CyberSecurity – Digitalisierung und Cyberrisiken sind in der Geschäftsleitung angekommen

Fridel Rickenbacher ist Mitglied der Redaktion des Verbandes swissICT und Mitbegründer und Partner der MIT-Group.

Die Themen Digitalisierung, Innovation, Cybersecurity und Privatsphäre haben massgeblich an Relevanz gewonnen. SRF- und Eco-Moderator Reto Lipp teilt im Gast-Interview mit Fridel Rickenbacher seine Einschätzungen zu diesen Trendthemen.

http://www.netzwoche.ch/news/2018-05-03/reto-lipp-digitalisierung-und-cyberrisiken-sind-in-der-geschaeftsleitung-angekommen

http://www.netzwoche.ch/news/2018-05-03/reto-lipp-digitalisierung-und-cyberrisiken-sind-in-der-geschaeftsleitung-angekommen

 

Advertisements

CyberSecurity und Privacy: Immobilienwirtschaft als Datensammler wider willen!?

Im Rahmen der in der Schweiz in Vernehmlassung stehenden Datenschutz-Gesetz-Ueberarbeitung (CH-DSG) und im Zuge der Datenschutzgrundverordnung (EU-DSGVO / GDPR) sind alle Akteure in der ganzen Wertschöpfungskette der Immobilien-Wirtschaft und entsprechendem Lebenszyklus wahre (unfreiwillige…) Datensammler von personenbezogenen Daten.

In der ersten Vor-Klassifikation von entsprechenden personenbezogenen Daten fällt speziell auf, dass die kontextbezogene Quantität und vorallem prozessrelevante Qualität (Detaillierungsstufe von personensensitiven Informationen) schon sehr hoch ist, sehr früh beginnend bei z.B. der Qualifizierung , Bewertung und gar Profiling von Wohnungsinteressenten, Leads, Verkaufschancen, Verlauf, Aktivitäten über Miet- und Kauf-Vertrag mit Bank- und Konten-Informationen bis hin zu Abrechnungen, Nachweisen, Wünschen, Handwerker, Lieferanten und Unterhalt.

Mit diesen anvertrauten Daten müssen die Firmen – je nach Rolle oder Mandat als fortan gesetzlich schärfer regulierter Auftrag-Datenverarbeiters bzw. Datenverarbeiter – zukünftig noch sensibler umgehen bzw. die Daten-Sicherheit UND Daten-Schutz sicherstellen und beweisbar nachweisen.

Mittels der angesprochen Daten-Klassifizierung, Dokumentation / Verzeichnis, Verarbeitungsnachweis und Prozess-Definitionen bei z.B. Behörden-Anfragen, Auskunftspflicht, Meldepflichten (innert 72h), Datenschutz-Verletzungen, Kommunikation, Formularverarbeitungen, Datenflüssen, Schnittstellen, Datenlöschungen, Privacy by default sind erste relevante Schritte zu forcieren. Dies ist bereits ein adäquater Start in einen beweisbaren Tätigkeitsnachweis und kann als hilfreicher Beweis zur nötigen, ernsthaften Sensibilierung positiv referenziert werden.

Durch eine solche dokumentierte Ernsthaftigkeit und Auseinandersetzung ist man sehr wahrscheinlich schon mal von einem möglichen Vorwurf oder gar Tatbestand „fehlender Datenschutz“ befreit und auf gutem Wege, einen datenschutz-technisch mittlerweilen essentiellen Reifegrad zugunsten des künftig zunehmend geforderten Datenschutz zu erreichen.

Einen Reifegrad zu erreichen reicht jedoch schon lange nicht mehr im Kontext der Disruption in der Digitalisierung und dynamischen Bedrohungslagen im Zeitalter von CyberCrime / CyberSecurity.
Die fortwährende Auditierung, Bewertung, Monitoring und auch Ausrichtung an „best practices“ erweitert über „privacy by default“, „Security by design“ bis hin zu „Stand der Technik“ ist unumgänglich.

Auch werden die Mieter / Käufer / Auftraggeber (oder sonst auch Verbände oder Aemter) die ausgebauten Grundrechte bzw. deren expliziten Datensubjekt-Rechte stärker und aufwandintensiv(er) einfordern.
Hier werden Themen zu lösen und nachzuweisen sein in z.B. Auskunftsrecht, Einwilligung, Recht auf Löschen / Vergessen, Datenportabilität, Datenminimierung, Verwendungszwecke (inkl. Informations- und Einwilligungs-Pflicht bei Aenderungen) oder gar Datenflüsse.

Dass es hierbei eine erweiterte, klar definierte und auch nach aussen kommunizierbare Zuständigkeit und Sensibilisierung / Schulung des Managements und Mitarbeiter braucht zum Themenkreis Datensicherheit, Datenschutz bzw. CyberSecurity ist sicherlich selbsterklärend. Ein sogenannter Datenschutzbeauftragter (intern oder extern) der entsprechende Datenschutzfolgenabschätzungen im Rahmen des ICT- Risk-Management durchführt, begleitet oder verantwortet wird im CH-DSG referenziert / empfohlen und aber im EU-DSGVO / GDPR explizit verlangt.

Datenschutz / Sicherheit / CyberSecurity ist eine gemeinsam geteilte Verantwortung unter allen Akteuren.

Cybersecurity – Der Virenschutz hat ausgedient!?

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Non-Privacy by default bei Facebook, Google & co ?

Artikel von Fridel Rickenbacher, Mitbegründer und geschäftsführender Partner / Verwaltungsrat der Unternehmung MIT-GROUP – Partner von «Bauen digital Schweiz» und Projektleiter bei bauen-digital.ch für die Projekt-These «BIM ICT-Architektur- / Security- / Audit-Framework> Security minded building information modelling»

Quelle: Non-Privacy by default bei Facebook, Google & co ?

swissICT – swiss IT Magazine – Herausforderungen für eine möglichst souveräne Schweiz im globalen Cyber- und Informationsraum

Publiziertes Interview / Artikel bei swissICT / Swiss IT Magazine im Rahmen der Digitalisierungs- / CyberSecurity-Awareness-Serie von swissICT Redaktions-Mitglied Fridel Rickenbacher.

Der Zuger Ständerat und Sicherheitspolitiker Joachim Eder erläutert im Interview die Herausforderungen für eine möglichst souveräne Schweiz im globalen Cyber- und Informationsraum. Seine und von Kollegen eingereichte Motionen in Bundesbern zugunsten des Schutzes der Schweiz vor Cyber-Risiken sehen vielversprechend aus.

swissICT-Mitgliedermagazin-Nr22018-CyberSecurity-Ständerat-Eder

swissICT-Magazin-Ausgabe-2-2018-Staenderat-Joachim-Eder-Sicherheitspolitik-CyberSecurity-Schweiz

 

Non-Privacy by default bei Facebook, Google & co ?

von Fridel Rickenbacher

ksgv.ch – Gewerbeverband – non-Privacy by default – Ausgabe April 2018 – Fridels_BLOG_F@R

Das im Jugendstil als höchst beliebtes Sanatorium erbaute und weltweit berühmte Haus Berghotel Schatzalp (heutiger Name) in Davos wurde 1898 bis 1900 errichtet.

Damals hatte der Datenschutz / Privacy offenbar einen eher konträren Stellenwert zur heutigen Zeit. So wurden in einer wöchentlich erschienenen Davoser Wochenzeitung jeder bedüftigter Kurgast, inkl. Herkunftsland, auf bis zu 20 Seiten öffentlich publiziert.
Heute wäre das schlicht undenkbar ohne entsprechende Schlagzeilen, Medien-Hypes, ShitStorms oder gar Klagen und Bussen.

Früher war (zumindest in diesem Datenschutz-Aspekt?) alles besser oder einfacher möchte man meinen.

Und heute? Viele leben sich aus und verwirklichen sich vermeintlich im digitalen Raum oder ihrem digitalen Zwilling mit mitunter sämtlich erdenklichen Details und fragwürdigen Grenzüberschreitungen der ach so „heiligen“ Privatsphäre.

Und dann passiert das was durch diese falsch angewandte Mitverantwortung zwangsläufig passieren wird: Durch CyberAttacken, CyberCrime, Defizite in Datensicherheit und Datenschutz oder auch menschliches Versagen und Management Fehler gelangen personenbezogene
oder firmenvitale und gar existenzbedrohliche Informationen in falsche Hände.

In einzelnen aktuellen Fällen (data breaches, CyberAttacken) wie z.B. Facebook, Swisscom entsteht dann durch ein solches topaktuelles Thema ein Medien-Tsunami mit grossem Schaden bei der Reputation, Vertrauen und sogar beim Börsenwert.

Bevor man von Datenschutz spricht (und gar Angst und Panik macht) sollte man auch persönlich für Datensicherheit sorgen und sich an überschaubare Regeln (z.B. in verabschiedeten ICT Security Policy / Weisungen, Kennwort- und Verschlüsselungs-Regeln, Identitäts-
und Zugangs-Verwaltung, regulatorische Vorgaben und Richtlinien / Prozesse) halten im privaten Umfeld und in der Firma.

Es ist aufgrund dieses Riesendatenuniversums und des schier unüberschaubaren „digital footprint“ sicherlich auch förderlich und hilfreich, deren Verhältnismässigkeiten zu erkennen für die eigene Sensibilisierung zur Datensicherheits- und Datenschutz-Thematik.

In der folgenden Grafik erkennt man übersichtlich und einfach visualisiert die entsprechenden Verhältnismässigkeiten und auch Abgrenzungen und Impacts von einzelnen globalen Akteuren.

Aus aktuellem Anlass auch gerade den Fall bei Facebook durch die nun weltweit gebashte Firma „Cambridge Analytica“ bzw. Facebook

Beeindruckend ist auch der relativ sehr kleine Anteil unseres „digital footprints“ welcher wir selber kennen, vermeintlich unter Kontrolle haben und letztlich selber teilweise auch nur beschränkt mitprägen oder mitsteuern können.

Zusammen mit kommenden Entwicklungen rund um Artificial Intelligence AI, IoT, smart connected homes, eHealth bis hin zu Smartcity werden wir viel proaktiv mitgestalten müssen um diesen überschaubaren persönlichen Gestaltungsanteil und letztlich auch Grundrecht
zu unseren persönlichen Daten halten zu können.

Es bleibt zu hoffen, dass eine gute, datensubjekt- / grundrecht-schützende Mischung von Regulation (z.B. DSGVO / GDPR Datenschutzgrundverordnung) und vorallem auch offenen Standards / Privacy by default / Stand der Technik gemeinsam zu erreichen ist im Kampf
um (und gegen) den Plattform-Kapitalismus und „data monetization“.