CyberSecurity: Sensibilisierung und Stärkung der „Schwachstelle“ Mensch zugunsten der Gesamtsicherheit

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der Analogie zum Schutz der missionkritischen Daten mittels einem Schloss wird in der Grafik gut ersichtlich, dass zwar die Schlösser immer grösser werden jedoch werden die Hämmer (CyberAttacken, Hacker) immer schneller grösser und mittlerweilen verhältnismässig mächtiger (wie ein Vorschlag-Hammer z.B. durch Social Engineering, Künstliche Intelligenz KI / AI) als die Schlösser (Gegenmassnahmen).

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Datenschutz, Datensicherheit, Verschlüsselung und Self-Service im Vordergrund.

Die Sensibilisierung der zunehmend angegriffenen „Schwachstelle“ Mensch bzw. dessen Identität und personenbezogenen Daten ist ein zunehmend wichtiger Faktor beim Erreichen eines möglichst hohen Gesamt-Sicherheits-Niveaus.
Dass unverändert und zunehmend der Mensch und dessen Identität und Rechte das wichtigste Angriffsziel bleibt zeigen die folgenden einfachen Statistik-Aussagen: Rund 90% der erfolgreichen Attacken starten mit einem Phishing-Mail basierend auf Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen). Danach entsteht bei rund 80% der Fälle ein weitergehender Schaden wegen zu schwachen Kennwörtern bzw. Systemschutz oder zu hohen Berechtigungen des angegriffenen Mitarbeiters in der angezielten Systemumgebung.

Der Mensch als kritisches Einfallstor für CyberAttacken muss umfassend informiert, aufgeklärt, unterstützt und geschützt werden damit er überhaupt eine persönliche Mitverantwortung mittragen kann.

Die Technik alleine nicht mehr reicht gegen die dynamischen Bedrohungslagen von CyberCrime und als Beispiele gegen immer ausgereifteren z.B. Phishing-Mails, Phishing-Webseiten bzw. Social Engineering Attacken. Der weltweit sprunghaft ansteigende Wirtschaftsfaktor CyberCrime bedient sich auch von schier unerschöpfbaren monetären und technologischen Ressourcen und nutzt auch die „andere / dunkle Seite der Macht“ (dual use Problematik) von neuesten technologischen Errungenschaften rund um z.B. Künstliche Intelligenz KI / AI oder Super High Computing.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Kurz-Präsentationen, Visualisierung, Workshops, wiederkehrende Newsletters, interne Informationen, ICT Security Policy und auch Beispiele / Anatomie von erfolgreichen Attacken rund um Gefahren wie z.B. Phishing-Mails, Ransom-Ware, Trojaner, Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen), Verhaltensansweisungen im Internet / Social Media und beim Datenaustausch / Datenmedien-Nutzung von auch personenbezogenen Daten kann das Gesamt-Schutzniveau zusätzlich effektiv optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)
Je nach Rolle oder Risiko-Exposition des Mitarbeiters (z.B. Kader, Aussendienst, Mobile Workplace, HomeOffice etc.) können dann bei Bedarf weitergehende Detail-Instruktionen und Sondermassnahmen erfolgen und implementiert werden.

Vorsorge ist bekanntlich immer besser als Nachsorge und betrifft auch die ICT-Strategie, ICT-Risk-Management, ICT-Audit bis hin zu auch Compliance-Themen und dem Versicherungswesen.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Daten-, Zugangs- und Rechte-Minimierung“ / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

 

Advertisements

CyberSecurity – CEO Urs Schaeppi – Sicherheit wird bei Swisscom grossgeschrieben

Fridel Rickenbacher ist Mitglied der Redaktion des Verbandes swissICT und Mitbegründer und Partner der MIT-GROUP.

Man liest über Data Breaches, es sind neue Gesetze und Regulationen in Arbeit, alte Jobs verschwinden und neue entstehen. Die Swisscom ist mit vielen Herausforderungen im Kontext der Digitalisierung konfrontiert. Wie der Telko diese meistern will, erläutert CEO Urs Schaeppi im Interview.

http://www.netzwoche.ch/news/2018-05-28/urs-schaeppi-sicherheit-wird-bei-swisscom-grossgeschrieben

http://www.netzwoche.ch/news/2018-05-28/urs-schaeppi-sicherheit-wird-bei-swisscom-grossgeschrieben

 

CyberSecurity – Digitalisierung und Cyberrisiken sind in der Geschäftsleitung angekommen

Fridel Rickenbacher ist Mitglied der Redaktion des Verbandes swissICT und Mitbegründer und Partner der MIT-Group.

Die Themen Digitalisierung, Innovation, Cybersecurity und Privatsphäre haben massgeblich an Relevanz gewonnen. SRF- und Eco-Moderator Reto Lipp teilt im Gast-Interview mit Fridel Rickenbacher seine Einschätzungen zu diesen Trendthemen.

http://www.netzwoche.ch/news/2018-05-03/reto-lipp-digitalisierung-und-cyberrisiken-sind-in-der-geschaeftsleitung-angekommen

http://www.netzwoche.ch/news/2018-05-03/reto-lipp-digitalisierung-und-cyberrisiken-sind-in-der-geschaeftsleitung-angekommen

 

CyberSecurity und Privacy: Immobilienwirtschaft als Datensammler wider willen!?

Im Rahmen der in der Schweiz in Vernehmlassung stehenden Datenschutz-Gesetz-Ueberarbeitung (CH-DSG) und im Zuge der Datenschutzgrundverordnung (EU-DSGVO / GDPR) sind alle Akteure in der ganzen Wertschöpfungskette der Immobilien-Wirtschaft und entsprechendem Lebenszyklus wahre (unfreiwillige…) Datensammler von personenbezogenen Daten.

In der ersten Vor-Klassifikation von entsprechenden personenbezogenen Daten fällt speziell auf, dass die kontextbezogene Quantität und vorallem prozessrelevante Qualität (Detaillierungsstufe von personensensitiven Informationen) schon sehr hoch ist, sehr früh beginnend bei z.B. der Qualifizierung , Bewertung und gar Profiling von Wohnungsinteressenten, Leads, Verkaufschancen, Verlauf, Aktivitäten über Miet- und Kauf-Vertrag mit Bank- und Konten-Informationen bis hin zu Abrechnungen, Nachweisen, Wünschen, Handwerker, Lieferanten und Unterhalt.

Mit diesen anvertrauten Daten müssen die Firmen – je nach Rolle oder Mandat als fortan gesetzlich schärfer regulierter Auftrag-Datenverarbeiters bzw. Datenverarbeiter – zukünftig noch sensibler umgehen bzw. die Daten-Sicherheit UND Daten-Schutz sicherstellen und beweisbar nachweisen.

Mittels der angesprochen Daten-Klassifizierung, Dokumentation / Verzeichnis, Verarbeitungsnachweis und Prozess-Definitionen bei z.B. Behörden-Anfragen, Auskunftspflicht, Meldepflichten (innert 72h), Datenschutz-Verletzungen, Kommunikation, Formularverarbeitungen, Datenflüssen, Schnittstellen, Datenlöschungen, Privacy by default sind erste relevante Schritte zu forcieren. Dies ist bereits ein adäquater Start in einen beweisbaren Tätigkeitsnachweis und kann als hilfreicher Beweis zur nötigen, ernsthaften Sensibilierung positiv referenziert werden.

Durch eine solche dokumentierte Ernsthaftigkeit und Auseinandersetzung ist man sehr wahrscheinlich schon mal von einem möglichen Vorwurf oder gar Tatbestand „fehlender Datenschutz“ befreit und auf gutem Wege, einen datenschutz-technisch mittlerweilen essentiellen Reifegrad zugunsten des künftig zunehmend geforderten Datenschutz zu erreichen.

Einen Reifegrad zu erreichen reicht jedoch schon lange nicht mehr im Kontext der Disruption in der Digitalisierung und dynamischen Bedrohungslagen im Zeitalter von CyberCrime / CyberSecurity.
Die fortwährende Auditierung, Bewertung, Monitoring und auch Ausrichtung an „best practices“ erweitert über „privacy by default“, „Security by design“ bis hin zu „Stand der Technik“ ist unumgänglich.

Auch werden die Mieter / Käufer / Auftraggeber (oder sonst auch Verbände oder Aemter) die ausgebauten Grundrechte bzw. deren expliziten Datensubjekt-Rechte stärker und aufwandintensiv(er) einfordern.
Hier werden Themen zu lösen und nachzuweisen sein in z.B. Auskunftsrecht, Einwilligung, Recht auf Löschen / Vergessen, Datenportabilität, Datenminimierung, Verwendungszwecke (inkl. Informations- und Einwilligungs-Pflicht bei Aenderungen) oder gar Datenflüsse.

Dass es hierbei eine erweiterte, klar definierte und auch nach aussen kommunizierbare Zuständigkeit und Sensibilisierung / Schulung des Managements und Mitarbeiter braucht zum Themenkreis Datensicherheit, Datenschutz bzw. CyberSecurity ist sicherlich selbsterklärend. Ein sogenannter Datenschutzbeauftragter (intern oder extern) der entsprechende Datenschutzfolgenabschätzungen im Rahmen des ICT- Risk-Management durchführt, begleitet oder verantwortet wird im CH-DSG referenziert / empfohlen und aber im EU-DSGVO / GDPR explizit verlangt.

Datenschutz / Sicherheit / CyberSecurity ist eine gemeinsam geteilte Verantwortung unter allen Akteuren.

Cybersecurity – Der Virenschutz hat ausgedient!?

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Non-Privacy by default bei Facebook, Google & co ?

Artikel von Fridel Rickenbacher, Mitbegründer und geschäftsführender Partner / Verwaltungsrat der Unternehmung MIT-GROUP – Partner von «Bauen digital Schweiz» und Projektleiter bei bauen-digital.ch für die Projekt-These «BIM ICT-Architektur- / Security- / Audit-Framework> Security minded building information modelling»

Quelle: Non-Privacy by default bei Facebook, Google & co ?