...
�
Il se sert du déséquilibre
entre l‘aggresseur et sa
victime ...
�
Utilizza lo squilibrio fra
aggressore e difensore ...
«Awareness» ist in solchen Fällen bei Mitarbeitern häufig vorhanden.
Sie erfassen direkte Manipulationsversuche intuitiv und fühlen
sich verunsichert und unwohl. Oft wird ihnen auch der Konflikt
mit Unternehmensrichtlinien bewusst. Was den Opfern aber meist
nicht gelingt, ist der schwierige Schritt vom Verstehen und Wissen
zum richtigen Verhalten. Hierauf zählt der Social Engineer. In
den beschriebenen Fällen greifen seine Opfer unweigerlich zu sozialen
und kognitiven Heuristiken: Hier sind es die über Jahrtausende
hinweg immer wieder bestätigten Erfahrungen, dass ein «Ja»
zur Autorität bei Unklarheit weiterhilft und dass es meist sinnvoll
ist, den nächsterreichbaren Schritt einer Aufgabe sofort zu erledigen
(«Sure-Gain-Heuristik»). Deshalb geben so viele Personen in
den beschriebenen Situationen erst einmal nach und nehmen sich
Medienspiegel www.infosec.ch 10 von 79

vor, sich um Sicherheitsimplikationen später zu kümmern. Social
Engineers setzen ihre Opfer zusätzlich unter Zeitdruck, um ihnen
die Alternativen zu nehmen.
Heuristische Entscheidungswege sind, wie schon angedeutet, im
Menschen evolutionär fest verdrahtet. Dies gilt auch für den Fall,
dass Sympathie eine Entscheidung beeinflusst: Die Neigung, sich
sympathischen Personen weiter zu öffnen als unsympathischen, ist
eine menschheits-geschichtlich sinnvolle Sicherheitsstrategie, die
es erleichtert, Verbündete zu finden. Auch die von Social Engineers
leicht nutzbare Tendenz, sich in unklaren Situationen am Verhalten
anderer zu orientieren («Ihre Kollegen haben da nie nachgefragt!»),
beruht im Kern auf einer bewährten Strategie, in neuen
Umgebungen oder undurchschaubaren Situationen angemessen zu
handeln.
Souverän gegen Manipulation
Was gegen Social Engineering dennoch hilft, beschreibt die Psychologie
mit dem Begriff «Empowerment» (Befähigung). Regelmässige
«Übung» ist dabei die wichtigste Komponente, die zu souveränen
Sicherheitsentscheidungen verhilft. Man muss sich überwinden,
um einem verbindlich wirkenden Menschen, der Autorität
ausstrahlt und diese auch noch untermauert, höflich etwas abzuschlagen,
einen geschäftig wirkenden Fremden im Gang aufzuhalten
oder jemanden in die Warteschleife zu schicken, wenn er oder
sie freundlich klingt und verzweifelt erscheint. Die dann nötigen
Formulierungen, die möglichen Verweise auf Regeln und der Umgang
mit ungehaltenen Reaktionen müssen dem Mitarbeiter tatsächlich
einmal über die Lippen kommen, Schritt für Schritt
durchgespielt sein oder in die Tastatur fliessen, damit er die entsprechenden
Situationen im Arbeitsalltag zum Beispiel am Empfang,
am Telefon oder in der E-Mail-Kommunikation bewältigt.
Methodisch sollte man den Mitarbeitern so weit wie möglich entgegenkommen
– vom klassischen Rollenspiel bis hin zu persönlichem
Coaching oder Einzelübungen für jede Person, die mit sensiblen
Informationen umgeht und sich bei einem Training vor Kollegen
unwohl fühlen würde. Für IT-affine Zielgruppen können
auch Übungen im Rahmen einer Online-Simulation ein guter Weg
sein. Zusätzlich zum Training muss den Mitarbeitern auch die
Kompetenz übertragen werden, sicherheitsrelevante Entscheidungen
zu treffen. Ihnen dürfen beispielsweise keine negativen Konsequenzen
drohen, wenn ein zumindest temporäres «Nein» gegen-
über einem unbekannten Abteilungsleiter aus Malaysia einmal zu
einer Verzögerung führt.
Vom Training zum Ausnahmefall
Bei lohnenden Coups entwerfen Spione und Saboteure ausgefeilte,
sehr individuelle Manipulationsszenarien, die durch das Training
von Standardsituationen nicht abgedeckt werden. Auch beim Social
Engineering kommt somit das Ungleichgewicht zwischen Angreifer
und Verteidiger ins Spiel: Während sich das Opfer auf alle nur
denkbaren Attacken einstellen muss und nicht weiss, wann und wie
der nächste Schachzug des Gegenspielers erfolgt, kann sich der
Aggressor auf seine Strategie konzentrieren. Zusätzlich zum Training
ist deshalb die Definition eines Security-Notfall-Verfahrens
sinnvoll – etwa die Einrichtung eines «direkten Drahtes» zu Sicherheits-
und Datenschutzspezialisten, die auch für schwierige Situationen
Lösungen kennen. Dies gilt dann auch für jene seltenen
Fälle, in denen Sicherheitsregeln zur Abwehr von Schaden für eine
Organisation oder einzelne Personen tatsächlich einmal ausser
Kraft gesetzt werden müssen.
Der Geist nimmt «Abkürzungen»
�
... und erschwindelt sich
mühelos den Zugang
zum Chefbüro.
�
... et s’approprie facile-
ment l‘accès aux bureau
du chef.
�
... e ottiene con inganno
facilmente l’accesso
all’uf!cio del direttore.
Menschliche «Bauchentscheidungen» (Gerd Gigerenzer), die auf
«heuristischem» Vorgehen beruhen, stützen sich auf Erfahrung
und Intuition. Sie sind effizient, aber auch vorhersagbar. Manipulatoren
versuchen deshalb gezielt, Personen in heuristische Denkmodi
zu versetzen. Neben den sozialen Heuristiken «Sympathie»,
«Akzeptanz von Autorität» und «Orientierung am Umfeld» sowie
der kognitiven «Sure-Gain-Heuristik» nutzen die Social Engineers
u.a. folgende Automatismen:
� «Control Bias»: Wer etwas selbst kontrolliert, fühlt sich sicher.
IT-Administratoren öffnen deshalb unerwartet oft E-Mails zweifelhafter
Herkunft
� «Reziprozität»: Wer Geschenke oder Hilfe erhält, fühlt sich zur
Gegenleistung verpflichtet. Social Engineers geben ihren Opfern
deshalb scheinbar uneigennützig Informationen oder lösen Probleme,
die sie den Zielpersonen zuvor heimlich selbst bereitet haben
� «Konsistenz»: Menschen versuchen, sich treu zu bleiben. Social
Engineers beziehen sich deshalb gern darauf, wie ein Mensch in
früheren Fällen gehandelt hat � 2010_2
Literatur: Cialdini Robert, «Die Psychologie des Überzeugens», Bern 2006.
Medienspiegel www.infosec.ch 11 von 79

Cornel Furrer –
Einbrecher auf Bestellung
Geheime Lohnläufe, Kundendaten, Entwicklungspläne, Fusionsstrategien entwendet
Cornel Furrer ohne nennenswerte Schwierigkeiten. Er nutzt menschliche Eigenschaften
wie Hilfsbereitschaft, Gutgläubigkeit, Angst und Respekt vor Autorität aus und betreibt
damit Social Engineering. Ein Glück, dass der Mann seine «kriminelle Energie» nur im
Auftrag der Sicherheitsabteilungen der betroffenen Unternehmen einsetzt.
Mathias Morgenthaler
Cornel Furrer hat ohne Zweifel einen spannenden Job. Er
liest seit Jahren die vertraulichen Mails von Managern,
kopiert in Rechenzentren von Konzernen heimlich brisante Daten
aus der Forschungsabteilung und erschwindelt sich den Zugang zu
Chefbüros. Sein Leistungsausweis als Einbrecher beeindruckt: In
rund 150 Einsätzen ist er noch jedes Mal ans Ziel gekommen. Furrer
hat Privatbanken, Stromkonzerne, Versicherungen und Telekom-Unternehmen
geknackt.
Hätte er all die erbeuteten Informationen verkauft, wäre er längst
ein vermögender Mann. Doch Cornel Furrer ist ein Einbrecher auf
Bestellung: Er dringt nur in Unternehmen ein, die ihn damit beauftragt
haben. Wenn er als Spion durch die Tabuzonen fremder Firmen
spaziert, verfolgt er stets ein genau definiertes Ziel: Mal erschleicht
er sich die Lohnläufe des Topmanagements, mal das Strategiepapier,
mit dem sich eine Firma auf die bevorstehende Fusion
vorbereitet, mal den Zugang zu sensiblen Kundendaten. Das geschieht
in der Regel im Auftrag der Sicherheitsabteilung des jewei-
ligen Unternehmens, die überprüfen will, wie gut die meist aufwendigen
Sicherheitsvorkehrungen im Alltag umgesetzt werden.
Schwachstelle Mensch
�
Oft beginnt die Arbeit
im Umfeld des Unternehmens,
z.B. mit Observieren.
Daniel Boschung
�
Souvent, le travail débute
par des recherches
dans l’environnement de
l’entreprise, p.ex. par
des observations.
�
Spesso, il lavoro inizia
con ricerche nel contesto
dell’impresa, p.es. con
osservazioni.
Auf technologischer Ebene sind die meisten Unternehmen gut gewappnet:
Überwachungskameras, Vereinzelungsanlagen sowie mit
Badge gesicherte Türen schrecken den arglosen Besucher ab und
geben den Firmen ein Gefühl der Sicherheit. Doch Cornel Furrer
weiss: All diese Dispositive können überwunden werden, wenn
man gezielt die Schwachstelle Mensch anpeilt. Denn an den
Schnittstellen zwischen Technik, Organisation und Mensch gibt es
immer Lücken.
Fachleute sprechen in diesem Zusammenhang vom «Social Engineering»-Ansatz.
Man muss nicht wie Cornel Furrer Major der
Aufklärungstruppen der Schweizer Armee und passionierter Laienschauspieler
sein, um relativ einfach Zutrittsbarrieren zu überwinden.
Um sein Vorgehen zu demonstrieren, lädt Furrer den Journalisten
und einen Fotografen ein, mit ihm in den Hauptsitz eines
Unternehmens einzudringen, das 10 Milliarden Franken Umsatz
macht und sich in delikater Wettbewerbssituation befindet. Dabei
Medienspiegel www.infosec.ch 12 von 79

sind der Lehrling Robert (ebenfalls bei seinem ersten Einsatz) und
Furrers Mitarbeiterin Rita Zimmerli. Beide arbeiten beim Sicherheitsspezialisten
Swiss Infosec, wo Furrer das operative Geschäft
und die Social-Engineering-Einsätze leitet.
Wanzen, USB-Stick, Zombie
Der Einstieg gelingt problemlos. In ein Gespräch verwickelt,
schreiten wir am Empfangsdesk vorbei, unbehelligt vom Personal.
Wir öffnen eine erste Glastür, setzen uns in die Cafeteria, genehmigen
uns gratis Getränke und tun so, als gehörten wir dazu. Robert,
ausgerüstet mit gefälschtem Badge, Handwerkskoffer und
Kabeln, wartet, bis ein Interner Kurs auf die gesicherte Tür nimmt.
Scheinbar vertieft in ein Telefongespräch folgt er dem Zugangsberechtigten.
Der blickt ihn kurz an und hält ihm dann freundlich die
Tür auf. Robert geht zielstrebig ins Materiallager und bringt dort
ein paar Wanzen an. Rita Zimmerli hat gleichzeitig einen Stock
höher ihren präparierten USB-Stick in einen unbewachten Computer
gesteckt. «Der verwandelt sich jetzt in einen Zombie», sagt
Furrer, der mit uns in der Cafeteria sitzt. Sein Mobiltelefon klingelt.
Er habe jetzt Zugang zu allen Laufwerken, meldet der Hacker
und will wissen, welche Informationen er rausholen solle. Die Firewall
und den Virenschutz habe er schon lahmgelegt. Cornel Furrer
lächelt zufrieden.
In 30 Minuten am Ziel
Manchmal staunt er selber, wie wenig Hindernisse er antrifft. Auch
in Unternehmen, die gerne absolute Diskretion und Sicherheit für
sich in Anspruch nehmen. Vor einiger Zeit betrat er mit zwei Kollegen
eine Zürcher Privatbank und gab sich als Dr. König vom
Bundesamt für Strahlungsmessung aus. «Im Handumdrehen erhielten
wir drei Badges mit zeitlich unbeschränktem Zutritt zu allen
Räumen inklusive Rechenzentrum», sagt Furrer und schmunzelt.
Bei einer luxemburgischen Bank, die nur Kunden mit einem
Vermögen von über zehn Millionen Euro aufnimmt, brauchte Furrer
bloss 30 Minuten, um an höchst sensible Kundendaten zu gelangen.
Er gab vor, er müsse dringend ein wichtiges Dokument
ausdrucken. Ein freundlicher Angestellter erklärte ihm, es sei «aus
Sicherheitsgründen» nur am Informatik-Helpdesk möglich, einen
USB-Stick anzuschliessen. Furrer wars recht: So konnte er sich
gleich den Zugriff auf sämtliche Daten der Bank sichern.
In schwierigen Fällen arbeitet Furrer mit bis zu zehn Kollegen und
geht nach ausgeklügeltem Drehbuch vor. Oft beginnt die Arbeit
mit Recherchen im Umfeld des Unternehmens (observieren, Müll
durchsuchen, Gespräche belauschen). Oder mit dem Blick in die
Mailbox von wichtigen Angestellten. Wie einfach das geht, demonstriert
uns Furrers Mitarbeiterin Rita Zimmerli. Vom Mobiltelefon
aus ruft sie die Direktionsassistentin eines Konzerns an,
meldet sich als Helpdesk-Angestellte, fragt besorgt, ob das Virus,
das im Unternehmen sein Unwesen treibe, ihren Computer auch
schon lahmgelegt habe. Die Betroffene wähnt sich glücklich, noch
funktioniere ihr Gerät, dann befolgt sie bereitwillig die empfohlenen
Vorsichtsmassnahmen.
Nach einigen Minuten voller Ablenkungsmanöver bittet Zimmerli
sie, ihr individuelles Passwort einzugeben («Niemandem verraten,
bitte!») und dieses dann zu Wartungszwecken durch das Passwort
«Killer21» zu ersetzen. Die Assistentin gehorcht – und Rita Zimmerli
kann via Webmail-Fernzugriff alle wichtigen Mails inklusive
der Anhänge kopieren.
Der Feind im eigenen Haus
Nicht immer kommt der Feind von aussen. Dass in den letzten
Monaten zunehmend Fälle publik geworden sind, in denen aktuelle
oder ehemalige Mitarbeiter bei ihrem Arbeitgeber Daten geklaut
und diese an die Behörden oder die Konkurrenz verkauft haben,
überrascht Cornel Furrer nicht: «Unsere Gesellschaft ist auf dem
Ego-Trip. Es gibt nur noch wenig patronal geführte Unternehmen;
bei manchen Firmen hat man das Gefühl, sie bestünden vom
Konzernchef bis zur Aushilfekraft aus lauter Job-Hoppern, die
Selbstverwirklichung und rasche Gewinnmaximierung suchen.»
Immer mehr Kontrollinstanzen einzubauen, hilft nur bedingt.
«Erstens», sagt Furrer, «können transparente Systeme auch dann
überwunden werden, wenn sie mehrstufig sind. Zweitens ist das
aufwendigste Dispositiv nur dann etwas wert, wenn die Anwendung
auch im Alltag klappt. Bei Wissensabfragen und Trainings
verhalten sich meist alle Angestellten vorbildlich. Wenn ich mit
einem Team anrücke und eine Notlage simuliere, will niemand
mich mit Misstrauen brüskieren.» Furrer empfiehlt eine Mischung
aus Kontrolle und Stärkung der Wir-Kultur in Unternehmen. «Ein
konsequentes Vieraugenprinzip mit wechselnden Verantwortlichen
im Umgang mit heiklen Dokumenten reduziert die Gefahr des Datenabflusses;
man muss sich aber immer die Frage stellen, wer die
Kontrolleure kontrolliert.»
Jenseits von Gut und Böse
Bei der jüngsten Entwicklung im Steuerstreit zwischen der
Schweiz und Deutschland stellt sich für Furrer noch eine ganz andere
Frage als die nach den Lecks im Sicherheitsdispositiv der
Schweizer Banken. «Ich zweifle daran, dass da wirklich jemand
Wirkungsvolle Verhaltensweisen
Schutztechnik allein genügt im Kampf gegen
Social Engineering nicht. Darum:
� Seien sie zurückhaltend mit Auskünften über sensible Unternehmenstätigkeiten,
auch in der Freizeit
� Lassen Sie sich nicht unter Druck setzen, Informationen preiszugeben,
bei denen Sie ein ungutes Gefühl haben
� Trauen Sie sich, ein für Sie unangenehmes Gespräch zu beenden
� Überprüfen Sie die Identität eines Anrufers mit der Bitte, zurückrufen
zu dürfen
� Sperren Sie Ihren Computerbildschirm, und räumen Sie Ihren
Schreibtisch vor dem Verlassen des Arbeitsplatzes auf
� Klicken Sie auf keine Links oder ausführbaren Dateien in E-
Mails. Geben Sie die Internetadresse immer manuell oder aus der
Favoritenliste ein
� Alle Mitarbeitenden tragen deutlich sichtbar die Firmenausweise,
damit Fremde schnell erkannt werden. Sprechen Sie Ihnen
fremde Personen an: Sicherheit geht vor Höflichkeit
� Alle Besucher werden am Empfang abgeholt und nie unbeaufsichtigt
auf dem Firmengelände gelassen
� Wenn Sie nicht sicher sind, wen Sie am Telefon oder vor sich
haben, klären Sie die Identität Ihres Gesprächpartners ab. Informieren
Sie Ihren Vorgesetzten über die Vorgänge, oder melden
Sie dies Ihrem IT-Verantwortlichen
Medienspiegel www.infosec.ch 13 von 79

saubere Datensätze hat», sagt Furrer und verweist darauf, dass
Wolfgang Schäuble und die deutsche Regierung allein aufgrund
der prominenten Erwähnung einer Daten-CD immensen politischen
Druck auf die Schweiz aufbauen konnten. «Ob es einen Datendieb
gibt und welche Qualität die Kundendaten haben, ist völlig
offen.» Furrer hält es für denkbar, dass ein Nachrichtendienst hinter
der Attacke auf die Schweizer Banken steckt und dass die Geschichte
vom Datendieb, der dem deutschen Staat eine CD mit Daten
von Steuerhinterziehern verkaufen will, bloss eine Legende ist,
die wirkungsvoll inszeniert worden ist.
Der Sicherheitsexperte stützt sich dabei auf einen Fall aus dem
Jahr 2008, in den er selber involviert war. Damals wandte sich eine
Bank an ihn, die nach gleichem Muster erpresst wurde wie später
die LGT Bank in Liechtenstein. Furrer traf sich im Ausland mit
dem Informanten. Obwohl er zur eigenen Sicherheit und zur Beobachtung
potenzieller Beobachter des Treffens eine zusätzliche
Crew aufgeboten hatte, überstürzten sich die Ereignisse: «Die von
uns identifizierten Nachrichtendienste verfolgten und bedrängten
uns auf der Autobahn», erinnert sich Furrer. «Der zweite Teil unserer
Crew reiste mit dem Zug in die Schweiz zurück. Kurz vor
Mitternacht wurde dieser auf einer der Hauptrouten auf offener
Strecke angehalten und durchsucht. Wir sahen uns schon im Gefängnis
sitzen. Ich war noch nie so froh, wieder in der Schweiz anzukommen,
wie nach dieser Ermittlung und der turbulenten Rückkehr
auf Umwegen.»
Veteranen des Kalten Kriegs
Seit dem Ende des Kalten Kriegs seien viele Spionagespezialisten
ohne Arbeit, manche hätten in die Wirtschaftskriminalität gewechselt,
erzählt Furrer. Es sei klar, dass es in der globalisierten Wirtschaft
vermehrt zu Spionageattacken komme. Zuverlässige Zahlen
gibt es keine – schon deshalb nicht, weil viele Firmen keine Anzeige
erstatten. Furrer wird auch für die Aufklärung von Angriffen
beigezogen, um zu rekonstruieren, von wo aus auf welche Daten
zugegriffen wurde. Oft merken die Unternehmen gar nicht, dass
sie beklaut worden sind. Sie staunen dann höchstens, wenn die
Konkurrenz plötzlich das neue Produkt, das man patentrechtlich
hat schützen lassen, praktisch zeitgleich auf den Markt bringt.
Manchmal kreuzen sich freundliche und feindliche Attacken. Als
Furrers Leute einmal in der Nacht einen Angriff auf eine Lebensversicherung
simulierten, stellten sie fest, dass gerade jemand damit
beschäftigt war, unter dem Namen der Versicherung eine Pornoseite
aufzubauen. «So was kommt nicht zur Anzeige, da wird
einfach der Angreifer elektronisch zerstört», sagt Furrer trocken.
30 000 bis 50 000 Franken kostet ein etwas aufwendigeres Angriffsszenario.
«Gemessen am Schadenspotenzial ist das kein Betrag»,
findet der Experte. In der Tat: Vor Übernahmen, Fusionen
oder Börsengängen häufen sich Attacken auf Firmen, was viel Geld
kosten kann. Indem er sich das Passwort eines Entscheidungsträgers
erschlich, erhielt Furrer kürzlich Kenntnis von geheimen Fusionsplänen:
«Es war faszinierend mitzuverfolgen, mit welchen
Strategien sich die beiden Parteien über den Tisch zu ziehen versuchten.»
«Es braucht kriminelle Energie»
Wenn Furrer solche Geschichten erzählt, gewinnt man den Eindruck,
an ihm sei ein Krimineller verloren gegangen. «Es braucht
�
Der «Handwerker» ist
ausgerüstet mit gefälschtem
Badge, Koffer
und Kabeln.
Nicolas Righetti/Rezo
�
«L’artisan» est équipé
d’un faux badge, d’une
caisse et de câbles.
�
«L’artigiano» è munito di
un badge falso, con
borsa e cavi.
einigen Spieltrieb, um gute Drehbücher für Angriffe auf Unternehmen
zu erarbeiten. Und es braucht eine gehörige Portion krimineller
Energie, wenn man den Job gut machen will. Für uns gilt
das Gleiche wie für die Kriminologen: Die besten sind die, welche
auf dem Grat zwischen Gut und Böse haarscharf auf der richtigen
Seite runtergefallen sind.» Sofort schränkt Furrer aber ein, er habe
nie Triumphgefühle, wenn er eine Firma geknackt habe. «Das ist
vielmehr ein Fingerzeig, wie viel Sensibilisierungsarbeit noch zu
leisten ist.»
Denn noch immer gebe es viele Konzernchefs, die sich weigerten,
einen Badge zu tragen oder ihr Smartphone gegen Attacken absichern
zu lassen. Als so ein Alphatier die Einführung der Badge-
Pflicht einmal mit der Bemerkung «Mich kennt man hier!» abschmetterte,
führte Furrer den Manager kurzerhand in ein paar zufällig
ausgewählte Büros und fragte zehn Angestellte, wer der
Mann sei. Kein einziger wusste es. «Von dem Moment an ging es,
weil dieses Konzernleitungsmitglied fortan als Vorbild fungierte»,
sagt Furrer.
Beim sorglosen Umgang mit den Smartphones dagegen wird es
noch viel Aufklärungsarbeit brauchen. «Es reicht, dass jemand sein
Mobiltelefon 30 Sekunden unbeaufsichtigt lässt», weiss Furrer. In
dieser Zeit kann ein erfahrener Dieb das Gerät so präparieren, dass
er später in Ruhe alle Daten und Nummern entwenden und das
Handy in ein Ortungsgerät und ein Mikrofon verwandeln kann,
das sämtliche Gespräche in der näheren Umgebung aufzeichnet.
«Je mehr Informationen wir dauernd verfügbar haben, desto grösser
wird die Angriffsfläche», bilanziert Furrer. So schnell wird dem
Sicherheitsexperten also die Arbeit nicht ausgehen. �
2010_2
Medienspiegel www.infosec.ch 14 von 79

Einbrecher auf Abruf:
Alles im Namen der Sicherheit
Cornel Furrer knackt Banken. In deren Auftrag. Die Schwachstelle ist dabei immer
dieselbe: der Mensch. Ein Einblick in eine Arbeit, die man sonst nur aus Filmen kennt.
Von Angela Barandun
Cornel Furrer zieht den einen
Mundwinkel schelmisch hoch, als
er es sagt: «Eigentlich ist die Bank
nicht zu knacken.» Eigentlich. Natürlich
ist es ihm trotzdem gelungen.
«Die Schwachstelle ist immer
der Mensch. In diesem Fall: der
Portier.» Also hat der ehemalige
Aufklärer – eine Art Militärspion
– tagelang getüftelt, überlegt und
schliesslich den Plan entwickelt.
«Zwei Stunden lang posierten
die beiden Models im Eingangsbereich
der Zürcher Privatbank. Der
Fotograf schoss Hunderte von
Bildern. Alles bloss, um Vertrauen
aufzubauen», sagt Furrer. Dann
geht der Coup in die entscheidende
Phase: Der Fotograf geht auf
den Portier zu, in der Hand eine
Lampe. Noch eine. Der Boden ist
schon fast schwarz vor lauter Kabel.
«Dann wendet sich der Fotograf
an den Portier: Er habe
Angst, es gebe einen Kurzschluss,
wenn er noch eine Lampe anschliesse.
Ob es denn keine Steckdose
gebe, die zu einem anderen
Stromkreis gehört», erzählt Furrer.
Der Portier öffnet die Panzerglas-Tür
seines Empfangsbereichs.
Das Kabel verhindert, dass
die Tür ins Schloss fällt. Der Weg
ist frei, doch die heikelste Situation
steht noch bevor.
Die vollbusige Frau bückt
sich
Eine vollbusige Schönheit mit
grosszügigem Ausschnitt tritt auf.
Das Portemonnaie fällt ihr aus der
Hand. Sie bückt sich, um das
Münz vom Boden aufzusammeln.
«Das funktioniert immer. Der
Portier hat sofort Stielaugen gekriegt»,
sagt Furrer. Gleichzeitig
schleicht sich jemand hinter ihm
vorbei durch die Panzerglastür ins
Innere der Bank und hinterlässt
im Sitzungszimmer eine Wanze.
Der Job ist erledigt, Cornel Furrer
hat die Bank geknackt.
Theoretisch. Denn die Wanze
ist keine richtige Wanze und Furrer
kein richtiger Einbrecher. Er
arbeitet für die Firma Swiss Infosec
in Sursee, die Unternehmen in
Cornel Furrers Aufgabe ist es, die Lücke im Abwehrsystem einer Firma zu finden. Foto: Nicola Pitaro
Sachen Informations- und IT-
Sicherheit berät und ausbildet.
Wenn Furrer einbricht, tut er es
auf Wunsch eines Kunden – meist
Banken in der Schweiz, Luxemburg
und Liechtenstein. Manchmal
auch Pharmafirmen oder
Rüstungsunter nehmen. Sein Auftrag:
Mängel im System aufdecken.
Manchmal reicht ein Anruf
«Das Fotoshooting war einer meiner
aufwendigsten Fälle. Die Bank
war extrem gut geschützt», sagt
Furrer. Er brauchte vier Tage, um
die Aktion vorzubereiten und am
Tag selber acht Leute, um es ins
Innere der Bank zu schaffen. Das
Budget: gut 40 000 Franken. Damit
kommt Furrer überall rein.
«Vielleicht nicht gerade in den
Goldtresor der Nationalbank.
Aber an einen Ort, an dem wir Informationen
erbeuten könnten,
die ein Vielfaches wert sind», sagt
der 52-jährige.
Dabei ist so viel Aufwand meist
gar nicht nötig. Oft reicht es, jemandem
einen infizierten USB-
Stick unterzuschieben – per Post,
unter einem Vorwand. Sobald das
Opfer den Stick an den Computer
anschliesst, übernimmt Furrer die
Kontrolle. Oder er ruft die Sekretärin
eines Geschäftsleitungsmitglieds
an und gibt vor, für die IT-
Abteilung zu arbeiten. Furrer erkundigt
sich bei der Sekretärin, ob
ihr Computer ebenfalls vom Virus
lahmgelegt worden sei. Er lässt sie
als Beweis nach einem gefährlich
tönenden File suchen (das auf jedem
Computer vorhanden ist)
und bittet sie dann, ihr persönli-
Medienspiegel www.infosec.ch 15 von 79

ches Passwort («Bitte geheim halten!»)
gegen einen Standard-Code
auszutauschen. Schon hat er
Zugriff auf sämtliche geheimen
Daten.
Was auch immer wieder gut
funktioniert: Furrer gibt sich am
Empfang als Dr. König vom Bundesamt
für Strahlenschutz aus,
Als sich Furrers Mann
ergeben musste, hatte
der Bankdirektor bereits
das gesamte Gebäude
abgeriegelt und stand
dem Eindringling in
Karatepose gegenüber.
der Messungen im Gebäude vornehmen
muss. Die Türen öffnen
sich – obwohl es so etwas wie ein
Bundesamt für Strahlenschutz in
der Schweiz gar nicht gibt. Dafür
ist das Bundesamt für Gesundheit
zuständig.
Furrer arbeitet mit Laien
Bei den meisten Coups ist Furrer
nicht live dabei. Er übernimmt die
Rolle des Regisseurs. «Das Fotoshooting
etwa habe ich von der gegenüberliegenden
Strassenseite
aus verfolgt. Mit einem Hund, zur
Tarnung.» Seine Agenten sind
Laien, die oft in anderen Jobs für
Infosec arbeiten. Einmal spielte
Furrers Tochter mit, ein anderes
Mal hat sich der Lehrling als
Handwerker verkleidet. Die vollbusige
Schönheit, die in der Privatbank
den Portier ablenkte, ist
Assistentin der Geschäftsleitung.
In einem anderen Fall spielte eine
IT-Spezialistin eine Schwangere,
die das Gespräch mit dem Bank-
berater wegen akuter Übelkeit
verlassen musste und sich dann in
den Computerraum schlich. «Wäre
sie erwischt worden, hätte sie
wohl einfach gesagt, sie habe sich
verlaufen», erklärt Furrer.
«Situation ist völlig eskaliert»
Erfolglos war Furrer noch nie.
Zwar ging eine Aktion auch schon
schief. Aber nicht ohne dass die
Angestellten schlimme Fehler im
Umgang mit den Eindringlingen
gemacht hätten. An einen Fall erinnert
sich Furrer besonders gut:
«Aufgeflogen sind wir aufgrund
eines scheinbar vom Chef signierten
Dokuments, mit dem wir uns
Zugang verschaffen wollten.» Was
Furrer nicht gewusst hatte: Der
Chef der Bank verwendete zwei
unterschiedliche Unterschriften.
Einbrüche: Ein Bereich unter vielen
Swiss Infosec schützt Geheimnisse
Für Swiss Infosec sind fingierte Einbrüche
eher die Ausnahme denn die Regel Sie ma-
chen im Schnitt nur gerade knapp 10 Pro-
zent der Arbeit aus. Insgesamt macht die
Firma aus Sursee etwa 5 Millionen Franken
Umsatz pro Jahr. Von den 30 Mitarbeiten-
den ist Cornel Furrer der einzige, der sich
auf solche Coups spezialisiert hat.
Der Löwenanteil des Umsatzes stammt
aus der Beratungs- und Schulungstätigkeit
der Firma. «Wir überprüfen sämtliche As-
pekte der Sicherheit», sagt Gründer Reto
Zbinden. Also physische Sicherheit, Infor-
mationssicherheit, Datenschutz, Internet-
protokollierung und Archivierung.
Die Arbeit beginnt oft mit einer Bestan-
desaufnahme. Dazu gehört auch herauszu-
finden, welche Informationen ein Unter-
nehmen schützen muss. «Vielen Unter-
nehmen ist das gar nicht klar», sagt Zbin-
den. Ein Beispiel ist etwa ein Schweizer Ma-
schinenbauer, dessen Anlage von den
Eine für öffentliche Dokumente
wie den Geschäftsbericht, eine
andere für interne Angelegenheiten
und Verträge.
Als sich Furrers Mann ergeben
musste, hatte der Bankdirektor –
der nichts von der Aktion wusste
– bereits das ganze Gebäude per
Notfallknopf abgeriegelt – als
handle es sich um einen Banküberfall
– und stand dem Eindringling
kampfbereit und in Karatepose
gegenüber. Dem Bankdirektor
ist der Vorfall wohl heute
noch peinlich, meint Furrer: «Die
Situation ist völlig eskaliert.» Das
richtige Vorgehen wäre laut Furrer
gewesen: «Den Mann in Sicherheit
wiegen, ihn mit einem
Kaffee im Nebenzimmer beschäftigen
und diskret die Polizei benachrichtigen.»
29.03.2010
Chinesen kopiert wurde. Trotz allen Bemühun-
gen lief die exakte Kopie nicht so rund wie das
Original. Der Grund: «Das eigentliche Ge-
schäftsgeheimnis steckt im Ölgemisch, das die
Schweizer selbst herstellen», sagt Zbinden. Das
wurde den Leuten erst richtig bewusst, als Info-
sec anfing, die richtigen Fragen zu stellen.
Nach der Bestandesaufnahme werden die
Schwachstellen formuliert. Etwa: Die Türen
schliessen zu langsam, ein Angreifer könnte sich
im Schlepptau eines Angestellten problemlos
reinschmuggeln. Oder die Rezeptur des Ölge-
mischs muss besser geschützt werden. Die
Schwachstellen werden behoben, die Menschen
geschult, und am Ende überprüft Infosec, ob das
Gelernte umgesetzt wird. «Die meisten mitarbei-
tenden werden bestätigen, dass sie ihren Com-
puter sperren, sobald sie den Arbeitsplatz ver-
lassen. Ob si das kurz vor dem Anpfiff des EM-
Eröffnungsspiels im letzten Jahr ebenfalls getan
haben, ist eine ganz andere Frage», sagt Zbin-
den. (aba)
Medienspiegel www.infosec.ch 16 von 79

Millionen winken
Geht jetzt der grosse Datenklau los?
ZÜRICH – Deutschland bezahlt Unsummen für geklaute Bankdaten – und
schafft damit Anreize für Ganoven. Wie sicher sind unsere Bankkonti und
Krankenakten noch?
Noch ist nicht klar, von welcher Schweizer Bank die Daten
stammen, mit denen Berlin Steuerhinterzieher unter Druck
setzt. Klar ist jedoch: Die 2,5 Millionen Euro, die Deutschland
für die ominöse CD bezahlen will, weckt Begehrlichkeiten bei
Langfingern.
Sensible Daten werden zu einem wertvollen Gut. Auf einen
Schlag reich werden: Um dieser Versuchung zu verfallen,
muss ein Banker oder ein Informatiker nicht mal eine
besondere Abscheu gegen seinen Arbeitgeber verspüren.
Die Banken sind also gefordert. Seit dem Datenklau bei der
Liechtensteiner LTG im Jahr 2008 haben viele ihr Abwehr-
dispositiv verstärkt, wie die «Aargauer Zeitung» berichtet.
UBS sperrt USB-Ausgänge
So sind bei der UBS beispielsweise die USB-Schnittstellen gesperrt, damit kein Mitarbeiter
Daten vom PC auf einen Stick runterziehen und rausschmuggeln kann. Aus
demselben Grund lassen sich in UBS-PCs keine CDs brennen.
Generell versuchen die Banken, die Zugriffsrechte auf heikle Daten so gut als möglich
einzuschränken. So kann ein Kundenberater im Normalfall nur noch die Daten seiner
eigenen Klienten einsehen. Falls Daten nach aussen gelangen, ist dann schnell klar,
wo das Leck war.
Dennoch: «Gegen Angestellte, die über längere Zeit einen Datendiebstahl planen, ist
kein Kraut gewachsen», betont Cornel Furrer von der auf IT-Sicherheit spezialisierten
Firma Swiss Infosec gegenüber der «AZ».
(hhs) 04.02.2010
Angela Merkel will unse-
re Bankdaten. Doch
auch andere Informati-
onen könnten für Diebe
lukrativ werden. (AP)
Medienspiegel www.infosec.ch 17 von 79

Mögliche Stolpersteine für
KMU beim Datenschutz
Das Bundesgesetz über den Datenschutz (DSG) erfasst sowohl die
automatisierte als auch die manuelle Bearbeitung von Personendaten
und schliesst natürliche wie auch juristische Personen mit ein.
Personendaten müssen aufgrund dieses Gesetzes angemessen durch
technische und organisatorische Massnahmen vor dem Zugriff
Unbefugter geschützt werden (Art. 7 DSG).
VON RETO ZBINDEN
Personendaten, also
alle Angaben, die sich
auf eine bestimmte
oder bestimmbare
Person beziehen, sind ein
wertvolles Gut, und zwar
sowohl in materieller wie
CHECKLISTE ZUM DATENSCHUTZ IN KMU
Technische Massnahmen
Datensicherung
���� Es ist ein Datensicherungskonzept
auszuarbeiten.
���� Die Häufigkeit der Datensicherung
ist festzulegen.
���� Der Datenträger mit den gesicherten
Daten ist örtlich vom
Büro, in dem Daten bearbeitet
werden, zu trennen.
���� Die Wiederherstellung der Daten
ist zu testen.
Virenschutz
���� Ein Virenschutzprogramm eines
namhaften Herstellers ist zu installieren.
���� Die Virenupdates sind jeweils
bei Aufforderung durch die
Software auszuführen.
Organisatorische Massnahmen
Nutzungsreglement
���� Es ist ein Nutzungsreglement
auszuarbeiten.
���� Darin sind Regeln für die private
Nutzung des Internets festzulegen.
���� Darin sind Sanktionsmöglichkeiten
vorzusehen.
���� Es ist sicherzustellen, dass jeder
neue Mitarbeitende das
Nutzungsreglement erhält und
unterschreibt.
auch in ideeller Hinsicht. In
materieller, weil Unternehmen
Personendaten in verschiedenster
Weise für ihre
Interessen verwenden können.
In ideeller Hinsicht sind
Personendaten ein wertvol-
���� In Schulungen ist sicherzustellen,
dass das Nutzungsreglement
auch verstanden wird.
���� Im Nutzungsreglement ist festzuhalten,
wie mit Personendaten
der Mitarbeitenden umzugehen
ist.
���� Mitarbeitende sind auf die Wirkung
von unvorsichtigem Umgang
mit dem Internet und mit
der E-Mail hinzuweisen.
Zugriffskontrolle
���� Pro Benutzer ist ein persönliches
Passwort zu verwenden.
���� Die Passwörter müssen in regelmässigen
Abständen gewechselt
werden.
���� Die Passwörter dürfen nicht einfach
zu erraten sein. Geburtsdatum,
Name etc. sind nicht geeignet.
���� Die Passwörter dürfen nicht abgespeichert
oder auf einem Zettel
am Arbeitsplatz aufgeschrieben
werden.
Datenschutz
���� So wenig Personendaten wie
möglich bearbeiten.
���� Die Weitergabe von Personendaten
an Dritte und ins Ausland
klar regeln und kontrollieren.
���� Den Zugriff auf Personendaten
klar regeln und kontrollieren.
les Gut, weil in einer modernen,
demokratischen
und rechtsstaatlichen Gesellschaft
der Mensch über
eine minimale Kontrolle
über die Verwendung von
Daten, die ihn betreffen,
verfügen sollte. Jede Person
soll so weit wie nur immer
möglich selber darüber
bestimmen können, welche
Informationen/Daten über
ihn wann, wo und von wem
bearbeitet werden.
Weit gefasste
Begriffsbestimmung
Unter «Bearbeiten» ist gemäss
dem Bundesgesetz
über den Datenschutz
(DSG) jeder Umgang mit
Personendaten, unabhängig
von den angewandten Mitteln
und Verfahren, insbesondere
das Beschaffen,
Aufbewahren, Verwenden,
Umarbeiten, Bekanntgeben,
Archivieren oder Vernichten
von Daten zu verstehen.
Diese Definition schliesst
Daten auf Papier und im
Computer mit ein. Aus dieser
weiten Begriffsbestimmung
ergibt sich, dass mehr
oder weniger alle KMU sich
mit den Anforderungen des
DSG auseinanderzusetzen
haben.
Die Revision
Das DSG bewährte sich in
der Praxis, aber wegen nationaler
und internationaler
politischer Erfordernisse
wurden gewisse Anpassungen/Revisionen
des DSG
und der Verordnung zum
Bundesgesetz über den Datenschutz
(VDSG) erforderlich.
Diese umfassen insbesondere
folgende Punkte:
���� Das revidierte DSG stärkt
die Stellung der betroffenen
Personen, indem es mehr
Transparenz bei der Bearbeitung
von Personendaten
schafft; dies geschieht insbesondere
durch das Einführen
einer Informationspflicht
des Inhabers einer
Datensammlung gegenüber
der betroffenen Person
beim Beschaffen von besonders
schützenswerten
Personendaten und Persönlichkeitsprofilen
(Art 7a
DSG).
���� In diesem Zusammenhang
ist auch die Ausweitung
des Auskunftsrechts
der betroffenen Person zu
erwähnen: Ihr müssen nicht
nur alle über sie in der Datensammlung
vorhandenen
Daten mitgeteilt werden,
sondern neu auch alle verfügbaren
Angaben über die
Herkunft dieser Daten (Art.
8).
���� Im Rahmen der zunehmendenInternationalisierung
und Globalisierung ist
die grenzüberschreitende
Datenbekanntgabe zum Teil
neu geregelt worden (Art. 6
DSG).
���� Die Bestimmungen über
die Anmeldung von Datensammlungen
beim Eidgenössischen
Datenschutz-
und Öffentlichkeitsbeauftragten
(EDÖB) wurden an
die Verpflichtung zu erhöhter
Transparenz angepasst.
���� Neu stipuliert wurde eine
Bestimmung, die es Inha-
Medienspiegel www.infosec.ch 18 von 79

ern von Datensammlungen
ermöglicht, unter gewissen
Voraussetzungen und Bedingungen
einen Datenschutzverantwortlichen
zu
bezeichnen (Art. 12a
VDSG). Wird vom Inhaber
einer Datensammlung ein
derartiger Datenschutzverantwortlicher
bezeichnet,
entbindet dies den Inhaber
der Datensammlung, diese
beim EDÖB registrieren zu
lassen.
Mögliche Probleme für
KMU
Diese Vorgaben des DSG
und des VDSG verlangen
Unternehmen und ihren
Mitarbeitenden einiges ab.
So reicht es nicht, dass Daten
(in welcher Form auch
immer) irgendwo in einer
dunklen Ecke gelagert werden,
diese Daten müssen
auch innert nützlicher Frist
jederzeit erschliessbar sein.
Jede Unternehmung hat
auch Vorkehrungen zum
Schutz ihrer Daten vorzunehmen.
Es ist die Pflicht
jeder Unternehmung, ihre
Mitarbeitenden angemessen
für die Vorgaben des
DSG so zu sensibilisieren,
dass sie nicht gegen das
DSG verstossen.
Die Sensibilisierung für
die nötigen Aktivitäten im
Bereich des Datenschutzes
und der Informationssicherheit
ist aufgrund medienwirksamer
Ereignisse stark
gefördert worden. Es muss
aber nach wie vor festgestellt
werden, dass in zu vielen
Unternehmen zu wenig
Wert auf einen angemessenen
und möglichst umfassenden
Stand der Datensicherheit
gelegt wird.
Welche Daten fallen
unter das DSG?
Das DSG gilt überall dort,
wo Daten von Personen,
etwa Kunden- oder Mitarbeiterdaten,
auf irgendeine
Art und Weise bearbeitet
werden. Auch Verträge mit
Kunden und Partnern können
unter das DSG fallen,
können sie doch besondere
Vereinbarungen zum Thema
Vertraulichkeit beinhalten.
Für die Praxis und basierend
auf dem DSG ergeben
sich folgende Konsequenzen:
Personendaten
���� müssen sicher und legal
gehalten (gespeichert) werden
���� dürfen nur legal beschafft
werden
���� dürfen nur für den vorbestimmtenVerwendungszweck
benutzt werden
���� müssen genau und aktuell
sein
���� müssen für den Inhaber
von Datensammlungen immer
erreichbar sein
���� müssen sicher gespeichert
werden
���� müssen nach dem
Gebrauch unwiderruflich
zerstört werden
���� dürfen nicht in ein anderes
Land, das nicht über einen
(im Vergleich mit der
Schweiz) angemessenen
Datenschutz verfügt, transferiert
werden.
Wie können KMU diese
Herausforderungen meistern?
Die Erfahrung zeigt, dass
eine von allen Mitarbeitenden
unterschriebene und
umgesetzte bzw. angewandte
Nutzerregelung am
sachdienlichsten ist. Gleichzeitig
sollten in dieser Nutzerregelung
(Weisung) auch
weitere Mechanismen festgehalten
werden, mit denen
das Unternehmen gedenkt,
betriebsintern den Datenschutz
und die Informationssicherheit
gemäss den
gesetzlichen Vorgaben umzusetzen
und sicherzustellen.
Eine derartige Nutzerweisung
sollte die folgenden
Punkte über die folgenden
Gebiete enthalten:
Informationssicherheit
���� Wie sind elektronische
Dokumente abzulegen (E-
Mails nicht vergessen!)?
���� Welche Überwachungsmassnahmen
gibt es?
Technische Massnahmen
Wie und wann werden
Logs ausgewertet?
Unterscheidung zwischen
privaten und geschäftlichen
E-Mails
���� E-Mails:
Allgemeiner Umgang
damit
Was passiert bei Abwesenheit
eines Mitarbeitenden
und was bei
dessen Austritt?
���� Der Umgang mit dem Internet
ist festzulegen
Informationsschutz
���� Wo und wie werden Daten
abgelegt?
���� Gibt es besonders schützenswerte
Daten? Wie sind
diese zu klassifizieren? Wie
zu speichern?
Informatiksicherheit
���� Wie ist bei einem Virenbefall
vorzugehen, wer ist zu
kontaktieren?
���� Welche technischen
Schutzmassnahmen hat
das Unternehmen umgesetzt?
Wann und wie wird protokolliert?�
Was passiert mit diesen
Logs?�
���� Wie ist mit Hard- und
Software umzugehen?
Datenschutz
���� Geltungsbereich: Für welche
Betriebsstätten und auf
wen (Mitarbeitende, Lieferanten
etc.) ist diese Weisung
anwendbar?
���� Wie weit dürfen die IT-
Einrichtungen des Unternehmens
auch privat genutzt
werden?
���� Was passiert bei Missbrauch
und welche
Sanktionen sind für Verstösse
vorgesehen?
Jeder Mitarbeitende muss
mittels Unterschrift bestätigen,
dass er diese Weisung
gelesen und verstanden
hat. Dieses Vorgehen kann
dem Arbeitgeber zu einem
späteren Zeitpunkt hilfreich
sein.
Weitere Problemfelder
Manche Unternehmen lassen
Daten (die z.B. die
Buchhaltung, das Lohnwesen
etc. betreffen) in Ländern
bearbeiten, die nicht
über ein Datenschutzniveau
verfügen, das demjenigen
der Schweiz angemessen
ist. Der EDÖB führt eine
Liste mit Ländern, in denen
Auftragsdatenverarbeitung
keine Probleme darstellt
bzw. wohin Daten transferiert
werden dürfen.
Die alltägliche Weitergabe
von Personendaten,
auch innerhalb der Schweiz,
ist ebenso mit Problemen
behaftet, unbesehen davon,
ob diese Weitergabe mit
Absicht geschieht oder ob
Personendaten aus Unachtsamkeit
weitergegeben
werden. Jedes Unternehmen
ist dafür verantwortlich,
dass z.B. sein externes
Buchhaltungsbüro seine
Daten auch angemessen
schützt. Das Unternehmen
ist auch dafür verantwortlich,
dass die Festplatten
der PCs, die betriebsintern
ausgetauscht werden, so
gelöscht sind, dass auf die
Daten nicht mehr zugegriffen
werden kann.
Reto C. Zbinden, Rechtsanwalt, ist
CEO der Swiss Infosec AG, eines
unabhängigen Beratungsunternehmens
im Bereich Informations- und
IT-Sicherheit.
www.infosec.ch
11. September 2009
8-9/09
Medienspiegel www.infosec.ch 19 von 79

Business Business Business Continuity Continuity Continuity –
Mehr Mehr als als nur nur Theorie
Theorie
Unternehmen bereiten sich heute sehr unterschiedlich auf Krisen vor. Die
einen sind risikofreudig und lassen die Zukunft auf sich zukommen, die
anderen treffen aktiv vorbereitende Massnahmen gegen bekannte Risiken.
Für alle, die ein Business-Continuity-Konzept haben, gilt: Theorie allein
genügt nicht, die praktische Erprobung von Zeit zu Zeit ist Pflicht.
Cornel Furrer
Cornel Furrer
M
it Krisen befasst sich niemand gern.
Doch wenn es um die Fortführung der
Geschäftstätigkeit in einem wie auch
immer gearteten Krisenfall geht, müssen
Unternehmen sich auch den unangenehmen
Fragen zuwenden. Eine dieser unangenehmen
Fragen kann lauten: Wie lange dauert
es im Fall der Business Discontinuity, bis wir
zahlungsunfähig sind? Die Vorbereitung auf
diese und ähnliche Fragen ist keine Zeitverschwendung,
allein schon, weil sie oft bereits
Schwächen in den Prozessen aufdeckt.
Die theoretische Aufbereitung aller Business-Continuity-Belange
– und dies betrifft
nicht nur die IT – ist zwar notwendig, aber
nicht ausreichend, um eine Krise erfolgreich
bewältigen zu können. Dem theoretischen –
sehr oft akademisch geführten – Teil muss unbedingt
der realitätsnahe, praxisorientierte
praktische Teil folgen, bei welchem der Krisenleiter
und sein Krisenstab anhand von Szenarien
seine Kenntnisse und Kompetenzen unter
hohem Zeitdruck in einer ungeklärten Situation
und mit knappen Ressourcen erweitern und
überprüfen lassen kann.
Business Continuity Management ist der
Aufbau eines leistungsfähigen Notfall- und Krisenmanagements
zwecks systematischer Vorbereitung
auf die Bewältigung von Schadenereignissen,
so dass wichtige Geschäftsprozesse
selbst in kritischen Situationen und in Notfällen
nicht oder nur temporär unterbrochen werden
und die wirtschaftliche Existenz des Unternehmens
trotz Schadensereignis gesichert bleibt.
Notfallplan auf Unternehmen abstimmen
Das BCM bezeichnet zusammenfassend eine
Managementmethode, die anhand eines Lebenszyklus-Modells
die Fortführung der Geschäftstätigkeit
unter Krisenbedingungen oder
zumindest unvorhersehbar erschwerten Bedingungen
absichert. Es besteht eine enge Verwandtschaft
mit dem Risikomanagement. In
den deutschsprachigen Ländern wird das BCM
bisweilen als verwandt mit der Informationssicherheit,
der IT-Notfallplanung und dem Facility
Management angesehen. Verbindungen bestehen
auch zum Gedankengut der Corporate
der Corporate Governance.
Um bei Vorfällen beziehungsweise im Katastrophenfall
die Abwicklung der Geschäfte
eines Unternehmens fortführen zu können (Business
Continuity) müssen Analysen und Planungen
vorgenommen werden. Es ist primär
festzustellen, welche Prozesse unbedingt aufrechterhalten
werden müssen sowie welche
Massnahmen dafür notwendig sind.
Dazu müssen Prioritäten definiert und benötigte
Ressourcen zugeordnet werden. Eine Massnahme
im Zuge einer Business Continuity Planung
stellt das Disaster Recovery dar, der gesamte
Prozess der Geschäftsfortführung muss
sich jedoch darüber mit sehr vielen weiteren
Aspekten beschäftigen.
Ziel des Business Continuity Managements
ist die Generierung und Proklamation von Prozessdefinitionen
und Dokumentation eines betriebsbereiten
und dokumentierten Notfallvorsorge-Plans,
der exakt auf das individuelle Unternehmen
abgestimmt ist, sowie die Sensibilisierung
aller Mitarbeitenden auf das Thema
"wirtschaftliche Existenzsicherung bei einer unternehmenskritischen
Notfallsituation".
Umfassende Unterlagen
Um ein effektives Führungssystem in Krisen
aufzubauen, sind zahlreiche Analysen vorzunehmen,
Unterlagen zu beschaffen, Prozesse
und Krisenorganisation zu definieren und Führungseinrichtungen
bereitzustellen. Die Geschäftsprozesse
und Wertschöpfungsketten
werden von ihren Eignern systematisch von
oben nach unten oder von unten nach oben
analysiert, die kritischen Prozesse und deren
unterstützenden Ressourcen werden herauskristallisiert,
die Risikoanalyse mit potenzielle-
Schadensausmass und Eintretenswahrscheinlichkeit
wird in einer Risikomatrix zusammengestellt,
betriebsinterne und –externe Risiken
werden in einem Risikoregister aufgeführt, Risiken
werden transferiert oder mit mehr oder
weniger aufwändigen Massnahmen gänzlich
eliminiert oder lediglich reduziert oder
das(Rest-)Risiko wird durch die Verantwortlichen
aktiv übernommen.
Medienspiegel www.infosec.ch 20 von 79

Notfall- und Krisenhandücher beschreiben ausführlich, wann denn
eine Störung, ein Notfall, eine Krise oder sogar eine Katastrophe
vorliegt, wie die Alarmierung des Krisenstabes vorgenommen
wird, in welchen Fällen gemäss welcher Checkliste vorgegangen
werden soll und welche Sofortmassnahmen in welchen Situationen
zu ergreifen sind. Die Aufzählung ist hier noch nicht beendet.
Von der Theorie zur Praxis
All diese Unterlagen sind genau soviel wert, wie sie aktualisiert
gehalten werden (beispielsweise Prozessabläufe, Namens- und
Telefonlisten, Vorfälle und Fastunfälle), wie sie im entscheidenden
Moment in der richtigen Form am richtigen Ort verfügbar sind und
wie sie von den Verantwortlichen in Krisensituationen angewandt
werden können.
In diesen Punkten stellen wir im Rahmen unserer Beratungs-
und Lehrtätigkeit sehr oft fest, dass …
… der „akademische Teil“ des Business Continuity Managements
oft akribisch genau und umfassend geführt wird, die Unterlagen in
einem dicken Ordner im Regal aller Mitglieder des Krisenstabes
und auf dem Intranet zur Verfügung stehen,
… man offensichtlich ellenlange Auseinandersetzungen und Definitionen
betreffend den einschlägigen Begrifflichkeiten wie Stör-,
Not- und Krisenfall, Business Continuity Management respektive
Planning, Business Impact Analysis, Desaster Recovery Planning,
Buisness Recovery, Business Resumption etc. vorgenommen hat,
… der Krisenstab zwar namentlich bestimmt ist, jedoch noch nie
in seiner Zusammensetzung anhand eines Krisenszenarios das
Führungssystem als Ganzes mit den Führungsprozessen, Führungseinrichtungen
und Führungskompetenzen eintrainiert hat,
… der Führungsrhythmus, der Problemlösezyklus oder der Stabarbeitsprozess
theoretisch bestens bekannt ist, diese Kenntnisse jedoch
auf mögliche Vorfälle nicht anzuwenden weiss,
… Mitarbeitende zu Mitgliedern oder sogar zum Krisenleiter erkoren
wurden, die sich teilweise oder gänzlich nicht eignen, unter
hohem Zeitdruck in einer ungeklärten Lage mit dürftigen Informationen
und unzureichenden Ressourcen die richtigen Aktivitäten
nach einer tiefgreifenden Analyse vorzunehmen und die wenigen
Ressourcen effizient einzusetzen. Oder die sich nachhaltig wehren,
Unangenehmes vorausdenken zu wollen, um nicht nur auf
Ereignisse zu reagieren, sondern auf verschiedene Lageentwicklungen
aktiv agieren zu können.
Realitätsnahe Aus- und Weiterbildung
Mit anfänglich kurzen Krisenstabsübungen, die einzelne Sequenzen
des Führungsrhythmus abbilden, kann der Krisenstab Schritt
für Schritt mit den notwendigen Führungstätigkeiten vertraut gemacht
werden. Diese Übungen beinhalten beispielsweise die
Alarmierung des Krisenstabes, das Ergreifen von Sofortmassnahmen,
das Erkennen von Krisen aus vorliegenden Stör- und Notfällen,
das Entwickeln von unternehmensspezifischen Krisenszenarien,
tiefgreifende Situationsanalysen, die effiziente Gliederung
des Stabes und weiterer Ressourcen, Informationsbeschaffung
und Beurteilung der Situation bis hin zur Entschlussfassung und
Auftragserteilung.
Dieses 'Einturnen' an den einschlägigen Krisenszenarien aus
dem Bereich der Naturkatastrophen, des technischen und
menschlichen Versagens sowie der Gewaltandrohungen und –
anwendungen in den dafür vorgesehenen Räumlichkeiten muss
sukzessive in inhaltlich komplexere und zeitlich länger andauernde
Krisenübungen überführt werden. Erst dann zeigen sich die
Kompetenzen des verantwortlichen Krisenleiters, seines Stellvertreters
und seines Stabes bezüglich Durchhaltevermögen, effektiver
Umsetzung der Aktivitäten, zeitgerechten Handelns etc.
Wichtige Erkenntnisse aus Vorfällen und Übungen ziehen
Im Nachfolgenden sind ein paar Learnings von Krisenmanagern
aufgeführt, welche nach eigenen Aussagen diese Erkenntnisse nur
auf Grund von realitätsnah durchgeführten Krisenstabsübungen
gewinnen konnten:
• Der Krisenmanager muss die Krise als Ganzes managen und
darf sich nicht in Details verlieren. Dabei muss er sich auf sein
eingespieltes Team verlassen können. Ständig wechselnde Mitgliedschaften
verunmöglichen ein teamorientiertes und vernetztes
Arbeiten.
• Wer bei der Situationsanalyse das Potenzial der anwesenden
Krisenstabsmitglieder aus Zeitgründen nicht einbeziehen will, läuft
Gefahr, wesentlich Elemente der Situation nicht zu erkennen. Diese
„Zeiteinsparung“ rächt sich in den folgenden Führungsaktivitäten
durch meist sehr hohen Zeitaufwand.
• Sofortmassnahmen sind ohne den Entschluss zu präjudizieren,
zu treffen. Massnahmen, die Entscheide vorwegnehmen, ohne die
Lage ausreichend beurteilt zu haben, können die Handlungsfreiheit
und einen effizienten Ressourceneinsatz drastisch einschränken.
• Zu viele Sofortmassnahmen führen dazu, dass diese nicht mehr
rechtzeitig ausgelöst und umgesetzt werden können. Beim Eintreten
eines Ereignisses scheint es oft, dass alles wichtig ist und alles
gleichzeitig erledigt werden muss. Der Krisenstab muss die Fähigkeit
haben, nur diejenigen Massnahmen sofort zu ergreifen, die
wirklich notwendig sind, um zum gewünschten Zeitgewinn zu führen.
• Der Präsenz der obersten Verantwortungsträger des Unternehmens,
sei es am Schadensplatz oder als moralische Stütze des
Krisenstabes, hat eine sehr hohe Bedeutung. Die psychologische
Wichtigkeit dieser Besuche steigt mit zunehmender Dauer der Krise.
• Nur bei länger dauernden Krisenübungen erkennt man die Notwendigkeit
von Ablöseplänen, um den Ruhe- und Verpflegungsbedürfnissen
der stark beanspruchten Mitglieder des Krisenstabes
gerecht zu werden. Dies setzt eine gute Personalplanung und
Ausbildung der Stellvertretungen voraus.
• Wer immer nur auf Situationen reagiert, wird die Krise über
längere Zeit nicht bewältigen können. Erst wer vorausdenkt, was
sich alles noch ereignen kann, kann vorbereitende Massnahmen
treffen. Das Konzept mit „Warnlinien“ und „Schlüsselereignissen“
ist äusserst zweckmässig, um zeitgerecht auf bevorstehende Ereignisse
agieren zu können.
• Eine Krise bewältigen zu können bedeutet, nicht nur zu reagieren,
sondern den möglichen Krisen einen Schritt voraus zu sein,
so dass beim Eintritt des Ereignisses die Massnahmen schon definiert
sind.
• Professionelle Kommunikation nach aussen und nach innen ist
die halbe Bewältigung der Krise. Wer meint, dies zeitgerecht und
professionell mit einem einzigen Krisenstabsmitglied bewältigen
zu können, verschätzt sich gewaltig.
• Bereits in der naturgemäss hektischen Anfangsphase muss der
Krisenstab durch die Bildung einer Taskforce der Weiterführung
beziehungsweise der Wiederherstellung des Geschäftsbetriebes
eine besonders hohe Priorität einräumen.
• Wer sich auf einen einzigen Krisenstabsraum fixiert und nicht
vorsieht, dass der Krisenstab irgendwo mit einfachsten Mitteln
beispielsweise ohne Strom oder ohne Informationssysteme eine
Krise managen muss, hat sich nicht auf den schlimmsten Fall vorbreitet.
Die Vorbereitungen sind entsprechend auf diesen Fall auszurichten.
Cornel Furrer ist COO und Managing Consultant bei der Swiss
Infosec AG (Bern, Zürich und Sursee (LU)).
31.03.2008
Medienspiegel www.infosec.ch 21 von 79

Bankgeheimnis Er weiss, woran der BND hierzulande wäre: Cornel Furrer
schleicht sich bei Schweizer Banken ein und entwendet deren Daten. Zweck: das
Prüfen der Sicherheitsstandards. Wie sicher ist der Schweizer Finanzplatz?
„Wir „Wir knackten knackten knackten sie sie al alle“ al le“
Von Daniel Ryser (Interview) und Ursula
Häne (Foto)
Greifen ausländische Dienste bald auch
das Schweizer Bankgeheimnis an? Die
Botschaft der ersten Bilanz der Bochumer
Staatsanwaltschaft ist klar: In
Liechtenstein sind Steuerflüchtlinge
nicht mehr sicher. Und die Ermittlungen
der deutschen Behörden zeigen: Das
Ländle bot nicht nur den Rahmen, es
förderte Steuerhinterziehung und somit
ein sozialschädliches System. In
Deutschland gab es bisher 72 Selbstanzeigen
und 91 Geständnisse. Es seien
bereits Abschlagszahlungen in der Höhe
von 27,8 Millionen Euro geleistet worden.
Das Kapital der betroffenen Liechtensteiner
Stiftungen soll sich auf mehr
als 200 Millionen Euro belaufen. Acht
StaatsanwältInnen und über 150 SteuerfahnderInnen
sind in die Ermittlungen
involviert. Ihr Material ist extrem umfangreich.
Und nun will Deutschland die Daten
an andere Staaten verschenken. Denn
auf den Listen befinden sich offenbar
auch zahlreiche AusländerInnen. Und
die anderen Staaten, etwa Frankreich,
Holland und Australien, wollen zugreifen
und legitimieren somit das Vorgehen
des Bundesnachrichtendienstes.
Wenn sich ein Geheimdienst nicht mehr
an das im betroffenen Land geltende
Gesetz halten muss, ist ein Bankgeheimnis
dann überhaupt noch zu schützen?
Einer, der es wissen muss, ist Cornel
Furrer. Sein Job: eindringen in Banken.
Seine Firma, die Swiss Infosec AG,
ist das führende Beratungsunternehmen
der Schweiz im Bereich der Informationssicherheit.
Ein Spezialgebiet ist
dabei das «Social Engineering» - das
Schlüsselwort zum Überwinden von Sicherheitsschranken
in Schweizer Banken.
WOZ: Die Bochumer Staatsanwaltschaft
feiert: «Wir haben die fürstliche
LGT-Bank geknackt!» Hat Sie
der Coup überrascht?
Cornel Furrer: Absolut nicht. Das Potenzial
für Lecks ist hoch. Wer weiss
schon, was in einem Menschen vorgeht?
Gerade wenn es um Geld geht.
Wenn die Mitarbeiter zufrieden sind,
dann haben sie eine hohe Garantie für
Loyalität. Zufriedene Mitarbeiter sind
eine Garantie für ein sicheres Unternehmen.
Und mehr Überwachung am Arbeitsplatz
...
Nicht unbedingt. Die Schwachstelle
bleibt immer der Mensch. Was kann
man nicht alles tun: organisatorisch,
rechtlich, technisch. Aber wenn der
Mensch nicht hinter der Firma steht,
bringen solche einzelnen Massnahmen
nicht viel. Man findet immer Wege.
Wie verschaffe ich mir Zugriff
auf vertrauliche Informationen in
einer normal gesicherten Schweizer
Bank?
Hackerangriffe und Social Engineering
gehen Hand in Hand.
Social Engineering?
Soziale Manipulation. Ich spioniere das
Umfeld aus, täusche eine falsche Identität
vor, etwa als Putzequipe oder als
Schädlingsbekämpfer, oder gebe mich
wichtig und beeinflusse so Menschen,
um an Daten zu gelangen.
Sie seilen sich vom Dach ab und
betäuben den Wachmann mit Chloro-form?
Ich ziehe mir eine Krawatte an, telefoniere
geschäftig und spaziere einer angestellten
Person einfach hinterher.
Damit kommt man schon erstaunlich
weit. Wer traut sich schon, eine wichtigtuende
Person am Telefon zu unterbrechen?
Und so gelangen Sie hinter den
Schalterbereich einer Bank?
Diese einfache Täuschung funktioniert
natürlich nicht bei allen. Das ist bloss
die erste Stufe. Wenn die nicht klappt,
ziehen wir die zweite Karte. Wir halten
uns an alte chinesische Kriegslisten.
Die wären?
Legen Sie Feuer, und Sie können alle
Barrieren im Chaos umgehen. Oder:
Schlagen Sie mit dem Ast auf den Boden,
und die Schlange kommt raus.
Wie sieht das aus, wenn Sie mit
dem Ast auf den Boden hauen?
Dies als Einschub: Wir arbeiten stets im
Auftrag einer Stelle des betroffenen Unternehmens.
Meistens kommt die Anfrage
aus dem Bereich Sicherheit oder
innere Revision. Die Mitarbeiter und
Chefs sind nicht informiert. Wir greifen
in einer Gruppe an und veranstalten einen
Klamauk. Einer geht etwa zum
Empfang und bricht ohnmächtig zusammen,
und ein bisschen Porridge
läuft ihm zum Mundwinkel raus. Die
Leute wollen sofort helfen und verges-
Medienspiegel www.infosec.ch 22 von 79

sen dabei die Sicherheitsregeln. Die
Hacker schleichen vorbei. Das schauspielerische
Moment ist wichtig, ich
selbst spiele Theater.
Was spielen Sie?
Etwa im Ensemble des Landschaftstheaters
des Regisseurs Louis Naef. Die
Schauspielerei gefällt mir sehr. Die einfachste
Variante, in eine gesicherte
Bank zu gelangen, ist, schauspielerisch
ein akutes Thema aufzugreifen. So kam
ich selbst in eine sehr gut gesicherte
Schweizer Privatbank rein. Ich recherchierte
die Umgebung: Rund um die
Bank wurde viel gebaut. Ich missbrauchte
Ihren Berufsstand: Ich kontaktierte
den Sicherheitsverantwortlichen
und erklärte, ich sei Journalist,
der an einer Reportage arbeite zum
Thema «Menschen und ihre Türen».
Und hier werde ja viel gebaut, viele Türen.
Ob wir nicht auch die Türen und
Menschen seiner Bank fotografieren
könnten? Er sagte zu - wir sollten im
Empfangsbereich arbeiten dürfen. Wir
kamen mit einer Fotografin und zwei
Models und legten sehr viele Kabel und
inszenierten uns beim Eingang. Die
beiden Models waren in Wirklichkeit
Hacker. Dann fragten wir den vor Ort
anwesenden Sicherheitsmann, ob es
möglich wäre, eine neue Steckdose zu
organisieren. Wir hatten ja so viele Kabel
dabei! Er öffnete den Lieferanteneingang
zum gesicherten Bereich der
Bank und zog das Kabel dort rein. Die
Tür blieb einen Spalt breit offen. Jetzt
mussten wir ihn nur noch ablenken.
Das übernahm eine Mitarbeiterin, eine
Frau, sehr hübsch, sehr offenherzig. Sie
ging zu ihm hin und fragte ihn nach
Wechselgeld für Zigaretten. Dann leerte
sie das Portemonnaie aus, und die
Münzen fielen zu Boden. Er kam und
half ihr. Diese zwanzig Sekunden reichten,
um einen der Hacker durch den offenen
Lieferanteneingang zu schleusen.
Es gab keine weiteren Schleusen innerhalb
der Bank. Er kam so potenziell an
alle Daten der Bank heran.
Das ist aufwendig. Wie realistisch
ist ein solches Klamaukszenario?
Eine solche Inszenierung ist tatsächlich
aufwendig. Aber seien Sie versichert:
Wir sind Dilettanten im Gegensatz zu
Nachrichtendiensten, die viel Zeit und
Geld haben und keine abgesteckten
Rahmen wie wir. Wir versuchen stets
mit geringem Aufwand viel zu erreichen.
Manchmal sagen uns die Firmen:
Zeigt uns, was ihr uns in zwei Tagen
entwenden könnt. Und man kommt
heute leicht an Daten ran. Wenn Sie
mal in einem Gebäude drin sind, fragen
Sie etwa einen Mitarbeiter, ob Sie auf
seinem Computer etwas ausdrucken
könnten. Sie haben einen Memorystick
dabei. Oder eine CD. Ihr Memory-stick
oder ihre CD, die sie in den Computer
schieben, sind mit einem sogenannten
Wurm präpariert. Der Computer wird
zum Zombie-PC.
Zum Zombie-PC?
Ab sofort haben Sie alle Rechte, die der
betroffene User hat. Jedes Mal, wenn er
nun seinen Computer einschaltet, kriegen
Sie, wo immer auf der Welt Sie gerade
sind, ein Signal und können sich
zuschalten und den PC fernsteuern. Eine
präparierte Musik-CD, etwa verteilt
oder verschickt als Werbegeschenk,
genügt. Die ergiebigsten Opfer für solche
Angriffe sind IT-Mitarbeiter. Sie haben
die meisten Rechte, sprich Passwörter.
Kürzlich tes-tete ich eine Bank
in Luxemburg. Die hatten aus genau
diesem Grund alle PCs geschlossen,
sprich, man kann keine CDs reinschieben,
keinen Memorystick andocken. Sicherheitsmäs-sig
wäre das eigentlich
tipptopp. Auf meine Frage aber, wo ich
trotzdem etwas drucken könne, sagte
der freundliche Mitarbeiter, ich müsse
dies aus Sicherheitsgründen beim Helpdesk
tun. Und genau dort arbeiteten sie
mit hohen IT-Rechten. Wir hatten danach
Zugriff auf sämtliche Daten dieser
Bank.
Was heisst das, sämtliche?
Alle - es ist nur eine Frage der zur Verfügung
stehenden Zeit. In einem anderen
Fall verkleidete ich mich als Elektrosmogmesser
und spazierte in das Büro
des Geschäftsführers, wo ich zwischen
Tastatur und seinem Computer
einen sogenannten Key-Logger platzierte,
der alle Tastatureingaben aufzeichnete.
Ein Kinderspiel.
Ich muss ab sofort wöchentlich
mein Passwort ändern
Wir arbeiten für die interne Revision der
jeweiligen Firmen. Wir tragen zur Überprüfung
der Einhaltung von Regeln bei.
Und hinterlassen wohl eine
Menge Sündenböcke?
Nein. Wir denunzieren keine Mitarbeiter.
Das wird im Vertrag so festgehalten:
Alle Daten kommen eingeschwärzt
und anonymisiert. Natürlich wäre es
möglich, herauszufinden, wer wann und
wo arbeitete. Aber wir handeln dies im
Vorfeld aus: Die Firmen müssen die Sache
sportlich nehmen. Wenn es nicht
um eine reine, grundsätzliche Systemüberprüfung
geht, sondern etwa um illegale
Ermittlungen gegen Mitarbeiter,
sind wir nicht zu haben.
„Einer geht zum Empfang
und bricht zusammen,
etwas Porridge
läuft ihm aus dem
Mund.“
anonymisiert. Natürlich wäre es möglich,
herauszufinden, wer wann und wo
arbeitete. Aber wir handeln dies im
Vorfeld aus: Die Firmen müssen die Sache
sportlich nehmen. Wenn es nicht
um eine reine, grundsätzliche Systemüberprüfung
geht, sondern etwa um illegale
Ermittlungen gegen Mitarbeiter,
sind wir nicht zu haben.
Und ständig fallen Ihnen wertvolle
Daten in die Hände?
In 75 Prozent der Fälle geht es nur
dar-um, Zutritt ins Gebäude zu bekommen
oder etwas zu platzieren, etwa
eine Datei. Dann ist der Auftrag vollendet.
Die restlichen 25 Prozent wollen
tatsächlich zum Vollzug kommen, sie
wollen sehen, welche Daten wir ihnen
stehlen können. Wir selbst können
schlecht beurteilen, ob das entwendete
Material wertvoll ist. Wir versuchen das
auch nicht und geben es umgehend zurück.
Werden Sie eigentlich nicht von
Kriminellen umworben?
Ich bin seit sechs Jahren bei der Firma.
So etwas wurde dreimal probiert. Wir
unterbinden solche Versuche sofort.
Zu Ihren Kunden gehören diverse
Kantonalbanken, die Bank Julius
Bär, die Wegelin-Privatbank,
die Nationalbank, die UBS und die
Credit Suisse. Wie sicher ist der
Schweizer Finanzplatz?
Finanzinstitute gehören nicht zu den
Unternehmen mit den höchsten Sicherheitsstandards.
Bei kleinen Instituten
gibt es zweierlei Sorten: solche mit rigorosen
Massnahmen, das sind regelrechte
Festungen, und solche, die ihre
Daten fast sträflich vernachlässigen.
Letztere hatten wohl Glück, dass sie
noch nicht Zielscheibe von Angriffen
waren. Oder sie machten es nicht publik.
Sie können davon ausgehen, dass
über fünfzig Prozent der Pannen, der
Lecks, nicht gemeldet oder nicht entdeckt
werden.
Ist das Bankgeheimnis noch zu
schützen, wenn das Ausland die eigenen
Interessen höher gewichtet?
Der Tatbeweis liegt in Liechtenstein
vor: Nein. Sobald Sie ein Gesetz brechen,
etwa durch Bestechung, kommen
Sie weit. Selbst wenn Sie sich wie wir
an die Gesetze halten, kommen Sie
sehr weit und, wie wir regelmässig beweisen,
an alle Daten heran. Wir führen
jährlich bei rund zwanzig Banken oder
auch Versicherungen Tests durch. Wir
knackten sie alle. Mit mehr oder weniger
Aufwand.
26.02.2008
Medienspiegel www.infosec.ch 23 von 79

Swiss Infosec AG Sursee
Spione im Dienst der Sicherheit
Sie Sie dringen dringen une unerkannt une une kannt
in in in Büros Büros ein ein und
und
decken decken decken Siche Sicherheits Siche heits heits- heits
lücken lücken auf: auf: In In Sursee
Sursee
haben haben Spezialisten
Spezialisten
gegen gegen Datenklau
Datenklau
Quartier Quartier Quartier bezogen. bezogen.
bezogen.
VON VON HANS HANS HANS R R . . WÜST WÜST
WÜST
Sie beraten und schulen mittlere
und grössere Unternehmen.
Sie trainieren Krisenstäbe,
überprüfen Firewalls und
bringen Mitarbeitern den sicheren
Umgang mit E-Mails
bei. Sie versuchen auf Antrag
von Firmen unerkannt in deren
Büros einzudringen, lesen
vertrauliche Mails und kopieren
heimlich Daten.
Was stellenweise an einen
Spionage-Thriller erinnert, ist
nichts anderes als das Tätigkeitsfeld
der Swiss Infosec
AG. Die unkonventionellen
Methoden haben immer dasselbe
Ziel: Lücken in der Informations-
und IT-Sicherheit
von Firmen zu schliessen. «Es
ist mitunter tatsächlich sehr
spannend, was wir machen»,
bestätigt Geschäftsführer Reto
Zbinden.
20 20 20 neue neue Arbeitsplätze Arbeitsplätze für
für
Su Sursee Su
see
Der gebürtige Luzerner gründete
das Unternehmen vor
knapp 20 Jahren in Bern. Seit
zehn Jahren lebt Zbinden mit
seiner Familie in Eich. Dieser
Tage hat er den Sitz seiner
Firma von Bern nach Sursee
verlegt. «Von der Erschliessung
her ist Sursee phänome-
Reto Zbinden, Geschäftsführer der Swiss Infosec AG (links), und sein Geschäftspartner Cornel Furrer
nal», sagt er. Das und die
spürbare IT-Aufbruchstimmung
im Computer Valley
Sursee hätten den Ausschlag
für den Umzug gegeben. Dieser
beschert
dem prosperierendenLandstädtchen
20
neue Arbeitsplätze.
Die Mitarbeitenden seien ohne
Murren mit nach Sursee
gezogen und hätten sogar
Freude am neuen Arbeitsplatz
im attraktiven Snozzibau, so
Zbinden. In Zürich und Bern
bleibt je ein kleineres Büro
bestehen. Insgesamt beschäf-
tigt die Firma 30 Leute.
Der Der Mensch Mensch als als als Schwac Schwach- Schwac h
stelle
stelle
Geschäftspartner Cornel Furrer,
auch
er Luzerner,
mit
Wohnsitz
in Baldegg,
verweist
auf die zunehmende Bedeutung
des so genannten Social
Engineerings. «Hier geht es
darum, die Schwachstelle
Mensch auszuleuchten.» Viele
Firmen würden viel Geld in
die technische Sicherheit investieren,
gleichzeitig aber
«Eine absolute Sicherheit
können auch wir nicht
garantieren.»
RETO ZBINDEN
EXPRESS EXPRESS
EXPRESS
BILD MARKUS FORTE
Die Swiss Infosec
AG kennt die besten
Tricks gegen
Datenklau.
Das Unternehmen
hat seinen Sitz von
Bern nach Sursee
verlegt.
die Mitarbeiterschulung vernachlässigen.
«Unsere Erfahrungen
zeigen, dass es für
Mitkonkurrenten trotz technischem
Sicherheitsnetz oft einfach
ist, wegen Schwachstellen
beim Personal, an vertrauliche
Informationen heranzu-
Medienspiegel www.infosec.ch 24 von 79

kommen», sagt Furrer. Im
schlimmsten Fall kommt die
Konkurrenz so zu Datenmaterial,
das sie zum eigenen Vorteil
nutzen kann. Als Beispiele
nennt Furrer das Offertwesen,
Neuentwicklungen und
Forschungsergebnisse. Um
solche menschlichen
Schwachstellen aufzudecken,
wird im Auftrag der Firma
mit verdeckten Sicherheitschecks
operiert. Furrer: «Bisher
sind wir noch überall
reingekommen.»
Das heisst laut Reto Zbinden
aber nicht, dass punkto Datensicherheit
bei den Schweizer
Unternehmen Notstand
herrscht. «Eine absolute Sicherheit
können auch wir
nicht garantieren.» Letztlich
sei es immer eine Frage des
Aufwandes. Zbinden: «Wir
empfehlen unseren Kunden
keine überdimensionierten,
sondern vernünftige, den
Verhältnissen angepasste Lösungen.»
Die Swiss Infosec
AG gehört heute nach eigenen
Angaben zu den führenden
unabhängigen Beratungs-
und Ausbildungsunternehmen
der Schweiz im Bereich der
Informations- und IT-
Sicherheit sowie der Integralen
Sicherheit. Zu den Kunden
gehören alle grossen
Schweizer Telekommunikationsanbieter,
verschiedene
Versicherungen und Banken
10.07.2007
Medienspiegel www.infosec.ch 25 von 79

NACHGEFRAGT I ANDRE JACOMET, Managing Consultant Swiss Infosec, Bern
«Der Mensch ist das grösste Sicherheitsrisiko»
Sie spionieren im Auftrag
von Firmenchefs die Sicherheitslücken
in Betrieben aus.
Wie viele KMU haben überhaupt
ein effektives Sicherheitskonzept?
Andre Jacomet: Das ist je
nach Branche unterschiedlich.
In der Finanzbranche
ist das Problem meist erkannt
– in den meisten anderen
Branchen tendiert
das Bewusstsein gegen
Null.
Wer ist besonders gefährdet?
Jacomet: Grundsätzlich
jedes Unternehmen. Insbesondere
die Biotechnologie
und Hightech-Firmen, aber
auch die Medizin, die
Pharmabranche – alle, die
Forschung betreiben – und
dort werden die Informationen
oft sogar geteilt anstatt
geschützt, was den Missbrauch
vereinfacht.
Muss denn jede Firma davon
ausgehen, dass sie Daten
besitzt, die andere interessieren?
Jacomet: Sie müssen sich
fragen, was Ihren Unternehmenswert
überhaupt
ausmacht – und was Wert
hat, kann gestohlen werden.
ANDRE
JACOMET
Einzelne Firmen haben
schon stark in ihre IT-
Sicherheit investiert.
Reicht das?
Jacomet: Es ist bekannt,
dass Angriffe im so genannten
Social Engineering-Bereich
eine wesentlich
höhere Erfolgschance
haben als jeder Hackerangriff.
Das heisst, die Mitarbeitenden
sind die Schwachstelle?
Jacomet: Der Mensch ist
sicher das grösste Sicherheitsrisiko.
Nicht einmal,
weil er sich erpressen lässt
oder böswillig ist, sondern
weil er ungenügend geschult
wurde, kein Problembewusstsein
entwickelt
hat und den Wert der Informationen
nicht kennt.
Wie kann man vorbeugen?
Jacomet: Indem man Bewusstsein
schafft – und das
muss in der Unternehmensleitung
beginnen.
Danach durch Mitarbeiterschulung,
neue Konzepte,
computerbasiertes Lernen
etc.
Was kann eine Firma tun,
um die möglichen Lücken
zu erkennen?
Jacomet: Oft herrscht Betriebsblindheit
– dagegen
kann ein externer Berater
helfen, der innerhalb von
ein paar wenigen Tagen das
Unternehmen durchleuchtet
und Sicherheitslücken eruiert.
Mit welchen Kosten muss
ein 50-Personen-KMU
rechnen für ein Grobkonzept
eines externen Sicherheitsberaters?
Jacomet: Wenn man von
Tagessätzen von etwa 1500
bis 2000 Fr. ausgeht, kostet
eine erste Evaluation 4000
bis 8000 Fr.
INTERVIEW: THOMAS PFISTER
HandelsZeitung
Nr. 9, 28. Februar 2007
Medienspiegel www.infosec.ch 26 von 79

Swiss Swiss Infosec Infosec hat hat neue neue ISMS ISMS Tool Tool Box Box vorgestellt
vorgestellt
Anlässlich der ISMS Tool Box Roadshow hat die Swiss Infosec AG den neuen Release
3.5 der ISMS Tool Box (früher Baseline Tool) mit erweiterten und neuen Funktionen
vorgestellt. ISMS steht für Information Security Management System und ist ein
systematischer Ansatz, um die Verfügbarkeit, die Integrität und die Vertraulichkeit
der Informationen innerhalb eines Unternehmens zu gewährleisten und laufend zu
verbessern. Die ISMS Tool Box erlaubt es, rein browserorientiert Schutzobjekte zu
inventarisieren und klassifizieren, diese Inventardaten via Excel zu exportieren und
mit bestehenden Inventardateien abzugleichen. Die ISMS Tool Box unterstützt
ebenfalls den unternehmensinternen Risk Management-Prozess (Risk Analysis und
Risk Treatment), wie Swiss Infosec informierte.
Die Datenbasis der ISMS Tool Box erlaubt eine vollständige Parametrisierung
inklusive praxiserprobter Best Practice-Musterlösungen, GSHB 2005, ISO
17799/27001 und des neuen ISO Plus-Kataloges. Eine weitere Neuerung ist die
Community für die ISMS Tool Box-Lizenznehmer sowie die Mitglieder des ISMS Tool
Box Praxis Forums. Die Community erlaubt den aktiven Austausch unter den
Mitgliedern sowie auch den direkten Zugriff auf die Weiterentwicklungen des ISO
Plus-Kataloges, auf Release- und Bug-Management sowie den Download der
aktuellsten Module. Der Release 3.5 der ISMS Tool Box wird im Verlaufe des
Oktobers 2006 ausgeliefert. (ph)
www.onlinepc.ch
12.09.2006
Medienspiegel www.infosec.ch 27 von 79

Management
Neue Herausforderungen
Die Anforderungen an die IT-Sicherheit steigen dauernd und sind einem
permanenten Wandel unterworfen. Neue Herausforderungen entstehen nicht
nur durch ISO 27001 und weitere Normen. Es gilt, die Sicherheit ganzheitlich
zu betrachten
VON RETO C. ZBINDEN
Die Vielfalt der Anforderungen, denen
sich ein Unternehmen bezüglich Informations-
und IT-Sicherheit ausgesetzt
sieht, steigt andauernd und
gleichzeitig sind die Anforderungen
einem permanenten Wandel unterworfen.
Die Anfälligkeit der IT-
Ressourcen auf Störungen wächst und
die Abhängigkeit der Unternehmen
und Anwender von der Verarbeitung
ihrer Informationen und der Verfügbarkeit
der Kommunikationsmöglichkeiten
wächst genauso wie die externen
Anforderungen im Bereich Informationssicherheit:
Gesetzliche und regulatorische
Anforderungen, Anforderungen
seitens der Kunden oder Revi-
sion.
Das Bewusstsein, dass ein integraler
Sicherheitsansatz für unternehmenseigene
Informationen notwendig
ist, manifestiert sich auf Managementstufe
immer deutlicher. Die sinnvolle
Verknüpfung der Aktivitäten und Inhalte
in den Bereichen Operational
Risk Management (Stichwort Basel II)
und Integrale Sicherheit stellt heute
eine aktuelle Herausforderung dar.
Die zentrale Rolle der Mitarbeiten-
den und dementsprechend deren Sensibilisierung
und Ausbildung wird
mittlerweile anerkannt und in der Praxis
auch immer stärker umgesetzt.
Anforderungen
Sowohl Entwicklung als auch Betrieb
und Verwendung von IT-
Systemen, Applikationen und Informationen
können gesetzlichen Anforderungen
unterworfen sein. Ein Bestandteil
der Informationssicherheit ist
der Datenschutz, der sich mit dem
Schutz der Persönlichkeit der von einer
Datenbearbeitung betroffenen Person
beschäftigt.
Das seit dem 1. Juli 1993 gültige
Datenschutzgesetz des Bundes (DSG)
erfasst sowohl die automatisierte als
auch die manuelle Bearbeitung von
Personendaten. Personendaten müssen
Medienspiegel www.infosec.ch 28 von 79

auf Grund von Art. 7 DSG durch
technische und organisatorische Massnahmen
vor dem Zugriff Unbefugter
angemessen geschützt werden. Neben
dem Datenschutzgesetz sind im Rahmen
des IT-Einsatzes auch die Anforderungen
des Urheberrechts und der
individuellen Geheimhaltungspflichten
(Fernmeldegeheimnis, Bankgeheimnis,
Arztgeheimnis) zu berücksichtigen.
Unternehmen haben sich
auch mit dem datenschutzrelevanten
Problembereich der internen Protokollierung
auseinanderzusetzen. Hierunter
fallen unter anderem die Videoüberwachung,
das Loggen des Surf-
Verhaltens im Internet sowie die E-
Mail-Überwachung. Dazu ist eine Einverständniserklärung
der betroffenen
Personen unbedingt einzuholen, die
protokollierten Daten sind entsprechend
vor unberechtigtem Zugriff zu
schützen und Kompetenzen und Eskalationswege
sind diesbezüglich klar zu
definieren.
Revision des Bundesgesetzes
über den Datenschutz
(NeuDSG)
Die am 24. März 2006 von den Räten
verabschiedeten Änderungen
beinhalten u.a. in Artikel 11 eine neue
Zertifizierung der Datensicherheit und
des Datenschutzes für Unternehmen.
Der Artikel im Wortlaut:
Art. 11 NeuDSG Zertifizierungsver-
fahren
1. Um den Datenschutz und die
Datensicherheit zu verbessern, können
die Hersteller von Datenbearbeitungssystemen
oder -programmen sowie
private Personen oder Bundesorgane,
die Personendaten bearbeiten, ihre
Systeme, Verfahren und ihre Organisation
einer Bewertung durch anerkannte
unabhängige Zertifizierungsstellen
unterziehen.
2. Der Bundesrat erlässt Vorschriften
über die Anerkennung von
Zertifizierungsverfahren und die Einführung
eines Datenschutz-Qualitätszeichens.
Er berücksichtigt dabei das
internationale Recht und die international
anerkannten technischen Normen.
Von der Pflicht, Datensammlungen
beim Eidgenössischen Datenschutzbeauftragten
registrieren zu lassen, wird
zukünftig unter anderem entlastet, wer
einen unabhängigen Datenschutzverantwortlichen
bezeichnet hat oder die
oben erwähnte Zertifizierung durchlaufen
hat. Im Rahmen der Beantwortung
eines Auskunftsbegehrens
müssen gemäss Art. 8 NeuDSG
auch die verfügbaren Angaben zur
Herkunft der Daten mitgeteilt werden.
Gemäss Art. 7a NeuDSG wird der
Inhaber einer Datensammlung verpflichtet,
die betroffene Person über
die Beschaffung von besonders schützenswerten
Personendaten oder Persönlichkeitsprofilen
zu informie-
ren; diese Informationspflicht gilt
auch dann, wenn die Daten bei Dritten
beschafft werden.
Wer die Bearbeitung von Personendaten
einem Dritten überträgt
(Outsourcing) muss sich gemäss Art.
10a NeuDSG vergewissern dass der
Dritte die Datensicherheit angemessen
gewährleistet.
Die bundesrätlichen Ausführungsbestimmungen
bleiben abzuwarten.
Momentan werden die Vollzugsvorschriften
noch ausgearbeitet und mit
dem Inkrafttreten des revidierten Datenschutzgesetzes
ist auf das erste
Halbjahr 2007 zu rechnen.
Was die internationalen Anforderungen
bezüglich IT- und Informationssicherheit
angeht, so sei hier nur
der amerikanische Sarbanes-Oxley
Act erwähnt sowie die neue achte EU-
Richtlinie.
Sarbanes-Oxley Act (SOx)
Dieses amerikanische Gesetz trat
2002 in Kraft, nachdem es mit Enron
und anderen Firmen zu Finanzskandalen
gekommen war. Unter dieser Legislation
wird hauptsächlich die Section
404 als IT-relevant (General IT and
Application Controls) betrachtet. Der
relativ offen abgefasste Artikel stipuliert,
dass das Management die Verantwortung
zur Einrichtung und zum
Betrieb von angemessenen internen
Kontrollen und Prozessen für das Fi-
Medienspiegel www.infosec.ch 29 von 79

nanz-Reporting hat. Zu beachten ist
aber, dass SOx nur für Unternehmen,
die an der amerikanischen Börse kotiert
sind, zur Anwendung kommt sowie
für allfällige Tochtergesellschaften.
Es hat sich seit Erlass des SOx
gezeigt, dass er einiges zur Erkennung
der Wichtigkeit von Compliance beigetragen
hat. So war es beim Y2K-
Problem von vornherein klar, dass es
in erster Linie von der IT-Abteilung
eines Unternehmens zu lösen war.
Nach Erlass des SOx verstrich demgegenüber
einige Zeit, bis erkannt
wurde, dass die Durchsetzung der
Compliance-Regeln und alle damit
verbundenen Anforderungen an Unternehmen
zuerst einmal auch vom
obersten Management eines Unternehmens
überhaupt verstanden und
dann auch getragen werden mussten.
Mit anderen Worten: Die Regeln und
Anforderungen, die SOx aufstellt und
an Unternehmen stellt, sind nicht nur
von der IT-Abteilung, sondern auch
und insbesondere von der Geschäftsleitung
eines Unternehmens zu erfüllen.
Achte EU-Richtlinie
Die EU überarbeitet zur Zeit diese
Richtlinie und die Verabschiedung
soll noch in diesem Jahr erfolgen. Ein
Teil der Änderungen sind der Section
404 von SOx sehr ähnlich und werden
einen wohl ebenso grossen Einfluss
auf die IT-, Controls- und Governance-Landschaft
haben. Es scheint von
daher angebracht, Section 404 SOx
nicht als etwas abzutun, dass uns
nichts angeht, vielmehr könnte man
das bisher um diese Problematik herum
akkumulierte Know-how als Basis
für die Umsetzung der erwähnten EU-
Richtlinie ansehen. Der gegenwärtige
Entwurf sieht in Art. 39 vor, dass
«Unternehmen von öffentlichen Interesse»
(Banken, Versicherungen) einen
Prüfungsausschuss einzusetzen
haben, welcher unter anderem die
Aufgabe hat, die «Wirksamkeit der internen
Kontrolle, gegebenenfalls der
Innenrevision und des Risikomanagements
des Unternehmens zu kontrollieren».
Dies setzt voraus, dass die
betroffenen Unternehmen Punkte wie
Risikomanagement eingeführt haben
und dass diese auch entsprechend
funktionieren.
Die entsprechende schweizerische
Gesetzgebung, siehe unten, lehnt sich
sehr stark an SOx und die achte EU-
Richtlinie an. Dies überrascht angesichts
der schweizerischen internationalen
Handelsbeziehungen sowie auch
der diversen bilateralen Verträge mit
Staaten der Europäischen Union nicht
weiter.
Revision des Schweizerischen
Obligationenrechts
(OR) bezüglich der Revisionsstellen
Artikel 728 stipuliert unter anderem,
dass bei dem von der Revisionsstelle
zu prüfenden Unternehmen erstens
ein internes Kontrollsystem existiert
und zweitens die Revisionsstelle
einen umfassenden Bericht auch über
das interne Kontrollsystem zu erstatten
hat.
Wie bei SOx und der achten EU-
Richtlinie wird nicht genau angeführt,
was die Unternehmen im Detail zu tun
haben. Erst anhand der angewandten
Praxis und allfälliger Vollziehungsverordnungen
wird klar werden, welche
konkreten Massnahmen Unternehmen
– die in der EU beziehungsweise
in der Schweiz ihren Sitz haben
– zu treffen haben.
Unternehmensspezifische
Umsetzung: ISO 17799/27001
als Integrator
Als Integrationsplattform dieser
vielfältigen externen und internen Anforderungen
kann und soll ein standardisiertes,
internes Regelwerk dienen,
das auf ISO 17799 aufbaut und
dieses ergänzt und konkretisiert.
Der ISO/IEC 17799 bildet die einzelnen,
im Sinne einer Best Practice
empfohlenen Sicherheitsmassnahmen
(Controls) ab, während der ISO/IEC
27001 die Zertifizierungsgrundlage
bildet und dazu dient, ein ISMS (Informationssicherheits
- Managementsystem)
zu beurteilen.
Informationssicherheits-
Management-system (ISMS)
Was sind die Anforderungen an ein
ISMS? Das Unternehmen benötigt zuerst
eine Sicherheitspolitik, die unter
anderem die Verantwortlichkeiten re-
gelt sowie den Umfang des ISMS beschreibt
(das ganze Unternehmen, gewisse
IT-Systeme etc.). Basierend auf
der Sicherheitspolitik wird ein entsprechendes
Sicherheitskonzept aufgebaut,
das sich mit Fragen der Inventarisierung,
Klassifizierung, Objekteignern
und weiteren befasst.
Dann kann die Umsetzung dieser
Regelungen ins Auge gefasst werden.
Dazu gehören die Inventarisierung der
Informationswerte, die Durchführung
einer Risikoanalyse und schliesslich
die Auswahl und Anwendung der ISO
17799 Controls.
Plan
Das Vorgehen bei der Einführung
eines ISMS sollte im Top-Down-
Ansatz erfolgen, denn um das Vorhaben
erfolgreich umsetzen zu können,
muss das Management mit Vorbildfunktion
vorausgehen. Es muss der
Sicherheit einen umfassenden Stellenwert
einräumen, die Sicherheitskultur
vorzeichnen und im Unternehmen
verbreiten, umsetzen und ständig
kultivieren. Es muss Massnahmen im
Bereich der Informationssicherheit
initiieren und aktiv tragen. Alle Vorgesetzten
müssen sich ihrer Vorbildfunktion
bewusst sein. Im Rahmen einer
Politik sind die Sicherheitsziele zu
definieren, die Grundsätze für die einzelnen
Sicherheitsbereiche zu formulieren
und der Ablauf der Risikoerkennung,
-bewertung und -überprüfung
festzulegen.
Der Teilprozess Plan hat zum
Zweck, die Sicherheitsziele und
Massnahmen aus den Unternehmenszielen
heraus zu definieren (Sicherheitspolitik).
Eine Risikoanalyse ist
durchzuführen und als schutzwürdig
erachtete Objekte sind zu inventarisieren
(Datenbestände, Systeme, IT-
Räume, Applikationen).
Do
Der Teilprozess Do umfasst die
Organisation, die Verfahren, Methoden
und Ausarbeitung des auf der Sicherheitspolitik
basierenden Sicherheitskonzepts.
Das Informationssicherheitskonzept
konkretisiert die Politik
des Unternehmens unter Berücksichtigung
der gesetzlichen, vertraglichen
und internen Anforderungen. Im
Medienspiegel www.infosec.ch 30 von 79

Konzept werden Massnahmen festgelegt
sowie Aufgaben, Verantwortlichkeiten
und Kompetenzen für Funktionen
und Gremien definiert. Beschrieben
werden darin einheitliche und
standardisierte Methoden zur Identifikation
und regelmässigen Überprüfung
von Risiken sowie zur Festlegung
von Sicherheitsregeln und
-massnahmen.
Damit entsteht auch ein Umsetzungsplan.
Begleitend dazu erfolgen
Schulungs- und Sensibilisierungsmassnahmen.
Check
Die im Unternehmen eingeführten
Massnahmen müssen regelmässig auf
Umsetzungsgrad und Wirksamkeit
kontrolliert werden. Der Teilprozess
Check dient der Feststellung von Abweichungen
und kontrolliert die Angemessenheit
der Sicherheitsmassnahmen.
So kann und muss dauernd
auch auf veränderte interne und externe
Anforderungen und Einflüsse reagiert
werden. Die Überprüfung der Sicherheitsmassnahmen
zeigt, ob die
verschiedenen Bereichskonzepte und
deren Massnahmen planmässig umgesetzt
und beachtet werden. Restrisiken
werden beurteilt und allenfalls neu
bewertet.
Act
Es ist unabdingbar, dass ein ISMS
einen Prozess zur Reaktion auf erkannten
Veränderungsbedarf enthält.
Dieser Teilprozess basiert auf dem
Change Management, mit welchem
das ISMS permanent verbessert und
angepasst wird sowie dem Incident
Handling. Frühzeitige Erkennung und
angemessene Reaktion auf Sicherheitsvorfälle
sowie ein funktionierender
Business Continuity Plan können
im Ereignisfall den Schaden abwenden
oder massiv reduzieren.
Aktualität und Kontinuität
Sind die Prozesse durchlaufen,
entwickelt sich das eingeführte ISMS
von einem Projekt zu einer Daueraufgabe.
Die Erarbeitung und Umsetzung
von Massnahmen kann jedoch auch
stufenweise erfolgen. Ebenso müssen
nicht sofort alle Bereichskonzepte
gleichzeitig erstellt und umgesetzt
werden, falls dies die Möglichkeiten
eines Unternehmens nicht zulassen.
Wichtig und entscheidend ist die dauernde
und angemessene Verbesserung
des ISMS und damit einhergehend die
Gewährleistung einer anforderungsgerechten
Sicherheit der unternehmenseigenen
Informationen und der beteiligten
Prozesse und Systeme.
Die überwiegende Zahl von Schäden
im IT-Bereich entsteht durch
Nachlässigkeit, unzureichende Akzeptanz
von Sicherheitsmassnahmen und
aus mangelnder Kenntnis. Ein hohes
Mass an Sicherheit kann, auch im Bereich
der IT, nur erreicht und beibehalten
werden, wenn sämtliche Mitarbeiter
die Bedeutung von Sicherheitsmassnahmen
für die Sicherung
der Existenz des Unternehmens erkannt
haben und bereit sind, dieser
Erkenntnis entsprechend zu handeln.
Erst wenn dem Mitarbeiter der Sinn
einer Handlung, die er auszuführen
hat, einleuchtet, wird er sie zuverlässig
ausführen.
Grundlage: Risk Management
gemäss ISO/IEC 17799
Dem Risk Assessment kommt eine
zentrale Rolle zu. Die Beschreibung
eines ISMS nach ISO 17799 deckt
sich zu einem grossen Teil mit dem
Beschrieb der Anwendung von Risk
Management Massnahmen. Art und
Weise der Massnahmen werden nicht
zwingend vorgegeben. Risk Management
ist keine einmalige Massnahme,
sondern als ein geschlossener, stetig
fortlaufender Prozesskreis unabhängiger
Komponenten zu sehen. Risk
Management, wie es im zweiten Teil
des Standards ISO 27001 im Rahmen
des PDCA-Zyklus (Plan, Do, Check,
Act) eines ISMS behandelt wird, besteht
aus sechs Schritten:
1. Risikoidentifikation (Risk
Identification)
Zuerst gilt es, die eigentlichen Risiken,
welche sowohl branchenspezifisch
wie in Bezug auf das einzelne
Unternehmen sehr individuell sein
können, zu erkennen. Welchen Bedrohungen
ist man ausgesetzt; wo liegen
Schwachstellen, die ausgenützt
werden können; und schliesslich was
für Schadensszenarien können auftreten
und Wirklichkeit werden?
Bei der Identifikation spielt die
Gewichtung der Risiken keine Rolle,
wichtig ist eher die Erkennung sämtlicher
Möglichkeiten und zwar unabhängig
von ihren Grössen und Auswirkungen.
Dieser Schritt folgt nun
als nächster Punkt.
2. Risikobewertung (Risk Assessement)
Die Risikobewertung besteht gemäss
ISO 17799 aus der Risikoanalyse
und der Risikoevaluation. Das
heisst, es werden einerseits die Wahrscheinlichkeit
eines Vorfalls sowie
andererseits die reellen Auswirkungen
im Fall eines Eintretens des Ereignisses
betrachtet.
Bei der präventiven Vorgehensweise
nach FMEA (Fehler-Möglichkeits-
und -Einfluss-Analyse) kommt ein
dritter Parameter ins Spiel, die Entdeckungswahrscheinlichkeit.
Diese untersucht
die Wahrscheinlichkeit, ein
mögliches Risiko frühzeitig zu erkennen,
bevor es zu einem eigentlichen
Schadensereignis wird.
3. Massnahmenidentifikation und
-bewertung (Risk Treatment)
Die erkannten und bewerteten Risiken
werden nun einzeln behandelt
und Massnahmen definiert. Je nach
Art und Höhe des Risikos wird dieses
einfach akzeptiert, umgangen oder auf
Dritte übertragen. Eine Minderung der
Risiken wird mit individuellen Massnahmen
zu erreichen versucht.
4. Steuerung der Risikomassnahmen
Hier kommen die in ISO 17799
aufgelisteten Controls zur Geltung. Es
sind die eigentlichen Massnahmen
und Steuerelemente, um Risiken zu
mindern oder auszuschalten. Die
Sammlung der Massnahmen (Controls/Baselines)
ist zu individualisieren
sowie um unternehmensspezifische
zu erweitern. Auch können weitere
Ansätze wie das IT-Grundschutzhandbuch
herangezogen werden.
5. Statement of Applicability
Die gewählten Massnahmen sind
zu begründen und klar zu dokumentieren.
Dies soll die Planung von Verbesserungen
und von Korrekturmassnahmen
innerhalb eines ISMS unterstützen
und für die Überprüfung hilfreich
sein.
6. Managementfreigabe/Zu-
Medienspiegel www.infosec.ch 31 von 79

stimmung
Das Management muss seine Zustimmung
zur Implementierung des
ISMS geben. Die Autorisierung zur
Umsetzung ist ein zentraler Erfolgsfaktor.
Kernaussage
Ein Informationssicherheitsmanagementsystem
(ISMS) basiert letztendlich
auf der Anwendung geeigneter
Risk Management-Methoden, die
der Identifizierung von Bedrohungen
und Schwachstellen, der Auswahl angemessener
Massnahmen und somit
der Reduzierung der Gefährdungen
auf ein akzeptables Restrisiko dienen.
Die Kernfunktion zur Handhabung
der IT-Risiken wird vom ISMS übernommen,
welches – wenn es nach ISO
27001 aufgebaut ist – die Grundlage
zur Identifikation und Beherrschung
spezifischer IT-Risiken sowie zur Sicherstellung
der benötigten Zuverlässigkeit
von IT- und Telekommunikations-Systemen
bietet.
Wenn in einer Organisation eine
richtig verstandene Information Security
gemäss ISO 27001 umgesetzt und
gepflegt wird, ist es meines Erachtens
nicht notwendig, neben dem Risk Management
(Marktrisiken, Finanzrisiken
und Operationellen Risiken) ein
separates IT Risk Management aufzubauen
und zu betreiben, da ein richtig
aufgebautes und betriebenes ISMS bereits
den Regelkreis PDCA enthält. Es
macht keinen Sinn, die ohnehin schon
im ISMS integrierten Bereiche in eine
separate Organisation wie das IT Risk
Management auszulagern. Vielmehr
sollte bei den Verantwortlichkeiten im
Rahmen des ISMS eine Funktion Risk
Manager definiert werden, der in engem
Kontakt mit dem Operational
Risk Management (ORM) steht, falls
die Grösse der Unternehmung dies zulässt.
Argumente zur Untermauerung
der Kernaussage
►Isolation versus Ganzheit-
lichkeit
Meist werden im IT Risk Management
lediglich technische Risiken
betrachtet. Die nicht-technischen
Risiken dürfen jedoch nicht ausser
Acht gelassen werden, denn gerade
diese sind wegen ihrer Subjektivität
und der Unvorhersehbarkeit der Reaktionen
besonders schwer einschätzbar.
Durch ein separates IT
Risk Management würden IT-
Risiken isoliert von Risiken betrachtet,
die im Zusammenhang mit
menschlichem Fehlverhalten, organisatorischen
Mängeln und externen
Einflussfaktoren liegen. Eine isolierte
Betrachtung einzelner Risiken ist
schwierig und kann zu fehlerhaften
Einschätzungen führen.
►IT Risk Management und Information
Risk Management
IT Risk Management ist nicht mit
Information Risk Management, wie es
im Rahmen eines ISMS betrieben
wird, gleichzusetzen. Vielmehr ist das
IT Risk Management eine Teilmenge
des Information Risk Management,
die sich nur auf die Risiken, die im
Zusammenhang mit elektronischen Informationen
stehen, beschränkt. Im
Information Security Management
(ISM) liegt der Fokus auf Informationen
generell, das heisst, nicht nur auf
elektronischen Informationen. Dadurch
ist der Rahmen weiter gefasst
als bei einem blossen IT Risk Management.
Da jedoch beide Bereiche eng
zusammenhängen, ist es nicht zweckmässig,
das Risk Management bezüglich
elektronischer Informationen getrennt
von den übrigen Informationen
zu betrachten. Es käme dadurch wieder
zu einer Isolation, die zu Fehleinschätzungen
oder auch zu überflüssigen
Massnahmen führen kann.
Werden die IT-Risiken in das Risk
Management des ISMS eingebunden,
ist eine ganzheitliche Betrachtung und
Behandlung mit Fokus auf Informationen
gewährleistet.
►Operationelles Risk Manage
ment und Information Security
Management
Die Grundkonzepte des Operational
Risk Management (ORM) und des
Information Security Management
(ISM) sind identisch. In beiden Fällen
werden Risiken identifiziert, bewertet
und anschliessend angemessen behandelt.
Hinzu kommt, dass alle Operationellen
Risiken eine Entsprechung in
den IT-Risiken finden und umgekehrt.
Sie sind daher durch das ORM und
das ISM, beziehungsweise durch ein
funktionierendes ISMS gemäss ISO
27001 vollständig abgedeckt.
Aufgrund dieser grundsätzlichen
Übereinstimmungen wirken ORM und
ISM Hand in Hand. Wenn die Verantwortlichkeiten
im Bezug auf IT-
Risiken innerhalb des ORM und innerhalb
des ISMS klar definiert und
abgegrenzt sind, bedarf es keiner dritten
Instanz, um ein adäquates Management
von IT-Risiken sicherstellen
zu können.
Üblicherweise übernimmt das
ORM im Bezug auf IT-Risiken eine
Steuerungs-, Überwachungs- und
Kontrollfunktion, während im Rahmen
des ISMS die IT-Risiken identifiziert,
bewertet und behandelt werden
(Risk Identification, Risk Assessment,
Risk Treatment).
* Reto C. Zbinden ist Fürsprecher
und CEO der Swiss Infosec AG.
Definitionen
Informationssicherheit wird definiert als das angemessene
und dauernde Gewährleisten der Vertraulichkeit, Integrität
und Verfügbarkeit IT-Ressourcen und der damit bearbeiteten
oder übertragenen Informationen. Vertraulichkeit
bedeutet, dass Informationen und die zu ihrer
Bearbeitung und Übertragung verwendeten Schutzobjekte
nur Berechtigten zugänglich sind (nur befugter Informationsbezug).
Die Vertraulichkeit ist gewährleistet,
wenn die als schutzwürdig definierten Schutzobjekte nur
berechtigten Subjekten offenbart werden. Integrität bedeutet,
dass Informationen oder Teile eines IT-Systems
nur durch Berechtigte verändert werden können. Die Integrität
ist dann gewährleistet, wenn nur berechtigte Subjekte
(Mensch, System oder Funktion) Schutzobjekte
(System, Funktion oder Informationsbestände) zu berechtigten
Zwecken korrekt bearbeiten, die Schutzobjekte
spezifiziert sind und die Bearbeitung nachvollzieh-bar
ist. Korrekt arbeitende Funktionen sind dann gewährleistet,
wenn sie integre Schutzobjekte (System, Funktion
oder Informationsbestände) in diesem Zustand belassen
und/ oder neue Schutzobjekte den Anforderungen entsprechend
in einer als integer beschriebenen Form erzeugen.
Verfügbarkeit bedeutet, dass das IT-System
und die damit bearbeiteten Informationen den Berechtigten
in voller Funktionalität zur Verfügung stehen. Ein berechtigter
Benutzer soll nicht abgewiesen werden. Die
Verfügbarkeit ist dann gewährleistet, wenn die berechtigten
Subjekte dauernd innerhalb der gemeinsam als notwendig
definierten Frist auf die zur Durchführung ihrer
Aufgaben benötigten Schutzobjekte zugreifen können,
die notwendigen Massnahmen erarbeitet, durchgesetzt
und ein-geübt sind, die es bei Störungen erlauben, die
Verfügbarkeit fristgerecht wiederherzu-stellen beziehungsweise
zu sichern.
IT-Security Nr.2, Mai 2006
Medienspiegel www.infosec.ch 32 von 79

IT-Krisen:
vorbereitet
sein ist alles
Frage: Wir haben neue IT-
Mittel angeschafft und
sind damit zufrieden. Allerdings
wissen wir nicht,
was passiert, wenn z.B.
ein Grossbrand ausbricht
und das Rechenzentrum
betroffen ist – wie sollen
wir vorgehen?
Leider werden heute viele Risiken
oft vergessen, weil die IT
zu eng betrachtet wird. Seit den
Unwettern und den Überschwemmungen
in diesem
Spätsommer dürfte das Bewusstsein
in dieser Hinsicht
wieder gestiegen sein: zahlreiche
Unternehmen haben Daten
durch überschwemmte oder
stromlos gewordene Rechenzentren
verloren, USV-Anlagen
wurden kurzgeschlossen
und in Brand gesteckt und Erdrutsche
haben ganze Mauern
von Serverräumen eingedrückt
und die Geräte zerstört.
In IT-Krisen gilt: vorbereitet
sein ist alles. Nur wer über eine
geeignete Ereignis- und Krisenvorsorge
verfügt, inklusive
den dazu gehörigen Organisationsstrukturen,
Dokumenten
und Ein-satzplänen, kann eine
solche Krise erfolgreich meistern.
Die Krisenstabsorganisation
ist von zentraler Bedeutung:
nur ein Krisenstab, der in
der Lage ist, rasch möglichst
vom „Reagieren“ hin zum
„Agieren“ zu gelangen, wird
dem Unternehmen das Überleben
sichern und eine frühzeitige
Schadenseindämmung erreichen.
Einzig regelmässige Übungen
mit aufbauenden Schwierigkeitsgraden
vermögen den
Beteiligten die nötige Sicherheit
als krisenfester Führungsstab
zu vermitteln und
Schwachstellen aufzudecken.
Dabei ist es wichtig, sich strikt
an einem erprobten Vorgehensmodell
zu orientieren. Eine
Möglichkeit bietet das folgende
Vorgehen, welches in 5
Phasen und 2 Daueraufgaben
unterteilt ist.
Phase 1: Situationsanalyse /
Problemerfassung – Diese Phase
kann in vier Bereiche unterteilt
werden:
I. Problementdeckung: Worum
geht es in welchem
Rahmen und in welchen
Zeitverhältnissen muss
gehandelt werden? Suche
nach Chancen und Risiken.
II. Problemklärung: Zerlegung
der Aufgabe in
Teilprobleme durch Beschaffung
und Sichtung
weiterer Informationen.
III. Problembeurteilung: Festlegen
der organisatorischen
Zuständigkeit, Bedeutung
und Dringlichkeit.
IV. Aufgabenumschreibung,
Handlungsrichtlinien,
Gliederung des Krisenstabes
Folgende Fragen können gestellt
werden: Worum geht es?
Was ist passiert? Was ist direkt/indirekt
bedroht? Welche
Aktivitäten laufen bereits?
Nach dieser Phase sind Zeitplan
und Sofortmassnahmen zu
erstellen und während der ganzen
Krisentätigkeit anzupassen
(Daueraufgaben). Die Sofortmassnahmen
(z.B. Alarmierung;
logistische Vorausaktionen;
Sicherung) haben zum
Zweck Zeit zu gewinnen, ohne
dabei einen Entschluss zu präjudizieren.
Phase 2: Beurteilung der Lage
– In dieser Phase werden die
entscheidrelevanten Faktoren
erkannt und Konsequenzen abgeleitet.
Die Aussagen sind zu
verdichten, Erkenntnisse daraus
zu ziehen und handlungsorientierte
Konsequenzen vorzunehmen.
Phase 3: Entschlussfassung –
Auf Grund aller Informationen
sowie den möglicher Szenarien
werden die eigenen Möglichkeiten
ausgearbeitet, überprüft
und bewertet. Der Entschluss
des Krisenleiters legt fest, wie
er die Krise bewältigen will; in
welchem zeitlichen und räumlichen
Ablauf und mit welchen
Ressourcen.
Phase 4: Planentwicklung –
Die relevanten Grundlagen mit
Einzelheiten für die Umset-
zung und für die Aktionsführung
werden in schriftlicher
und/oder grafischer Form dargestellt.
Dabei sind die Pläne
für verbundene Aufgaben und
vorbehaltene Entschlüsse besonders
aufschlussreich.
Phase 5: Auftragserteilung –
Nun werden die einzelnen Aufträge
an die Auftragnehmer erteilt.
Die erarbeiteten Pläne
müssen evtl. im Verlauf der
Ausführung angepasst werden
müssen: deshalb beziehen sich
die Aufträge jeweils nur auf
den ersten Teil der Aktion, um
Nachfolgeaufträge der aktuellen
Situation angepasst erteilen
zu können.
Mit einem solchen Vorgehen
sind Sie für eine IT-Krise bestens
vorbereitet.■
Der Autor
Andre Jacomet
ist Managing
Consultant
und Kursleiter
bei der
Swiss Infosec,
www.infosec.ch
WWW.COMPUTERWORLD.CH
25. November 2005
Medienspiegel www.infosec.ch 33 von 79

SECURITY
Schwachstelle ist der Mensch
Als relativ junges Thema prägte die soziale Komponente der IT- Sicherheit
diverse Vorträge der diesjährigen Tagung Swiss Infosec. VON VOLKER RICHERT
Als fünfte Dimension der IT-
Sicherheit müsse der Schutz
der Privatsphäre der Mitarbeiter
in den Unternehmen eingeführt
und zu den etablierten
Faktoren Vertraulichkeit, Verbindlichkeit,
Verfügbarkeit und
Integrität hinzugezählt werden.
Das jedenfalls betonte Hannes
Lubich, Sicherheitsstratege bei
Computer Associates (CA), in
seinem Vortrag an der diesjährigen
Swiss Infosec, die kürzlich
im Zürcher Airport
Conference Center über die
Bühne ging. Der Einsatz von
Sicherheits-Tools müsse entsprechend
optimiert werden,
forderte Lubich. Dass eine «sichere
IT» am Ende immer mit
dem letztlich unberechenbaren
Faktor Mensch konfrontiert
wird, verlor allerdings keiner
der 21 Referenten an der dreitägigen
Veranstaltung in Kloten
aus den Augen.
Am ersten Tag standen Konzepte
ganzheitlicher Sicherheitsbetrachtungen
im Zentrum
der Vorträge, die keinen Zweifel
daran liessen, dass es die
eine Lösung mit einem einzigen
Gerät für alle Probleme
schlicht nicht gibt und auch
nicht geben wird. Dass nicht
alles gut ist, was technisch gemacht
werden kann, zeigten
dann die Erfahrungsberichte
Social Engineering hält auch bei den Security-Spezialisten Einzug.
Der Risikofaktor Mensch war Schwerpunktthema an der Swiss Infosec 2005.
am zweiten Tag. Der letzte
Swiss-Infosec-Tag schliesslich
fokussierte das junge Thema
Social-Engineering. In den diversen
Beiträgen ging es nicht
nur um die Gegenüberstellung
des «gläsernen» und des loyalen
Mitarbeiters mit seinen
Rechten. Vielmehr fragten die
Spezialisten nach dem Umgang
mit dem sich inzwischen sukzessive
herausbildenden neuen
Typ von Angreifer. Social Engineering
heisst für diesen das
Ausnutzen menschlicher
Schwächen, um sich vertrauliche
Daten erschleichen zu
können. Neben dem Risikofak-
tor Mensch wurde nur noch
den IT-Kosten eine solche Aufmerksamkeit
geschenkt. Heute
verschlingt der IT-Betrieb laut
Analysten von Merill Lynch 75
Prozent der IT-Kosten, noch
vor 15 Jahren ging dieser Ausgabenbrocken
in die Beschaffung
der IT. Letztlich erklärt
dieser Wandel teilweise das
Phänomen, dass nichttechnische
Risikofaktoren heute eine
wachsende Bedeutung erfahren.
WWW.COMPUTERWORLD.CH
Nr. 44/2005, 4. November 2005
Medienspiegel www.infosec.ch 34 von 79

Frechheit siegt: Mit dem entsprechenden «Tarnanzug» kommt man fast überall hinein – und zwar ungestört.
Späher in heikler Mission
SOCIAL ENGINEERING Sie spionieren im Auftrag der Chefs ohne Wissen
der Angestellten die Sicherheitslecks aus. Der Erfolg der Berater zeugt
von einer erschreckenden Sorglosigkeit.
ECKHARD BASCHEK
Er kam in einem leicht
verdreckten Overall, den
Werkzeugkoffer in der
Hand. Er stellte sich vor,
zückte kurz eine Visitenkarte
und den Durchschlag
einer Auftragsbestätigung:
Heute müsse er
die Computernetzwerk-
Kabel auf Brüche kontrollieren.
Mit dabei sein
Lehrling – denn zwei Personen
sind schwieriger zu
überwachen als eine. Wenige
Minuten später befinden
sich die zwei
unbehelligt im Chefbüro
oder im Rechenzentrum.
Und fast nie wird das Personal
argwöhnisch. Kleider
machen immer noch
Leute.
Überzeugendes Auftreten
und eine Portion
Frechheit genügten tatsächlich
in den meisten
Fällen, um sich Zutritt zu
geschützten Betriebsräumen
zu verschaffen und
darin auch noch unbeobachtet
bewegen zu können,
bestätigt Andre
Jacomet, Managing Consultant
bei der Swiss Infosec
AG in Bern (vgl.
„Nachgefragt“). Das Be
ratungsunternehmen hat
sich auf das „Social Engineering“
spezialisiert, das
Planen und Durchführen
von Angriffen auf Informationen
und Systeme
unter Ausnutzung der
“Schwachstelle Mensch”.
Denn die meisten Unternehmen
haben im Laufe
der Zeit viel Geld in Sicherheitssysteme
in der
IT und beim Zutritt investiert,
doch dabei die Beschäftigten
zu wenig
integriert und für die
Schwachstellen sensibilisiert.
So stossen die “Ein-
dringlinge” oft auf Situationen,
in denen die Sicherheitstechnik
von den
eigenen Angestellten ausgehebelt
wird: Was nützen
Panzerglastüren und -
schlösser, wenn sie mit
Hilfe eines Keils aus Bequemlichkeit
offen gelassen
werden? Oder wenn
über Hintertüren heikle
Bereiche erreichbar sind,
weil sich niemand für die
gesamtheitliche Betrachtung
der Sicherheitsaspekte
interessiert?
Manchmal lassen sich
die Social Engineers auch
von gut vorbereiteten
Schauspielern begleiten,
die beispielsweise einen
Kreislauf Zusammenbruch
simulieren. Und
nicht selten wühlen sie erfolgreich
in Abfallsäcken.
Zielgerichtete Investitionen
Doch wozu all das Theater?
Vielen Verantwortlichen
schwant, dass
sensible Informationen im
Unternehmen – Betriebs-
und Kundengeheimnisse
– zu wenig gesichert sind.
Die zunehmende Unverfrorenheit
der Wirtschaftsspionage
und die
immer komplizierter werdendeninformationstechnischen
Bedingungen –
Beispiel W-LAN – verschärfen
das Problem unserer«Informationsgesellschaft»
zusätzlich. Doch
Investitionen im Giesskannenprinzip
sind nicht
ökonomisch – angesetzt
werden sollte am richtigen
Punkt. Und den herauszufinden
ist für die
Medienspiegel www.infosec.ch 35 von 79

Unternehmensangehörigen
wegen der Betriebsblindheit
oft nicht möglich.
Deshalb sind externe
Fachkräfte nötig, die sich
über die Jahre das nötige
theoretische Rüstzeug und
die praktische Erfahrung
angeeignet haben. Die
1989 gegründete Swiss
Infosec mit ihren rund 30
Mitarbeiterinnen und Mitarbeitern
ist insofern einzigartig,
als sie Beratung,
die neue Disziplin Social
Engineering» und entsprechende
Audits, Ausbildungsprogramme
und
die Veröffentlichung von
Fachliteratur verknüpft
und damit über klassische
IT - Sicherheitsberater-
und Detektei Lösungen
hinausgeht.
Der ganzheitliche Ansatz
untersucht Unternehmensprozesse
und
externe Faktoren, und
zwar unter physischen,
psychischen, rechtlichen
und technischen Aspekten.
Dabei geht es sowohl
um Sachwerte wie auch
um Informationen, die je
nach Branche einen noch
viel höheren Wert darstel-
Nachgefragt: Andre Jacomet
len und bei denen im
Schadenfall sogar mit
rechtlichen Konsequenzen
zu rechnen ist – vom
Imageverlust ganz abgesehen.
Je nach Konkretheit
des Ziels und den
Sicherheitsvorkehrungen
– den gelebten – ist es
immer eine Frage des
Aufwands, bis die Informationen
beschafft sind.
Die Kosten liegen je nach
Projekt bei 15 000 bis ungefähr
30 000 Fr., in Einzelfällen
höher.
Probleme bei den
KMU
Im Gegensatz zu den
Grossunternehmen, die
über umfangreiche Sicherheitsstrukturenverfügen,
wird in KMU oft der
Fehler gemacht, dass die
Sicherheitsbeauftragten
organisatorisch an die Informatik
angehängt werden
oder aber in vielen
Fällen selber IT-Leute
sind. Sie denken in Informatik-Kategorien.
Für
sie wird die vernetzte Sicherheitsbetrachtunginklusive
Zutrittskontrolle
zur reinen Nebensäch-
«Der heikelste Faktor ist der Mensch»
Werkspionage muss nicht im
Hightech-Stil erfolgen, um schnell
zu gelingen. Der beste Schutz
lässt sich erzielen, wenn die
Schlupflöcher identifiziert sind,
und zwar mittels Härtetest. Andre
Jacomet ist Managing Consultant
bei der Swiss Infosec AG in Bern.
Seine Seminartätigkeit umfasst
die Themen Technologie, Psychologie und Persönlichkeitsenfaltung.
Wie steht es Ihrer Erfahrung nach um die
Schweizer Unternehmen gegenüber mutwilligen
Datenschutz-Angriffen von aussen? Sie haben
Informationen, die sie schützen wollen und sollen,
sie wissen aber nicht, in welchem Mass das nötig
ist. Gerade Biotech-Konzerne sind sich oft nicht bewusst,
wie schützenswert ihre Daten sind. Allen ist
gleich, dass sie ihre Sicherheitsbemühungen nicht
vernetzt betrachten. Und die Kette reisst am
schwächsten Glied. Letztlich ist der Faktor Mensch
der heikelste.
lichkeit. KMU sind aufgrund
dessen gut beraten,
diese Funktion wenigstens
direkt an den Finanzchef
oder an den CEO
anzugliedern, da dort von
einer höheren Warte aus
das Risikopotenzial eingeschätzt
wird und finanzielle
Schäden zu
verhindern gesucht werden.
Gefragt ist die Sicherheits-
statt der IT-
Perspektive.
Bei den Kleinen unter
den KMU, denen die nötigen
Strukturen fehlen,
kommt hinzu, dass die
Geschäftsführung oft erst
dann reagiert, wenn in ihrer
Umgebung Schadenfälle
passieren, die
Medien das Thema aufgreifen
oder eine persönliche
Betroffenheit
besteht. Es ist hier nützlich,
eine Person zu benennen,
die für die
integrale Sicherheitsstruktur
zuständig ist und über
die nötigen Kompetenzen
verfügt. Gefragt ist also
«Management Attention»:
Wenn die Geschäftsleitung
nicht klar ausdrückt,
Sicherheit sei gefragt,
Wie beginnen Sie Ihre Recherche?
Das beginnt bei Prospekten und Geschäftsberichten,
reicht über Medienberichte und Archive wie etwa
das Internet und geht je nach Art des
Kundenauftrags bis zur Suche in Abfallcontainern.
Bei der Verknüpfung lässt sich sehr gut erspüren,
wie es im Unternehmen «läuft», und wir bekommen
interessante Informationen über Strukturen und
Menschen.
Aber wie wollen Sie beispielsweise Zutrittsbarrieren
überwinden, bei denen mittels SecureID
alle paar Minuten der Zugangscode wechselt?
Dann konzentrieren wir uns auf die Person, die dafür
zuständig ist. Informationen darüber sind zwar
theoretisch geheim, sind aber über Umwege trotzdem
erhältlich.
Nämlich? Indem man in der Umgebung die richtigen
Fragen stellt und die Hilfsbereitschaft ausnutzt.
Und dann? So erfährt man etwa, wann die Zielpersonen
abwesend sind und wo sich ihr Büro befindet.
Dann sind Ort und Zeit bekannt und auch, wonach
gesucht werden soll.
passiert nicht viel.
Ein weiterer Punkt ist
die Ausbildung: Es ist
wichtig, auf dem neuesten
Stand zu bleiben,
Schwachpunkte kennenzulernen
und sich der
Schnittstellenprobleme
zwischen Mensch, Technik
und organisatorischen
Umständen bewusst zu
werden. Löst die Panzertüre
keinen Alarm aus,
wenn sie aus Bequemlichkeit
länger offen steht,
ist sie wenig wert; auch
nicht, wenn sie nur beim
Eintritt hohe Anforderungen
stellt, dem Dieb aber
mittels «Türöffnertaste»
oder gar Bewegungsmelder
den Rückzug einfach
macht. Der Aufwand für
Nachbesserungen ist vergleichbar
mit einer Versicherungsprämie:
Mit
diesen Kosten lässt sich
ein Grossschaden eher in
den Griff bekommen. Für
Versicherungen wird viel
Geld ausgegeben – warum
nicht in diesem sensiblen
Bereich?
HandelsZeitung
Nr. 43, 26. Oktober 2005
Wonach?
In einem Beispiel befanden sich in einem unverschlossenen
Zimmer in einem unverschlossenen
Schrank die so genannten Konfigurationsdisketten
für die SecureID.
Die also den Algorithmus für den Codewechsel
generiert. Genau. Diese Diskette lässt sich rasch
kopieren, ohne Spuren zu hinterlassen. Und mit einem
Tool, das im Internet frei verfügbar ist, konnten
wir die SecureIDs anschliessend nachgenerieren.
Damit liesse sich der Zutritt etwa zu E-Mails über
Monate hinweg entscheidend vereinfachen. Die Benutzer
wiegen sich damit in falscher Sicherheit.
Sind die Finanzdienstleister beim Schutz von Informationen
weiter als Industriebetriebe, zumal
diese Daten für sie von noch viel höherer Bedeutung
sind? Das sicher. Aber es gibt auch Gegenbeispiele
…
INTERVIEW: ECKHARD BASCHEK
Medienspiegel www.infosec.ch 36 von 79

Tool für Sicherheitsbeauftragte
Die ISMS Tool Box
von Swiss Infosec versprichtpraxisorientierte
Funktionalitäten für
den Aufbau, Betrieb
und Unterhalt eines
Information Security
Management Systems.
Mit dem Werkzeug
sollen Regelwerke erarbeitet
und diese
mehrsprachig intranetbasiertkommuniziert
werden können.
Die Regelwerke können
in einer Arbeitsgruppe
elektronisch
gelesen und validiert
werden. Ausserdem
kann nach Herstellerangaben
die Umsetzung
geplant und laufend
überprüft werden.
Die Tool Box unterstützt
neben dem
Ownership-Modell die
Inventarisierung und
Klassifizierung von
Schutzobjekten. Die
für die Schutzobjekte
verantwortlichen Funktionen
können übersichtlich
dargestellt
und Business Continuity
Aktivitäten können
mittels des Tools effektiv
unterstützt werden.
Neben der Möglichkeit,
ein Glossar
und eine Linksammlung
intranetbasiert zu
führen, kann auch ein
Basel II-konformes
Security Incident Management
aufgebaut
werden. Daneben existieren
Instrumente für
die Durchführung von
Risikoanalysen und
Audits. Dezentrale Stel-
len können mittels einer
Self-Assessment-
Funktion in die Aufrechterhaltung
und
laufende Verbesserung
des ISMS eingebunden
werden. Das Tool
erlaubt den direkten
intranetbasierten Zugriff
auf ISO 17799/
BS7799, Cobit, BSI-
Grundschutzhandbuch
und den Baseline Katalog
des Herstellers.
LDAP-Kompatibilität,
Import- und Exportfunktionen,Reportgeneratoren
sind nach
Herstellerangaben integriert.
(fms/na)
www.windowsitpro.de
10/2005
Medienspiegel www.infosec.ch 37 von 79

Frage: Unsere Geschäftsleitung
möchte die Mitarbeiter
möglichst umfassend in Fragen
der Informations- und IT-
Sicherheit sensibilisieren und
ausbilden. Was ist dabei zu
beachten?
Viele Unternehmen haben
schon erkannt, dass in der Informations-
und IT-Sicherheit
der «Faktor Mensch» das
grösste Risiko und die grösste
Chance zugleich darstellt. Andere
haben in dieser Hinsicht
noch etwas Nachholbedarf.
In Fragen der Ausbildung
hat die Forschung in den letzten
Jahren enorme Anstrengungen
unternommen. Dabei
werden drei Lernformen unterschieden.
Erstens die klassische Präsenzschulung,
wie man sie im
Prinzip bereits aus der Schule
kennt. Diese kommt als Workshop
oder Kurs daher, in welchem
die Teilnehmer
persönlich anwesend sind und
von einem Tutor die zu lernenden
Informationseinheiten
empfangen. Grundsätzlich ist
das Setting hier weit offen, eine
Obergrenze für diese Art
von Gruppen liegt bei 10 bis
15 Personen. An den Kursleiter
werden hohe Anforderungen
gestellt: Er muss in der Lage
sein, die Gruppenstimmung zu
modulieren, er soll den Stoff
didaktisch geschickt aufberei-
Blended
Learning
bringts
ten, auf individuelle Wünsche
und Fragen eingehen, unterschiedliche
Wissensniveaus
adressieren können, usw. Die
Qualität der Präsenzschulung
hängt wesentlich vom Kursleiter
ab – vorab sollte man sich
deshalb informieren, wer einen
Kurs gibt und allenfalls Referenzen
einholen.
«Der Schlüssel liegt
in der Nachhaltigkeit
durch vermischtes
Lernen.»
Der Hauptnachteil dieser Unterrichtsform
liegt darin, dass
der Lernerfolg praktisch nicht
kontrolliert werden kann – ausser
durch anschliessende Prüfungen,
die allerdings selten
durchgeführt werden. Das erreichte
Niveau ist sowohl sehr
unterschiedlich als auch nicht
messbar.
An zweiter Stelle steht das
E-Learning, welches sich auch
dank der akademischen Arbeit
in letzter Zeit zu einem hervorragenden
Werkzeug entwickelt
hat. E-Learning ist im Gegensatz
zur Präsenzschulung hoch
individuell und hoch kontrollierbar.
Darüber hinaus sind die
Lerneinheiten sehr fein granulierbar
und können dann konsumiert
werden, wann es für
den Lernenden am passendsten
ist. Weil die Lernfortschritte
hoch kontrollierbar sind, wird
noch ein ganz besonders wichtiges
Thema betroffen: die Beweisbarkeit
der Ausbildung
und des erzielten Lernniveaus.
Ein Beispiel: Die eidgenössische
Bankenkommission fordert,
dass 100 Prozent der
involvierten Mitarbeiter über
das Geldwäschereigesetz
(GwG) Bescheid wissen. Dank
E-Learning kann der Arbeitgeber
nun belegen, dass er seiner
Ausbildungspflicht nachgekommen
ist und in welchem
Umfang. E-Learning kann auditiert
werden.
Als dritte und neueste Form
für Ausbildungskampagnen
bieten sich Massenveranstaltungen
an. Diese werden in
Gruppen mit 20 bis 100 Teilnehmern
durchgeführt. Dabei
sei insbesondere auf «Edutainment»
als neue Unterrichtsform
hingewiesen. Der Begriff
Edutainment entsteht aus Education
und Entertainment;
Ausbildung als Unterhaltung.
Dabei wird ein starkes wissenschaftliches
Argument genutzt:
was mit Spass gelernt wird,
bleibt viel länger präsent. Die
grosse Anzahl Teilnehmer wird
unterhalten und geschult von
einem Team von zwei bis drei
Tutoren, welches durchaus
auch schauspielerische Qualitäten
haben soll. So kann bei-
spielsweise ein Technik-Crack,
ein DAU (dümmster anzunehmender
User) und ein integrierender
Moderator ein solches
Tutoren-Team bilden. Grosszügiger
Einsatz von Technik
und Multimedia hilft dabei, die
Aufmerksamkeit für ein bis
zwei Stunden aufrecht zu erhalten.
Alle drei Unterrichtsformen
zusammen werden als «Blended
Learning» (vermischtes
Lernen) bezeichnet. Der
Schlüssel für eine erfolgreiche
Ausbildung in einem Unternehmen
liegt in der Nachhaltigkeit
durch vermischtes
Lernen. Je länger nämlich die
Lerninhalte präsent bleiben,
desto mehr werden sie zum
Teil der gelebten Sicherheitskultur.
�
Der Autor
Andre Jacomet, Managing
Consultant und Kursleiter
Swiss Infosec AG
WWW.COMPUTERWORLD.CH
26. August 2005
Medienspiegel www.infosec.ch 38 von 79

Atel Inside (Hauszeitung der Atel, Ausgabe August 2005)
Daten-Diebstahl im Hauptgebäude
Ein ideales Versteck: die Herrentoilette.
Patrick Renner* steuert mit zielstrebigen
Schritten zur Herrentoilette. Er schliesst
sich in eine Kabine ein, greift an die Brusttasche
seines Anzugs und atmet tief durch.
Geschafft! 90 Prozent seiner Mission sind
erfüllt. Jetzt heisst es, sie konzentriert zu
Ende zu bringen. Er öffnet die Toilettentür
einen winzigen Spalt und horcht in den
Flur. Kein Laut ist zu hören. Ausgezeichnet.
Es ist ihm niemand gefolgt. Als Renner
gegen 19.25 Uhr das Hauptgebäude des internationalen
Konzerns unbemerkt verlässt,
jubelt er innerlich. Er wusste, dass es auch
dieses Mal klappen würde. «Die IT der
Firma ist eine wahre Festung», hat Kollege
Ramos vor zwei Wochen gesagt. «Wenn
das Gebäude ebenso gut gesichert ist, dann
viel Vergnügen.» Renner hat nichts geantwortet.
Er ist ein Profi. Echte Hindernisse
kennt er nicht.
In der Bahnhofsunterführung trinkt Renner
einen mittelmässigen Kaffee und betrachtet
die vorbeiziehenden Passanten.
Wer von ihnen wohl zur Firma gehört? Er
versucht intensiv, sich in den Kopf eines
Mitarbeiters hineinzuversetzen. Für den Erfolg
seiner «Betriebsbesichtigungen» ist es
entscheidend, dass er so denkt und reagiert
wie sie. Einem Chamäleon gleich nimmt er
ihre Farbe und Denkweise an und ist von
der Umwelt nicht mehr zu unterscheiden.
Medienspiegel www.infosec.ch 39 von 79

Bevor er diesen Zustand erreicht, saugt er
sich regelrecht voll mit Wissen über die
Firma. Wie heissen die Abteilungen, wo befinden
sie sich? Welche Themen beschäftigen
die Leute? Auch die Aufzeichnungen
seines Strohmannes, den er zur ersten Live-
Erkundung in die Cafeteria des Hauptsitzes
geschickt hat, sind wertvoll. Schriftliche
Notizen macht er nie. Renner hat sich im
Laufe seiner Karriere als «Social Engineer»,
wie er sich offiziell nennt, ein Elefantengedächtnis
antrainiert.
Den Volvo hat er in der Nähe des Hauptgebäudes
geparkt. Zufrieden zieht er den
Keylogger aus der Brusttasche. Das daumengrosse
Wunderding zeichnet jede einzelne
Tasteneingabe auf, wenn man es
zwischen PC-Gehäuse und Tastaturkabel
platziert.
Dies ist besonders interessant, wenn es sich
um die Tastatur von Hermann Schaufelberger*
handelt, dem Geschäftsführer der Firma.
In dessen Büro einzudringen, war für
ihn ein Kinderspiel: Am Vortag hat er sich
beim Empfang als Softwarelieferant ausgegeben,
der ein neues System für den
Mit Secure ID und Passwort ist der Weg
frei zu den Mails.
Zugriffsschutz mit Secure ID vorstellen
will. So erfährt er, dass Erwin Mäder, Leiter
Benutzeradministration, in den Ferien
ist. Zwei Minuten vor Betriebsschluss lenkt
sein Komplize die Empfangsdame mit einem
Anruf ab und Renner betritt – scheinbar
in eine lebhafte Handy-Unterhaltung
vertieft – problemlos das Hauptgebäude.
Dort harrt er zwei Stunden auf der Herrentoilette
aus. Beim Stöbern in Mäders Büro
findet er darauf in einem unverschlossenen
Schrank die komplette Dokumentation zur
Secure ID, inklusive Konfigurierungsdaten.
Besten Dank! Die Putzfrau öffnet die Tür
ins Chefzimmer.
Der «Spaziergang» führt ihn weiter zum
Büro von Schaufelberger. Es ist gesichert.
Die Putzfrau öffnet ihm die Tür aber bereitwillig,
als er ihr seine Geschichte mit
der vergessenen Mappe auftischt. Zwei Minuten
im Büro von Dr. Schaufelberger reichen,
um die Wanze und den Keylogger
unauffällig anzubringen. Zudem fotografiert
er mit der Digitalkamera zwei Bewerbungsdossiers
sowie den aktuellen
Monatsreport.
Renner sitzt also in seinem Volvo, startet
den Laptop und findet prompt eine WLAN-
Verbindung. Schnell entdeckt er auf dem
Keylogger das persönliche Passwort von
Schaufelberger. Zusammen mit den Secure-
ID-Konfigurierungsdaten ist jetzt der Weg
ins Firmennetz und auf den Mail-Account
des Geschäftsführers frei. Dieser Kanal ist
Gold wert. Sein Auftraggeber, ein potenter
Investor, zahlt gut für Hintergrundinformationen
im Zusammenhang mit der geplanten
Übernahme des Aktienpakets. Auf der
Rückfahrt ins Büro lässt Renner seinen
zweiten «Besuch» im Hauptsitz nochmals
Revue passieren. Alles hat bestens geklappt
– man muss nur früh genug unterwegs sein.
Dank dem Zugriff auf Dr. Schaufelbergers
Mail-Account kann Renner nicht nur Informationen
weiterleiten, sondern auch
Mails versenden im Namen des Geschäftsführers.
Die Unregelmässigkeiten in seinem
E-Mail-Programm findet Schaufelberger
seltsam. Eines Tages wird er mit der Sekretärin
reden müssen, die die Mails für ihn
betreut. Doch er ist mit einem Problem im
Ausland derartig beschäftigt, dass er beschliesst,
die Aussprache auf einen späteren
Zeitpunkt zu verschieben. PM
* Namen und Figuren sind frei erfunden.
Cornel Furrer ist COO von Swiss Infosec
und arbeitet bei Atel als IT Security Officer.
Er war früher Lehrer und IT-Leiter und hat
beim Militär als Nachrichtenoffizier gearbeitet.
Cornel Furrer, Sie haben den «Informationsangriff»
auf Atel überwacht im letzten Herbst.
Was sind Ihre Erkenntnisse? Die IT-Sicherheit
bei Atel ist sehr hoch. Einer der besten
Hacker der Schweiz schaffte es nicht, das
Firmennetz zu knacken. Bei der physischen
Sicherheit gibt es hingegen noch Schwachstellen.
Es gelang dem Social Engineer, in
alle Büros einzudringen.
Was unternimmt Atel, um die Sicherheit
gegen Informationsangriffe zu erhöhen?
Wir starten eine interne Sensibilisierungskampagne
unter dem Titel Information Security
Improvement Programme. Für weitere
Massnahmen klären wir erst einmal die
Bedürfnisse ab. Wie hoch die Sicherheit sein
soll, das entscheiden nicht wir, sondern das
Business. Denkbar sind ein Zutrittsschutz
mit Badge, stärkere Passwörter oder die
Verschlüsselung von sensiblen E-Mails.
Wie gefährdet ist Atel?
Branchenleader sowie führende Unternehmen
im Bereich Forschung und Entwicklung sind
am gefährdetsten für Informationsdiebstahl.
Auch geplante Übernahmen oder Fusionen
erhöhen den Informationsbedarf der Konkurrenz.
Nun ist Atel zwar eine interessante
Firma, aber keineswegs einmalig, so dass ich
das Risiko nicht überbewerten würde.
Medienspiegel www.infosec.ch 40 von 79

SOCIAL SOCIAL ENGINEERING
ENGINEERING
Schwäch Schwächstes Schwäch tes Glied
Glied
Laut Swiss Infosec ist keine Firma vor Social-Engineering-Attacken
gefeit. VON VON CLAUDIA CLAUDIA BARDOLA
BARDOLA
Unternehmen stecken heute beträchtliche Summen in
Sicherheitsvorkehrungen für ihr Firmennetz. Firewall
und Antivirensoftware gehören ebenso zum Standard
wie Intrusion-Detection- und -Prevention-Systeme.
Diese technischen Massnahmen arbeiten mit gleich
bleibender Zuverlässigkeit. We-
Der Mensch ist
das schwächste
Glied in der
Security-Kette.
niger konstant ist der Mensch – er
ist das schwächste Glied in der
Security-Kette. Diesen Umstand
wissen Social Engineers für sich
auszunutzen und horchen Mitarbeiter
systematisch aus, um an
Zugangsdaten zu kommen. Die
Marktforscherin Gartner geht davon
aus, dass sich Social-
Engingeering-Angriffe zu einem der grössten Sicherheitsprobleme
der nächsten Dekade ausweiten werden.
Sie schätzt, dass die Sozialingenieure in rund 90
Prozent der Fälle erfolgreich sind.
Dies kann auch Cornel Furrer von der Sicherheitsberaterin
Swiss Infosec AG bestätigten, die im Auftrag
von Firmen Social-Engineering-Angriffe
vortäuscht und deren Angestellte auf die Probe stellt.
An der Security-Veranstaltung «Meet Swiss Infosec!»
plauderte Furrer aus dem Nähkästchen und veranschaulichte,
wie simpel es ist, Mitarbeiter aufs
Glatteis zu führen. So wurden den Swiss-Infosec-
Spionen in den meisten Fällen Tür und Tor zu Rechenzentren
geöffnet, wenn sie im Outfit von Kammerjägern
oder einer Putzkolonne aufgekreuzt sind
oder sich als vom Bund beauftragte Strahlenmesser
ausgegeben haben. Doch meist, so Furrer, seien solche
Inszenierungen gar nicht nötig. Vielfach reiche es
aus, durch zuvor erworbene Detailkenntnisse das
Vertrauen von Mitarbeitern zu erschleichen, um an
Passwörter zu kommen.
Verhindert werden können solche
Angriffe nur mit einer Kombination
aus organisatorischen, technischen,
rechtlichen und physischen Massnahmen,
erklärt Furrer. Insbesondere gelte
es, die Angestellten durch Aus- und
Weiterbildungen sowie laufende Informationen
zu sensibilisieren. Furrer
will allerdings festgehalten haben:
«Ohne laufende Überprüfungen sind auch all diese
Massnahmen wertlos.»
Cornel Furrer von der Berner Swiss Infosec AG empfiehlt
den Firmen eindringlich, ihre Mitarbeiter bezüglich
Social-Engineering-Angriffe zu sensibilisieren.
WWW.COMPUTERWORLD.CH 8. Juli 2005
Medienspiegel www.infosec.ch 41 von 79

«Der Spion, der durch die Tabuzonen fremder
Firmen spaziert»
Er liest die vertraulichen Mails der
Firmenchefs, kopiert in Rechenzentren
heimlich Daten und erschwindelt sich den
Zugang zu Chefbüros: Comel Furrer,
Leiter Beratung bei der Swiss Infosec AG,
klopft Firmen in deren Auftrag nach
Sicherheitslücken ab. Seine Bilanz: Bislang
überwand er noch jede Zutrittsbarriere.
INTERVIEW
MATHIAS MORGENTHALER
Herr Furrer, Computerspezialisten wird
nachgesagt, sie verstünden von Maschinen
alles, vom Menschen aber nur sehr
wenig. Teilen Sie diese Einschätzung?
CORNEL FURRER: Ja, da steckt schon
was Wahres drin. Technikspezialisten sind
Null-eins-Menschen, sie denken oft
schwarzweiss. Deshalb entwickeln sie
manchmal Programme, welche die Benutzer
nicht begreifen können.
Was Sie eben beschrieben haben, stellt
für Ihr Geschäft. die Informationssicherheit,
ein grosses Problem dar. Man
entwickelt technisch perfekte Sicherheitsprogramme,
aber man kriegt den
Risikofaktor Mensch nicht in den Griff...
Der Mensch ist in der Tat die grösste
Schwachstelle im Sicherheitssystem,
zugleich auch die grösste Chance auf dem
Weg zu mehr Sicherheit. Wenn jemand eine
Firma schwächen oder aushorchen will,
dann nutzt er die anfälligen Schnittstellen
zwischen Technik, Organisation und
Mensch. Diese Strategie verfolgen schon
Cornel Furrer: «Man braucht kriminelle
Energie, um diese Arbeit gut zu machen.»
Kinder. Wenn Mama sagt, Fernsehschauen
komme nicht in Frage, geht der Knirps zu
Papa und behauptet: „Mama hat gesagt. wir
dürften, falls du nichts dagegen hast!" Die
meisten Firmen haben in den letzten Jahren
technisch hoch stehende Sicherheitsvorkehrungen
getroffen, doch leider meist ohne
gebührenden Einbezug und
Sensibilisierung der Mitarbeitenden.
Sie klopfen Firmen in deren Auftrag
nach Schwachstellen im Sicherheitssystem
ab. Wie gehen Sie dabei vor? Wir
überlegen uns, was für einen potentiellen
Angreifer von Interesse sein könnte. Dabei
nutzen wir nebst den technischen
Schwachstellen meist diejenigen des Menschen.
Es braucht nun einiges an Phantasie
und viele scheinbar unwichtige Informationen,
die wir puzzleartig für einen Angriff
zusammenstellen, um dann trotz Überwachungskameras,
Vereinzelungsanlage,
Ausweis- und Personenkontrolle in ein Rechenzentrum
oder in Managementbüros zu
gelangen. Dabei sind auch Informationen
aus der näheren Umgebung wichtig wie
Baustellen, Mobilfunkantennen, Fassadenreinigung.
Was bringt Ihnen das?
Wir erfinden plausible Geschichte rings um
solche Umstände. Bei einer Firma deren
Umgebung sich rasch veränderte, meldeten
wir uns als Journalisten an, die eine Serie
zum Thema „Ein Quartier im Wandel" realisieren
wollten. Wir erhielten einen offiziellen
Termin, rückten getarnt als
Aufnahmeleiter, Profifotografen und Models
an und passierten auf der Suche nach
weiteren Steckdosen für unsere Geräte
hoch offiziell die Vereinzelungsanlage.
Schliesslich lenkte eine attraktive Frau mit
noch attraktiverem Ausschnitt den Mitarbeitenden
an der Loge ab, indem sie ihn
um Kleingeld für den Zigarettenautomaten
bat, so dass eines unserer „Models“ in den
gesicherten Trakt entwischen konnte.
Derart plumpes Vorgehen führt zum
Ziel?
Ja, in vielen Fällen schon. Wir wurden
auch schon hoch offiziell in ein Rechenzentrum
gebracht. Weil wir uns als Ungeziefervernichter
ausgegeben hatten, welche
die Räume von Schädlingen säubern sollten.
Natürlich durften sich dabei keine Personen
ohne Schutzmaske im Raum
aufhalten... Oder wenn eine Mobilfunkan-
tenne in der Nähe der betreffenden Firma
stand, massen wir im Auftrag irgendeiner
Organisation die Strahlenbelastung an allen
Arbeitsplätzen. Wir staunen selber immer
wieder, wie rasch man sich einen Überblick
über die Sicherheitseinrichtungen
verschaffen kann und wie schnell die Menschen
vertrauen, wenn man ihnen eine realitätsnahe
Geschichte erzählt.
Scheitern Sie manchmal bei Ihren Attacken?
Nein, wir hatten noch jedes Mal Erfolg.
Manchmal muss man halt mehrere
Anläufe nehmen und etwas stärkeres Geschütz
auffahren, etwa einen Brandalarm
auslösen, einen Unfall oder Schwächeanfall
fingieren. Bei solchen Inszenierungen
arbeiten wir auch mit Schauspielern zusammen.
Aber unser Ziel ist natürlich mit
möglichst geringem Aufwand an die Informationen
zu gelangen. Es gibt so viele
einfache Wege: Reinigungspersonal, Getränkelieferanten,
Chauffeure. Sekretärinnen,
Installateure - sie alle sind nahe an der
heissen Quelle, relativ leicht täuschbar und
meist nicht ins Sicherheitskonzept einer
Firma integriert.
Welche Firmen sind besonders gefährdet,
Opfer eines solchen Angriffs zu werden?
Unternehmen, die vor einer Fusion oder
Übernahme stehen, oder solche die massiv
in Forschung und Entwicklung investieren
und dabei Markt- respektive Technologieleader
sind. Viele Firmen merken erst sehr
spät oder gar nie, dass sie Opfer von „Social-Engineering"-Angriffen
geworden sind,
denn meistens fehlt ja nichts. Ein professioneller
Angreifer hinterlässt keine Spuren
und verschafft sich langfristige Informationsquellen.
So kennen wir im Rahmen eines
Auftrags eines grossen Unternehmens
seit sechs Monaten das Passwort eines
wichtigen Informationsträgers. Dadurch
erhielten wir fünf Tage vor der Verschreibung
Kenntnis von einer millionenschweren
Fusion - und konnten nebenbei
mitverfolgen, mit welchen Strategien die
eine Partei die andere über den Tisch zu
ziehen gedachte. Dieses Wissen hätte einem
echten Angreifer viel Geld an der
Börse und fette Medienschlagzeilen beschert.
Sie würden besser verdienen, wenn Sie
auf eigene Rechnung oder in anderem
Auftrag arbeiten würden...
Medienspiegel www.infosec.ch 42 von 79

(Lacht.) Wir werden für unsere Tätigkeit
anständig bezahlt. Aber Sie haben Recht:
Man braucht nicht nur gutes Vorstellungsvermögen,
sondern auch kriminelle Energie,
um diese Arbeit professionell zu
machen. Es ist wie bei einem erfolgreichen
Kriminologen: Die besten sind jene, die auf
dem Grat zwischen Gut und Böse auf der
richtigen Seite heruntergefallen sind. Eines
unserer Social-Engineering-Teams hat
auch schon mehr oder weniger klare Anfragen
erhalten, sich für kriminelle Zwecke
einspannen zu lassen. Solche Gespräche
beenden wir jeweils unmissverständlich,
bevor die Anrufenden jene Fragen stellen
können, aufgrund deren wir sie bei der Polizei
anzeigen müssten...
Wie können Unternehmen das Risiko
Mensch in den Griff bekommen? Es
braucht den Einbezug des Menschen ins
gesamte Sicherheitskonzept Mit überzeugenden
Sensibilisierungskampagnen in
leicht verständlicher, ja sogar unterhaltsamer
Form haben wir bei unseren Kunden
grossen Erfolg. Sicherheit darf auch etwas
Spass machen!
Kontakt:
cornel.furrer@infosec.ch
Das Interview
«Ein Spion zum Schutz vor Spionage»
mit Herr Matthias Morgenthaler
ist auch erschienen im:
„Anzeiger Luzern“
Ausgabe vom 14. Oktober 2005
„St. Galler Tagesblatt“
Ausgabe vom 2. Juli 2005
„Der Bund“
Ausgabe vom 29. Juni 20505
Medienspiegel www.infosec.ch 43 von 79

Automatisierte Automatisierte Automatisierte IT IT-Sicherheit
IT IT Sicherheit
Security Anbieter von
Sicherheitswerkzeugen für die
IT sprechen inzwischen von
automatisierten Tools. Dabei
geht es genauso um aussagekräftige
Reports wie um die
Realisierung einer zentralen
Steuerung der IT-Sicherheit.
Dem Anwender kommt die
Schlüsselrolle zu.
Volker Richert
Wenn die Spezialisten der IT-
Security von der Automatisierung
ihrer Software sprechen, ist ihnen
sehr daran gelegen, blosse Schlagworte
zu vermeiden. «Denn die
Tools für die Arbeit des IT-
Sicherheitsverantwortlichen werden
zwar immer ausgeklügelter und
auch einfacher zu handhaben. Was
aber in der Praxis zu Missverständnissen
führt, ist, dass ein Werkzeug
immer nur ein Werkzeugbleiben
wird,» sagt Sicherheitsberater
Thomas Oertli von der Berner Infosec.
Automatisierte Tools, die ein
Netzwerk wie von Geisterhand autonom
schützen, tut er als Wunschvorstellung
ab. «Für jedes Werkzeug
brauche es jemanden, der
mindestens weiss, was er damit
überhaupt bearbeitet», fügt Oertli
an. Damit ist klar: Tools für die automatische
IT-Absicherung haben
keineswegs überall ihre Berechtigung.
Sie zahlen sich aber da aus, wo
in kurzer Zeit gesammelte Daten in
aussagekräftige Informationen umgesetzt
werden sollen, wie Reto
Grünenfelder, Sicherheitsspezialist
In diesem Beitrag:
• Grenzen und Möglichkeiten der
automatisierten IT-Sicherheit
• Zur Kongruenz zwischen Mensch
und Security-Tool
• Software, die bereits auf der Idee
des Vulnerability Managements
aufsetzt und entsprechend proaktiv
arbeitet
bei der Zürcher HIS Software, festhält.
Typische Tools seien vor allem
im proaktiven Bereich Vulnerability-Management-Systeme,
wie
sie zum Beispiel von Computer Associates
(CA) mit der E-Trust-
Suite, von Symantec mit der Vulnerability-Assesment-Software,
von
IBM mit Tivoli und von McAfee
mit Foundstone vorlägen. Sie konzentrieren
sich auf die Sicherheit in
komplexen, vernetzten Umgebungen,
stehen für die Auswertung und
Korrelation von Logfiles für das Incident-Management
und für die forensische
Analyse sowie das Security-Reporting.
Dennoch ist auch
für Grünenfelder unbestritten, dass
diese Automatisierung wichtig aber
keineswegs ausreichend ist.
Tools sind ein Muss
Laut Patrick Werren, Spezialist für
Unternehmenssicherheit bei Symantec,
kann man heutzutage fast
alle technischen Vorgänge im Security-Bereich
automatisieren. Das sei
nicht das Problem. Nicht automatisieren
hingegen, unterstreicht Werren
die Aussagen seiner Security-
Kollegen, kann man die Benutzer
respektive Mitarbeiter eines Betriebs.
«Der Risikofaktor Mensch
ist eine Schwachstelle, die nicht unterschätzt
werden darf», sagt er.
Doch um die Verwaltbarkeit
komplexer Netze sicherzustellen,
wird die Security-Automatisierung
eine immer wichtigere Rolle einnehmen,
stellt Werren die Situation
klar. Vorteile gäbe es aber nicht nur
bei der enormen Zeit- und Ressourceneinsparung,
sondern auch Qualitätsstandards,
beispielsweise bei der
automatisierten Auswertung von
Logfiles, könnten eindeutig definiert
werden.
Menschen werten aus
Bei dem Einsatz von automatisierten
Werkzeugen sieht Werren insbesondere
in der Datenauswertung
eine Schwachstelle: «Nicht jeder
IT-Administrator verfügt über das
gleiche Know-how oder bewertet,
trotz bestens definiertem Regelwerk,
die Logfiles gleichwertig.»
Deutlich wird diese Problematik
an einem konkreten Beispiel aus
dem Hause HIS Software. Heutige
Vulnerability-Management-
Systeme produzieren eine Flut von
Informationen, die nur mit sehr
grossem Aufwand abzuarbeiten
sind. Eine relativ einfache Netzwerkinfrastruktur
mit 1000 Hosts,
verteilt auf sechs Class-C-
Netzwerke und durchschnittlich
zwei Schwachstellen pro Host, verursachen
einen Bearbeitungsaufwand
von 125 Personentagen pro
Scan. Das Sicherheitsdilemma der
IT-Verantwortlichen ist, dass kein
Unternehmen diese Ressourcen zur
Verfügung stellen will und kann.
Darum lauten die zu beantwortenden
Fragen: «Wie erkenne ich
die relevanten Risiken? Wie bringe
ich die Risiken unter Kontrolle?
Patrick Werren von Symantec fokussiert die technische IT-Security; Thomas
Oertli ist Sicherheitsberater bei Swiss Infosec in Bern.
Wo setze ich die Ressourcen effizient
ein?», sagt Grünenfelder.
Ausser-dem wären Analyse-Tools
dann wichtig, wenn die Security-
Leute dem CIO (Chief Information
Officer) oder CSO (Chief Security
Officer) Entscheidungshilfen zu liefern
haben: Was die diversen Anbieter
mit ihrer Software allerdings
im Griff haben, ist das rechtzeitige
Erkennen möglicher Bedrohungen.
Entsprechende Schutzmassnahmen
liefern dann die automatisierten Sicherheitssysteme
durch die Auswertung
der Datenarchive nahezu
in Echtzeit. Das automatische Überprüfen
von Hard- und Software erfolgt
zuverlässig über einen definierten
Zeitplan, genauso wie das
Patchen der Betriebssysteme oder
Viren- und Firewall-Lösungen, betont
der Symantec-Mann.
Der Preis treibt an
Auf dem Weg zur Kongruenz von
Mensch und Software zeichnet sich
ein Trend zur Zentralisierung ab.
«In Zukunft werden sicherheitsrelevante
Ereignisse zentral nachvollziehbar
sein und korreliert ausgewertet
werden», führt Oertli diese
Entwicklung aus.
Laut Martin Leuthold, technischer
Sicherheitsberater bei der
Zürcher AWK Group, ist dieser
Trend von den Kosten getrieben:
«Der Druck auf eine Senkung der
Total Cost of Ownership bei Einsatz
solcher Automatisierungsinstrumente
ist klar vorhanden.»
Doch könnten die heute erhältlichen
Tools diese Erwartung bei genauer
Betrachtung kaum erfüllen,
fügt er hinzu, weil deren Be-
triebsaufwand zu gross ist. Mit der
Entwicklung intelligenter Lösungen
für die Korrelation und Verdichtung
der Rohdaten zeichne sich
aber eine klare Verbesserung ab.
Denn der Betriebsaufwand werde
bei sinnvoller Anwendung sinken.
Dazu müssen allerdings die einzelnen
Lösungen aufeinander abgestimmt
und herstellerunabhängig
sein. Frühwarnsysteme, automatisierte
Korrelations- und Schwachstellenanalyse-Tools,Antivirenprogramme,
Firewalls sowie IDS
(Intrusion Detection Systems) und
IPS (Intrusion Prevention Systems)
sollten über eine zentrale Konsole
zu managen sein, konkretisiert
Werren die ambitionierten Ansprüche
an die Hersteller.
Security existiert doch
Trotz der vielen wünschenswerten
Neuerungen arbeiten natürlich die
meisten grossen Unternehmen heute
keineswegs schutzlos. Sie verfügen
über Vulnerability-Assessment-
Tools zur automatisierten Info-
Beschaffung genauso, wie sie in
Frühwarnsysteme investieren, hält
Werren fest. Umfassende Warndienste
für globale Cyber-Angriffe
sind im Einsatz und Threat-
Management-Lösungen existieren,
womit sich Angriffsdaten der meisten
IDS- und Firewall-Hersteller
abgleichen und zu detaillierten Angriffsinformationenzusammenfügen
lassen.
WWW.COMPUTERWORLD.CH
Nr. 17/04 2005
Medienspiegel www.infosec.ch 44 von 79

20 Minuten Bern
15. April 2005
Social Engineering
Plauderi Plauderi sind sind gefährlich
gefährlich
ZÜRICH – Sensible Daten in Firmen
gelangen eher durch unbedarft
plaudernde Angestellte in falsche Hände
als durch Hacker-Attacken: Das ergab
eine Studie der Beratungsfirma Swiss
Infosec. Nur noch 24 Prozent der
befragten Sicherheitsbeauftragten und
Kaderleute aus 330 Schweizer Firmen
erachten eine Attacke über das IT-System
als gefährlich. 66% sehen in den eigenen
Mitarbeitern die grösste Gefahr für
Firmengeheimnisse.
Medienspiegel www.infosec.ch 45 von 79

Klinik und Heim 3/2004
Gezielte Prophylaxe erhöht die Wettbewerbskraft beträchtlich
IT-Sicherheit gerade
im Gesundheitswesen
systematisch anpacken
Fehlende Vorkehrungen und Massnahmen im Bereich der IT-Sicherheit können für Anwender,
insbesondere auch Spitäler und Heime, existenzbedrohende Schäden zur Folge haben.
Ziel aller Aktivitäten im Bereich
Sicherheit ist es, schädigende
Ereignisse für das
Unternehmen, seine Mitarbeitenden
und Partner in Häufigkeit
und Auswirkung auf ein
Minimum zu reduzieren. Erst
wenn der Betrieb als System
gewährleisten kann, dass verschiedene
Stellen die verschiedenen
Probleme methodisch
identisch angehen und die Aktivitäten
kommuniziert und koordiniert
werden können, kann
im Ansatz von einem verantwortungsbewussten
und integralen
Risk Management
gesprochen werden.
Aufgrund der erkannten Risiken
muss ein vordefinierter Ablauf
zur Risikobewältigung in Gang
kommen. Die gemäss dieses
Ablaufs zu ergreifenden Massnahmen
bringen Aufwand mit
sich. Der Nutzen solcher Massnahmen,
der diese gleichzeitig
auch unternehmerisch rechtfertigt,
stellt sich dar als Differenz
zwischen Kosten der jeweiligen
Massnahme und der dadurch
vermiedenen Auswirkungen des
Risikoeintrittes. Besonders
wichtig ist aber auch hier der
Einbezug der potenziellen immateriellen
Schäden in die Berechnung
der Auswirkungen.
Sicherheitskultur etablieren
Alle Bemühungen um Informationssicherheit
müssen zu einem
Bestandteil der
Firmenidentität werden. Innerhalb
der Unternehmung ist deshalb,
als Teilbereich der
Unternehmenskultur, eine Sicherheitskultur
zu etablieren.
Jeder Mitarbeiter eines Spitals
und Heims muss seine Verantwortung
für die Informationssicherheit
wahrnehmen. Für alle
Sicherheitsaktivitäten innerhalb
des Betriebs gilt der Grundsatz:
Prävention vor Schadensausgleich.
Eigenverantwortung
vor Kontrolle und Überwachung.
Um der Bedeutung für Informationssicherheit
gerecht zu werden,
wird innerhalb eines
Spitals oder Heims ein IT-
Sicherheitsbeauftragter (IT-
SIBE) ernannt. Er fungiert als
Ansprechperson und Anlaufstelle
für Mitarbeiter bei Fragen
der Informations- und IT-
Sicherheit und wird durch den
Sicherheitskoordinator (GesamtverantwortlicherInformationssicherheit)
unterstützt.
Irgendwie St. Florian
Die verschiedenen Stellen der
Sicherheitsteilbereiche erarbeiten
heute vielfach zu isolierte
Regelungen und Massnahmen.
So ist es aufgrund von Erfahrung
in Grossunternehmen
durchaus möglich, dass in den
verschiedenen Sicherheitsteilbereichen
dieselben Arbeiten
doppelt oder dreifach erfolgen.
Die Koordination fehlt. Diese
leidige Tatsache hat ein nicht
optimales Kosten-/Nutzen-
Verhältnis des grundlegend
kostenproblematischen Sicherheitsbereiches
zur Folge. So
wird auch kein abgestimmtes
und normiertes Risikoverhalten
eines Betriebs als ganzem erreicht
werden können. Die
grösste Gefahr besteht aller-
dings darin, dass notwendige
Risikominimierungen überhaupt
nicht angegangen werden,
das jede Stelle das Gefühl
hat, die andere sei dafür zuständig.
Hinzu kommt, dass die Stellen
durch das Überbrücken hierarchischer
Hindernisse an Einfluss
und Durchsetzungskraft
verlieren und ihre spezifische
Risikoauffassung nicht bis nach
oben gelangt. Zudem werden
die Verantwortlichen der Sicherheitsteilbereiche
tendenziell
hierarchisch zu tief eingestuft.
Gremium für Integrale Sicherheit
(GIS)
Durch ein zentrales Zusammenziehen
der Stellenverantwortlichen
aus allen von
Sicherheitsfragen betroffenen
Bereichen in einem Gremium
für Intergrale Sicherheit (GIS)
wird eine integrale Sicherheitspolitik
in der Praxis garantiert.
Der Risikoumgang kann vereinheitlicht
und strukturiert
werden.
Das Ziel des GIS ist es, eine
Optimierung der Kommunikation
und Koordination zwischen
den verschiedenen Stellen zu
erreichen sowie eine Plattform
für eine zukünftige, integrale
Sicherheitspolitik zu schaffen.
Das Gremium koordiniert die
IT-Sicherheitsziele mit den Unternehmenszielen
und stimmt
sie mit den IT-Strategien der
einzelnen Unternehmensbereiche
ab.
Sicherheit stellt eine Querschnittaufgabe
dar, die sämtliche
Unternehmensfunktionen
Reto C. Zbinden
reto.zbinden@infosec.ch
Fürsprecher, Chief Executive
Officer, ist seit 15 Jahren Geschäftsleiter
der Swiss Infosec
AG. Seine langjährige Erfahrung
als Projektleiter in verschiedensten
Projekten der
Informations- und IT-Sicherheit
befähigt ihn insbesondere zur
Lösung von komplexen organisatorischen,
konzeptionellen
und technischen Problemstellungen
und deren Umsetzung.
Kostenloses Abo der monatlich
erscheinenden Internet Infosec
News:
Leeres Mail an
infosec@infosec.ch schicken.
Medienspiegel www.infosec.ch 46 von 79

und alle Mitarbeiter tangiert
und Wechselwirkungen mit externen
Stellen unterliegt. Der
Aufbau und Unterhalt einer
hochstehenden, lebendigen Sicherheitskultur
erfordert einen
kontinuierlichen Gedankenaustausch
und ein Abstimmen und
Ineinandergreifen der verschiedenen
Lösungsansätze und
Kompetenzträger. Das GIS zielt
darauf ab, die Teilbereiche Sicherheit
der einzelnen Stellen
einer gesamten Betrachtungsweise
näher zu bringen und zu
koordinieren.
Reibungslose Kommunikation
Die informelle Kommunikation
zwischen den einzelnen Teilbereichsverantwortlichen
soll zu
einer formellen, regelmässigen
und reibungslos funktionierenden
Kommunikation werden.
Eine Koordination der zuständigen
Sicherheitsfachleute der
einzelnen Bereiche kann nur
dann erfolgen, wenn das Zusammenlaufen
der verschiedenen
„Fäden“ in einem Gremium
garantiert wird.
Die Geschäftsleitung bedarf
darüber hinaus einer gezielten
Unterstützung im Bereich der
Sicherheit. Diese Aufgabe soll
vom GIS wahrgenommen werden.
Die zu erbringenden
Dienstleistungen beinhalten eine
ganzheitliche Gestaltung von
Betriebsabläufen unter Berücksichtigung
von Wirtschaftlichkeit,
Qualität, Umsetzbarkeit
und Sicherheit. Das GIS ermöglicht
auch objektivere Entscheide
bezüglich der Gewichtung
von Risikokontrollen und Risikofinanzierung
in den einzelnen
Bereichen, indem es Vorschläge
zur Risikominderung vorlegt,
Risiken identifiziert,
qualifiziert und beurteilt. Dies
wiederum dient letztlich einer
besseren und planbareren Gesamtzielerreichung.
Informationssicherheit und
Datenschutz
Es ist die Aufgabe der Spital-
und Heimleitung, Massnahmen
im Bereich der Informationssicherheit
und des Datenschutzes
zu initiieren bzw. zu unterstützen.
Zu Beginn der Aktivitäten
«Wer Daten
mit Sorgfalt
behandelt, wird
anerkannt und
erhöht sein
Rating.»
sollte eine klare Formulierung
der Zielsetzung, eine pointierte
Darstellung der Wichtigkeit, die
Einsetzung der verantwortlichen
Funktionen und der Aufruf
an sämtliche Mitarbeiter
stehen diese Aktivitäten zu unterstützen.
Dies kann im Rahmen
einer sog.
Informationssicherheitspolitik
erfolgen.
Diese Policy ist anschliessend
zu konkretisieren, Verfahren
sind festzulegen, Verantwortlichkeiten
zu definieren und gegebenenfalls
notwendige
Weisungen zu erstellen. Die
Durchführung einer unternehmensweiten
Risikoanalyse
drängt sich nicht direkt auf. Die
Erfahrung zeit, dass Risikoanalysen
in verschiedenen Unter-
nehmen zu 60-90% identische
Massnahmen und Empfehlungen
zur Folge haben. Deshalb
wird in Abstimmung mit den
international anerkannten Standards
empfohlen, das Verfahren
umzukehren und zu Beginn die
Massnahmen, die dem aktuellen
State-of-the-art entsprechen zu
formulieren (Regelwerk).
Informationseigner definieren
Im Bereich der materiellen Informationsinhalte
ist die Rolle
der Informationseigner (IE) zu
definieren und Mitarbeitenden
zuzuordnen. Die Verantwortung
eines IE bezieht sich auf Ordnung,
Struktur, Inhalt, Benutzung
etc. der ihm zugeordneten
Informationsbestände. Im Sinne
der Gewaltentrennung darf die
Informatik nicht IE der von
Fachabteilungen bearbeitenden
Informationsbestände sein.
Die Rolle der Informatik ist auf
die sichere und ordnungsgemässe
informationstechnische
Verarbeitung und Verwaltung
der Informationsbestände beschränkt.
Auch die Notwendigkeit
eines geordneten und
sicheren Verfahrens zur Erteilung
von Zugriffsberechtigungen
auf Informationen bedingt
die Einführung der IE-
Funktion. Der IE entscheidet,
wer auf welche Informationsbestände
zugreifen darf und wer
nicht. Er hat Zugriffe auf die
ihm zugeordneten Informationsbestände
gutzuheissen.
Da mitttels Anwendungen und
Systemen auf die Informationsbestände
zugegriffen wird,
müssen die IE eng mit den Anwendungsverantwortlichen
(AV) und den Systemverantwortliche
(SV) zusammenarbeiten.
Medienspiegel www.infosec.ch 47 von 79

Netzguide E-Security (Ausgabe März 2004)
Zertifizierung als
Sicherheitsstütze
Die Initiative Security for Business (S4B) hat sich zum Ziel gesetzt, für Unternehmen aller Grössen in
einem kontinuierlichen Optimierungsprozess das Businesssicherheitsniveau zu erhöhen.
Andre Jacomet
Andre Jacomet
Head of Marketing, Swiss Infosec AG,
verfügt über grosse Erfahrung mit
innovativen Ideen und deren
Umsetzung. Seit 23 Jahren bleibt der
Autodidakt am Puls der IT, indem er
alle Facetten von Marketing und
Verkauf über Beratung bis zu Handel
und Support bearbeitet. Andre
Jacomet hat bereits zahlreiche Kurse
gegeben, v. a. in den Feldern Internet-
technologien, Psychologie, Verkaufs-
trainings sowie Persönlichkeitstrainings
und -entwicklung, und er gibt als
kompetenter Berater erfolgreich seine
Erfahrung weiter.
Der Ursprung von BS 7799/ISO 17799
geht auf das Jahr 1987 zurück. Das amerikanische
Commercial Computer Security
Centre (CCSC) hatte damals zwei Hauptaufgaben.
Die eine bestand darin, Herstellern
von IT-Sicherheitsprodukten dabei zu
helfen, international anerkannte Kriterien
zur Evaluierung von Sicherheitsprodukten
und ein darauf basierendes Evaluierungs-
und Zertifizierungsschema zu entwickeln.
Die zweite Aufgabe des CCSC lag in der
Entwicklung eines „Code of Good Security
Practice“. Diese Arbeit resultierte 1989
in der Veröffentlichung des "Users Code
of Practice".
Die Verhaltensrichtlinien wurden später
vom National Computing Centre (NCC)
und einer Gruppe von führenden Unternehmen
und Organisationen weiterentwickelt.
So sollte sichergestellt werden,
dass der Standard sinnvoll und aus Benutzersicht
auch praktisch anwendbar war.
Das Resultat wurde schliesslich als „A Code
of Practice for lnformation Security
Management“ veröffentlicht. Nach weiteren
Arbeiten entstand daraus 1995 der
durch das British Standard Institute (BSI)
herausgegebene britische Standard B5
7799 Teil 1.
BS BS 7799 7799 und und GSBH: GSBH: ein ein Ve Vergleich Ve gleich gleich
Das IT-Grundschutzhandbuch (GSHB) des
deutschen Bundesamts für Sicherheit in
der Informationstechnik beschreibt detaillierte
Sicherheitsmassnahmen, die für jedes
1T-System zu beachten sind. Es umfasst
Standardsicherheitsmassnahmen für
IT-Systeme mit „normalem“ Schutzbedarf,
eine Darstellung der pauschal angenommenen
Gefährdungslage, ausführliche
Massnahmebeschreibungen als Umsetzungshilfe,
eine einfache Verfahrensweise
zur Ermittlung des erreichten IT-
Sicherheitsniveaus in Form eines Soll-Ist-
Vergleiches und eine Beschreibung des
Prozesses zum Erreichen und Aufrecherhalten
eines angemessenen IT-
Sicherheitsniveaus.
Häufig stellt sich die Frage, wie sich das
deutsche GSBH zum britischen BS 7799
(ISO/IEC 17799) verhält. B5 7799 befasst
sich hauptsächlich mit dem letzten Punkt,
also dem Aufbau eines IT-Sicherheitsmanagements
und seiner Verankerung in
der Organisation. Anders als im GSHB
finden sich hier keine detaillierten Umsetzungshinweise,
sondern übergeordnete
Anforderungen. Da das GSHB ausserdem
anders strukturiert ist als BS 7799, ist es
schwierig, beide Werke detaillierter miteinander
zu vergleichen.
Proz Prozessorientiertheit
Proz Prozessorientiertheit
essorientiertheit
Für die Zertifizierung der Informationssicherheitsprozesse
in einer Organisation
oder einem Unternehmen steht unter anderem
die Zertifizierung nach BS 7799
zur Verfügung. Hierbei findet IS0/IEC
17799 als Leitfaden Anwendung. Das
GSHB ist nicht prozessorientiert und enthält
Kataloge mit standardisierten IT-
Sicherheitsempfehlungen aus den Bereichen
Infrastruktur, Organisation, Personal,
Hard- und Software, Kommunikation und
Notfallvorsorge und eine Vielzahl von
Normelementen. Die prozessorientierten
Elemente sind die Sicherheitspolitik, deren
Organisation sowie die personelle.
physische und umgebungsbezogene Sicherheit
in einem. Der Schwerpunkt liegt
auf dem Management einer Vielzahl von
Prozessen. Der B5 7799 bietet den Benutzern
vor allem eine Einleitung für den Aufbau
und den Betrieb eines Informationssicherheitsmanagement-Systems
(ISMS)
an.
Aufgrund der zunehmenden Bedeutung
der Informatik in Banken, Versicherungen,
Industrie und Verwaltung ist der
lnformationssicherheit hoher Stellenwert
Medienspiegel www.infosec.ch 48 von 79

einzuräumen. Dies bedingt auch den
Schutz der Infrastruktur gegen äussere
Einflüsse. Heute hat man die Möglichkeit.
mit den Massnahmen und den Kontrollzielen
des British Standard BS 7799 ein sicheres
ISMS aufzubauen. Der BS7799 ist
ein adäquates Hilfsmittel und kann unter
aktiver Mithilfe von Fachpersonal und Benutzern
eine hohe Sicherheit in der Unternehmung
gewähren. Darüber hinaus
kann mit einer Zertifizierung nach BS
7799 die Konformität mit sämtlichen
Kontrollzielen und Massnahmen im Bereich
Informationssicherheit garantiert
werden.
Hohe Hohe Sicherheit Sicherheit und und wirtschaftlicher wirtschaftlicher Nu Nut- Nu t
zen?
zen?
Da die digitale Kommunikation vor allem
in der Arbeitswelt von elementarer Relevanz
ist, stellt sich zwangsläufig die Frage.
warum für die Sicherheit im elektronischen
Verkehr trotz ihrer existenziellen
Bedeutung bisher kein Standard angestrebt
wurde. Günstige Sicherheitsbedingungen
erzeugen einen wirtschaftlichen
Nutzen. Zum unternehmerischen Nutzen
gehören vor allem eine höhere Wertschöpfung
durch geringere Ausfallzeiten
in Organisations- und Produktionsprozessen,
Reduzierung der Administrationskosten
bei den IT-Systemen, höhere Planungs-
und Entscheidungssicherheit bei
technischen Investitionen, Abschirmung
gegen Wirtschaftskriminalität, günstigere
Verhandlungsposition gegenüber Banken
und Versicherungen. Hinzu kommen positive
vertriebliche Effekte durch qualitative
Differenzierung gegenüber den Mitbewerbern,
umsatzfördernder Vertrauensgewinn
im Markt sowie höhere Erfolgschancen
bei der Teilnahme an öffentlichen
Ausschreibungen. Aus diesem
Grund stellen Investitionen in Sicherheit
entgegen der landläufigen Meinung nicht
nur einen Kostenaspekt dar, sondern erzeugen
gleichzeitig Ertragsvorteile.
Dynamischer Dynamischer Ansatz
Ansatz
Ein einheitliches internationales Security-
Label muss dynamisch angelegt sein und
darf sich nicht auf eine Statusanalyse beschränken.
Unternehmen verändern sich
fortlaufend, die Struktur der Geschäftsbeziehungen
entwickelt sich ebenfalls kontinuierlich.
Deswegen unterliegen die Sicherheitsbedingungen
den gleichen Veränderungen.
Ein Security-Label darf sich
nicht allein auf eine Ist-Analyse beschränken,
sondern muss gleichzeitig eine fortschreitende
Bewertung und Steuerung
der Security-Verhältnisse beinhalten. Die-
se Bedingung wird weder bei einer Produktfokussierung
noch bei den klassischen
Sicherheitsprojekten mit ihren
meist einmaligen Implementierungen
entsprechender Techniken und Organisationsstrukturen
erfüllt.
Deshalb muss es zur Grundcharakteristik
eines Security-Labels gehören, dass ein
dynamischer Ansatz verfolgt wird, der
durch sein Konzept eine hohe Kontinuität
der Sicherheitsverhältnisse gewährleistet.
Die in Deutschland entwickelte Initiative
Security for Business (S4B) hat sich
zum Ziel gesetzt, für Unternehmen aller
Grössen in einem kontinuierlichen Optimierungsprozess
das Businesssicherheitsniveau
zu erhöhen, vergleichbar zu machen
und anerkannte, herstellerneutrale
Nachweise darüber zu erhalten. Dies
deckt die individuellen Sicherheitserfordernisse
der Unternehmen.
Das Vertrauen in die elektronischen
Geschäftskontakte wird gestärkt. Daraus
wiederum resultieren Wettbewerbsvorteile
und höhere Kreditwürdigkeit, siehe
auch Basel II und die Geschäftsbücher-
Verordnung GeBüV.
Vorteile Vorteile einer einer Zertifizierung
Zertifizierung
So können Banken beispielsweise Unternehmen
billigere Kredite gewähren, wenn
diese überein anerkanntes Zertifikat für ihre
IT- und Internetsicherheit verfügen. Die
Zinsnachlässe können bis zu einem Prozent
betragen, wie eine Erhebung unter
«Es muss zur Grundcharakteristik
eines Security-Labels
gehören, dass ein dynamischer
Ansatz verfolgt wird.»
114 Firmenkundenberatern aus Finanzinstituten
ergehen hat. Für 38 Prozent der
befragten Bankvertreter hat ein Sicherheitsnachweis
„in jedem Fall“ einen positiven
Einfluss auf die Zinskonditionen,
weitere 43 Prozent würden „möglicherweise"
Nachlässe gewähren.
Zwei von fünf Firmenkundenberatern
sind in diesem Fall zu Nachlässen von bis
0.5 Prozent bereit, weitere 16 Prozent
würden die Kreditzinsen um bis zu 1,0
Prozent reduzieren. Jeder zehnte Bankvertreter
sieht sogar einen Ermässigungsspielraum
von über einem Prozent. In
deutlicher Mehrheit verweisen die Bankmitarbeitenden
darauf, dass die Sicherheitsbedingungen
von Unternehmen eine
zunehmende Bedeutung bei der Gewährung
von Krediten und Zinskonditionen
spielen.
«Die Banken wissen selbstverständlich
dass deutlich geringere Kreditrisiken bestehen,
wenn die Firmenkunden über sichere
technische Verhältnisse verfügen»,
erläutert Erich Zimmermann, Geschäftsführer
der S4B und Herausgeber der Studie,
die Ergebnisse. «Durch die neuen
Kreditrichtlinien nach Basel II sind sie sogar
dazu verpflichtet, in ihrem Rating die
Security-Bedingungen der Unternehmen
zu berücksichtigen und mögliche Risiken
durch höhere Zinsen auszugleichen.»
Vertrauen Vertrauen Vertrauen in in elektronische elektronische Geschäftsb Geschäftsbe-
Geschäftsb e
ziehungen
ziehungen
Wer in Zukunft für ein bestimmtes Security-Label
zertifiziert ist, kann davon ausgehen,
dass der Markt seine formale und
technische Sicherheitsstruktur für die
Kommunikation mit Geschäftspartnern
kennt und er dadurch Vertrauen erzeugt.
Vertrauen in eine elektronische Geschäftsbeziehung
ist aber nur die Basis,
auf der sich ein konkretes Angebots- und
Nachfrageverhältnis bis zum Vertragsabschluss
entwickelt. Auf dieser Stufe ist neben
den vom Geschäftscharakter bestimmten
fachlichen Merkmalen die lnteroperabilität
der kommunizierenden Systeme
von entscheidender Bedeutung.
Ein Security-Label definiert dicht nur
ein bestimmtes Sicherheitsniveau, sondern
auch die dabei eingesetzten Methoden
und Verfahren. Somit wird auch die
Interoperabilität gewährleistet. Kurz: Ein
Security-Label bietet Vertrauen und
Machbarkeit.
Die Verbreitung eines Security-Labels
verlangt Vorgehensmodelle, die insbesondere
auf die Mentalität und Anforderungen
von KMUs zugeschnitten sind.
Denn die grössten Sicherheitsdefizite bestehen
nach übereinstimmenden Erkenntnissen
unterschiedlicher Analysen im
Mittelstand. Hier ist das entsprechende
Bewusstsein geringer ausgeprägt. Das
elektronische Business gehört noch nicht
in der gleichen Weise wie bei Grossunternehmen
zur Tagesordnung.
Da die Wirtschaft immer feingliedriger
digital vernetzt wird, sind mittelständische
Firmen, die oft Zuliefererstatus aufweisen,
gezwungen, ihre Komumunikations-
und Sicherheitsstrategien vermehrt
den Grossunternehmen anzupassen. Insofern
gehört zu den Grundanforderungen
eines allgemein verbindlichen Security-
Labels, dass die Methoden und Kosten
der Realisierung den Möglichkeiten des
Mittelstands entsprechen. Ebenso bedarf
es einer breiten Koalition mit Lösungsanbietern,
Beratungshäusern und auch
Branchenverbänden, um diesen Standard
im Markt zu verbreiten. �
Medienspiegel www.infosec.ch 49 von 79

digma 2003.4
Praxis
Richtige Planung von
IT-Security-Projekten
Reto C. Zbinden,
Fürsprecher,
CEO Swiss Infosec AG,
Bern
reto.zbinden@infosec.ch
Die Sensibilisierung für die
Notwendigkeit von Aktivitäten
im Bereich der Informationssicherheit
ist aufgrund
medienwirksamer Ereignisse
stark gefördert worden.
Nach wie vor ist aber festzustellen,
dass in zu vielen Unternehmen
zu wenig Wert
auf einen angemessenen
Stand der Informationssicherheit
gelegt wird. Es wird
wohl davon ausgegangen,
es treffe nur die anderen.
Die bekannt werdenden Sicherheitsvorfälle
stellen nur
die Spitze des Eisberges
darunter der Wasseroberfläche
lauert eine hohe Dunkelziffer.Informationssicherheit
wird dort ernst genommen,
wo einschneidende
Schäden oder
Beinaheschäden eintraten:
aus Schaden klug zu werden,
kann zu spät sein.
Begriffliches
Ziel aller Aktivitäten im
Bereich Sicherheit ist es,
schädigende Ereignisse für
das Unternehmen, seine
Mitarbeiter, Partner und die
Umwelt in Häufigkeit und
Auswirkung auf ein Minimum
zu reduzieren.
Die Sicherheit eines Systems
ist dann gegeben,
wenn es sich zuverlässig,
d.h. gemäss den ihm gegebenen
Regeln, verhält und
gegebenenfalls unzuverlässiges,
nicht regelkonformes
Verhalten bemerkt und die
nötigen Gegenmassnahmen
zur Kompensation des fehlerhaften
Verhaltens einleitet.
Eine vollkommene
Kongruenz zwischen externer
Ordnung und tatsächlichem
Verhalten - absolute
Sicherheit eines Systems
kann nicht erreicht werden.
Die relative Sicherheit lässt
sich mittels Massnahmen
verbessern, die umso aufwändiger
werden, je mehr
die Nähe zur absoluten Sicherheit
erreicht werden soll
(sinkender Grenznutzen).
Informationssicherheit
wird definiert als das angemessene
und dauernde Gewährleisten
der Verfügbarkeit,
Integrität und Vertraulichkeit
der IT-Ressourcen
und der damit bearbeiteten
oder übertragenen Informationen.
Die Informationssicherheit
dient dem Schutz
sämtlicher Informationen
ungeachtet der Art ihrer
Darstellung und Speicherung.
Die Informatiksicherheit
oder lT-Sicherheit
befasst sich mit elektronisch
bearbeiteten Informationen.
Der Begriff des Informationsschutzes
ist ein ursprünglich
militärischer
Begriff, unter dem der
Schutz der Vertraulichkeit
von Informationen verstanden
wird, unabhängig von
der Art ihrer Darstellung
und Speicherung.
Informationssicherheit verursacht
einen Aufwand, der
wirtschaftlich vertretbar sein
muss. Er stellt keinen Kostenfaktor
dar, sondern ist
eine Vorleistung, um Verluste
zu vermeiden.
Externe Anforderungen
Anforderungen
Es fehlen durchwegs konkreteHandlungsanweisungen
im Bereich der
Informationssicherheit auf
gesetzlicher Ebene. Anders
im Ausland: In Deutschland
gilt seit Mai 1998 das Gesetz
zur Kontrolle und
Transparenz im Unternehmensbereich
(KonTraG), das
Unternehmen verpflichtet,
ein internes Riskmanagement
zu implementieren.
Es wäre wünschenswert,
wenn Branchenverbände
hier in die Bresche springen
würden und ihren Mitgliedern
klare und einheitliche
Standardmassnahmen zur
Verfügung stellen würden.
Hier sieht der Autor auch
die Chance für KMU, zukünftig
Sicherheit effizient
und kostengünstig erreichen
zu können.
Indirekte Impulse werden
zukünftig bspw. von der
umfassenden gesetzlichen
Berücksichtigung der Digitalen
Unterschrift und der seit
Mitte 2002 gültigen Geschäftsbücherverordnung
ausgehen, die neu u.a. die
Speicherung der allgemeinenGeschäftskorrespendenz
auf wieder
beschreibbaren Datenträ-
Medienspiegel www.infosec.ch 50 von 79

gern zulässt, sofern gewisse
Sicherheitsanforderungen
erfüllt sind.
Starke Impulse werden
vom Basel II Abkommen
ausgehen. Ab voraussichtlich
2006 solle das Mass der
Eigenkapitalunterlegung
von Bankinstituten u.a. auch
abhängig davon sein, inwieweit
operative Risiken
nachhaltig bewältigt werden.
Diese Abhängigkeit
werden die Banken an ihre
Kunden weitergeben und
ihre Ratingverfahren um
den Bereich operative Risiken
erweitern. Wer zukünftig
operative Risiken gut
bewältigt, wird weniger
Zinskosten zu gewärtigen
haben.
Sicherheitspolitik
Das Management muss
der Sicherheit einen umfassenden
Stellenwert einräumen,
die Sicherheitskultur
vorzeichnen und im Unternehmen
verbreiten, umsetzen
und ständig kultivieren.
Es ist die Aufgabe der Geschäftsleitung,
Massnahmen
im Bereich der Informationssicherheit
zu initiieren
und aktiv zu tragen. Alle
Vorgesetzten müssen sich
ihrer Vorbildfunktion bewusst
sein. Sicherheitsprojekte
werden häufig von
Mitarbeitern eingefädelt
und nicht seitens des Top
Managements initiiert.
Gleichwohl muss in jedem
Falle und sehr schnell die
Diskussion mit dem Top
Management gesucht werden.
Erst diese Kontakte geben
dem Projekt Sicherheit
Inhalt, Richtung und Bedeutung.
Im Rahmen des Projektes
Sicherheit ist
unbedingt u.a. zur Aufrechterhaltung
der Management
Attention darauf zu
achten, Projektlieferungen
regelmässig und in kurzen
Abständen zur Diskussion
und Genehmigung vorlegen
zu können.
Im Rahmen einer Politik
sind im Diskurs mit dem
Top Management und den
eingesetzten Sicherheitsfunktionen
die Sicherheitsziele
zu definieren, die
Grundsätze für die einzelnen
Sicherheitsbereiche zu formulieren
und der Ablauf der
Risikoerkennung, -bewertung
und -überprüfung festzulegen.
Die Sicherheitspolitik
soll einige wenige Seiten
umfassen und mindestens
drei bis fünf Jahre Gültigkeit
behalten können. Sie bildet
für die darin eingesetzten
Funktionen Auftrag zur weiteren
Konkretisierung.
Generell gilt es an dieser
Stelle darauf hinzuweisen,
dass Sicherheitsanforderungen
und -festlegungen sehr
individuell ausgestaltet sind
bzw. werden müssen. Dies
verbietet dementsprechend
die ungeprüfte Übernahme
von Musterkonzepten. Die
intensive Auseinandersetzung
mit dem Thema bzw.
mit Vorlagen und Mustern
und deren Anpassung ist
Garant für angemessene
und bedürfnisgerechte Aktivitäten.
Sicherheitskonzept
Das Hauptziel eines Informationssicherheitskonzeptes
ist die betriebliche
Organisation der Sicherheit
aller Informationen im Rahmen
der gesetzlichen, vertraglichen
und internen
Anforderungen. Mit der
Festlegung von Massnahmen,
der Definition von
Aufgaben, Verantwortlichkeiten
und Kompetenzen für
Funktionen und Gremien
sollen die Informationen
und damit auch die für ihre
Bearbeitung benötigten IT-
Systeme so geschützt werden,
dass die Informationssicherheit
unternehmensweit gewährleistet
wird. Das Konzept
beschreibt einheitliche und
standardisierte Methoden
zur Identifikation und der
regelmässigen Überprüfung
von Risiken, sowie zur Festlegung
von Sicherheitsregeln
und –massnahmen
Regelwerk
Sicherheitsmassnahmen
bilden die Grundlage zur Erreichung
einer angemessenen
Informationssicherheit.
Sicherheitsmassnahmen ha-
ben zudem die gesetzlichen
Erfordernisse und die internen
Anforderungen zu erfüllen.
Die grosse Komplexität
des Themas und der galoppierende
Fortschritt und
Wandel im Bereich Informatik
und Telekommunikation
zwingen im Bereich der Informationssicherheit
zu umfassenden
und klar
strukturierten Massnahmen.
Es müssen jedoch keine umfassenden
Risikoanalysen
durchgeführt werden, um
die Informationssicherheit
eines Unternehmens nachhaltig
verbessern zu können.
Es sind viel mehr generelle
Regeln (Baselines) zum Umgang
mit Informationen und
deren elektronische Verarbeitung
zu formulieren, zu
kommunizieren, zu schulen
und umzusetzen und auf
deren Einhaltung hin zu
kontrollieren. Noch wird nur
selten darauf Wert gelegt,
dass alle Mitarbeiter des Unternehmens
die klar formulierten
Spielregeln im
Umgang mit Informationen
kennen, beherrschen, einhalten
und diese in gelenkten
Bahnen laufend
verbessert werden.
Zum Schutz der Informationen
sind technische, organisatorische
und administrativeSicherheitsmassnahmen
zu definieren, die
in einem Regelwerk zusammengefasst
werden können.
Ein solches Regelwerk kann
ungefähr 80 bis 90% der Sicherheitsbestimmungen
und Massnahmen im Bereich
der Informationssicherheit
abdecken. In den
übrigen Bereichen sind eigentliche
Risikoanalysen, deren
Erkenntnisse wiederum
in das Regelwerk einfliessen
Kurz und bündig
Noch heute wähnen sich viele Firmen punkto Anfälligkeit ihrer
IT-Systeme in trügerischer Sicherheit. Oft ist ein Schadensereignis
nötig, um dem Topmanagement die
Notwendigkeit von Sicherheitskonzepten vor Augen zu führen.
Hierzu kommen der nicht direkt erkennbare wirtschaftliche
Nutzen sowie fehlende Regelungen auf gesetzlicher
Ebene. Als hilfreiche Basis für die Erarbeitung wirksamer
Konzepte sollen verschiedene Standards sowie generelle
Regeln dienen. Weitere Impulse erhofft man sich von der
2002 erlassenen Geschäftsbücherverordnung oder vom Abkommen
Basel II.
Medienspiegel www.infosec.ch 51 von 79

müssen, Als Basis kann einerseits
auf das IT-
Grundschutzhandbuch des
Bundesamtes für Sicherheit
in der Informationstechnik
zurückgegriffen werden, das
konkrete Empfehlungen zur
Anwendung von Standard-
Sicherheitsmassnahmen für
eine Reihe von typischen IT-
Systemen und Einsatzumgebungen
formuliert
(www.bsi.de). Andererseits
kann der Code of Practice
for Information Security
Management (CoP), ISO
17799/BS 7799 zugezogen
werden. Für beide Grundwerke
sind Zertifizierungen
möglich.
Organisation
Organisation
Ein Mitglied der Geschäftsleitung
ist als Delegierter
und Ansprechpartner
für die Integrale Sicherheit
und somit auch die Informationssicherheit
zu bestimmen.
Diese Funktion des
«Sicherheits-Göttis» soll die
sogenannte Management
Attention und damit den Erfolg
der Vorhaben im Sicherheitsbereich
sicherstellen und ist gemäss
unserer Erfahrung von zentraler
Bedeutung. Ihm zur
Seite zu stellen ist ein Fachgremium,
das sich aus den
einzelnen Fachbeauftragten
der Sicherheitsteilbereiche
zusammensetzt. Das Ziel
dieses Gremiums ist es, die
Aktivitäten im gesamten Sicherheitsbereich
zu koordinieren,
zu lenken und
Synergien zu erkennen und
auszunutzen.
Eine wichtige organisatorische
Massnahme ist die
frühe Einsetzung eines internen
Fachbeauftragten für
Informationssicherheit. Soweit
es die Grösse des Unternehmens
zulässt, sollten
aufgrund möglicher Interessenkonflikte
keine Mitarbeiter
der IT-Abteilung mit
dieser Aufgabe betraut werden.
Aufgabe des Information
Security Officers (ISO) ist die
Beratung der Geschäftsleitung
in Fachfragen, Vorgehenspläne
zu entwickeln
und Anlaufstelle für alle Mit-
arbeiter zu sein. Als Stabstelle
kommt dem ISO keine
Weisungskompetenz zu.
Diese verbleibt in der Linie.
Es liegt in der Verantwortung
jedes Mitarbeiters und
aller Vorgesetzten in ihrem
Führungsbereich, die Informationssicherheit
im Rahmen
der Vorgaben
umzusetzen. ISOs in Kleinunternehmen
können
durchaus auch im Nebenamt
diese Funktion ausüben.
Dem ISO ist insbesondere
in der Aufbauphase eine Arbeitsgruppe
zur Seite zu
stellen, in welcher Vertreter
aus der Fachabteilung, der
IT, der Telekommunikation
und der Rechtsabteilung
Einsitz nehmen sollten. Die
Arbeitsgruppe stellt neben
ihrer Unterstützung des ISO
eine erste Multiplikationsfunktion
dar.
Klassifizierung
Klassifizierung
Klassifizierung
Gewisse Informationen,
nämlich die erhöht vertraulichen
Informationen, dürfen
im Interesse des
Unternehmens, der Mitarbeiter
und der Kunden nur
einem begrenzten Kreis von
Personen offenbart werden.
Gewisse Informationen unterliegen
gesetzlichen oder
vertraglichen Vertraulichkeitsgeboten(Bankgeheimnis).
Sie sind zu kennzeichnen
und entsprechend
zu behandeln. Der Vertraulichkeitsanspruch
soll über
den jeweiligen Klassifizierungsvermerk
manifestiert
werden. Neben der Vertraulichkeit
(aufgrund interner,
strategischer Anforderungen)
sind Schutzobjekte (Informationen,
Applikationen,
II-Ressourcen, usw.) gegebenenfalls
in den Bereichen
Verfügbarkeit, Datenschutzrelevanz,Vertrauenswürdigkeit,
Archivierung, usw. zu
klassifizieren.
Die Klassifizierung von Informationen
soll den Mitarbeitern
Anhaltspunkt dafür
sein, welche Sicherungsmassnahmen
sie zum
Schutz dieser Informationen
zu ergreifen haben. So muss
bspw. der unsichere, unver-
schlüsselte Versand klassifizierter
Informationen
verboten werden. Der Aktualitätsgrad
beeinflusst in
grossem Masse die Klassifizierung
im Bereich der Vertraulichkeit.
Einschränkungen, d.h. klassifizierte
Informationen, sind
deshalb nur solange hinzunehmen,
wie sich diese lohnen.
Deshalb müssen die
Verantwortlichen regelmässig
die Notwendigkeit der
Klassifizierung prüfen. Um
über die Schutzbedürftigkeit
/ Klassifizierung von Informationen
zu entscheiden,
müssen diese einer Analyse
unterzogen werden, deren
Ziel es ist, den Informationsträger
(auch Produkte
und Rohentwürfe) einer
bestimmten Vertraulichkeits
bzw. Sicherheitsstufe
zuzuordnen. Je nach Klassifizierung
sind dann
unterschiedliche Behandlungsregeln,
beispielsweise
bei Verarbeitung, Aufbewahrung,
Versand, Archivierung,
Auslagerung usw.
unbedingt zu beachten. Es
müssen Verhaltensregeln im
Umgang mit klassifizierten
Informationen aufgestellt
werden. Zu regeln sind z.B.
Transport, Standort, Verantwortlichkeit,Duplizierung,
Tieferstufung, Weitergabe,
Sicherheitsbehältnisse
etc.
Verantwortlich für die
Klassifizierung sind die
0wner des jeweiligen
Schutzobjektes. Die Owner
sind dementsprechend auszubilden
und in ihre Pflichten
einzuführen. Ein
Unternehmen, das Teile der
Verarbeitung und des Betriebes
auslagert, muss sich
bewusst sein, dass die Klassifizierung
in den oben erwähnten
Schutzbereichen
Aufgabe des Unternehmens
bleibt und dementsprechend
den extern betriebenen
IT-Ressourcen interne
Owner zugeordnet werden
müssen, die die Klassifizierung
vornehmen. Die entsprechendenLeistungsvereinbarungen
oder Service
Level Agreements sind entsprechend
den jeweiligen
Klassifizierungen zu formulieren.
Frage Frage der der Zeit
Zeit
Sicherheitsanforderungen
werden im Rahmen von IT
Projekten nach wie vor zu
wenig berücksichtigt. Gerade
aber in den Projekten
wird die Zukunft des Unternehmens
festgelegt. Risiken
und Gefährdungen werden
meist zu spät oder gar nicht
erkannt. Die notwendigen
Massnahmen zur Abwendung
dieser Gefahren werden
deshalb bei der
Budgetierung nicht berücksichtigt.
Hinzu kommt, dass
eine nachträgliche Umsetzung
der notwendigen
Massnahmen aus technischen
oder zeitlichen Gründen
häufig nicht oder nur
sehr beschwerlich durchführbar
ist. Die möglichen
Risiken müssen dementsprechend
möglichst früh eruiert
werden, damit die notwendigenSicherheitsmassnahmen
definiert und
vorbereitet werden können.
Erhöhte materielle Risiken
haben ihren Ursprung meistens
im Einsatz neuer Technologien
und/oder der
erhöhten Schutzwürdigkeit
der betroffenenen Informationen,
Applikationen und
Systemen. Um die Sicherheit
nachvollziehbar und
angemessen im Rahmen der
Projekte abzudecken, werden
in den Lifecycle Hilfsmittel
in Form von Checklisten
für jede Phase integriert,
die es dem Projektverantwortlichen
möglich machen,
sein Projekt phasengerecht
auf nötige Sicherheitsmassnahmen
zu überprüfen
und hochschutzbedürftige
Elemente zu identifizieren.
Die ausgefüllten
Checklisten werden zum
Abschluss der Phase dem Sicherheitsspezialisten
der Unternehmung
vorgelegt, der
anschliessend die notwendigen
Vorkehrungen auf ihre
Umsetzung hin prüft. Ist
die Umsetzung in ausreichendem
Mass erfolgt, kann
das Projekt aus Sicht der Security
für die nächste Phase
freigegeben werden. �
Medienspiegel www.infosec.ch 52 von 79

3/03
Gezielte Prophylaxe erhöht die Wettbewerbskraft beträchtlich
Organisation der IT-Sicherheit
systematisch anpacken
Fehlende Vorkehrungen und Massnahmen im Bereich
der IT-Sicherheit können für Anwender, insbesondere
auch KMU, existenzbedrohende Schäden zur Folge haben.
von Reto C. Zbinden
Ziel aller Aktivitäten im Bereich Sicherheit ist es, schädigende Ereignisse
für das Unternehmen, seine Mitarbeitenden und Partner in
Häufigkeit und Auswirkung auf ein Minimum zu reduzieren. Erst
wenn das Unternehmen als System gewährleisten kann, dass verschiedene
Stellen die verschiedenen Probleme methodisch identisch
angehen und die Aktivitäten kommuniziert und koordiniert
werden können, kann im Ansatz von einem
verantwortungsbewussten und integralen
Risk Management gesprochen werden.
Aufgrund der erkannten Risiken muss ein
vordefinierter Ablauf zur Risikobewältigung
in Gang kommen. Die gemäss dieses Ablaufs
zu ergreifenden Massnahmen bringen
Aufwand mit sich. Der Nutzen solcher Massnahmen, der diese
gleichzeitig auch unternehmerisch rechtfertigt, stellt sich dar als
Differenz zwischen Kosten der jeweiligen Massnahme und der
dadurch vermiedenen Auswirkungen des Risikoeintrittes. Besonders
wichtig ist aber auch hier der Einbezug der potenziellen immateriellen
Schäden in die Berechnung der Auswirkungen.
Sicherheitskultur etablieren
Alle Bemühungen um Informationssicherheit müssen zu einem
Bestandteil der Firmenidentität werden. Innerhalb der Unternehmung
ist deshalb, als Teilbereich der Unternehmenskultur, eine
Sicherheitskultur zu etablieren.
Jeder Mitarbeiter der Unternehmung muss seine Verantwortung
für die Informationssicherheit wahrnehmen. Für alle Sicherheitsaktivitäten
innerhalb der Unternehmung gilt der Grundsatz:
Prävention vor Schadensausgleich.
Eigenverantwortung vor Kontrolle und Überwachung.
Um der Bedeutung für Informationssicherheit gerecht zu werden,
wird innerhalb der Unternehmung ein IT-Sicherheitsbeauftragter
(IT-SIBE) ernannt. Er fungiert als Ansprechperson und Anlaufstelle
für Mitarbeiter bei Fragen der Informations- und IT-Sicherheit und
wird durch den Sicherheitskoordinator (Gesamtverantwortlicher Informationssicherheit)
unterstützt.
Irgendwie St. Florian
«Wer Daten mit Sorgfalt
behandelt, wird anerkannt
und erhöht sein Rating»
Die verschiedenen Stellen der Sicherheitsteilbereiche erarbeiten heute
vielfach zu isolierte Regelungen und Massnahmen. So ist es aufgrund
von Erfahrung in Grossunternehmen durchaus möglich, dass
in den verschiedenen Sicherheitsteilbereichen dieselben Arbeiten
doppelt oder dreifach erfolgen. Die Koordination fehlt. Diese leidige
Tatsache hat ein nicht optimales Kosten-/Nutzen-Verhältnis des
grundlegend kostenproblematischen
Sicherheitsbereiches zur Folge. So wird auch
kein abgestimmtes und normiertes
Risikoverhalten eines Unternehmens als
ganzem erreicht werden können.
Die grösste Gefahr besteht allerdings darin,
dass notwendige Risikominimierungen
überhaupt nicht angegangen werden, da jede Stelle das Gefühl hat,
die andere sei dafür zuständig.
Hinzu kommt, dass die Stellen durch das Überbrücken hierarchischer
Hindernisse an Einfluss und Durchsetzungskraft verlieren und ihre
spezifische Risikoauffassung nicht bis nach oben gelangt. Zudem
werden die Verantwortlichen der Sicherheitsteilbereiche tendenziell
hierarchisch zu tief eingestuft.
Gremium für Integrale Sicherheit (GIS)
Durch ein zentrales Zusammenziehen der Stellenverantwortlichen
aus allen von Sicherheitsfragen betroffenen Bereichen in einem
Gremium für Integrale Sicherheit (GIS) wird eine integrale Sicherheitspolitik
in der Praxis garantiert. Der Risikoumgang kann vereinheitlicht
und strukturiert werden.
Das Ziel des GIS ist es, eine Optimierung der Kommunikation und
Koordination zwischen den verschiedenen Stellen zu erreichen sowie
eine Plattform für eine zukünftige, integrale Sicherheitspolitik zu
Medienspiegel www.infosec.ch 53 von 79

schaffen. Das Gremium koordiniert die IT-Sicherheitsziele mit
den Unternehmenszielen und stimmt sie mit den IT-Strategien der
einzelnen Unternehmensbereiche ab.
Sicherheit stellt eine Querschnittaufgabe dar, die sämtliche Unternehmensfunktionen
und alle Mitarbeiter tangiert und Wechselwirkungen
mit externen Stellen unterliegt. Der Aufbau und Unterhalt
einer hochstehenden, lebendigen Sicherheitskultur erfordert einen
kontinuierlichen Gedankenaustausch und ein Abstimmen und Ineinandergreifen
der verschiedenen Lösungsansätze und Kompetenzträger.
Das GIS zielt darauf ab, die Teilbereiche Sicherheit der
einzelnen Stellen einer gesamten Betrachtungsweise näher zu
bringen und zu koordinieren.
Reibungslose Kommunikation
Die informelle Kommunikation zwischen den einzelnen Teilbereichsverantwortlichen
soll zu einer formellen, regelmässigen und
reibungslos funktionierenden Kommunikation werden. Eine Koordination
der zuständigen Sicherheitsfachleute der einzelnen Bereiche
kann nur dann erfolgen, wenn das Zusammenlaufen der
verschiedenen «Fäden» in einem Gremium garantiert wird.
Die Geschäftsleitung bedarf darüber hinaus einer gezielten Unterstützung
im Bereich der Sicherheit. Diese Aufgabe soll vom GIS
wahrgenommen werden. Die zu erbringenden Dienstleistungen
beinhalten eine ganzheitliche Gestaltung von Geschäftsabläufen
unter Berücksichtigung von Wirtschaftlichkeit, Qualität, Umsetzbarkeit
und Sicherheit. Das GIS ermöglicht auch objektivere Entscheide
bezüglich der Gewichtung von Risikokontrollen und
Risikofinanzierung in den einzelnen Bereichen, indem es Vorschläge
zur Risikominderung vorlegt, Risiken identifiziert, qualifiziert
und beurteilt. Dies wiederum dient letztlich einer besseren
und planbareren Gesamtzielerreichung.
Informationssicherheit und Datenschutz
Es ist die Aufgabe der obersten Direktion, Massnahmen im Bereich
der Informationssicherheit und des Datenschutzes zu initiieren
bzw. zu unterstützen. Zu Beginn der Aktivitäten sollte eine
klare Formulierung der Zielsetzung, eine pointierte Darstellung
der Wichtigkeit, die Einsetzung der verantwortlichen Funktionen
und der Aufruf an sämtliche Mitarbeiter stehen, diese Aktivitäten
zu unterstützen. Dies kann im Rahmen einer sogenannten Informationssicherheitspolitik
erfolgen.
Diese Policy ist anschliessend zu konkretisieren, Verfahren sind
festzulegen, Verantwortlichkeiten zu definieren und gegebenenfalls
notwendige Weisungen zu erstellen. Die Durchführung einer unternehmensweiten
Risikoanalyse drängt sich nicht direkt auf. Die Erfahrung
zeigt, dass Risikoanalysen in verschiedenen Unternehmen
zu 60-90% identische Massnahmen und Empfehlungen zur Folge
haben. Deshalb wird in Abstimmung mit den international anerkannten
Standards empfohlen, das Verfahren umzukehren und zu Beginn
die Massnahmen, die dem State-of-the-art entsprechen, zu formulieren
(Regelwerk).
Informationseigner definieren
Im Bereich der materiellen Informationsinhalte ist die Rolle der Informationseigner
(IE) zu definieren und Mitarbeitenden zuzuordnen.
Die Verantwortung eines IE bezieht sich auf Ordnung, Struktur, Inhalt,
Benutzung etc. der ihm zugeordneten Informationsbestände. Im
Sinne der Gewaltentrennung darf die Informatik nicht IE der von
Fachabteilungen bearbeiteten Informationsbestände sein. Die Rolle
der Informatik ist auf die sichere und ordnungsgemässe informationstechnische
Verarbeitung und Verwaltung der Informationsbestände
beschränkt. Auch die Notwendigkeit eines geordneten und
sicheren Verfahrens zur Erteilung von Zugriffsberechtigungen auf
Informationen bedingt die Einführung der IE-Funktion. Der IE entscheidet,
wer auf welche Informationsbestände zugreifen darf und
wer nicht. Er hat Zugriffe auf die ihm zugeordneten Informationsbestände
gutzuheissen.
Da mittels Anwendungen und Systemen auf die Informationsbestände
zugegriffen wird, müssen die IE eng mit den Anwendungsverantwortlichen
(AV) und den Systemverantwortlichen (SV)
zusammenarbeiten.
Reto C. Zbinden reto.zbinden@infosec.ch
Fürsprecher, Chief Executive Officer, ist seit
15 Jahren Geschäftsleiter der Swiss lnfosec
AG. Seine langjährige Erfahrung als Projektleiter
in verschiedensten Projekten der Informations-
und lT-Sicherheit befähigt ihn
insbesondere zur Lösung von komplexen organisatorischen,
konzeptionellen und technischen
Problemstellungen und deren
Umsetzung.
Kostenloses Abo der monatlich erscheinenden
Internet Infosec News:
Leeres Mail an infosec@infosec.ch schicken.
Medienspiegel www.infosec.ch 54 von 79

Klinik und Heim 4/2003
Mehr Sicherheit für Mensch und Daten
Zwischen Hightech und
Persönlichkeitsschutz
An der Universität des US-Bundesstaats Montana gerieten im Jahr 2001 über 400 Seiten
psychologischer Tests, Analysen und Aufzeichnungen von 62 Kindern auf ungeklärte Weise
ins Internet, wo sie für acht Tage für jedermann zugänglich waren. Dieses Beispiel einer Datenschutzverletzung
zeigt deutlich, wie heikel die elektronische Bearbeitung sensibler Daten,
wie Patientendaten sie darstellen, ist. Neue Technologien ermöglichen eine effiziente Verarbeitung
grosser Datenmengen. Dabei darf aber gerade im Gesundheitswesen nicht vergessen
werden, dass Patientendaten einen erhöhten Schutz geniessen.
Die Zunahme von elektronischen
Personendaten ist im Gesundheitswesen
auf zwei
Gründe zurückzuführen. Einerseits
ist der Kostendruck immer
grösser geworden. Rationellere
Datenverarbeitungssysteme
wurden daher vermehrt eingesetzt.
Andererseits fielen die
enormen Datenmengen erst
durch den Einsatz neuer Technologien
wie digitale Patientendossiers,
Telemedizin oder
elektronischer Zahlungsverkehr
an.
Datenschutz und Informationssicherheit
Datenschutz, als Erweiterung
des Persönlichkeitsschutzes, regelt
die Bandbreite, innerhalb
derer eine Datenbearbeitung legitim
erscheint und verpflichtet
legitime Bearbeiter, gewisse
Schutzmassnahmen zu treffen
(Datensicherheit). Datenschutz
bildet einen Teil der Informationssicherheit.
Informationssicherheit wird definiert
als das angemessene und
dauernde Gewährleisten der
Verfügbarkeit, Integrität und
Vertraulichkeit der IT-Ressourcen
und der damit bearbeiteten
oder übertragenen Informationen.
Die Informationssicherheit
dient dem Schutz sämtlicher Informationen
ungeachtet der Art
ihrer Darstellung und Speicherung.
Die Informatik- oder IT-
Sicherheit befasst sich mit
elektronisch bearbeiteten Informationen.
Der Begriff des
Informationsschutzes ist ein ursprünglich
militärischer Begriff,
unter dem der Schutz der Vertraulichkeit
von Informationen
verstanden wird, unabhängig
von der Art ihrer Darstellung
und Speicherung.
Vertraulichkeit bedeutet, dass
Informationen und die zu ihrer
Bearbeitung und Übertragung
verwendeten Schutzobjekte nur
Berechtigten zugänglich sind
(nur befugter Informationsbezug).
Die Vertraulichkeit ist
gewährleistet, wenn die als
schutzwürdig definierten Objekte
nur berechtigten Subjekten
offenbart werden.
Verfügbarkeit bedeutet, dass
das IT-System und die damit
bearbeiteten Informationen den
Berechtigten in voller Funktionalität
zur Verfügung stehen.
Ein berechtigter Benutzer soll
nicht abgewiesen werden. Die
Verfügbarkeit ist dann gewährleistet,
wenn die berechtigten
Subjekte dauernd innerhalb der
gemeinsam als notwendig definierten
Frist auf die zur Durchführung
ihrer Aufgaben benötigten
Schutzobjekte zugreifen
können, die notwendigen Massnahmen
erarbeitet, durchgesetzt
und eingeübt sind, die es bei
Störungen erlauben, die Verfügbarkeit
fristgerecht wieder
herzustellen bzw. zu sichern.
Der Informationssicherheit
dienen alle Vorkehrungen,
• die Verlust und Verfälschungen
von Informationen vermeiden,
erkennen und
beheben,
• die Verlust und Manipulation
von Informationssystemen
und Datenträgern verhindern,
• die die Aufrechterhaltung
des Geschäftsbetriebes bei
Störung oder Ausfall von Informationssystemengewährleisten
(bspw. in
Katastrophenfällen),
• die verhindern, dass Informationen
zufällig, fahrlässig
oder vorsätzlich Unberechtigten
zugänglich gemacht
werden,
• die verhindern, dass Informationen
und Informationssysteme
von Unbefugten
bzw. zu nicht genehmigten
Zwecken genutzt werden,
• die sicherstellen, dass Informationen
und Informationssysteme
entsprechend ihrer
Bedeutung geschützt werden.
Klare Zielsetzung
Das Ziel einer Organisation
muss es sein, die Sicherheit der
Informationen der verarbeitenden
Systeme und Ressourcen
im Rahmen der vertraglichen,
gesetzlichen und internen Anforderungen
jederzeit angemessen
zu gewährleisten und somit
auch die datenschutzrechtlichen
Anforderungen einzuhalten. Ein
Bestandteil der Informationssicherheit
bildet der Datenschutz,
der sich mit dem Schutz der
Persönlichkeit der von einer
Datenbearbeitung betroffenen
Person beschäftigt. Das seit
dem 1. Juli 1993 gültige Datenschutzgesetz
des Bundes erfasst
sowohl die automatisierte als
auch die manuelle Bearbeitung
von Personendaten. Diese Daten
müssen aufgrund des Geset-
zes angemessen durch
technische und organisatorische
Massnahmen vor dem Zugriff
Unbefugter geschützt werden
(Art. 6 DSG). Die Massnahmen
zur Gewährleistung der Informationssicherheit
müssen
grundsätzlich verhältnismässig
sein. Sie tragen Rechnung über
Zweck der Bearbeitung, Art
und Umfang der Bearbeitung,
Schätzung der möglichen Risiken
für die betroffenen Personen
oder das Unternehmen und
den gegenwärtigen Stand der
Technik. Am 6. März 2001
nahm der Bundesrat die Motion
an, das Datenschutzgesetz einer
Überarbeitung zu unterziehen.
Seriös aufbauen
Es ist die Aufgabe der obersten
Direktion, Massnahmen im
Bereich der Informationssicherheit
und des Datenschutzes
zu initiieren bzw. zu unterstützen.
Alle Vorgesetzten
müssen sich ihrer Vorbildfunktion
bewusst sein. Die Mehrheit
der Massnahmen in diesem
Bereich sind rein organisatorischer
und konzeptioneller
Natur. Daneben sind im Einzelfall
technische Massnahmen
und somit auch Investitionen zu
prüfen.
Zu Beginn der Aktivitäten sollte
eine klare Formulierung der
Zielsetzung, eine pointierte
Darstellung der Wichtigkeit, die
Einsetzung der verantwortlichen
Funktionen und der Aufruf
an sämtliche Mitarbeiter
stehen, diese Aktivitäten zu unterstützen.
Dies kann im Rahmen
einer sogenannten Infor-
Medienspiegel www.infosec.ch 55 von 79

mationssicherheitspolitik erfolgen.
Risikoanalysen?
Diese Policy ist anschliessend
zu konkretisieren, Verfahren
sind festzulegen, Verantwortlichkeiten
zu definieren und gegebenenfalls
notwendige Weisungen
zu erstellen. Die Durchführung
einer umfassenden unternehmensweitenRisikoanalyse
drängt sich nicht direkt auf.
Die Erfahrung zeigt, dass Risikoanalysen
in verschiedenen
Unternehmen zu 60-90% identische
Massnahmen und Empfehlungen
zur Folge haben.
Deshalb wird in Abstimmung
mit den international anerkannten
Standards empfohlen, das
Verfahren umzukehren und zu
Beginn die Massnahmen, die
dem State of the Art entsprechen,
zu formulieren.
Aktiv mitwirken
Um eine Sicherheitspolitik in
einer bestehende Spitalkultur
erfolgreich zu implementieren,
muss das Management der Sicherheit
einen umfassenden
Stellenwert einräumen, die Sicherheitskultur
vorzeichnen und
im Hause verbreiten, umsetzen
und ständig kultivieren. Es ist
die Aufgabe der Direktion,
Massnahmen im Bereich der Informationssicherheit
und des
Datenschutzes zu initiieren und
aktiv mit zu tragen. Alle Vorgesetzten
müssen sich ihrer Vorbildfunktion
klar bewusst sein.
Sicherheit steht an erster Stelle
Das Hauptziel eines Informationssicherheitskonzeptes
ist die
betriebliche Organisation der
Sicherheit aller Informationen
im Rahmen der gesetzlichen,
vertraglichen und internen Anforderungen.
Mit der Festlegung
von Massnahmen, der
Definition von Aufgaben, Ver-
antwortlichkeiten und Kompetenzen
für Funktionen und
Gremien sollen die Informationen
und damit auch die für ihre
Bearbeitung benötigten IT-
Systeme so geschützt werden,
dass die Informationssicherheit
und der Datenschutz im gesamten
Betrieb gewährleistet sind.
Das Konzept beschreibt einheitliche
und standardisierte Methoden
zur Identifikation und
regelmässigen Überprüfung von
Risiken sowie zur Festlegung
von Sicherheitsregeln und –
massnahmen.
Regelwerk schafft Überblick
Zum Schutz der Informationen
sind technische, organisatorische
und administrative Sicherheitsmassnahmen
zu definieren,
die in einem Regelwerk zusammengefasst
werden können.
Ein solches Regelwerk kann
ungefähr 80% der Risiken abdecken.
Um die verbleibenden
Risiken zu erkennen, sind eigentliche
Risikoanalysen durchzuführen,
deren Resultate in das
Regelwerk einfliessen.
Als Basis des Regelwerkes
kann einerseits auf das IT-
Grundschutzhandbuch (GSHB)
des deutschen Bundesamtes für
Sicherheit in der Informationstechnik
zurückgegriffen werden,
das konkrete
Empfehlungen zur Anwendung
von Standard-Sicherheitsmassnahmen
für eine Reihe von
typischen IT-Systemen und
Einsatzumgebungen formuliert
(www.bsi.de). Andererseits
kann der Code of Practice for
Information Security Management
(CoP), ISO 17799 /BS
7799 zugezogen werden, der in
Kürze auch zu einer Schweizerischen
Norm erhoben wird. Für
beide Grundwerke sind Zertifizierungen
möglich, bzw. im
Falle GSHB in Vorbereitung.
Wichtige Klassifizierung
Gewisse Informationen dürfen
im Interesse des Spitals, der
Mitarbeitenden und der Patienten
nur einem begrenzten Kreis
von Personen offenbart werden.
Die Klassifizierung hat sowohl
die Personenbezogenheit der Informationen
als auch die internen
Schutzbelange des Spitals
zu berücksichtigen. Die Klassifizierung
von Informationen
soll den Mitarbeitern Anhaltspunkt
dafür sein, welche Sicherungsmassnahmen
sie zum
Schutz dieser Informationen zu
ergreifen haben. Der Aktualitätsgrad
beeinflusst in grossem
Masse die Klassifizierung. Einschränkungen,
d.h. klassifizierte
Informationen, sind deshalb nur
solange hinzunehmen, wie diese
sich lohnen. Deshalb müssen
die Verantwortlichen regelmässig
die Notwendigkeit der Klassifizierung
prüfen. Um über die
Schutzbedürftigkeit/ Klassifizierung
von Informationen zu
entscheiden, müssen diese einer
Analyse unterzogen werden,
deren Ziel es ist, den Informationsträger
einer bestimmten
Vertraulichkeits- bzw. Sicherheitsstufe
zuzuordnen. Je nach
Klassifizierung sind dann unterschiedliche
Behandlungsregeln,
bspw. bei Verarbeitung, Aufbewahrung,
Versand, Archivierung,
Auslagerung usw. unbedingt
zu beachten. Es müssen
Verhaltensregeln im Umgang
mit klassifizierten Informationen
aufgestellt werden. Zu regeln
sind beispielsweise: Transport,
Standort, Verantwortlichkeit,
Duplizierung, Tieferstufung,
Weitergabe, Sicherheitsbehältnisse
etc.
Organisation anpassen
Ein Mitglied der Direktion ist
als Delegierter für Sicherheit zu
bestimmen. Ihm zur Seite zu
stellen ist ein Fachgremium, das
sich aus allen Fachbeauftragten
der Sicherheitsteilbereiche zusammensetzt,
u.a. Datenschutz
und Informationssicherheit. Das
Ziel dieses Gremiums ist es, die
Sicherheitsaktivitäten zu koordinieren,
zu lenken und Synergien
zu erkennen und auszunutzen.
Die frühe Einsetzung eines
internen Fachbeauftragten
für Informationssicherheit wird
dringend empfohlen. Soweit es
die Grösse des Spitals zulässt,
sollten aufgrund möglicher Interessenkonflikte
keine Mitar-
beiter der IT-Abteilung mit
dieser Aufgabe betraut werden.
Aufgabe dieses Information Security
Officers (ISO) ist die Beratung
der Geschäftsleitung in
Fachfragen, Vorgehenspläne zu
entwickeln und Anlaufstelle für
alle Mitarbeiter zu sein.
Als Stabstelle kommt dem ISO
keine Weisungskompetenz zu.
Diese verbleibt in der Linie. Es
liegt in der Verantwortung jedes
Mitarbeiters und aller Vorgesetzten
in ihrem Führungsbereich,
die Informationssicherheit
im Rahmen der Vorgaben
umzusetzen. ISOs in kleineren
Spitälern können diese Funktion
auch im Nebenamt ausüben.
In grösseren Organisationen ist
ein spezialisierter Datenschutzbeauftragter
zu ernennen.
Sensibilisierung verbessern
Die Sensibilisierung für die
Notwendigkeit von Aktivitäten
im Bereich der Informationssicherheit
ist aufgrund medienwirksamer
Ereignisse stark
gefördert worden. Nach wie vor
ist aber festzustellen, dass in zu
vielen Spitälern zu wenig Wert
auf einen angemessenen Stand
der Informationssicherheit gelegt
wird. Es wird wohl davon
ausgegangen, es treffe nur die
Anderen. Die bekannt werdenden
Sicherheitsvorfälle stellen
nur die Spitze des Eisberges dar
- unter der Wasseroberfläche
lauert eine hohe Dunkelziffer.
Informationssicherheit wird
dort ernst genommen, wo einschneidende
Schäden oder Beinaheschäden
eintraten: Aus
Schaden klug zu werden, kann
zu spät sein. Die überwiegende
Zahl von Schäden im IT-
Bereich entsteht durch Nachlässigkeit,
unzureichende Akzeptanz
von Sicherheitsmassnahmen
und aus mangelnder
Kenntnis. Ein hohes Mass an
Sicherheit kann, auch im Bereich
der IT, nur erreicht und
beibehalten werden, wenn
sämtliche Mitarbeitenden die
Bedeutung von Massnahmen
für die Sicherung der Existenz
des Spitals erkannt haben, und
sie bereit sind, dieser Erkenntnis
entsprechend zu handeln.
Erst wenn dem Mitarbeiter der
Sinn einer Handlung einleuchtet,
die er auszuführen hat, wird
er sie zuverlässig befolgen.
Medienspiegel www.infosec.ch 56 von 79

2/03
Die Informationssicherheit bleibt eine grosse Herausforderung für KMU
Absichern statt abwarten
ist (über)Iebenswichtig
Fehlende Vorkehrungen und Massnahmen im Bereich
der IT Sicherheit können für Anwender, insbesondere
für KMU, existenzbedrohende Schäden zur Folge haben.
Es ist daher die Aufgabe der Geschäftsleitung, Mass-
nahmen im Bereich der IT-Sicherheit zu initiieren und
aktiv zu tragen.
von Reto C. Zbinden
Ziel aller Aktivitäten im Bereich Sicherheit ist es, schädigende Ereignisse
für das Unternehmen, seine Mitarbeiter, Partner und die
Umwelt in Häufigkeit und Auswirkung auf ein Minimum zu reduzieren.
Informationssicherheit wird definiert als das angemessene und
dauernde Gewährleisten der Verfügbarkeit, Integrität und Vertraulichkeit
der IT-Ressourcen und der damit bearbeiteten oder übertragenen
Informationen. Die Informationssicherheit dient dem
Schutz sämtlicher Informationen
ungeachtet der Art ihrer Darstellung und
Speicherung. Die Informatiksicherheit
oder IT-Sicherheit befasst sich mit
elektronisch bearbeiteten Informationen.
Der Begriff des Informationsschutzes ist
ein ursprünglich militärischer Begriff,
unter dem der Schutz der Vertraulichkeit
von Informationen verstanden wird, unabhängig von der Art ihrer
Darstellung und Speicherung.
Das Gesetz sagt's klar
Sowohl Entwicklung als auch Betrieb und Verwendung von IT-
Systemen, Applikationen und Informationen können gesetzlichen
Anforderungen unterworfen sein. Sichere Informationsbearbeitung
heisst auch gesetzeskonforme Informationsbearbeitung.
Ein Bestandteil der Informationssicherheit bildet der Datenschutz,
der sich mit dem Schutz der Persönlichkeit der von einer Datenbearbeitung
betroffenen Personen beschäftigt. Das seit dem 1. Juli
1993 gültige Datenschutzgesetz des Bundes erfasst sowohl die automatisierte
als auch die manuelle Bearbeitung von Personendaten.
Diese Daten müssen aufgrund des Gesetzes angemessen durch technische
und organisatorische Massnahmen vor dem Zugriff Unbefugter
geschützt werden (Art. 6 DSG).
Die Massnahmen zur Gewährleistung der Informationssicherheit
müssen grundsätzlich verhältnismässig sein. Sie tragen Rechnung
über Zweck der Bearbeitung, Art und Umfang der Bearbeitung,
Schätzung der möglichen Risiken für die betroffenen Personen oder
das Unternehmen und den gegenwärtigen Stand der Technik. Am 6.
März 2001 nahm der Bundesrat die Motion an, das Datenschutzgesetz
einer Überarbeitung zu unterziehen. Neben dem Datenschutzgesetz
sind im Rahmen des IT-Einsatzes auch die Anforderungen des
Urheberrechts und der individuellen Geheimhaltungspflichten
(Fernmelde-, Bank-, Arztgeheimnis u.a.m.) zu berücksichtigen.
Sensibilisierung ungenügend
«Wer Daten nutzt, dem nützen
sie. Deshalb schützt er sie
auch mit grosser Sorgfalt.»
Die Sensibilisierung für die Notwendigkeit von Aktivitäten im Bereich
der Informationssicherheit ist aufgrund medienwirksamer Ereignisse
stark gefördert worden. Nach wie vor
ist aber festzustellen, dass in zu vielen
Unternehmen zu wenig Wert auf einen
angemessenen Stand der Informationssicherheit
gelegt wird. Es wird wohl davon
ausgegangen, es treffe nur die anderen. Die
bekannt werdenden Sicherheitsvorfälle stellen
nur die Spitze des Eisberges dar - unter der
Wasseroberfläche lauert eine hohe Dunkelziffer. Informationssicherheit
wird dort ernst genommen, wo einschneidende Schäden oder
Beinaheschäden eintraten: Aus Schaden klug zu werden, kann aber
häufig zu spät sein.
Informationssicherheit als Teil der Integralen Sicherheit
Unter Integraler Sicherheit wird im folgenden verstanden, dass dem
gesamten Bereich Sicherheit konsequent, umfassend, abgestimmt,
geplant und effizient in ethisch, wirtschaftlich und rechtlich vertretbarem
Rahmen unter Ausnutzung bestehender Synergien begegnet
wird. Voraussetzungen dafür sind das Engagement der Unternehmensleitung,
eine klar formulierte Politik, die die Verpflichtung der
Medienspiegel www.infosec.ch 57 von 79

Organisation festlegt und dokumentiert sowie eine effiziente Aufbau-
und Ablauforganisation, die in der Lage ist die weiteren
Schritte zu bewältigen.
Sicherheitspolitik
Das Management muss der Sicherheit einen umfassenden Stellenwert
einräumen, die Sicherheitskultur vorzeichnen und im Unternehmen
verbreiten, umsetzen und ständig kultivieren. Es muss
Massnahmen im Bereich der Informationssicherheit initiieren und
aktiv tragen. Alle Vorgesetzten müssen sich ihrer Vorbildfunktion
bewusst sein. Im Rahmen einer Politik sind die Sicherheitsziele zu
definieren, die Grundsätze für die einzelnen Sicherheitsbereiche
zu formulieren und der Ablauf der Risikoerkennung, -bewertung
und -überprüfung festzulegen.
Sicherheitskonzept
Das Informationssicherheitskonzept konkretisiert die Politik unter
Berücksichtigung der gesetzlichen, vertraglichen und internen Anforderungen.
Im Konzept werden Massnahmen festgelegt, Aufgaben,
Verantwortlichkeiten und Kompetenzen für Funktionen und
Gremien definiert. Beschrieben werden einheitliche und standardisierte
Methoden zur Identifikation und der regelmässigen Überprüfung
von Risiken sowie zur Festlegung von Sicherheitsregeln
und -massnahmen.
Regelwerk zur Risikodeckung
Zum Schutz der Informationen sind technische, organisatorische und
administrative Sicherheitsmassnahmen zu definieren, die in einem
Regelwerk zusammengefasst werden können. Ein solches Regelwerk
kann ungefähr 80% der Risiken abdecken. Um die verbleibenden Risiken
zu erkennen, sind eigentliche Risikoanalysen durchzuführen,
deren Resultate in das Regelwerk zurückfliessen.
Als Basis des Regelwerkes kann einerseits auf das IT-
Grundschutzhandbuch (GSHB) des Bundesamtes für Sicherheit in
der Informationstechnik zurückgegriffen werden, das konkrete Empfehlungen
zur Anwendung von Standard-Sicherheitsmassnahmen für
eine Reihe von typischen IT-Systemen und Einsatzumgebungen formuliert
(www.bsi.de).
Andererseits kann der Code of Practice for Information Security
Management (CoP), ISO 17799/BS 7799, zugezogen werden, der
auch zu einer Schweizerischen Norm erhoben wurde. Für beide
Grundwerke sind Zertifizierungen möglich.
Effiziente Organisation
Ein Mitglied der Geschäftsleitung ist als Delegierter für Sicherheit
zu bestimmen. Ihm zur Seite zu stellen ist ein Fachgremium,
das sich aus allen Fachbeauftragten der Sicherheitsteilbereiche zusammensetzt.
Das Ziel dieses Gremiums ist es, die Sicherheitsaktivitäten
zu koordinieren und zu lenken sowie Synergien zu erkennen
und zu realisieren.
Die frühe Einsetzung eines internen Fachbeauftragten für Informationssicherheit
wird dringend empfohlen. Soweit es die Grösse
des Unternehmens zulässt, sollten aufgrund möglicher Interessenkonflikte
keine Mitarbeiter der IT-Abteilung mit dieser Aufgabe betraut
werden.
Aufgabe dieses Information Security Officers (ISO) ist die Beratung
der Geschäftsleitung in Fachfragen, Vorgehenspläne zu entwickeln
und Anlaufstelle für alle Mitarbeiter zu sein. Also Stabstelle
kommt dem ISO keine Weisungskompetenz zu. Diese verbleibt in
der Linie. Es liegt in der Verantwortung jedes Mitarbeiters und aller
Vorgesetzten in ihrem Führungsbereich, die Informationssicherheit
im Rahmen der Vorgaben umzusetzen.
Krisen und Notfälle in Unternehmen:
Vorbereitung ist (fast) alles!
In vielen Unternehmen besteht im Bereich der Krisenvorsorge ein
unmittelbarer und dringender Handlungsbedarf. Als Krisenvorsorge
verstehen wir an dieser Stelle die aktive Vorbereitung auf die als relevant
bezeichneten Ereignisse und Krisen. Sie hat zum Ziel, die
Auswirkungen eines Krisenfalls (den Schaden) zu reduzieren. Der
Aufbau eines funktionierenden Krisenmanagements gilt als zentrale
Massnahme bei der Bewältigung der operativen Risiken.
IT-Verfügbarkeit als Herausforderung
Gerade KMU sind besonders im Bereich der Verfügbarkeit abhängig
von einer fehlerfrei funktionierenden IT. Besonders dringlich im
Hinblick auf die Gewährleistung der Verfügbarkeit ist die konsequente
und regelmässige Sicherung bzw. Duplizierung aller Ge-
Medienspiegel www.infosec.ch 58 von 79

schäftsdaten. Es sind unbedingt sämtliche Systeme mit geschäftskritischen
Aufgaben in den Datensicherungsprozess aufzunehmen,
also auch u.U. Notebooks und Kommunikationsrechner.
Bei der Datensicherung sind sich abwechselnde Datenträger zu
verwenden. So sind bspw. fünf tägliche Sicherungen auf separaten
Datenträgern zu erstellen. Die fünfte Datensicherung dient wiederum
als Wochensicherung. Dieses Verfahren wird als Generationenprinzip
bezeichnet. Die erfolgreiche Sicherung der Daten
ist regelmässig zu überprüfen, indem versucht wird, die gesicherten
Daten auf die Systeme zurückzusichern.
Im Falle einer Katastrophe müssen innert kürzester Zeit Systeme
neu aufgesetzt werden. Der IT-Sicherheitsbeauftragte sollte entsprechend
der Grösse des jeweiligen Unternehmens eine Planung
erarbeiten, wem welche Aufgaben im Falle einer Katastrophe zukommen
und notwendige Vorbereitungsarbeiten identifizieren.
Die Geschäftsleitung hat vorzugeben, innert welcher Frist wieder
erfolgreich auf die IT oder auf Teile davon zugriffen werden soll.
Eindeutige Weisungen
Es empfiehlt sich, eine Weisung zu erarbeiten, die die Handhabung
von IT-Ressourcen, insbesondere Internet und E-Mail, die
Umsetzung des Datenschutzgesetzes und des Urheberrechtsgesetzes
regelt.
Der Inhalt einer solchen Weisung ist unternehmensspezifisch festzulegen:
• Im Bereich des Datenschutzes drängt sich auf, sämtlichen
Mitarbeitern zu verbieten, ausser es liege eine gesetzliche Verpflichtung
oder das Einverständnis der betroffenen Person vor, externen
Stellen Personendaten irgendwelcher Natur weiterzugeben.
Im Bereich des Urheberrechtes drängt sich auf, sämtlichen Mitarbeitern
zu verbieten, nicht nachweislich lizenzierte Software oder
Softwareteile auf firmeneigenen Rechnern zu installieren.
• Im Bereich des Umganges mit IT Ressourcen muss u.a. das
Verhalten im Zusammenhang mit Passwörtern geregelt werden,
wie bspw. vertrauliche Behandlung usw.
• Im Bereich des Internets muss darauf hingewiesen werden, dass
der Mitarbeiter im Rahmen seiner Arbeitszeit keine Sites mit strafrechtlich
relevanten Inhalten besucht (harte Pornografie, Rassismus)
oder in solchen oder anderen Foren unter Angabe der Firmenidentität
seine (persönliche) Meinung abgibt.
Die Vertraulichkeit der bearbeiteten Informationen ist angemessen
zu gewährleisten. So ist der unverschlüsselte, externe Versand vertraulicher
Informationen mittels E-Mail zu verbieten. Weil die
Wahrscheinlichkeit eines Diebstahl bei einem Notebook als hoch
eingestuft werden muss, sollten auf diesen Geräten keine vertraulichen
Informationen unverschlüsselt gespeichert werden.
Internet-Sicherheit
Jegliche Verbindung zum Internet erfordert zusätzliche Schutzmechanismen.
Diese Schutzmechanismen werden unter dem Begriff Firewall
zusammengefasst. Es muss einem externen Angreifer
nachhaltig verunmöglicht werden, auf interne Systeme bzw. interne
Informationen zuzugreifen. Eine einmal installierte Firewall muss
aktiv gewartet werden. Hier handelt es sich um eine sehr zeitaufwändige
Arbeit. Sämtliche auftauchenden Sicherheitslücken sind
auch im Zusammenhang mit der Firewall zu schliessen.
Reto C. Zbinden
Fürsprecher und Geschäftsführer Swiss
Infosec AG, infosec@infosec.ch,
www.infosec.ch, befasst sich mit der Integralen
Sicherheit von Unternehmen und Organisationen
unterschiedlichster Grösse und
verfügt über eine umfangreiche Erfahrung im
Realisieren komplexer Projekte.
Kostenloses Abo der monatlich erscheinenden
Internet Infosec News:
Leeres Mail an infosec@infosec.ch schicken.
Medienspiegel www.infosec.ch 59 von 79

Netzguide E-Security (Ausgabe 2002)
Wie sicher ist Ihr
E-Business?
Informationssicherheit: Schritte zur Umsetzung
Die Sensibilisierung für Informationssicherheit (ISI) ist aufgrund medienwirksamer Ereignisse stark
gefördert worden. Nach wie vor ist aber festzustellen, dass in zu vielen Unternehmen zu wenig Wert
auf einen angemessenen Stand der Informationssicherheit gelegt wird. Doch wird man erst aus
Schaden klug, kann es zu spät sein.
Reto C. Zbinden
Ziel aller Aktivitäten im Bereich Sicherheit
ist es schädigende Ereignisse für
das Unternehmen, seine Mitarbeiter,
Partner und die Umwelt in Häufigkeit
und Auswirkung auf ein Minimum zu
reduzieren.
Informationssicherheit wird definiert als
das angemessene und dauernde Gewährleisten
der Verfügbarkeit, Integrität
und Vertraulichkeit der IT Ressourcen
und der damit bearbeiteten oder übertragenen
Informationen. Die Informationssicherheit
dient dem Schutz sämtlicher
Informationen ungeachtet der Art
ihrer Darstellung und Speicherung. Die
Informatiksicherheit oder IT Sicherheit
befasst sich mit elektronisch bearbeiteten
Informationen.
Gesetzliche Anforderungen
Sowohl Entwicklung als auch Betrieb
und Verwendung von IT Systemen,
Applikationen und Informationen können
gesetzlichen Anforderungen unterworfen
sein. Sichere Informationsbearbeitung
heisst auch gesetzeskonforme
Informationsbearbeitung.
Einen Bestandteil der Informationssicherheit
bildet der Datenschutz, der
sich mit dem Schutz der Persönlichkeit
der von einer Datenbearbeitung betroffenen
Personen beschäftigt. Das seit
dem 1. Juli 1993 gültige Datenschutzgesetz
des Bundes erfasst sowohl die
automatisierte als auch die manuelle
Bearbeitung von Personendaten. Diese
Daten müssen aufgrund des Gesetzes
angemessen durch technische und or-
ganisatorische Massnahmen vor dem
Zugriff Unbefugter geschützt werden
(Art. 6 DSG). Die Massnahmen zur
Gewährleistung der Informationssicherheit
müssen grundsätzlich verhältnismässig
sein. Sie tragen folgenden
Faktoren Rechnung: Zweck der Bearbeitung,
Art und Umfang der Bearbeitung,
Schätzung der möglichen Risiken
für die betroffenen Personen oder das
Unternehmen und gegenwärtiger
Stand der Technik. Am 6. März 2001
nahm der Bundesrat die Motion an,
das Datenschutzgesetz einer Überarbeitung
zu unterziehen. Neben dem
Datenschutzgesetz sind im Rahmen
des IT Einsatzes auch die Anforderungen
des Urheberrechts und der individuellen
Geheimhaltungspflichten (etwa
Fernmelde-, Bank- , Arztgeheimnis) zu
berücksichtigen. Zu erwähnen ist
bspw. das Rundschreiben der Eidgenössischen
Bankenkommission «Auslagerung
von Geschäftsbereichen
(Outsourcing)» vom 26. August 1999,
das konkrete Sicherheitsanforderungen
aufstellt.
In Deutschland gilt seit Mai 1998 das
Gesetz zur Kontrolle und Transparenz
im Unternehmensbereich (KonTraG),
das Unternehmen verpflichtet, ein internes
Risk Management zu implementieren.
Eine vergleichbare Anforderung
fehlt in der Schweiz.
Informationssicherheit:
Handlungsbedarf wird nicht erkannt
Der Wert eines Unternehmens ist heute
in einem hohen Masse abhängig
vom Wert oder vom Unwert seiner Informationen
bzw. der Fähigkeit auf diese
Informationen zugreifen zu können.
Die Abhängigkeit der Unternehmen
und Anwender von der zeitgerechten
Verarbeitung ihrer Informationen und
der Verfügbarkeit der Kommunikationsmöglichkeiten
wächst rasant.
Auch die allgemeine Verunsicherung
aufgrund des krisengeschüttelten Jahres
2001 und insbesondere des 11.
Septembers 2001 führten nicht zu einem
nachhaltigen Umdenken im Bereich
der unternehmensinternen Informationssicherheit.
Auch nach dem 11.
September finden mittel und langfristige
Konzeptionen und Massnahmen zur
Verbesserung der integralen Sicherheit
und der Informationssicherheit nur sehr
schwer Akzeptanz beim Management.
Im Nachgang zum 11. September 2001
ergriffene Massnahmen konzentrierten
sich, wenn solche überhaupt konkret
thematisiert und definiert wurden, auf
physische Sicherheitsaspekte. Physische
Sicherheitsmassnahmen haben
den Vorteil des Handfesten und der
Vordergründigkeit für sich.
Am Anfang steht die Erkenntnis, dass
die Information einen zentralen Faktor
der Wertschöpfung, einen zentralen
Wertträger innerhalb des Unternehmens
darstellt. Eine weitere Erkenntnis
besteht darin, zu entdecken, dass angemessene
Informationssicherheit zusätzlich
bestellt bzw. speziell beauftragt
werden muss: Es braucht zusätzliche
Konzepte, zusätzliche Aufwände,
zusätzliche Interventionen seitens des
Medienspiegel www.infosec.ch 60 von 79

Managements, ansonsten unsichere
Systeme unsicher bleiben.
Es ist die Aufgabe der Geschäftsleitung,
Massnahmen im Bereich der IT
Sicherheit zu initiieren und aktiv zu tragen.
Alle Vorgesetzten müssen sich ihrer
Vorbildfunktion bewusst sein. Im
Bereich der IT Sicherheit ist es keinesfalls
damit getan, in Hard- oder Software
zu investieren. Die Mehrheit der
Massnahmen im Bereich IT Sicherheit
ist rein organisatorischer und konzeptioneller
Natur. Daneben sind im Einzelfall
technische Massnahmen und somit
auch Investitionen zu prüfen.
Am Anfang der Aktivitäten sollten nach
Ansicht des Autors eine klare Formulierung
der Zielsetzung, eine pointierte
Darstellung der Wichtigkeit, die Einsetzung
der verantwortlichen Funktionen
und der Aufruf an sämtliche Mitarbeiter
stehen, diese Aktivitäten zu unterstützen.
Dies kann im Rahmen einer so
genannten IT Sicherheitspolitik, in der
Ausführlichkeit und Tiefe vergleichbar
mit einer QM Politik, erfolgen.
Diese Politik oder Strategie ist anschliessend
zu konkretisieren, Verfahren
sind festzulegen, Verantwortlichkeiten
sind zu definieren und gegebenenfalls
notwendige Weisungen sind zu
erstellen.
Die Durchführung einer umfassenden
unternehmensweiten Risikoanalyse
drängt sich nach Ansicht des Autors
nicht direkt auf. Die Erfahrung zeigt,
dass Risikoanalysen in verschiedenen
Unternehmen zu 60 bis 90% identische
Massnahmen und Empfehlungen zur
Folge haben. Deshalb wird in Abstimmung
mit den international anerkannten
Standards empfohlen, das Verfahren
umzukehren und zu Beginn die
Massnahmen, die dem State of the Art
entsprechen müssen, zu formulieren.
Informationssicherheit als Teil der
integralen Sicherheit
Unter integraler Sicherheit wird im Folgenden
verstanden, dass dem gesamten
Bereich Sicherheit konsequent,
umfassend, abgestimmt, geplant und
effizient in ethisch, wirtschaftlich und
rechtlich vertretbarem Rahmen unter
Ausnutzung bestehender Synergien
begegnet wird. Voraussetzungen dafür
sind das Engagement der Unternehmensleitung,
eine klar formulierte Politik,
die die Verpflichtung der Organisation
festlegt und dokumentiert, sowie
eine effiziente Aufbau- und Ablauforganisation,
die die weiteren Schritte
bewältigen kann.
Erst wenn das Unternehmen als System
gewährleisten kann, dass verschiedene
Stellen die verschiedenen
Risiken methodisch identisch angehen
und die Aktivitäten kommuniziert und
koordiniert werden können, kann im
Ansatz von einem verantwortungsbewussten
und integralen Risk Management
gesprochen werden.
Der Nutzen solcher Massnahmen, der
diese gleichzeitig auch unternehmerisch
rechtfertigt, stellt sich dar als Differenz
zwischen den Kosten der jeweiligen
Massnahme und der dadurch
vermiedenen Auswirkungen des Risikoeintrittes.
Besonders wichtig ist der
Einbezug der potenziellen immateriellen
Schäden in die Berechnung der
Auswirkungen.
Sicherheitspolitik
Das Management muss der Sicherheit
einen umfassenden- Stellenwert einräumen,
die Sicherheitskultur vorzeichnen
und im Unternehmen verbreiten,
umsetzen und ständig kultivieren.
Es muss Massnahmen im Bereich der
Informationssicherheit initiieren und aktiv
tragen. Alle Vorgesetzten müssen
sich ihrer Vorbildfunktion bewusst sein.
Im Rahmen einer Politik sind die Sicherheitsziele
zu definieren, die
Grundsätze für die einzelnen Sicherheitsbereiche
zu formulieren, der Ablauf
der Risikoerkennung, -bewertung
und -überprüfung festzulegen, um die
Grundlagen für einen einheitlichen Sicherheitsstandard
zu schaffen und den
Aufbau einer Sicherheitskultur vorzuzeichnen.
Sicherheitskonzept
Das Informationssicherheitskonzept
konkretisiert die Politik unter Berücksichtigung
der gesetzlichen, vertraglichen
und internen Anforderungen. Im
Konzept werden Massnahmen festgelegt,
Aufgaben, Verantwortlichkeiten
und Kompetenzen für Funktionen und
Gremien definiert. Beschrieben werden
einheitliche und standardisierte Methoden
zur Identifikation und zur regelmässigen
Überprüfung von Risiken
sowie zur Festlegung von Sicherheitsregeln
und -massnahmen.
Das Hauptziel eines Informationssicherheitskonzeptes
ist die betriebliche
Organisation der Sicherheit aller Informationen
im Rahmen der gesetzlichen,
vertraglichen und internen Anforderungen.
Mit der Festlegung von Massnahmen,
der Definition von Aufgaben,
Verantwortlichkeiten und Kompetenzen
für Funktionen und Gremien sollen die
Informationen und damit auch die für
ihre Bearbeitung benötigten IT Systeme
so geschützt werden, dass die Informationssicherheit
unternehmensweit
gewährleistet wird. Das Konzept beschreibt
einheitliche und standardisierte
Methoden zur Identifikation und zur
regelmässigen Überprüfung von Risiken
sowie zur Festlegung von Sicherheitsregeln
und -massnahmen.
Spezifische Anforderungen des Informationssicherheitskonzeptes
zu einzelnen
wichtigen Themenbereichen
könnten bei Bedarf wiederum in separaten
Bereichskonzepten weiter ausgeführt
werden (beispielsweise Datensicherungskonzept,Zugriffsschutzkonzept
etc.).
Regelwerk
Zum Schutz der Informationen sind
technische, organisatorische und administrative
Sicherheitsmassnahmen
zu definieren, die in einem Regelwerk
zusammengefasst werden können. Ein
solches Regelwerk kann ungefähr 80%
der Risiken abdecken. Um die verbleibenden
Risiken zu erkennen, sind Risikoanalysen
durchzuführen, deren
Resultate in das Regelwerk zurückfliessen.
Als Basis des Regelwerkes kann einerseits
auf das IT Grundschutzhandbuch
(GSHB) des deutschen Bundesamtes
für Sicherheit in der Informationstechnik
zurückgegriffen werden,
das konkrete Empfehlungen zur Anwendung
von Standard Sicherheitsmassnahmen
für eine Reihe von typischen
IT Systemen und Einsatzumgebungen
formuliert (www.bsi.de).
Andererseits kann der Code of Practice
for Information Security Management
(CoP) ISO 17799/BS 7799 zugezogen
werden, der in Kürze auch zu einer
schweizerischen Norm erhoben wird.
Für beide Grundwerke sind Zertifizierungen
möglich bzw. im Falle GSHB in
Vorbereitung.
Organisation
Ein Mitglied der Geschäftsleitung ist als
Delegierter für Sicherheit zu bestimmen.
Ihm zur Seite zu stellen ist ein
Fachgremium, das sich aus allen
Fachbeauftragten der Sicherheitsteilbereiche
zusammensetzt. Das Ziel dieses
Gremiums ist es, die Sicherheitsaktivitäten
zu koordinieren, zu lenken
und Synergien zu erkennen und auszunutzen.
Die frühe Einsetzung eines internen
Medienspiegel www.infosec.ch 61 von 79

Beauftragten für Informationssicherheit
wird dringend empfohlen. Soweit es die
Grösse des Unternehmens zulässt,
sollten aufgrund möglicher Interessenkonflikte
keine Mitarbeiter der IT Abteilung
mit dieser Aufgabe betraut werden.
Aufgabe dieses Information Security
Officers (ISO) ist es, die Geschäftsleitung
in Fachfragen zu beraten, Vorgehenspläne
zu entwickeln und Anlaufstelle
für alle Mitarbeiter zu sein. Als
Stabsstelle kommt dem ISO keine
Weisungskompetenz zu. Diese verbleibt
in der Linie. Es liegt in der Verantwortung
jedes Mitarbeiters und aller
Vorgesetzten, die Informationssicherheit
im Rahmen der Vorgaben umzusetzen.
ISO’s in Kleinunternehmen
können diese Funktion auch im Nebenamt
ausüben.
Awareness
Sicherheit lässt sich alleine durch
technische Massnahmen nicht realisieren.
Die Technik kann den Menschen
in seinem Bemühen um Sicherheit
zwar unterstützen. Sie kann jedoch
keinen Ersatz für ein fehlendes Risikobewusstsein
darstellen. Die überwiegende
Zahl von Schäden im IT Bereich
entsteht durch Nachlässigkeit, unzureichende
Akzeptanz von Sicherheitsmassnahmen
und aus mangelnder
Kenntnis. Ein hohes Mass an Sicherheit
kann, auch im Bereich der IT nur
erreicht und beibehalten werden, wenn
sämtliche Mitarbeitenden die Bedeutung
von Massnahmen für die Sicherung
der Existenz des Unternehmens
erkannt haben und bereit sind, dieser
Erkenntnis entsprechend zu handeln.
Erst wenn dem Mitarbeiter der Sinn einer
Handlung einleuchtet, die er auszuführen
hat, wird er sie zuverlässig befolgen.
Information und Kommunikation
über Informationssicherheit dürfen
nicht isolierte Einzelereignisse sein.
Die Mitarbeiter sind mit genügend Hintergrundinformationen
zu versorgen,
um verstehen zu können, wozu die Sicherheitsmassnahmen
dienen, die sie
auszuführen haben.
Aktuelle technische Entwicklungen
und Herausforderungen
Der Druck auf die Lieferanten, Produkte
in immer schnelleren Zyklen zur
Marktreife zu führen, trägt nicht gerade
zur Steigerung eben dieser Reife im
Einzelfall bei. Der Kostendruck verhindert
profunde Tests vor der Auslieferung
des Produktes. Diese Faktoren
haben deshalb auch zur Folge, dass
erkannte, aber noch nicht behobene
Sicherheitslücken von Angreifern erfolgreich
ausgenutzt werden können.
Die Schnelligkeit der Wissensverbreitung
bei Sicherheitslücken zwingt zu
organisatorischen und konzeptionellen
Massnahmen. Es muss sichergestellt
werden, dass in der Öffentlichkeit bekannt
werdende Sicherheitslücken auf
ihre Relevanz untersucht werden und
gegebenenfalls zeitgerecht behoben
werden. Werden hier nicht spezielle
Prozesse erarbeitet und etabliert, öffnen
sich für die Angreifer zu lange Tür
und Tor. Jegliche Verbindung zum Internet
erfordert spezifische Schutzmechanismen,
die unter dem Begriff Firewall
zusammengefasst werden. Es
muss einem externen Angreifer nachhaltig
verunmöglicht werden, auf interne
Systeme bzw. interne Informationen
zuzugreifen. Eine einmal installierte Firewall
muss aktiv gewartet werden -
eine zeitintensive Arbeit.
So genannte Intrusion Detection Systems
ergänzen den Schutz der Firewalls.
Sie sollen in Echtzeit das Verhaltensmuster
eines Angreifers erkennen
und Alarm auslösen.
Es gibt die Tendenz, einzelne Segmente
und Systeme des internen Netzes
mittels Firewall Funktionalitäten zu
schützen. Firewall Funktionen stellen
dort eine Notwendigkeit dar, wo eigene
firmeninterne Systeme und Netze mit
nichtvertrauenswürdigen Netzen verbunden
werden sollen. Als vertrauenswürdig
sollten dabei nur Systeme und
Netze bezeichnet werden, die unter der
firmeneigenen Kontrolle stehen. Firmeninterne
Netze werden vermehrt
aufgrund ihrer Grösse und der unbekannten
Zahl berechtigter und unberechtigter
Benutzer als nicht vertrauenswürdig
eingestuft. �
Vertraulichkeit bedeutet, dass Informationen
und die zu ihrer Bearbeitung
und Übertragung verwendeten Schutzobjekte
nur Berechtigten zugänglich
sind (nur befugter Informationsbezug).
Die Vertraulichkeit ist gewährleistet,
wenn die als schutzwürdig definierten
Objekte nur berechtigten Subjekten offenbart
werden.
Integrität bedeutet, dass Informationen
oder Teile eines IT-Systemes nur
durch Berechtigte verändert werden
können. Die Integrität ist dann gewährleistet,
wenn nur berechtigte Subjekte
(Mensch, System oder Funktion)
Schutzobjekte (System, Funktion oder
Informationsbestände) zu berechtigten
Zwecken korrekt bearbeiten, die
Schutzobjekte spezifiziert sind und die
Bearbeitung nachvollziehbar ist. Korrekt
arbeitende Funktionen sind dann
gewährleistet, wenn sie integere
Schutzobjekte (System, Funktion oder
Informationsbestände) in diesem Zustand
belassen und/oder neue Schutzobjekte
den Anforderungen entsprechend
in einer als integer beschriebenen
Form erzeugen.
Verfügbarkeit bedeutet, dass das IT
System und die damit bearbeiteten Informationen
den Berechtigten in voller
Funktionalität zur Verfügung stehen.
Ein berechtigter Benutzer soll nicht abgewiesen
werden. Die Verfügbarkeit ist
dann gewährleistet, wenn die berechtigten
Subjekte dauernd innerhalb der
gemeinsam als notwendig definierten
Frist auf die zur Durchführung ihrer
Aufgaben benötigten Schutzobjekte
zugreifen können und die notwendigen
Massnahmen erarbeitet, durchgesetzt
und eingeübt sind, die es bei Störungen
erlauben, die Verfügbarkeit fristgerecht
wieder herzustellen bzw. zu sichern.
Medienspiegel www.infosec.ch 62 von 79

30. Januar 2002, Nr. 5
Handlungsbedarf
wird nicht erkannt
INFORMATIONSSICHERHEIT Die im Nachgang
zum 11. September 2001 ergriffenen Massnahmen
konzentrierten sich auf physische Sicherheitsaspekte.
Im Bereich Informatik liegt weiter vieles im Argen
RETO C. ZBINDEN
Der Wert eines Unternehmens ist heute in
einem hohen Masse abhängig vom Wert
oder vom Unwert seiner Informationen
bzw. der Fähigkeit, auf diese Informationen
zugreifen zu können. Die Abhängigkeit
der Unternehmen und Anwender von
der zeitgerechten Verarbeitung ihrer Informationen
und der Verfügbarkeit der
Kommunikationsmöglichkeiten wächst rasant.
Die Sensibilisierung für die Notwendigkeit
von Aktivitäten im Bereich der Informationssicherheit
ist aufgrund medienwirksamer
Ereignisse stark gefördert worden.
Nach wie vor ist aber festzustellen, dass in
zu vielen Unternehmen zu wenig Wert auf
einen angemessenen Stand der Informationssicherheit
gelegt wird. Es wird wohl
davon ausgegangen, es treffe nur die anderen.
Die bekannt werdenden Sicherheitsvorfälle
stellen nur die Spitze des
Eisberges dar unter der Wasseroberfläche
lauert eine hohe Dunkelziffer. Informationssicherheit
wird dort ernst genommen,
wo einschneidende Schäden oder Beinaheschäden
eintraten: Aus Schadenklug zu
werden, kann zu spät sein.
Auch die allgemeine Verunsicherung
aufgrund des krisengeschüttelten Jahres
2001 und insbesondere des 11. Septembers
2001 führten nicht zu einem nachhaltigen
Umdenken im Bereich der unternehmensinternen
Informationssicherheit.
Auch nach dem 11. September finden mittel
und langfristige Konzeptionen und
Massnahmen zur Verbesserung der integra-
len Sicherheit und der Informationssicherheit
nur sehr schwer Akzeptanz beim
Management. Im Nachgang zum 11. September
2001 ergriffene Massnahmen konzentrierten
sich, wenn solche überhaupt
konkret thematisiert und definiert wurden,
auf physische Sicherheitsaspekte. Physische
Sicherheitsmassnahmen haben den
Vorteil des Handfesten und der Vordergründigkeit
für sich.
Physische Sicherheitsmassnahmen kann
man fassen. Massnahmen im Bereich der
Informationssicherheit sind vielfach weder
sichtbar noch für IT Laien verständlich.
Bei ca. 80% der aus Sicherheitsüberprüfungen
resultierenden Schwachstellen handelt
es sich um konzeptionelle und
organisatorische.
In den USA sind Ausweichrechenzentren
für Finanzinstitute Pflicht. Diesem
Umstand wurde in der Berichterstattung
und dementsprechend bei der Diskussion
nötiger Massnahmen hierzulande wohl zu
wenig Beachtung geschenkt. Viele vom
WTC betroffene Unternehmen mussten
deshalb keinen zusätzlichen Daten Gau
hinnehmen. Hierzulande fehlen gesetzliche
Anforderungen, sieht man einmal von der
Datenschutzgesetzgebung ab, praktisch
völlig. Neben dem Datenschutzgesetz sind
im Rahmen des IT-Einsatzes die Anforderungen
des Urheberrechts und der individuellen
Geheimhaltungspflichten (Fernmelde-,
Bank-, Arztgeheimnis, u.a.m.) zu
berücksichtigen. Zu erwähnen ist etwa das
Rundschreiben der Eidg. Bankenkommission
«Auslagerung von Geschäftsbereichen
(Outsourcing)» vom 26. August 1999, das
konkrete Sicherheitsanforderungen aufstellt.
In Deutschland gilt seit Mai 1998
hingegen das Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich
(KonTraG), das Unternehmen verpflichtet,
ein internes Riskmanagement zu implementieren.
Eine vergleichbare Anforderung
fehlt in der Schweiz.
Mittel und langfristige Konzepte zur
Verbesserung der Informationssicherheit
basieren zur Mehrheit auf einem Umdenken
aller Kader und Mitarbeiter. Erreicht
wird dieses Umdenken unter anderem
durch unternehmensweite Sensibilisierungs-
und Awareness-Kampagnen. Die
überwiegende Zahl von Schäden im IT Bereich
entsteht durch Nachlässigkeit, unzureichende
Akzeptanz von Sicherheitsmassnahmen
und aus mangelnder Kenntnis.
Ein hohes Mass an Sicherheit kann,
auch im Bereich der IT, nur erreicht und
beibehalten werden, wenn sämtliche Mitarbeitenden
die Bedeutung von Massnahmen
für die Sicherung der Existenz des
Unternehmens erkannt haben, und sie bereit
sind, dieser Erkenntnis entsprechend zu
handeln. Erst wenn dem Mitarbeiter der
Sinn einer Handlung einleuchtet, die er
auszuführen hat, wird er sie zuverlässig erledigen.
Am Anfang steht die Erkenntnis, dass
die Information ein zentraler Faktor der
Wertschöpfung, ein zentraler Wertträger
innerhalb des Unternehmens ist. Eine weitere
Erkenntnis besteht darin, zu entdecken,
dass angemessene Informationssicherheit
zusätzlich bestellt oder speziell beauftragt
werden muss: Es braucht zusätzliche Kon-
Medienspiegel www.infosec.ch 63 von 79

zepte, zusätzlichen Aufwand, zusätzliche
Intervention seitens des Managements, ansonsten
unsichere Systeme unsicher bleiben.
POLITIK UND KONZEPT
SIND GEFRAGT
Das Management muss der Sicherheit einen
umfassenden Stellenwert einräumen,
die Sicherheitskultur vorzeichnen und im
Unternehmen verbreiten, umsetzen und
ständig kultivieren. Es muss Massnahmen
im Bereich der Informationssicherheit initiieren
und aktiv tragen. Alle Vorgesetzten
müssen sich ihrer Vorbildfunktion bewusst
sein. Im Rahmen einer Politik sind die Sicherheitsziele
zu definieren, die Grundsätze
für die einzelnen Sicherheitsbereiche zu
formulieren und der Ablauf der Risikoerkennung,
-bewertung und -überprüfung
festzulegen.
Das Informationssicherheitskonzept
konkretisiert die Politik unter Berücksichtigung
der gesetzlichen, vertraglichen und
internen Anforderungen. Im Konzept werden
Massnahmen festgelegt, Aufgaben,
Verantwortlichkeiten und Kompetenzen für
Funktionen und Gremien definiert. Beschrieben
werden einheitliche und standardisierte
Methoden zur Identifikation und
der regelmässigen Überprüfung von Risiken
sowie zur Festlegung von Sicherheitsregeln
und –massnahmen.
Zum Schutz der Informationen sind
technische, organisatorische und administrative
Sicherheitsmassnahmen zu definieren,
die in einem Regelwerk zusammengefasst
werden können. Ein solches Regelwerk
kann ungefähr 80% der Risiken
abdecken. Um die verbleibenden Risiken
zu erkennen, sind eigentliche Risikoanalysen
durchzuführen, deren Resultate in das
Regelwerk zurückfliessen.
Ein Mitglied der Geschäftsleitung ist als
Delegierter für Sicherheit zu bestimmen.
Ihm zur Seite zu stellen ist ein Fachgremium,
das sich aus allen Fachbeauftragten der
Sicherheitsteilbereiche zusammensetzt.
Das Ziel dieses Gremiums ist es, die Sicherheitsaktivitäten
zu koordinieren, zu
lenken und Synergien zu erkennen und
auszunutzen.
Die frühe Einsetzung eines internen
Fachbeauftragten für Informationssicherheit
wird dringend empfohlen. Soweit es
die Grösse des Unternehmens zulässt, sollten
aufgrund möglicher Interessenkonflikte
keine Mitarbeiter der IT Abteilung mit dieser
Aufgabe betraut werden.
Aufgabe dieses Information Security Officers
(ISO) ist die Beratung der Geschäftsleitung
in Fachfragen sowie Vorgehenspläne
zu entwickeln und Anlaufstelle für
alle Mitarbeiter zu sein. Als Stabsstelle
kommt dem ISO keine Weisungskompetenz
zu. Diese verbleibt in der Linie. Es
liegt in der Verantwortung jedes Mitarbei-
ters und aller Vorgesetzten in ihrem Führungsbereich,
die Informationssicherheit
im Rahmen der Vorgaben umzusetzen. I-
SOs in Kleinunternehmen können diese
Funktion auch im Nebenamt ausüben.
IT IT-SICHERHEIT
IT
SICHERHEIT
SICHERHEIT
Weiterführende
Infos:
Es existieren diverse Hilfestellungen in
Form von Publikationen oder über das Internet
abrufbar. Besonders hervorzuheben
ist hier der Code of Practice for Information
Security, British Standard Institute, BS
7799, der kürzlich als ISO/IEC Norm
17799 adaptiert wurde und kurz vor der
Anerkennung als Schweizer Norm steht
(SN ISO/IEC 17799). Zukünftig wird es
möglich sein, Unternehmen basierend auf
dieser Norm zu zertifizieren.
Eine andere praxisorientierte Hilfestellung
bietet das Grundschutzhandbuch des
Bundesamtes für Sicherheit in der Informationstechnik
(www.bsi.de). Das Grundschutzhandbuch
des BSI stellt sehr
ausführlich mögliche Massnahmen im Bereich
der IT Sicherheit dar. (zbi.)
Medienspiegel www.infosec.ch 64 von 79

Ziel aller Aktivitäten im Bereich
Sicherheit ist es, schädigende Ereignisse
für das Unternehmen,
seine Mitarbeiter, Partner und die
Umwelt in Häufigkeit und Auswirkung
auf ein Minimum zu reduzieren.
Die Sicherheit eines
Systems ist dann gegeben, wenn
es sich zuverlässig, d. h. gemäss
den ihm gegebenen Regeln, verhält
und gegebenenfalls unzuverlässiges,
nicht regelkonformes
Verhalten bemerkt und die nötigen
Gegenmassnahmen zur Kompensation
des fehlerhaften Verhaltens
einleitet. Eine vollkommene Kongruenz
zwischen externer Ordnung
und tatsächlichem Verhalten
– absolute Sicherheit – eines Systems
kann nicht erreicht werden.
Die relative Sicherheit lässt sich
mittels Massnahmen verbessern,
die umso aufwendiger werden, je
mehr die Nähe zur absoluten Sicherheit
erreicht werden soll.
Die Sensibilisierung für die
Notwendigkeit von Aktivitäten im
Bereich der Informationssicherheit
ist auf Grund medienwirksamer
Ereignisse stark gefördert worden.
Nach wie vor ist aber festzustellen,
dass in zu vielen Unternehmen
zu wenig Wert auf einen angemessenen
Stand der Informationssicherheit
gelegt wird. Es wird
wohl oft davon ausgegangen, es
treffe nur die anderen. Die bekannt
werdenden Sicherheitsvor-
Die Dunkelziffer ist gross
Informationssicherheit in der Schweiz
Von Reto C. Zbinden*
Die Sensibilisierung für die Notwendigkeit von Aktivitäten im Bereich der Informationssicherheit
ist auf Grund medienwirksamer Ereignisse stark gefördert worden. Nach wie vor ist aber
festzustellen, dass in zu vielen Unternehmen zuwenig Wert auf einen angemessenen Stand der
Informationssicherheit gelegt wird.
fälle stellen nur die Spitze des
Eisberges dar - unter der Wasseroberfläche
lauert eine hohe Dunkelziffer.
Informationssicherheit
wird dort ernst genommen, wo
einschneidende Schäden oder Beinaheschäden
eintraten; aus Schaden
klug zu werden, kann zu spät
sein.
Integrale Sicherheit
Informationssicherheit wird definiert
als das angemessene und
dauernde Gewährleisten der Verfügbarkeit,
Integrität und Vertraulichkeit
der IT-Ressourcen und der
damit bearbeiteten oder übertragenen
Informationen.
- Vertraulichkeit bedeutet, dass Informationen
und die zu ihrer Bearbeitung und
Übertragung verwendeten Schutzobjekte
nur Berechtigten zugänglich sind (nur
befugter Informationsbezug). Die Vertraulichkeit
ist gewährleistet, wenn die
als schutzwürdig definierten Schutzobjekte
nur berechtigten Subjekten offenbart
werden.
- Integrität bedeutet, dass Informationen
oder Teile eines IT-Systems nur durch
Berechtigte verändert werden können.
Die Integrität ist dann gewährleistet,
wenn nur berechtigte Subjekte (Mensch,
System oder Funktion) Schutzobjekte
(System, Funktion oder Informationsbestände)
zu berechtigten Zwecken korrekt
bearbeiten, die Schutzobjekte spezifiziert
sind und die Bearbeitung nachvollziehbar
ist. Korrekt arbeitende Funktionen
sind dann gewährleistet, wenn sie
integre Schutzobjekte (System, Funktion
oder Informationsbestände) in diesem
Zustand belassen und/oder neue Schutzobjekte
den Anforderungen entsprechend
in einer als integer beschriebenen
Form erzeugen.
- Verfügbarkeit bedeutet, dass das IT-
System und die damit bearbeiteten Informationen
den Berechtigten in voller
Funktionalität zur Verfügung stehen.
Ein berechtigter Benutzer soll nicht abgewiesen
werden. Die Verfügbarkeit ist
dann gewährleistet, wenn die berechtigten
Subjekte dauernd innerhalb der gemeinsam
als notwendig definierten Frist
auf die zur Durchführung ihrer Aufgaben
benötigten Schutzobjekte zugreifen
können, die notwendigen Massnahmen
erarbeitet, durchgesetzt und eingeübt
sind, die es bei Störungen erlauben, die
Verfügbarkeit fristgerecht wiederherzustellen
bzw. zu sichern.
Unter integraler Sicherheit wird
im Folgenden verstanden, dass
dem gesamten Bereich Sicherheit
konsequent, umfassend, abgestimmt,
geplant und effizient in
ethisch, wirtschaftlich und rechtlich
vertretbarem Rahmen unter
Ausnutzung bestehender Synergien
begegnet wird. Voraussetzungen
dafür sind das Engagement
der Unternehmensleitung,
eine klar formulierte Politik, die
die Verpflichtung der Organisation
festlegt und dokumentiert, sowie
eine effiziente Aufbau- und
Ablauforganisation, die die weiteren
Schritte zu bewältigen in der
Lage ist.
Medienspiegel www.infosec.ch 65 von 79

Das Management ist gefordert
Das Management muss der Sicherheit
einen umfassenden Stellenwert
einräumen, die Sicherheitskultur
vorzeichnen und im
Unternehmen verbreiten, umsetzen
und ständig kultivieren. Es
muss Massnahmen im Bereich der
Informationssicherheit initiieren
und aktiv tragen. Alle Vorgesetzten
müssen sich ihrer Vorbildfunktion
bewusst sein. Im Rahmen
einer Politik sind die Sicherheitsziele
zu definieren, die Grundsätze
für die einzelnen Sicherheitsbereiche
zu formulieren und der Ablauf
der Risikoerkennung, -bewertung
und -überprüfung festzulegen.
Das Informationssicherheitskonzept
konkretisiert die Politik unter
Berücksichtigung der gesetzlichen,
vertraglichen und internen
Anforderungen. Im Konzept werden
Massnahmen festgelegt, Aufgaben,
Verantwortlichkeiten und
Kompetenzen für Funktionen und
Gremien definiert. Beschrieben
werden einheitliche und standardisierte
Methoden zur Identifikation
und regelmässigen Überprüfung
von Risiken sowie zur Festlegung
von Sicherheitsregeln und
-massnahmen.
Zum Schutz der Informationen
sind technische, organisatorische
und administrative Sicherheitsmassnahmen
zu definieren, die in
einem Regelwerk zusammengefasst
werden können. Ein solches
Regelwerk kann ungefähr 80 Prozent
der Risiken abdecken. Um
die verbleibenden Risiken zu erkennen,
sind eigentliche Risikoanalysen
durchzuführen, deren
Resultate in das Regelwerk zurückfliessen.
Als Basis des Regelwerkes
kann einerseits auf das
IT-Grundschutzhandbuch (GSHB)
des Bundesamtes für Sicherheit in
der Informationstechnik zurückgegriffen
werden, das konkrete
Empfehlungen zur Anwendung
von Standard-Sicherheitsmass-
nahmen für eine Reihe von typischen
IT-Systemen und Einsatzumgebungen
formuliert. Andererseits
kann der Code of Practice for
Information Security Management
der ISO (17799/BS 7799) zugezogen
werden, der in Kürze auch zu
einer schweizerischen Norm erhoben
wird. Für beide Grundwerke
sind Zertifizierungen möglich
bzw. im Falle GSHB in Vorbereitung.
Organisatorische Massnahmen
Die überwiegende Zahl von
Schäden im IT-Bereich entsteht
durch Nachlässigkeit, unzureichender
Akzeptanz von Sicherheitsmassnahmen
und aus mangelnder
Kenntnis. Ein hohes Mass
an Sicherheit kann, auch im Bereich
der IT, nur erreicht und beibehalten
werden, wenn sämtliche
Mitarbeiter die Bedeutung von Sicherheitsmassnahmen
für die Sicherung
der Existenz des Unternehmens
erkannt haben und bereit
sind, dieser Erkenntnis entsprechend
zu handeln. Erst wenn dem
Mitarbeiter der Sinn einer Handlung,
die er auszuführen hat, einleuchtet,
wird er sie zuverlässig
ausführen.
Ein Mitglied der Geschäftsleitung
ist als Delegierter für Sicherheit
zu bestimmen. Ihm zur Seite
zu stellen ist ein Fachgremium,
das sich aus allen Fachbeauftragten
der Sicherheitsteilbereiche zusammensetzt.
Das Ziel dieses
Gremiums ist es, die Sicherheitsaktivitäten
zu koordinieren, zu
lenken und Synergien zu erkennen
und auszunutzen. Die frühe Einsetzung
eines internen Fachbeauftragten
für Informationssicherheit
wird dringend empfohlen. Soweit
es die Grösse des Unternehmens
zulässt, sollten auf Grund möglicher
Interessenkonflikte keine
Mitarbeiter der IT-Abteilung mit
dieser Aufgabe betraut werden.
Aufgabe dieses Information Security
Officers (ISO) ist die Beratung
der Geschäftsleitung in Fachfragen,
Vorgehenspläne zu entwickeln
und Anlaufstelle für alle
Mitarbeiter zu sein. Als Stabstelle
kommt dem ISO keine Weisungskompetenz
zu. Diese verbleibt in
der Linie. Es liegt in der Verantwortung
jedes Mitarbeiters und aller
Vorgesetzten in ihrem Führungsbereich,
die Informationssicherheit
im Rahmen der Vorgaben
umzusetzen. In Kleinunternehmen
können ISO ihre Funktion auch im
Nebenamt ausüben. Für die Ausbildung
von ISO stehen verschiedene
Möglichkeiten offen. An der
Fachhochschule Luzern wurde in
den letzten Jahren ein Nachdiplomkurs
und -studium erfolgreich
aufgebaut. Ab Herbst wird ebenfalls
Eduswiss, eine Hochschul-
Partnerschaft für Nachdiplomausbildung,
ein Nachdiplomstudium
Informationssicherheit anbieten,
das sich aus den Modulen Technik,
Management und Recht zusammensetzen
wird.
Sicherheit ist eine Daueraufgabe
Die Labilität der IT-Ressourcen
wächst. Daneben wächst die Abhängigkeit
der Unternehmen und
Anwender von der zeitgerechten
Verarbeitung ihrer Informationen
und der Verfügbarkeit der Kommunikationsmöglichkeiten.
Die
steigende Labilität ist u. a. auf die
laufend und rapide zunehmende
Komplexität und Vernetzung der
IT-Ressourcen zurückzuführen.
Oftmals fallen heute IT-Services
aus, ohne dass Heerscharen von
Spezialisten die leiseste Chance
hätten, die Ursache des Ausfalls
eindeutig festzustellen. Der Druck
der Lieferanten, Produkte in immer
schnelleren Zyklen zur
Marktreife zu führen, trägt nicht
direkt zur Steigerung der Stabilität
bei. Der Kostendruck verhindert
Medienspiegel www.infosec.ch 66 von 79

profunde Tests vor der Auslieferung
des Produktes. Diese Faktoren
haben deshalb auch zukünftig
zur Folge, dass erkannte, aber
noch nicht behobene Sicherheitslücken
von Angreifern erfolgreich
ausgenutzt werden können.
Die Schnelligkeit der Wissensverbreitung
zu Sicherheitslücken
zwingt zu organisatorischen und
konzeptionellen Massnahmen. Es
muss sichergestellt werden, dass
in der Öffentlichkeit bekannt werdende
Sicherheitslücken auf ihre
Relevanz untersucht werden und
gegebenenfalls zeitgerecht behoben
werden. Werden hier nicht
spezielle Prozesse etabliert, wer-
den Sicherheitslücken zu lange
Tür und Tor für Angreifer öffnen.
*Reto C. Zbinden, Fürsprecher,
ist Geschäftsführer der
Swiss Infosec AG, Bern
NZZ 25. September 2001
Verbände und Organisationen
R.Z. Diverse Non-Profit-Organisationen widmen sich in der Schweiz der Informations- und Informatiksicherheit. Ende 1999 wurde
in Zürich die Stiftung «Infosurance» gegründet. Stiftungsträger sind sowohl private Unternehmen wie auch der Bund, die Hochschulen,
die Post, die SBB und die SRG. Mit einem Budget von etwas über 1 Million Franken strebt die Stiftung folgende Ziele an: Risikoerfassung,
Beratung von Entscheidungsträgern und Benutzern, Prävention und Schadenminderung bezüglich akuter Gefahren. Die
Fachgruppe Security (FGSEC) stellt eine fachliche Sektion der Schweizer Informatiker-Gesellschaft dar, die sicherheitsrelevante Aspekte
der Informationsverarbeitung in ihrer gesellschaftspolitischen und wirtschaftlichen Beziehung in Theorie und Anwendung behandelt.
Die Information Systems Audit and Control Association (ISACA) ist eine Verbindung von Berufsleuten, die sich mit Informatikrevision,
Kontrolle und Sicherheit befassen. Die Vereinigung hat weltweit über 15 000 Mitglieder. Die ISACA bietet mit dem
Certified Informations Systems Auditor einen international anerkannten Leistungsausweis im Bereich der IT-Revision an.
Der Schweizerische Verband der Sicherheit von Informationssystemen (Clusis) ist gesamtschweizerisch seit 1989 tätig und verfügt
über 220 Mitglieder. Im April 2001 wurde das ISSA Switzerland Chapter gegründet. Der 1984 gegründete internationale Dachverband
Information Systems Security Association (ISSA) versteht sich als globale Stimme der Informations-Sicherheits- Professionals und -
Praktiker und verfügt weltweit über 5000 Mitglieder. Die ISSA bietet mit dem Certified Information Systems Security Professional
(CISSP) eine Ausbildung und Zertifizierung für Informationssicherheit an.
Gesetzliche Rahmenbedingungen
R. Z. Sowohl Entwicklung als auch Betrieb und Verwendung von IT-Systemen, Applikationen und Informationen können gesetzlichen
Anforderungen unterworfen sein. Ein Bestandteil der Informationssicherheit bildet der Datenschutz, der sich mit dem Schutz der
Persönlichkeit der von einer Datenbearbeitung betroffenen Personen beschäftigt. Das seit dem 1. Juli 1993 gültige Datenschutzgesetz
des Bundes (DSG) erfasst sowohl die automatisierte als auch die manuelle Bearbeitung von Personendaten. Personendaten müssen auf
Grund des Gesetzes angemessen durch technische und organisatorische Massnahmen vor dem Zugriff Unbefugter geschützt werden
(Art. 7 DSG). Neben dem Datenschutzgesetz sind im Rahmen des IT-Einsatzes auch die Anforderungen des Urheberrechts und der individuellen
Geheimhaltungspflichten (Fernmeldegeheimnis, Bankgeheimnis, Arztgeheimnis u. a. m.) zu berücksichtigen. Zu erwähnen
ist beispielsweise das Rundschreiben der Eidgenössischen Bankenkommission «Auslagerung von Geschäftsbereichen (Outsourcing)»
vom 26. August 1999, das konkrete Sicherheitsanforderungen aufstellt.
Der Bund hat gezielte Aktionen zur Verbesserung der Informationssicherheit unternommen. Die Verordnung über die Informatik
und Telekommunikation in der Bundesverwaltung vom 23. Februar 2000 regelt u. a. den Bereich Informatik-sicherheit. Die strategische
Gesamtverantwortung für die Informatik der Bundesverwaltung trägt der Informatikrat (IRB). Der Ausschuss Informatiksicherheit
nimmt im Auftrag des IRB spezifische Aufgaben im Bereich der Informatiksicherheit wahr. Informatiksicherheitsbeauftragte sorgen
in den Departementen und in der Bundeskanzlei für die Umsetzung der Sicherheitsvorgaben. Die Aufgaben der Informatikrevision
werden durch die Eidgenössische Finanzkontrolle wahrgenommen. Die Kosten für die Informatiksicherheit werden seitens des
Bundes auf jährlich 20 Millionen Franken beziffert.
Im Rahmen der wirtschaftlichen Landesversorgung wurde ein neues Milizamt «Informations- und Kommunikationsinfrastruktur »
geschaffen. Innerhalb des VBS beschäftigt sich die 37-köpfige, direkt dem Generalstabschef unterstellte Abteilung Informations- und
Objektsicherheit (AIOS) mit den Aspekten der Informationssicherheit. Im Juni 2001 fand unter der Leitung der Strategischen Führungsausbildung
die Übung Informo statt, die 2002 fortgesetzt werden soll. Im Rahmen von Informo wurde die strategische Führung
der Schweiz und ihre unterstützenden Organe auf Krisen, ausgelöst durch Störungen in der Informationsinfrastruktur, vorbereitet. Unter
anderem wurde der Sonderstab für Informationssicherheit, der im Krisenfall den Bundesrat unterstützen soll, eingeübt. Auf Stufe
Kanton und Gemeinden ergibt sich kein einheitliches Bild. Auf Grund des Kostendruckes werden in vielen Fällen als nötig erachtete
Massnahmen zurückgestellt beziehungsweise nicht beantragt. Zu weiten Teilen fehlen in der öffentlichen Verwaltung konzeptionelle
Grundlagen und die klare Zuordnung der Verantwortlichkeit.
Medienspiegel www.infosec.ch 67 von 79

KEINE ANGST VOR WILDEN VIREN
Der Jurist Reto
Zbinden predigt
den Schweizer
Firmen mehr
Sensibilität im
Umgang mit ihren
Daten. Das
bedeutet viel Arbeit
für seine
Firma Swiss Infosec.
ALESSANDRO MONACHESI
«Das Sicherheitsbewusstsein
in der IT Branche lässt
hier zu Lande zu wünschen
übrig!» Reto Zbinden
weiss, wovon er spricht.
Kaum ein Zweiter verfolgt
das Thema IT-Sicherheit in
der Schweiz so lange wie
der 36-jährige Luzerner.
Seine Firma, die Swiss Infosec
in Bern, berät ihre
Kunden zu allen Belangen
von IT-Sicherheit und führt
Schulungen durch. Sie wurde
bereits 1989 gegründet,
zu einer Zeit also, als die
meisten Computeruser das
Wort «Internet» noch nie
gehört hatten.
Doch Zbindens IT-
Wurzeln gründen noch tiefer.
1981 erstand er seinen
ersten Computer. Es handelte
sich um einen legendären
PC 1, den ersten Personal
Computer aus dem
Hause IBM. Das Thema Sicherheit
stellte sich damals
noch anders dar: «Die
Achtzigerjahre waren die
Zeit des CCC», erinnert
sich Zbinden. Der Chaos
Seine Infosec schreibt seit der Gründung schwarze Zahlen: Reto Zbinden
Computer Club (CCC) war
das Sprachrohr der deutschen
Hackerszene und
bewegte sich in seiner
Frühzeit im Graubereich
der Legalität. Während sich
in der ersten Hälfte der
Achtzigerjahre die ersten
Viren auf Heimrechnern
verbreiteten, versuchte der
spätere Sicherheitsexperte
sein Glück noch in anderen
Bereichen: als angehender
Wirtschaftsanwalt an der
juristischen Fakultät der
Universität Bern und als
Musikagent im Berner Studentenheim,
wo er Konzerte
von Schweizer Bands organisierte.
«Datensicherheit und
Recht liegen nahe beisammen.
Man denke nur an die
Themen Datenschutz und
Urheberrecht», erklärt
Zbinden den Schritt vom
Jurastudium zur Gründung
einer Firma für IT-Sicherheit.
Zbinden Infosec, so
hiess das Unternehmen
noch bis 2000, wurde 1989
gegründet nur gerade ein
Jahr nachdem der erste
«Wurm» weite Teile des
Internets lahm gelegt hatte.
Die Firma bestand damals
nur aus Reto Zbinden, der
nebenbei auch noch die
Schulbank drückte. Zbindens
Studium litt allerdings
so stark unter der Firmentätigkeit,
dass er es schliesslich
Anfang der Neunzigerjahre
auf Eis legte.
Computerviren verbreiteten
sich zuerst über Speichermedien
Die Probleme und Wünsche
der Kunden unterschieden
Medienspiegel www.infosec.ch 68 von 79

sich in der Frühzeit des Internets
kaum von den heutigen:
Viren, Hacker, Sicherheitsunterweisungen
und Beratung bei Vernetzungsplänen
waren schon
1989 gefragt. Was es noch
nicht gab, waren Tools wie
Firewalls oder Intrusion
Detection Systeme, und Viren
verbreiteten sich noch
vorzugsweise über Speichermedien
und nicht per
E-Mail.
Für Infosec gab es damals
noch kaum Konkurrenz auf
dem Markt für IT Sicherheit.
Einzig die Anbieter
von Grosssystemen boten
in ihrem Segment Ähnliches
an. Erst in den frühen
Neunzigerjahren entdeckten
immer mehr Kryptologiefirmen
und Unternehmen,
die sich auf physische Sicherheitsmassnahmen
wie
zum Beispiel Videoüberwachung
spezialisiert hatten,
das Potenzial des
Markts für IT-Sicherheit.
Dieser wuchs denn auch
munter weiter parallel zum
kommerziellen Aufstieg
des Internets in den späten
Neunzigerjahren.
Bis 1994 konnte Zbinden
Infosec auf 15 Mitarbeiter
ausbauen. Dann stagnierte
das Unternehmen einige
Jahre, weil sich Zbinden
entschlossen hatte, sein
Studium doch zu beenden.
1996 schloss er mit dem
Fürsprecher Titel ab. «Danach
habe ich Infosec weiter
professionalisiert», erinnert
sich Zbinden. Die Einzelfirma
wurde in eine Aktiengesellschaftumgewandelt,
das Wachstum wieder
vorangetrieben. Heute zählt
Swiss Infosec 38 Mitarbeiter.
Darunter finden sich Informatiker
und Berater,
aber auch Juristen und
Geisteswissenschaftler. Bis
im Jahr 2002 will Swiss Infosec
auch im Ausland präsent
sein. Aufträge aus Luxemburg
und Deutschland
legten eine Expansion nahe.
Steht zur Kapitalbeschaffung
der Börsengang bevor?
«Nein! Ein IPO ist
kein Thema», weist Zbinden
alle Börsenfantasien
weit von sich. Die Finanzierung
der Auslandsniederlassungen
soll über die
Betriebsgewinne erfolgen.
Denn wovon Unternehmen
der IT Branche nur träumen
können, das hat Swiss Infosec
erreicht: Die Firma
schreibt schwarze Zahlen,
und das seit der Gründung.
Datensicherheit ist immer
noch nicht Chefsache
Arbeit für Swiss Infosec
gibt es auch heute genug.
Die Sensibilisierung der
Wirtschaft auf das Thema
Datensicherheit nehme
zwar kontinuierlich zu, reiche
aber bei weitem noch
nicht, moniert Zbinden:
«Datensicherheit ist noch
immer nicht Chefsache,
sondern sie wird halbherzig
einem IT Leiter zugeschoben.»
Konzepte und Verhaltensregeln
fehlten weitestgehend.
«Am schlimmsten
sind die KMU», urteilt
der Sicherheitsexperte.
Ihnen fehle es am nötigen
Bewusstsein und in vielen
Fällen auch am Geld. Neben
der vielen Arbeit muss
sich Zbinden auch um sein
Familienleben im Eigenheim
in Eich bei Sursee
kümmern. Er ist seit 1992
verheiratet und hat mittlerweile
zwei kleine Kinder.
Das hohe Arbeitspensum
hatte früher manchmal zu
Spannungen in der Familie
geführt. «Inzwischen hat
sich das Familienleben aber
gut eingependelt», sagt er.
«Durchgearbeitete Nächte
kommen nicht mehr vor.»
Als waschechter Luzerner
ist Zbinden natürlich ein
angefressener Fasnächtler
und Zünftler. Wenn er nicht
gerade im Kostüm steckt,
entspannt er sich beim Abtauchen
in Schweizer Seen
einem Hobby, bei dem Sicherheit
eine grosse Rolle
spielt.
AKTIVER DATENSCHUTZ
DIE BERNER FIRMA Swiss Infosec AG ist seit
1989 im Bereich IT-Sicherheitsberatung tätig.
Darunter versteht Infosec den Schutz vor Hackerattacken
und Virenangriffen genauso wie die Absicherung
von Serverräumen.
NEBEN DEM klassischen Consulting führt Infosec
seit 1992 auch Kurse zu verschiedenen sicherheitsrelevanten
Themen durch. Die Kundenliste
umfasst verschiedene Kantonalbanken, die Post
und die Swisscom sowie das Eidgenössische Justiz-
und Polizeidepartement. Die massgeschneiderten
Angebote richten sich vornehmlich an grössere
Firmen. Für KMU hält Infosec standardisierte
Audits bereit.
DIE AKTIEN der Swiss Infosec AG befinden sich
zu 98 Prozent im Besitz des Firmengründers und
CEO Reto Zbinden. Die restlichen zwei Prozent
sind im Familienbesitz. Noch ab diesem Jahr sollen
sich auch Mitarbeiter am Unternehmen beteiligen
können. Zu Umsatz und Gewinn macht Infosec keine
Angaben.
www.infosec.ch
21. September 2001
Medienspiegel www.infosec.ch 69 von 79

Fehlende Fehlende Vorkehrungen Vorkehrungen zur zur IT IT Sicherheit Sicherheit können können Unternehmen
Unternehmen
teuer teuer zu zu stehen stehen kommen, kommen, mit mit Schäden, Schäden, bis bis zur zur Existenzbedr
Existenzbedro-
Existenzbedr
Existenzbedroo
o
hung. hung. Doch Doch jeder jeder jeder Betrieb Betrieb soll soll und und kann kann kann una unabhängig una bhängig von von von seiner seiner
seiner
Grösse Grösse Sicherheitsmassnahmen cherheitsmassnahmen aufbauen.
aufbauen.
Von Reto C. Zbinden
I
T-Sicherheit wird definiert
als das angemessene und
dauernde Gewährleisten der
Verfügbarkeit, Integrität und
Vertraulichkeit der IT-
Ressourcen und der damit
bearbeiteten oder übertragenen Infor-
mationen. Dazu können folgende 12
Punkte als wesentliche Voraussetzungen
genannt werden.
1. Management ist gefordert
Es ist die Aufgabe der Geschäftsleitung,
Massnahmen im Bereich der IT-
Sicherheit zu initiieren und aktiv zu
tragen. Alle Vorgesetzten müssen sich
ihrer Vorbildfunktion bewusst sein. Im
Bereich der IT Sicherheit ist es keinesfalls
damit getan, in Hard- oder Software
zu investieren. Die Mehrheit der
Massnahmen sind rein organisatorischer
und konzeptioneller Natur.
Daneben sind im Einzelfall technische
Massnahmen und somit auch Investitionen
zu prüfen.
Zu Beginn der Aktivitäten sollte eine
klare Formulierung der Zielsetzung,
eine pointierte Darstellung der Wichtigkeit,
die Einsetzung der verantwortlichen
Funktionen und der Aufruf an
sämtliche Mitarbeiter stehen, diese Aktivitäten
zu unterstützen. Dies kann im
Medienspiegel www.infosec.ch 70 von 79

Rahmen einer so genannten IT Sicherheitspolitik,
in der Ausführlichkeit und
Tiefe vergleichbar mit einer QM Politik,
erfolgen.
Diese Politik oder Strategie ist anschliessend
zu konkretisieren, Verfahren
sind festzulegen, Verantwortlichkeiten
zu definieren und gegebenenfalls
notwendige Weisungen zu erstellen.
Die Durchführung einer umfassenden
unternehmensweiten Risikoanalyse
drängt sich nach meiner Ansicht
nicht direkt auf. Die Erfahrung zeigt,
dass Risikoanalysen in verschiedenen
Unternehmen zu 60 bis 90 Prozent
identische Massnahmen und Empfehlungen
zur Folge haben. Deshalb wird
in Abstimmung mit den international
anerkannten Standards empfohlen, das
Verfahren umzukehren und zu Beginn
die Massnahmen, die dem State of the
Art entsprechen, zu formulieren.
2. Breite Sensibilisierung
Ein sehr zentraler Aspekt im Bereich
der IT Sicherheit ist die Awareness
oder das so genannte Bewusstsein für
die Problemstellung aller Beteiligten.
Nur ein sensibilisierter und ausgebildeter
Mitarbeiter ist in der Lage, IT Ressourcen
sicher einzusetzen, Unsicherheiten
zu erkennen und an geeigneter
Stelle darauf hinzuweisen. Ein kleines
oder mittleres Unternehmen ist praktisch
nicht in der Lage, sämtliche Aspekte
der IT-Sicherheit präventiv zu
regulieren. Umso mehr Gewicht muss
darauf gelegt werden, die Sensibilisierung
und den Ausbildungsstand der
Mitarbeiter auf ein Niveau zu bringen,
das sicherstellt, dass die Sicherheitsregeln
verstanden und aktiv angewendet
werden. Die Mitarbeiter sind die wichtigsten
Sicherheitssensoren eines Unternehmens.
3. IT-Sicherheitsbeauftragter
Eine zentrale organisatorische Massnahme
ist die Einsetzung eines internen
Fachbeauftragten für IT Sicherheit.
Soweit es die Grösse des Unternehmens
zulässt, sollten keine Mitarbeiter
der IT Abteilung mit dieser
Aufgabe betraut werden, sonst wird
noch der «Gärtner zum Bock» gemacht.
Aufgabe des so genannten IT-Sicherheitsbeauftragten
ist die Beratung der
Geschäftsleitung. Daneben fungiert er
als Anlaufstelle für alle Mitarbeiter.
Seine Aufgabe ist es, Entscheidungen
der Geschäftsleitungen vorzubereiten.
Als Stabstelle kommt dem IT Sicherheitsbeauftragten
nur fachliche Beratungsverantwortung
und keine Weisungskompetenz
zu. Er schlägt Weisungen
vor, die Weisungen werden
aber von der Linie erlassen und durchgesetzt.
Der IT-Sicherheitsbeauftragte kann
nicht die Verantwortung für die Sicherheit
innerhalb des Unternehmens
übernehmen. Es liegt in der Verantwortung
jedes Mitarbeiters und aller
Vorgesetzten in ihrem Führungsbereich,
die IT Sicherheit umzusetzen
und den erlassenen Weisungen Folge
zu leisten. IT Sicherheitsbeauftragte in
Kleinunternehmen können durchaus
auch im Nebenamt diese Funktion
ausüben. Wie bei allen Nebenämtern
ist zu gewährleisten, dass es nicht zur
Nebensächlichkeit verkommt und dem
Mitarbeiter angemessene Freiräume
zur Wahrnehmung seiner wichtigen
Aufgabe erhalten bleiben.
4. Verfügbarkeit als Herausforderung
Gerade auch KMU sind besonders im
Bereich der Verfügbarkeit abhängig
von einer fehlerfrei funktionierenden
IT. Besonders dringlich im Hinblick
auf die Gewährleistung der Verfügbarkeit
ist die konsequente und regelmässige
Sicherung und Duplizierung aller
Geschäftsdaten. Es sind unbedingt
sämtliche Systeme mit geschäftskritischen
Aufgaben in den Datensicherungsprozess
aufzunehmen, also auch -
falls erforderlich - Notebooks und
Kommunikationsrechner.
Bei der Datensicherung sind sich
abwechselnde Datenträger zu verwenden.
So sind zum Beispiel fünf tägliche
Sicherungen auf separaten Datenträgern
zu erstellen. Die fünfte Datensicherung
dient wiederum als Wochensicherung
Dieses Verfahren wird als
Generationenprinzip bezeichnet. Die
erfolgreiche Sicherung der Daten ist
regelmässig zu überprüfen, indem versucht
wird, die gesicherten Daten auf
die Systeme zurück zu sichern..
Im Falle einer Katastrophe müssen
innert kürzester Zeit Systeme neu aufgesetzt
werden. Der IT-Sicherheitsbeauftragte
sollte entsprechend der
Grösse des jeweiligen Unternehmens
eine Planung erarbeiten, wem welche
Aufgaben im Falle einer Katastrophe
zukommen, und notwendige Vorbereitungsarbeiten
identifizieren Die Geschäftsleitung
hat vorzugeben, innert
welcher Frist wieder erfolgreich auf
die IT oder auf Teile davon zugegriffen
werden soll.
5. Gesetze einhalten
Im Rahmen des IT Einsatzes ist ebenfalls
die Einhaltung der gesetzlichen
Anforderungen sicherzustellen. Im
Vordergrund stehen hier das Datenschutzgesetz
und das Urheberrechtsgesetz.
Um im Bereich des Datenschutzes
mit dem Gesetz konform zu arbeiten
muss überprüft werden, wer innerhalb
des Unternehmens welche Personendaten
aus welchem Grund speichert.
Besonders schützenswerte Personendaten
oder Persönlichkeitsprofile dürfen
keinesfalls an andere Unternehmen
weitergegeben werden. Zu beachten
sind hier die Empfehlungen des Datenschutzbeauftragten,
die unter anderem
in der Form von Merkblättern vorliegen
(wvvw.edsb.ch). Im Bereich des
Urheberrechts dürfen die Rechte Dritter
nicht verletzt werden.
6. Weisung
Es empfiehlt sich, eine Weisung zu erarbeiten,
die die Handhabung von 1:1
Ressourcen, insbesondere Internet und
E-Mail, die Umsetzung des Datenschutzgesetzes
und des Urheberrechtsgesetzes
regelt. Der Inhalt einer solchen
Weisung ist unternehmensspezifisch
festzulegen:
1. Im Bereich des Datenschutzes
drängt sich auf, sämtlichen Mitarbeitern
zu verbieten, externen Stellen Personendaten
irgendwelcher Natur weiterzugehen,
ausser es liegt eine gesetzliche
Verpflichtung oder das Einverständnis
der betroffenen Person vor.
2. Im Bereich des Urheberrechtes
drängt sich auf, sämtlichen Mitarbeitern
zu verbieten, nicht nachweislich
lizenzierte Software oder Softwareteile
auf firmeneigenen Rechnern zu installieren.
3. Beim Umgang mit IT-Ressourcen
muss unter anderem das Verhalten im
Zusammenhang mit Passwörtern geregelt
werden (zum Beispiel vertrauliche
Behandlung usw.).
4. Im Bereich des Internets muss da-
Medienspiegel www.infosec.ch 71 von 79

auf hingewiesen werden, dass der
Mitarbeiter im Rahmen seiner Arbeitszeit
keine Sites mit strafrechtlich relevanten
Inhalten besucht (Harte Pornografie,
Rassismus) oder in solchen
oder anderen Foren unter Angabe der
Firmenidentität seine (persönliche)
Meinung abgibt.
Weiterführende Weiterführende Infos
Infos
Es existieren diverse Hilfestellungen
in Form von Publikationen,
die auch über das Internet
abrufbar sind. Besonders
hervorzuheben ist hier der
Code of Practice for Information
Security, British Standard
Institute, BS 7799, der kürzlich
als ISO/IEC Norm 17799 adaptiert
wurde und kurz vor der
Anerkennung als Schweizer
Norm steht (SN ISO/IEC
17799). Zukünftig wird es
möglich sein, Unternehmen
basierend auf dieser Norm zu
zertifizieren.
Eine praxisorientierte Hilfestellung
bietet das Grund-Schutzhandbuch
des deutschen Bundesamtes
für Sicherheit in der
Informationstechnik
(www.bsi.de). Das Grundschutzhandbuch
des BSI stellt
sehr ausführlich mögliche
Massnahmen im Bereich der
IT-Sicherheit dar.
5. Die Vertraulichkeit der bearbeiteten
Informationen ist angemessen zu gewährleisten.
So ist der unverschlüsselte,
externe Versand vertraulicher Informationen
mittels E-Mail zu verbieten.
Weil die Wahrscheinlichkeit eines
Diebstahls bei einem Notebook als
hoch eingestuft werden muss, sollten
auf diesen Geräten keine vertraulichen
Informationen unverschlüsselt gespeichert
werden.
7. Internet Sicherheit
Jegliche Verbindung zum Internet erfordert
zusätzliche Schutzmechanismen.
Diese Schutzmechanismen werden
unter dem Begriff Firewall zusammengefasst.
Es muss einem exter-
nen Angreifer nachhaltig verunmöglicht
werden, auf interne Systeme oder
interne Informationen zuzugreifen. Eine
einmal installierte Firewall muss
aktiv gewartet werden. Hier handelt es
sich um eine sehr zeitaufwändige Arbeit.
Sämtliche auftauchenden Sicherheitslücken
sind auch im Zusammenhang
mit der Firewall zu schliessen.
8. Virenschutz
Auf sämtlichen Systemen, inklusive
dem Mail Server, sind Virenschutz
Applikationen zu installieren, deren
Viren Erkennungsdateien regelmässig,
bei an das Internet angebundenen Systemen
täglich oder gemäss Bedarf häufiger
aktualisiert werden.
9. Inventar
Sämtliche IT-Systeme sind zu inventarisieren.
Aus dem Inventar muss ersichtlich
sein, welche Betriebssysteme
und Applikationen auf welchen Systemen
betrieben werden. Aufgrund der
stetig steigenden Bedrohungslage
(Würmer und Viren) ist ein Verfahren
zu implementieren, das sicherstellt,
dass bekannt werdende Sicherheitslücken
der Betriebssysteme und Applikationen
innert angemessener Zeit
nachhaltig geschlossen werden.
10. Berechtigungsverwaltung
Die Konten und Zugriffsrechte auf den
einzelnen Systemen und hinsichtlich
der gespeicherten Informationen sind
in einem geordneten Verfahren zu vergeben,
anzupassen und zu löschen.
Regelmässige Kontrollen haben zu
Überprüfen, inwieweit die vergebenen
Berechtigungen sach- und funktionsgerecht
erscheinen. Der Austritt eines
Mitarbeiters muss zur Folge haben,
dass seine Konten und Berechtigungen
nicht nur deaktiviert, sondern auch gelöscht
werden.
11. Outsourcing
Blindes Vertrauen gegenüber externen
IT-Dienstleistern ist nicht angebracht.
Die Verantwortung im Bereich IT-
Sicherheit kann und soll nicht outgesourced
werden. Formulieren Sie deshalb
ausdrücklich Sicherheitsbestimmungen
und verpflichten Sie externe
Dienstleister auf deren Einhaltung. Die
Einhaltung der formulierten und vereinbarten
Sicherheitsbestimmungen ist
regelmässig zu kontrollieren. Bei der
Zusammenarbeit mit Dritten ist darauf
zu achten, dass eine Vertraulichkeitserklärung
unterzeichnet wird.
12. Physischer Schutz
Zentrale IT Systeme sind physisch zu
schützen. Sämtliche zentralen IT Systeme
wie etwa Server, Midrange Systeme
müssen in einem zutrittssicheren
Raum platziert werden. Der Zutritt ist
zu überwachen und aufzuzeichnen.
Medienspiegel www.infosec.ch 72 von 79

Zu Zu Begriffen Begriffen in in dieser dieser Au Ausgabe Au gabe
_ASP Application Service Providing, Möglichkeit, mit Programmen wie Word extern über das Internet
(inkL Betreuung) zu arbeiten.
_CC Common Criteria for Information Technology Security Evaluation, «Gemeinsame Kriterien für
die Prüfung und Bewertung der Sicherheit von Informationstechnik», im Mai 1998 unter Beteiligung
Deutschlands, Frankreichs, Grossbritanniens, Kanadas, der Niederlande und der USA abschliessend
fertiggestellt. Die CC 2.1 sind durch die ISO unter der Nummer 15408 ein internationaler Standard geworden.
_CGI Common Gateway Interface, geräteunabhängige Schnittstelle, Skripts zum Starten externer Programme
vom Internet aus.
_Directory Verzeichnis zur Verwaltung von Dateien, eine Art Aktenordner, in dem zusammengehörige
Dateien logisch gruppiert werden.
_DoS attacks Denial of Service Angriffe, Angriffe auf InternetAnbieter, um den Datentransfer zu blockieren.
Die Angreifer verschaffen sich Zugang zu Hunderten von Rechnern im Internet, auf denen sie
die Programme für die DoS Attacken installierten.
_Firewall «Feuermauer», Sicherheitseinrichtung eines Computersystems, um das unberechtigte Eindringen
in geschützte Bereiche von Rechnersystemen zu verhindern.
_IT InformationsTechnologie, Sammelbezeichnung für Techniken, Methoden, Systeme und Werkzeuge,
die für unterschiedliche Arten von Informationen, den Zugang sowie die Verfügbarkeit von Informationen
verwendet werden.
_ITSEC Information Technology Security Evaluation Criteria: Kriterienkatalog der Europäischen Union
zur Evaluation und Zertifizierung von IT Produkten und IT Systemen. Basis eines Europäischen
Abkommens (1998) zur gegenseitigen Anerkennung von IT Sicherheitszertifikaten. Unterzeichner sind:
Deutschland, Finnland, Frankreich, Griechenland, Grossbritannien, Italien, Niederlande, Norwegen,
Portugal, Schweden, Schweiz und Spanien.
_Kryptologie Wissenschaft der «Verschlüsselung» von Informationen.
_LAN Local Aerea Network (lokales Netzwerk), Soft und Hardware-mässiger Verbund mehrerer Computer,
auch Intranet (firmeninternes Netzwerk).
_LDAP Light Directory Access Protocol, Aufbau einheitlicher Directory oder Verzeichnis Dienste, die
von unterschiedlichen Nutzern gemeinsam verwendet werden können.
_PGP Pretty Good Privacy, ein verbreitetes Programm zum Austausch sicherer E Mails und zur Datei
Verschlüsselung.
_PKI Public Key Infrastructure, sicherer Datenaustausch durch die Verwendung eines kryptografischen
Schlüsselpaares, z.B. beim Geldverkehr über das Internet.
_Server Computer, der seine Hardware und Software Ressourcen in einem Netzwerk anderen Rechnern
(Clients) zugänglich macht, z.B. Applikations , Daten , Web und Mail Server.
_Smart Cards Karte, die im Gegensatz zur herkömmlichen Magnetstreifen Karte Informationen enthält,
die mittels neuer Technologien über Funktionen verfügt, die eine eindeutige Identifikation des Besitzers
ermöglicht und/oder den Zugang zu interaktiven Dienstleistungen (Telefon, Geldverkehr) ermöglicht.
_USB Token Universal Seriell Bus, verwaltet Tastatur, Maus und alle übrigen Geräte, die frei miteinander
verbunden werden können.
Virus Versteckter Programmteil einer Datei, der Daten und komplette Netzwerkstrukturen zerstört.
Kann durch jede Form der Datenübernahme (Internet, Disketten, ZIP Laufwerke, CD ROMS, Netzwerke
usw.) übertragen und verbreitet werden. Vermeidung nur durch gesamthaftes Massnahmenpaket im
Rahmen der Informationssicherheit.
Quellen unter anderem: www.infosurance.org, www.bsi.de
Management und Qualität, Spezialausgabe «IT-Security», September 2001
Medienspiegel www.infosec.ch 73 von 79

Ausgabe 12/01, 08.06.2001
Datenschutz:
Die Unternehmen haben Erklärungsbedarf
Cornelia Diethelm
Die Maschen im Internet werden immer dichter –
der Schutz von heiklen Daten erhält zunehmend
grössere Bedeutung. Doch die meisten Firmen
drücken sich um klare Datenschutzerklärungen.
Die Baselbieter machens vor, wie man sich im digitalen
Zeitalter bewegt: Die Gemeinde Aesch legt auf
ihrer Website www.aesch.ch offen, wie sie mit persönlichen
Daten umgeht. Neben Verweisen auf das
Bundesgesetz über den Datenschutz und auf kantonale
Richtlinien erklärt sie den Einwohnerinnen
und Einwohnern auch diverse Fachbegriffe. Wer im
Internet surft, hinterlässt Spuren: Beim Informationsaustausch
besteht die Gefahr, dass heikle Daten
im Netz gesammelt, verknüpft und missbraucht
werden. Doch die wenigsten Websites sind transparent
– und Datenschutzerklärungen (Privacy Policies)
fehlen meistens. Nicht mal in der Medienbranche
scheint man auf das Thema Datenschutz wirklich
sensibilisiert zu sein. «Wir halten uns an das
Datenschutzgesetz, eine Privacy Policy haben wir
aber noch nicht aufgeschaltet», heisst es bei der
Tamedia AG (www.tamedia.ch), die unter anderem
den «Tages-Anzeiger» und «Facts» herausgibt.
Auch beim «Blick» (www.blick.ch) und beim
Schweizer Fernsehen DRS (www.sfdrs.ch) fahndet
man vergeblich nach Hinweisen auf eine Datenschutzerklärung.
Minimalvarianten bieten die NZZ
(www.nzz.ch) und das Schweizer Radio DRS
(www.srdrs.ch). Auch die beiden Grossverteiler
Migros und Coop präsentieren auf ihren Websites
keine Datenschutzerklärung. Bei Migros
(www.migros.ch) beteuert man, «dass keine Daten
ausgewertet und schon gar nicht an Dritte weitergegeben»
würden. Und auf www.coop.ch findet man
beim Thema Supercard einen einzigen dürftigen
Satz zur Behandlung von Daten. Man habe bisher
online relativ wenig interaktiven Kontakt mit der
Kundschaft gehabt, «aber wir erarbeiten momentan
eine Concern Policy». «Die meisten Unternehmen
haben betreffend Datenschutz im Internet von Tuten
und Blasen keine Ahnung», sagt Reto Zbinden, Geschäftsleiter
der Beratungsfirma für Sicherheitsfragen
Infosec AG (www.infosec.ch). Bessern werde
sich erst etwas, «wenn die Konsumenten mehr
Transparenz fordern». Es geht jedoch auch ohne
Druck: Die zwei Computerfirmen Dell (www.dell.ch)
und Apple (www.apple.ch) informieren klar über den
Umgang mit sensiblen Daten. Pionierin auf dem
Gebiet des Datenschutzes ist das Unternehmen
IBM (www.ibm.ch). Seit Januar 2001 wacht Armgard
von Reden als Chief Privacy Officer für Europa,
den Mittleren Osten und Afrika darüber, dass die
Datenschutzgesetze und die internen Richtlinien
eingehalten werden. Von Reden hat die Erfahrung
gemacht, dass «viele Firmen glauben, es gehe ohne
Datenschutzerklärung, weil man gesetzliche
Grundlagen habe». Doch für die Spezialistin gibts
nicht den geringsten Zweifel: «Eine Privacy Policy
gehört zu einem guten Kundendienst.»
Medienspiegel www.infosec.ch 74 von 79

«Der «Der «Der Image Image-Schaden Image Schaden ist ist oft oft am am am schlimmsten»
schlimmsten»
Sicherheitsexperte Reto Zbinden über Hacker-Angriffe und den Stand der Datensicherheit in der Schweiz
Das Beratungsunternehmen
Swiss Infosec AG (35 Mitarbeiter)
beschäftigt sich seit
zehn Jahren mit «allen
Schattierungen der Informationssicherheit»,
wie Geschäftsführer
und Fürsprecher
Reto Zbinden, 35, sagt.
Der Sonntags-Zeitung erklärte
er, welchen Image-
Schaden der WEF-Datenklau
anrichten kann – und wo die
Schweizer Unternehmen
heute in Sachen Datensicherheit
stehen.
Reto Zbinden über seine
Kreditkarte:
«Ja, ich kaufe im Internet
ein. Nicht gerade überall,
aber ich bestelle meine Bücher
bei Amazon, weil ich
kaum Zeit habe, in Buchläden
zu gehen. Ich überlege
mir auch genau, welche
Passwörter ich wo benutze.»
Über die Sicherheitsmassnahmen
in seiner
Firma:
«Wir verfügen über wenig
sensible Kundendaten – wir
haben beispielsweise keine
Kreditkartennummern. Wir
weigern uns sogar, sensible
Daten zu erhalten, weil dann
unsere Server belastet würden.
Die Daten auf unseren
Laptops sind verschlüsselt.»
Über den Stand der Sicherheit
in Grossunternehmen:
«Das Bewusstsein ist mit
dem Auftauchen des ILO-
VEYOU-Virus oder Zwischenfällen
wie dem WEF-
Hack besser geworden, generell
aber noch nicht gut.
Wir beobachten, wie Fir-
«Wenn «Wenn «Wenn die die Hausärzte Hausärzte abends abends abends surfen, surfen, kann kann ein ein HHacker
H acker ihre Rönt Röntgenbilder
Rönt
genbilder anschauen»: Reto Zbinden
men riesige IT-Projekte an
die Hand nehmen, dabei aber
sehr spät oder gar nicht an
IT-Sicherheit und Datenschutz
denken.»
Über die Rolle des Managers
in Sachen IT-Sicherheit:
«IT-Sicherheit ist
Chefsache:
Es reicht nicht, wenn Fragen
der Sicherheit an die IT-
Abteilungen delegiert werden.
Sicherheit muss in die
Köpfe rein, muss ein Prozess
sein. Der Götti dieses Prozesses
muss ein Topmanager
sein. Denn wenn man ein
System sicher macht, muss
man auch dafür sorgen, dass
es sicher bleibt.»
Über KMUs und warum
diese am schlimmsten dran
sind:
«Man kann wohl behaupten,
dass kleine und mittlere Un-
ternehmen – so bis 20, 30
Mitarbeiter – die grössten
Probleme haben. Ich kenne
kaum KMUs, die eine Firewall
haben, sie verlassen
sich auf das Prinzip Hoffnung.
Oder denken Sie an all
die Haus- und Zahnärzte, die
direkt am Internet hängen.
Wenn sie abends surfen,
kann ein Hacker ihre Röntgenbilder
anschauen.»
Über Image-Schäden, die
durch Angriffe auf Computersysteme
entstehen
können:
Das ist schwierig abzuschätzen.
Wie viel kostet es zum
Beispiel das WEF, dass jetzt
ein paar wichtige Leute verärgert
sind? Eine Million?
Zehn Millionen? Sicher ist,
dass der Image-Schaden oft
grösser ist als unmittelbar
entstandene Schäden.»
Über die Ausbildung von
Mitarbeitern:
«Manche Firmen sind vorbildlich,
andere wissen nicht
einmal, was sie sagen sollen,
wenn Mitarbeiter Fragen
stellen. Wann sind Sie das
letzte Mal ausgebildet worden?
Und falls es in der
Sonntags-Zeitung ein Merkblatt
gibt: Hat dies auch jener
Mitarbeiter erhalten, der
letzte Woche angefangen
hat?» Philippe Pfister
11. Februar 2001
Medienspiegel www.infosec.ch 75 von 79

Computer Computer-Hacker
Computer Hacker Hacker: Hacker : Mit speziellen
Programmen klinken sie
sich in fremde Computer ein
– ein
Kinderspiel?
«Banken schieben das Risiko
auf ihre Kunden ab»
Patrick Gut
Das Internet Banking ist bequem,
einfach und sicher. Dies zumindest
verkünden Banken und Post. Sie
haben ein Interesse daran, dass
möglichst viele Kundinnen und
Kunden ihre Bankgeschäfte online
erledigen. So sparen die Geldinstitute
Kosten und Personal.
Aber ist Internet Banking tatsächlich
so gut geschützt, wie die
Banken behaupten? Allem Anschein
nach nicht. Die ARD Sendung
«Plusminus» deckte Beunruhigendes
auf. Mit Hilfe eines
Computer Hackers ist es gelungen,
von einem fremden Konto bei der
Deutschen Bank Geld zu überweisen.
Der Hacker hatte bei seinem
Opfer ein Trojanisches Pferd (siehe
Kasten unten) eingeschleust.
Auf diese Weise kam er ohne weiteres
an sämtliche notwendigen
Zugangscodes des Bank Kunden
heran. Das Auslösen einer Zahlung
war für den Hacker ein Kinderspiel.
«Jeder kann im Internet die nötigen
Programme finden. Man
braucht kein Spezialwissen. Diese
Programme sind so gemacht, dass
sie problemlos auch von den
jüngsten Schülern bedient werden
können», erklärte der deutsche
Computer und Sicherheits-Experte
Axel Dunkel in «Plusminus».
Medienspiegel www.infosec.ch 76 von 79

Sind auch die Kunden der
Schweizer Banken leichte Beute
für Computer Hacker? Um das herauszufinden,
konfrontierte der K-
Tipp die drei grössten Schweizer
Banken UBS, CS, ZKB sowie die
Post mit den Aussagen aus der
«Plusminus» Sendung.
• UBS
Der Kunde muss ausser seiner
Vertragsnummer und einem Passwort
einen vierstelligen Zugangscode
aus einer Streich liste eingeben,
um online ein Geschäft zu erledigen.
Hat er einen Zugangscode
verwendet, streicht er ihn und
nimmt für die folgende Sitzung mit
seiner Bank den nächsten Code auf
der Liste. Hält der Kunde die Reihenfolge
bei den Codes auf der
Streichliste nicht ein, funktioniert
nichts.
«Hat der Kunde einen Trojaner
aufgelesen, sind Manipulationen
denkbar», sagt Alexis Barbie, zuständiger
Leiter bei der UBS. Die
Bank empfiehlt den Kunden, sich
vor Viren und Trojanern zu schützen.
Zudem müssen Kunden wachsam
sein und bei ungewöhnlichen
Meldungen sofort die Hotline* anrufen.
Noch dieses Jahr lanciert die
Bank eine Chipkarte. «Das Sicherheitssystem
befindet sich dann auf
dem Chip und nicht mehr auf dem
Computer. Dieses System wird alle
heute bestehenden Systeme ablösen»,
sagt Barbie.
• CS
«Bei der CS arbeiten die meisten
Kundinnen und Kunden mit einer
Secure ID Karte», sagt CS Pressesprecher
Matthias Friedli. Diese
Karte enthält einen Mikroprozessor,
dessen Zufalls Generator alle
60 Sekunden einen neuen Zugangscode
generiert. Diesen Code
liest der Benützer von einer Anzeige
auf der Karte ab. Der Hacker
müsste innerhalb von 60 Sekunden
reagieren. Weil der Code ständig
wechselt, erhöht die Secure ID
Karte die Sicherheit.
Für Kunden, die noch die herkömmliche
Streichliste mit den
Zugangscodes verwenden, gilt:
Manipulationen durch einen Hacker
sind möglich.
• ZKB
Die Kunden müssen sich derzeit
auf die gängige Streichliste mit
den Zugangscodes verlassen.
«Theoretisch ist es möglich, dass
ein Hacker über ein ZKB Konto
eine Zahlung ausführen kann»,
sagt Pressesprecher Urs Ackermann.
«Es muss sich beim Hacker
jedoch um einen Profi handeln, der
in der Lage ist, das Verhalten der
ZKB Internet Lösung nachzubilden.»
Ausserdem beurteilt Ackermann
die Chance, dass der
Hacker entdeckt wird, als sehr
gross.
COMPUTERPROGRAMME
COMPUTERPROGRAMME
Was Was sind sind Trojanische Trojanische Trojanische Pferde?
Pferde?
Trojanische Pferde (auch Trojaner genannt)
sind Programme, mit deren Hilfe
ein Hacker Daten auf dem Computer
seines Opfers ausspionieren kann. Unter
Umständen gelingt es ihm, auf das
ganze System zuzugreifen. Oft verbergen
sich Trojaner hinter einem nützlichen
Programm oder auch hinter einem
Spiel. Installiert der Anwender das
Programm, installiert sich gleichzeitig
und unbemerkt auch ein Trojaner.
Hat sich der Trojaner eingenistet,
überwacht er den Computer seines Opfers
und liefert dem Hacker geheime
Daten. Es gibt Trojaner, die sämtliche
Daten aufzeichnen, welche der Anwender
eintippt. Die Raffinierteren
zeichnen nur jene Tastatur-Folge auf,
die den Hacker tatsächlich interessieren
(etwa Kreditkarten-Nummern oder
Passwörter). Mac-User sind davon weit
weniger betroffen als PC-Nutzer.
• Post
Ebenfalls mit einer Streichliste arbeitet,
wer seine Finanzgeschälte
mit Yellow Net abwickelt, «Das
Risiko ist minim, dass ein Hacker
die Sicherheitselemente eines
Kunden ausspioniert, sich bei Yellow
Net anmeldet und somit
Zugriff auf die Konti erhält»,
meint Alex Josty, Pressesprecher
von Postfinance. Aus Sicht der
Post wäre aber ein «sehr ausgeklügeltes
System» notwendig.
Trotzdem: Auch sie entwickelt
derzeit eine Chipkarte, die grössere
Sicherheit bietet.
• Fazit
Mit Hacker Zugriffen muss man
auch in der Schweiz rechnen. Dem
Hinweis der Banken, dass ein Profi
ans Werk müsse, widerspricht der
deutsche Sicherheits-Experte Axel
Dunkel: «Solange Banken mit den
herkömmlichen Streichlisten arbeiten,
ist es für Hacker ein Kinderspiel,
eine Zahlung auszulösen.»
Dass man in der Schweiz bei den
Streichlisten die Reihenfolge der
Codes einhalten müsse, sei kein
Hinderungsgrund für den Hacker.
Er brauche bloss seine Strategie
anzupassen. «Die im Internet vorhandenen
Trojaner Programme
kann jeder Computer Laie anpassen.»
Anders sieht es Reto Zbinden,
der in Bern seit zehn Jahren ein
Geschäft für Informationssicherheit
leitet: «Die Gefahr, dass ein
Bankkunde zum Hacker Opfer
wird, ist minim.» Zbinden räumt
aber ein: «Die Technologie gibt
den Takt vor, die Sicherheit hinkt
immer etwas nach.»
Gemäss Auskunft der Geldinstitute
sind bisher keine Fälle von
missbräuchlichen Manipulationen
durch Hacker bekannt.
Zudem weisen Banken und Post
darauf hin, dass die Risiken im
konventionellen Zahlungs- und
Barverkehr im Vergleich zum Telebanking
einiges höher seien.
Die Krux: Sollte ein Hacker sein
Ziel erreichen, haben die Bank
Kunden das Nachsehen. Die Haf-
Medienspiegel www.infosec.ch 77 von 79

tung liegt dann nämlich bei ihnen.
Für Peter Vollmer, Präsident der
Stiftung für Konsumentenschutz
(SKS), ist dies fragwürdig: «Die
Banken schieben das Risiko der
neuen Technologien auf ihre Kunden
ab.» Dank der Einsparungen
bei Personal und Kosten profitieren
aber in erster Linie die Banken
vom Online Banking. «Sie müssten
also auch das Risiko tragen».
Nr. 6 ● 22. März 2000
So So So schützen schützen Sie Sie sich sich vor vor Trojanern
Trojanern
Den Den 100 100-prozentigen 100 prozentigen prozentigen Schutz Schutz vor Trojanern gibt es es nicht.
Sie Sie können können aber aber ein ein paar paar Tipps Tipps beherzigen, beherzigen, die die eine eine ge- g
e
wiss wisse wiss e Sicherheit gewährleisten.
• Grösste Vorsicht ist angebracht, wenn Sie aus dem Internet
Programme herunterladen. Beziehen Sie diese nur vom Hersteller.
Holen Sie Shareware nicht von x-beliebigen Seiten,
sondern von der Homepage der Autoren.
• Seien Sie wachsam, wenn Sie per E-Mail Programme erhalten
(hauptsächlich an der Endung .exe erkennbar). Falls Sie
den Absender des Mails nicht kennen, löschen Sie es vollständig
— und zwar ohne das Attachment zu öffnen. Achtung:
Das Fälschen von Absenderadressen ist heute üblich.
Ein Hacker kann sich als Softwarefirma — beispielsweise Microsoft
— ausgeben. Microsoft verschickt nie unaufgefordert
exe-Dateien als E-Mail-Attachment.
•Wichtig: Rüsten Sie Ihren
Computer mit
einem Virenschutzprogramm
aus. Und sorgen
Sie dafür, dass das Programm
aktiviert ist. Alle
zwei Wochen sollten Sie
das Programm aktualisieren.
Erhältlich sind die
neuesten Versionen jeweils
auf der Homepage
des Programm-Lieferanten.
• Es empfiehlt sich der Einsatz von so genannten «Personal Firewalls».
Sie überwachen die Kommunikation Ihres Rechners.
Beim Auftreten von unerwünschten Zugriffen durch einen
Trojaner schlägt die Software Alarm.
• ActiveX- und seltener Javascript-Codes sind Anwendungen,
die Trojaner tendenziell begünstigen. Bei den meisten Mailprogrammen
lassen sich diese Codes deaktivieren. In der Regel
können Sie dies über die Menufenster «Optionen» oder
«Voreinstellungen» bewerkstelligen.
Bevor Sie im Internet surfen: Deaktivieren Sie in Ihrem Internet-Programm
(Browser) ActiveX- oder Javascript-Codes.
Wiederum müssen Sie dabei über die Menufenster «Optionen»
oder «Voreinstellungen». Achtung: Diese Massnahme
trübt den Surfgenuss. Javascript- und ActiveX-Codes werden
auf zahlreichen Homepages verwendet. Alles, was in diesen
Codes programmiert ist, beispielsweise kleine Trickfilme, wird
auf Ihrem Bildschirm nicht mehr dargestellt.
Medienspiegel www.infosec.ch 78 von 79

16.03.2000
VON CILGIA GRASS
BERN - Kaum eine Woche vergeht,
ohne dass sie für Schlagzeilen
sorgen: Hacker, Cracker,
Cyber-Terroristen. Das verunsichert
nicht nur Firmen, sondern
auch private Computerbenutzer.
Doch wer den obersten Sicherheitsgeboten
folgt, hat nichts zu
befürchten.
1.
Du sollst einen Virenscanner
benutzen
«Wer viel E-Mails schickt und sich hin
und wieder etwas aus dem Internet
herunterlädt, sollte unbedingt einen
Virenscanner installieren», lautet der
erste Rat von Reto Zbinden, Gründer
und Geschäftsführer der Berner Sicherheitsberatung
Zbinden Infosec
AG. Und damit sich der Laie in der
Software-Flut zurechtfindet, nennt der
Profi gleich drei zuverlässige Virendetektoren:
Mac-Afee, Norton und Dr.
Solomon.
2.
Du sollst deinen
Virenscannner updaten
Das beste Antivirenprogramm nützt
nichts, wenn es nicht regelmässig auf
den neusten Stand gebracht wird. Reto
Zbindens Empfehlung: «Schauen Sie
alle zwei Wochen im Internet nach, ob
es zu Ihrer Software ein Update gibt.»
3.
Nutze die Sicherheitsoptionen
deiner Pogramme
«Die heutigen Internet-Produkte sind
sicher, werden aber unsicher ausgeliefert,
weil sonst die Hälfte der Internetseiten
gar nicht geladen werden könnte»,
verrät Zbinden. «Je nach Bedarf
müssen die Sicherheitseinstellungen
deshalb von Hand angepasst werden
(Explorer: Extras -> Internetoptionen
-> Sicherheit; Netscape: Communicator
-> Sicherheitsinformationen).
4.
Verschlüssle
wichtige Daten
Informationen wie Kreditkartennummern
dürfen nur codiert übermittelt
werden. Reto Zbinden: «Das ist dann
der Fall, wenn beim Browser unten
links oder rechts ein geschlossenes
Schlösschen oder ein Schlüssel zu sehen
ist.» Gängigstes Verschlüsselungsprogramm:
das SSL («Secure Socket
Layer»).
����Wussten Sie, dass…
…es im Internet Hunderte von Hackerprogrammen
gibt (zum Beispiel „Back Orifice“),
die selbst ein Kind herunterladen
und benutzen kann?
…vor zwei Wochen ein neuer Virus aufgetaucht
ist? Der Windows-Schädling ist an
„.txt“- oder „.rtf“-Dokumente gekoppelt und
startet beim Doppelklicken WordPad auf,
das dann zum Beispiel die Festplatte
löscht.
…Mac-Benutzer vor Viren weniger Angst
haben müssen? Da die Apple-Maschinen
weniger verbreitet sind, sind sie für PC-
Terroristen nicht so interessant.
Gegen Hackerangriffe gewappnet: Reto Zbinden von der Berner Sicherheitsberatung Zbinden Infosec AG. Foto Jo Diener
5.
Du sollst deine Passwörter
nicht verraten
Besonders im Internet sollte man mit
persönlichen Angaben vorsichtig sein.
Absolut tabu sind Passwörter. Reto
Zbinden: «Sie dürfen niemals an Dritte
weitergegeben werden.»
6.
Sichere
deine Daten
Es gibt Viren, die die gesamte Festplatte
löschen (siehe Kasten). Wer kein
Backup von seinen Daten hat, schaut
in solchen Fällen in die Röhre. Also
von Zeit zu Zeit die wichtigsten Informationen
sichern. «Aber die Sicherheitskopie
möglichst weit vom
Computer weg aufbewahren» rät
Zbinden
7.
Sei vorsichtig bei
Attachments
Nicht immer steckt in einem angehängten
Dokument ein lustiges Filmchen
– manchmal ist es auch ein böser
Virus. Zbindens Tipp: «Attachments
von Unbekannten sollte man erst aufmachen,
wenn man sie zuvor auf die
Festplatte geladen und mit dem Virenscanner
überprüft hat.»
� Weitere Infos unter: www.infosec.ch
Medienspiegel www.infosec.ch 79 von 79