Digitalisierung I Cybersecurity – Sensibilisierung – OC-Oerlikon-CEO Roland Fischer: „Stolz sein auf das Erreichte, reicht nicht aus“

Krisen, Handelsregulationen, Globalisierung und Digitalisierung haben den Werk- und Denkplatz Schweiz immer wieder herausgefordert – ganz massgeblich auch die Industrie. Wie sich die OC Oerlikon diesen Herausforderungen stellt, verrät CEO Roland Fischer.

Publiziertes Interview bei netzwoche.ch

https://www.netzwoche.ch/news/2019-02-08/oc-oerlikon-ceo-roland-fischer-stolz-sein-auf-das-erreichte-reicht-nicht-aus

Digitalisierung ¦ Cybersecurity – Sensibilisierung – Mehrschichtige Sicherheitsstrategie

Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder mittels nur einem System lösen, und es gibt keine Universallösung für alle Sicherheitsprobleme in der Vision von «Security automation». Die umfassende Verteidigung mittels einer mehrschichtigen Sicherheit und Ausrichtung auf «security automation» in der nötigen Tiefe und Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe zahlreicher Mechanismen und mehreren Schutzebenen das Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder entschleunigt wird, der darauf abzielt, unberechtigten Zugriff auf personen- oder firmensensitive Informationen zu erlangen.

>> Publizierter Artikel bei „Schwyzer Gewerbe“

Digitalisierung ¦ Cybersecurity – Sensibilisierung – Cybersouveränität der Schweiz im globalen Cyberraum – Ständerat Joachim Eder

Der Zuger Ständerat und Sicherheitspolitiker Joachim Eder erläutert im aktuellen SWISSICT-Magazin die Herausforderungen für eine möglichst souveräne Schweiz im globalen Cyber- und Informationsraum.

Das Interview, welches Fridel Rickenbacher mit Ständerat Joachim Eder in der April-Ausgabe des offiziellen Publikationsorgans von SWISSICT und Netzmedien netzwoche.ch geführt hat, stiess auf grosses Interesse.

CyberSecurity – Single Sign On SSO – Sicherheit gegen gefährdenden Passwort- und Rechte-Wildwuchs

Passwort- und Rechte-Wildwuchs und eine steigende Akzeptanz der Cloud bewirken einen verstärkten Trend zum sogenannten Single-Sign-On SSO.
Diese Authentifizierungsmethode kann durch den Bedienerkomfort und die zentrale Verwaltung auch die Sicherheits- und Compliance-Anforderungen umfassend optimieren.

Im privaten und zunehmend auch geschäftlichen Umfeld kennt man gewisse Sign-In-Varianten über soziale Netzwerke wie Facebook, Twitter, Google, Amazon oder Microsoft als prominente SSO-Plattformen für den integrierten Zugang zu unterschiedlichen Services und Rechten.

Im Unternehmensumfeld wird SSO beispielsweise genutzt, um Nutzern einen integrierten, möglichst simplifizierten Zugriff auf eigene Web- oder Cloud-Anwendungen auf internen Servern oder in der (Hybrid)Cloud zu gewähren. Teilweise wird der Zugang mittels erweiterten Authentifizierungsmechanismen wie z.B. MFA (Multi Factor Authentication) oder 2FA (Two Factor Authentication) per Tokens, SMS, Email, Smartphone Authenticator Apps und dergleichen zusätzlich abgesichert. (ähnlich wie bei modernem eBanking).

Publizierter Artikel bei KSGV Gewerbeverband Schwyz

ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – SingleSignOn SSO MFA – Ausgabe Okt 2018 – Fridels_BLOG_F@R

BIM ¦ CyberSecurity ¦ Digitalisierung: BIM UND DIE IT-SICHERHEIT

Dynamische und digitale Entwicklungen führen eher früher als später auch zu technischen und prozessualen Sicherheitsherausforderungen. Alle Akteure im Bauprozess – von den Architekten, Ingenieuren und Planern über die Holzbaubetriebe bis hin zur Bauherrschaft – müssen sich im Zuge der Digitalisierungswelle ihrer Branche auch mit Fragen der Sicherheit auseinandersetzen.

Herausforderung Mensch
Ein geeignetes «Security minded»-Modell sollte der Sensibilisierung für eine maximale Sicherheitsorientierung und der Auditierbarkeit in Systemarchitekturen mit allen Akteuren dienen. Damit sich solche strategischen Vorgaben in der Praxis bewähren, stehen die Verantwortlichen vor einigen Herausforderungen.
Denn der Mensch ist – wie man so schön sagt – aus einem krummen Holz geschnitzt und passt sich nicht automatisch in die Prozesse oder Technologien ein. Dies gilt es gerade auch unter Betrachtung der physischen und logischen Sicherheit zu berücksichtigen.

Publizierter Artikel bei „Wir Holzbauer“ 07/18

Wir-Holzbauer-CyberSecurity-BIM-WHB_7_2018

 

GDPR / DSGVO und CyberSecurity: Datensammler wider Willen

Das «Öl der Zukunft» in Form von «raffinierten Daten und digitalisierten Modellen» ist die Basis für die Generierung von ökonomischen Benefits von analysierten Daten.
Doch es gibt neben Chancen auch Risiken, die man berücksichtigen sollte.

Im Rahmen der in der Schweiz in Vernehmlassung stehenden Datenschutz-Gesetzesüberarbeitung (CH-DSG) und im Zuge der Datenschutzgrundverordnung (EU-DSGVO / GDPR General Data Protection Regulation) sind alle Akteure in der ganzen Wertschöpfungskette der Immobilien-Wirtschaft und entsprechendem Lebenszyklus unfreiwillige Datensammler von personenbezogenen Daten.

In der ersten Vor-Klassifikation von entsprechenden personenbezogenen Daten fällt auf, dass die Quantität und die Qualität (Detaillierungsstufe von personensensitiven Informationen) schon früh sehr hoch ist.

Publizierter Artikel im Magazin „Immobilia“ http://www.svit.ch Schweizerischer Verband der Immobilienwirtschaft SVIT („SVIT Schweiz“)

SVIT-Immobilia_GDPR-DSGVO-Datensammler-wider-Willen-CyberSecurity-Awareness_0718

CyberSecurity – CEO Urs Schaeppi – Sicherheit wird bei Swisscom grossgeschrieben

Fridel Rickenbacher ist Mitglied der Redaktion des Verbandes swissICT und Mitbegründer und Partner der MIT-GROUP.

Man liest über Data Breaches, es sind neue Gesetze und Regulationen in Arbeit, alte Jobs verschwinden und neue entstehen. Die Swisscom ist mit vielen Herausforderungen im Kontext der Digitalisierung konfrontiert. Wie der Telko diese meistern will, erläutert CEO Urs Schaeppi im Interview.

http://www.netzwoche.ch/news/2018-05-28/urs-schaeppi-sicherheit-wird-bei-swisscom-grossgeschrieben

http://www.netzwoche.ch/news/2018-05-28/urs-schaeppi-sicherheit-wird-bei-swisscom-grossgeschrieben

 

CyberSecurity – Digitalisierung und Cyberrisiken sind in der Geschäftsleitung angekommen

Fridel Rickenbacher ist Mitglied der Redaktion des Verbandes swissICT und Mitbegründer und Partner der MIT-Group.

Die Themen Digitalisierung, Innovation, Cybersecurity und Privatsphäre haben massgeblich an Relevanz gewonnen. SRF- und Eco-Moderator Reto Lipp teilt im Gast-Interview mit Fridel Rickenbacher seine Einschätzungen zu diesen Trendthemen.

http://www.netzwoche.ch/news/2018-05-03/reto-lipp-digitalisierung-und-cyberrisiken-sind-in-der-geschaeftsleitung-angekommen

http://www.netzwoche.ch/news/2018-05-03/reto-lipp-digitalisierung-und-cyberrisiken-sind-in-der-geschaeftsleitung-angekommen

 

CyberSecurity und Privacy: Immobilienwirtschaft als Datensammler wider willen!?

Im Rahmen der in der Schweiz in Vernehmlassung stehenden Datenschutz-Gesetz-Ueberarbeitung (CH-DSG) und im Zuge der Datenschutzgrundverordnung (EU-DSGVO / GDPR) sind alle Akteure in der ganzen Wertschöpfungskette der Immobilien-Wirtschaft und entsprechendem Lebenszyklus wahre (unfreiwillige…) Datensammler von personenbezogenen Daten.

In der ersten Vor-Klassifikation von entsprechenden personenbezogenen Daten fällt speziell auf, dass die kontextbezogene Quantität und vorallem prozessrelevante Qualität (Detaillierungsstufe von personensensitiven Informationen) schon sehr hoch ist, sehr früh beginnend bei z.B. der Qualifizierung , Bewertung und gar Profiling von Wohnungsinteressenten, Leads, Verkaufschancen, Verlauf, Aktivitäten über Miet- und Kauf-Vertrag mit Bank- und Konten-Informationen bis hin zu Abrechnungen, Nachweisen, Wünschen, Handwerker, Lieferanten und Unterhalt.

Mit diesen anvertrauten Daten müssen die Firmen – je nach Rolle oder Mandat als fortan gesetzlich schärfer regulierter Auftrag-Datenverarbeiters bzw. Datenverarbeiter – zukünftig noch sensibler umgehen bzw. die Daten-Sicherheit UND Daten-Schutz sicherstellen und beweisbar nachweisen.

Mittels der angesprochen Daten-Klassifizierung, Dokumentation / Verzeichnis, Verarbeitungsnachweis und Prozess-Definitionen bei z.B. Behörden-Anfragen, Auskunftspflicht, Meldepflichten (innert 72h), Datenschutz-Verletzungen, Kommunikation, Formularverarbeitungen, Datenflüssen, Schnittstellen, Datenlöschungen, Privacy by default sind erste relevante Schritte zu forcieren. Dies ist bereits ein adäquater Start in einen beweisbaren Tätigkeitsnachweis und kann als hilfreicher Beweis zur nötigen, ernsthaften Sensibilierung positiv referenziert werden.

Durch eine solche dokumentierte Ernsthaftigkeit und Auseinandersetzung ist man sehr wahrscheinlich schon mal von einem möglichen Vorwurf oder gar Tatbestand „fehlender Datenschutz“ befreit und auf gutem Wege, einen datenschutz-technisch mittlerweilen essentiellen Reifegrad zugunsten des künftig zunehmend geforderten Datenschutz zu erreichen.

Einen Reifegrad zu erreichen reicht jedoch schon lange nicht mehr im Kontext der Disruption in der Digitalisierung und dynamischen Bedrohungslagen im Zeitalter von CyberCrime / CyberSecurity.
Die fortwährende Auditierung, Bewertung, Monitoring und auch Ausrichtung an „best practices“ erweitert über „privacy by default“, „Security by design“ bis hin zu „Stand der Technik“ ist unumgänglich.

Auch werden die Mieter / Käufer / Auftraggeber (oder sonst auch Verbände oder Aemter) die ausgebauten Grundrechte bzw. deren expliziten Datensubjekt-Rechte stärker und aufwandintensiv(er) einfordern.
Hier werden Themen zu lösen und nachzuweisen sein in z.B. Auskunftsrecht, Einwilligung, Recht auf Löschen / Vergessen, Datenportabilität, Datenminimierung, Verwendungszwecke (inkl. Informations- und Einwilligungs-Pflicht bei Aenderungen) oder gar Datenflüsse.

Dass es hierbei eine erweiterte, klar definierte und auch nach aussen kommunizierbare Zuständigkeit und Sensibilisierung / Schulung des Managements und Mitarbeiter braucht zum Themenkreis Datensicherheit, Datenschutz bzw. CyberSecurity ist sicherlich selbsterklärend. Ein sogenannter Datenschutzbeauftragter (intern oder extern) der entsprechende Datenschutzfolgenabschätzungen im Rahmen des ICT- Risk-Management durchführt, begleitet oder verantwortet wird im CH-DSG referenziert / empfohlen und aber im EU-DSGVO / GDPR explizit verlangt.

Datenschutz / Sicherheit / CyberSecurity ist eine gemeinsam geteilte Verantwortung unter allen Akteuren.

Cybersecurity – Der Virenschutz hat ausgedient!?

ksgv.ch – Gewerbeverband – Virenschutz hat ausgedient – Ausgabe Mai 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

sh@re to evolve #45 – «Licht» in die jahrelang dynamisch gewachsene «Schatten-Informatik» (Shadow IT)

Erst wenn “Licht” in die jahrelang dynamisch gewachsene “Schatten-Informatik”  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle

Beitrag Gewerbeverband ksgv.ch

ksgv.ch – Gewerbeverband – AntiShadowIT – Ausgabe März 2017 – Fridels_BLOG_F@R

 

swissICT – swiss IT Magazine – Digitalisierung und Automatisierung sind keine Schreckgespenster

Publizierter Artikel bei swissICT / Swiss IT Magazine im Rahmen der Digitalisierungs-Serie von swissICT Redaktions-Mitglied Fridel Rickenbacher.

„Digitalisierung und Automatisierung sind keine Schreckgespenster“ Susanne Ruoff, Konzernleiterin der Schweizerischen Post

Staatsnahe Betriebe sind im Zeitalter von Digitalisierung und Industrie 4.0 mit ganz spezifischen Interessensansprüchen konfrontiert. Susanne Ruoff, Konzernleiterin der Schweizerischen Post, sagt im Interview, wie sie die Herausforderungen in den neuen internationalen, digitalen Märkten meistern will. Fridel Rickenbacher hat nachgefragt und hatte da noch „ein paar Fragen“ 😉

ITM2017_12_SwissICT_Magazin-Digitalisierung-POST-CEO-Ruoff_Interview

 

CyberSecurity und Sicherheit ist eine gemeinsam geteilte Verantwortung – Security Awareness #7

CyberSecurity und Sicherheit ist eine gemeinsam geteilte Verantwortung 

Publizierter Artikel bei ksgv: ksgv.ch – Gewerbeverband – Ausgabe November 2017 – Fridels_BLOG_sh@re-to-evolve – CyberSecurity geteilte Verantwortung

Rund 90% der erfolgreichen und schädigenden  Hacker-Attacken bzw. CyberSecurity-Vorfällen basieren auf sogenannten Phishing-Mail-Angriffen oder Social Engineering (Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten).

Noch besorgniserregender ist der Fakt, dass die durchschnittliche Erkennungszeit eines solchen gezielten Angriffs mitunter mehrere Monate dauern kann. Die entsprechende, dadurch zusätzlich entstehende Gefahr des weiteren indirekten Schadens oder unerwünschten Nebeneffekten sind je nach Branche oder Ausmass gar existenzbedrohend.

Im Zuge der restriktiver werdenden Regulationen und Compliance-Anforderungen rund um z.B. Datenschutz-Gesetz DSG, Datenschutzgrundverordnung DSGVO / GDPR, Privacy Shield, FINMA können weitere Klagen oder Bussen erwachsen aus solchen erkannten oder unerkannten Gesamt-Sicherheits-Defiziten.

Obwohl die Digitalisierungs- und ICT-Strategie (und integriert die ICT-Sicherheit) – angelehnt an die Firmenstrategie – in der Verantwortung und letztlich auch Haftung der Führungs-Ebene steht, sollten auch die betroffenen Mitarbeiter beteiligt und sensibiliert / wachsam gemacht werden für den Umgang, Mithilfe und Massnahmen in der dynamischen Bedrohungslage.

Hierzu eignen sich – nebst technischen und organisatorischen Massnahmen – unterstützend auch stufengerecht verständliche Sensibilisierungs-Workshops mit aktuellen Beispielen, Visualisierungen und Erklärungen zur Anatomie von CyberSecurity-Attacken, bewusst wiederkehrende Newsletters oder E-Learning Modulen mit Tests.

Mittels Weisungen und speziell abgestimmten ICT-Sicherheits-Richtlinien – bei Bedarf als integrierter Bestandteil des Arbeitsvertrages – kann die angestrebt gemeinsam geteilte Verantwortung zur besseren Gesamt-Sicherheit unterstützt werden. Darin sollte auch geachtet werden auf den Schutz des Mitarbeiters durch z.B. klar verständliche Regeln und Abgrenzungen.

Die Mitarbeiter sollten dabei auch technisch unterstützt werden im gemeinsamen Kampf zugunsten des Datenschutzes und Kennwortsicherheit mittels integrierten Lösungen in Bereichen wie z.B. Daten-Verschlüsselung, Email-Verschlüsselung, Multi-Factor Authentication MFA, Information Rights Management IRM / Information Protection oder auch griffigen Kennwort-Richtlinien. Erst dann kann man von Datenschutz sprechen wenn auch effektiv die eigentliche Datensicherheit maximiert hat.

Je nach Branche / Funktion und damit allenfalls verbundener, erhöhter Sicherheits-Relevanz können auch bereits bei der Rekrutierung oder im Rahmen der Compliance und Regulation weitergehende Integritäts- oder Sensibilisierungs-Tests gemacht werden zur Erkennung und Beurteilung von firmen- oder projekt-relevanten Defiziten oder personenbezogenen Risiken.

Spezielles Augenmerk sollte auf die mobilen / externen Arbeitsplätze, Anwendungen und Geräte im z.B. Aussendienst, Niederlassungen oder HomeOffices gelegt werden mit geeigneten, proaktiven und monitored Services (z.B. vollautomatisierte, regelbasierte Verschlüsselung oder Datenklassifizierung) im Fokus einer integrierten Gesamt-Sicherheits-Lösung.

Zunehmend entstehen auch unterstützende Technologien auf Basis von künstlicher Intelligenz KI / artificial intelligence AI oder machine learning ML – dieses auch nötige „human-machine teaming“ (infolge bald erreichten Grenzen von „nur“ Technologie) eröffnet völlig neue Komplexitäts-Stufen und Sicherheits-Evolution im CyberSecurity-Bereich – aber leider auch auf Seite der Angreifer.

Die 100% Sicherheit wird es nie geben.
Jedoch kann die Technologie + die Prozesse + der Faktor Mensch (human-machine teaming) ein angemessenes Sicherheits-Schutz-Niveau von rund 99% in gemeinsamer Orchestrierung erreichen. Der restliche, nicht erreichbare Anteil ist und bleibt Bestandteil des (Rest)-Risiko-Managements.

+++

«Phishing Mail»
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten den entsprechenden Personen oder Firmen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird

«Social Engineering»
Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten). Beispiele: Telefonanrufe mit Vortäuschen und Erfragen von Kennwörtern / Bankkonten / sensitive Daten, Phishing Mail

“Multi-Factor Authentication”
Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode der Computerzugriffskontrolle, bei der ein Benutzer nur dann Zugriff erhält, wenn mehrere Authentifizierungsmechanismen erfolgreich einem bestimmten Authentifizierungsmechanismus präsentiert werden – typischerweise mindestens zwei der folgenden Kategorien: Wissen (etwas, das sie kennen z.B. Kennwort) , Besitz (etwas, das sie haben z.B. Smartphone) und Inhärenz (etwas, das sie sind z.B. Emailidentität).

«CyberSecurity»
Cyber Security ist eine Sammlung von Richtlinien, Konzepten und Maßnahmen, um persönliche oder firmensensitive Daten zu schützen. „Cyber Security verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozessdefinitionen, Leitlinien oder Pflichtenhefte. Auch Schulungen zur Sensibilisierung von Mitarbeitern spielen eine wichtige Rolle.

Hybrid- und Multi-Cloud-Trends

Hybrid- und Multi-Cloud-Trends:

-Strategische «security minded» ICT-Planung und «security minded» ICT-Architecture, angelehnt an die Firmen- bzw. vorallem zugunsten der Digitalisierungs-Strategie zur «Business Model Maturity für growing expectations» und letztlich «data monetization» / «services brokerage»

Siehe auch: https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization

+++

– ICT-Gesamtarchitektur «best out of all clouds» / «services brokerage» / «everything as a service» bzw. intelligenter Orchestrierung von auch «hybrid-/multi-clouds» mit z.b. «microservices», «analytics», «containerization», «IoT», «bots», «machine learning», «artificial intelligence», «serverless computing», «cloud coding» / «software defined everything» / DevOps

Siehe auch: https://fridelonroad.files.wordpress.com/2016/06/holzbau-schweiz-ict-servicesmanagement-hybridcloud-04_hbch_201604_it.pdf

Und Referat an HSLU: (time is running… 2 Jahre her aber immer noch irgendwie passend 😉)

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– «maximized» Automation und ICT-Transformation mit Ziel zu «minimized human interaction but maximized customer self service» und «optimization» / «cost management optimization» / «cloud intelligence»

Siehe auch : in Artikeln

+++

– Vom klassischen System- zum flexiblen, «scalable» Services-Management / Managed Services > Sourcing-Strategie

Siehe auch:
https://fridelonroad.wordpress.com/2015/06/07/evolving-from-system-management-to-services-management-with-best-out-of-all-clouds/

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– Regulation, Compliance, Risk-Management und Assessment / Audit à Auseinandersetzung und «classification» / «regtech» ergibt Chancen gegen «ShadowIT» / «blind spots» und zugunsten «take back control» / «data lifecycle

Siehe auch:
https://fridelonroad.wordpress.com/2017/06/24/privacy-security-ch-dsg-ch-e-id-eu-dsgvo-eu-gdpr-all-for-the-best-privacy-by-design/

und: https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

– «multilayered» Cybersecurity-Strategie / Cloud Security und Massnahmen zur Vision «security by design», «privacy by design», «privacy by default», «regtech», und «full identity and rights management as a managed security service»» (derzeit auch speziell zu CH-DSG und EU-DSGVO / GDPR) mit dynamischen Audit-Zyklen / «incident response management» gegen die dynamischen Bedrohungslagen

Siehe auch:
https://www.mit-group.ch/onprem/ict-security-gesamt-sicherheit-braucht-eine-gesamt-sicht/Und auch mein ISACA.ch-Artikel https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

„security minded but open minded“ for innovation and digitalization

        

 Beitrag von Fridel Rickenbacher


https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization 

Um die Strategie „Digitale Schweiz“ weiterzuentwickeln, braucht es die Bündelung der kreativen und innovativen Kräfte in der Schweiz.Die fortschreitende Digitalisierung hat einen Transformationsprozess ausgelöst, der unsere Gesellschaft und die Wirtschaft betrifft. Daraus ergeben sich oft komplexe Fragen, die diskutiert werden müssen. Deshalb ist es nötig, alle Anspruchsgruppen zu vernetzen und die Zusammenarbeit aller Ebenen der Verwaltung mit der Wirtschaft, der Zivilgesellschaft, der Politik und der Wissenschaft zu fördern. Der Bundesrat hat mit der Verabschiedung seiner Strategie „Digitale Schweiz“ im 2016 zu einem interdisziplinären Dialog zur Weiterentwicklung der digitalen Schweiz aufgerufen.

Eine „security minded“ Grundeinstellung im Rahmen der Digitalisierung / Industrie 4.0 und Gesamt-Konzeption von entsprechenden Prozessen und eingesetzten Technologien ist nicht in jedem Falle ein Widerspruch zum „open minded“, mutigen Hunger gegenüber Innovationen.

Innovationen und Strategien zur Digitalisierung funktionieren wie „rettende“ Fallschirme… am besten wenn sie „offen“ sind! Dieser Leitspruch soll einem vor Augen führen, dass bildlich gesehen selbst der Sprung aus dem sicheren (?) Flugzeug (Business) in neue Erfahrungen (Innovation, Digitalisierung, Industrie 4.0) trotz aller Euphorie begleitet sein sollen von Sicherheitsmechanismen. Genau dadurch lässt es sich vorallem „open minded“ besser „fallen“ in das Wagnis und neuen Erfahrungen in Wissen der besseren Sicherheit.

Echte Innovation und Weiterentwicklung auf strategischer Ebene kann optimiert und teilweise gar erst ermöglicht werden, wenn gewisse operative Kern-Prozesse und Disziplinen als mittragende Säulen wie z.B. Managed Services in den Fachbereichen ICT, Security, Software, Clouds hochstandardisiert bzw. hochspezialisiert betrieben oder gar ausgelagert werden. Erst dann kann man befreiter und unbelasteter «innovativ mitdenken und qualitativ handeln» für neue Geschäftsmodelle und Transformation. Diese Konzentration auf die eigene Kernkompetenz und Auslagerung von möglichst vielen, nicht kernkompetenz-kritischen Prozessen hat wiederum positive Seiteneffekte auf z.B. das eigene Risk Management, Compliance und Auditierung.

Vorallem auch Regulatorien rund um „privacy and security“ wie z.B. das Datenschutz-Gesetz (CH-DSG), elektronischer Identitätsnachweis (CH-e-ID) und internationale, auch für Schweizer Unternehmen relevante Compliance Anforderungen wie die Datenschutzgrundverordnung / general data protection regulatory (EU-DSGVO / EU-GDPR) ab dem 25. Mai 2018 sind hierbei als weitere Impacts zu beachten.

Zwar ist das Auseinandersetzen mit Themen rund um Security, Privacy, Regulatorien, Compliance Anforderungen und Audits auf den ersten Blick vermeintlich unnötig oder mitunter mühsam. Jedoch bieten genau diese auch Chancen, sich mit der Sicherheit und dem Schutz der persönlichen oder firmensensitiven Daten kritisch auseinanderzusetzen, Licht in ältere, optimierbare Prozesse oder gar «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und befreiendes Vertrauen zu schaffen für neue, hochdynamische Herausforderungen der Transformation und Digitalisierung.

 
Fridel Rickenbacher
Unternehmer, geschäftsführender Partner, VR, Fachgruppen-/Verbands-Aktivist

Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP

Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP   


Cybersicherheit ist nicht nur Risikoreduktion, sondern ein zentrales Element, damit disruptive digitale Geschäftsmodelle gefunden, eingeführt und betrieben werden können.“

Interview: Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Cybersicherheit ist es nicht nur ein Technologiethema, sondern ein wichtiges Traktandum für die Geschäftsleitung und den VR.“

Link zum Interview welches publiziert wurde bei swissICT und Swiss IT Magazine.

Digitalisierung – Küssnachter Wirtschaftsforum – Empowering und Mitgestalten für „better together“


Au
ch in diesem Jahr lädt die Volkswirtschaftskommission des Bezirks Küssnacht zu einem spannenden, hochaktuellen und informativen Wirtschaftsforum ein.
Am Donnerstag, 8. Juni 2017 steht die Digitalisierung, Industrie 4.0, im Mittelpunkt.
Die Digitalisierung Ist ein Megatrend und lnnovationstreiber. lndustrie 4.0 ist bereits in aller Munde – auch die KMUs müssen sich der digitalen Entwicklung stellen.
Mit der
Industrie 4.0 entstehen grundlegende Veränderungen und Herausforderungen. Sie bringt aber auch frischen Wind und Chancen in unsere Firmen.
Digitalisierung wird oftmals mit Informatik gleichgesetzt, Digitalisierung ist jedoch bei weitem mehr. Die Auswirkungen sind breiter, umfassender und betreffen insbesondere die Arbeitsprozesse und die Organisation. Vernetztes Denken und eine ganzheitliche Sicht sind gefordert. Wo Chancen sind, sind auch Risiken und ethische Fragen. Wo liegen diese? Wie kann man diesen begegnen? Auch diese Seite der Medaille soll am Wirtschaftsforum Küssnacht am Rigi aufgezeigt werden.


Security by Design

Security by Design

shutterstock_188215409_wk1003mike.jpg

Fast 90% der erfolgreichen Cyberangriffe beginnen mit Phishing-Attacken oder der auch als „Social Engineering“ bezeichneten Manipulation von Menschen, um an deren vertrauliche Informationen zu kommen. Die Schadsoftware gelangt z.B. per Email-Anhang, über schädliche Links oder „infizierte“ Webseiten auf das System. Das Risiko, von einem derartigen Angriff getroffen zu werden, kann man heute mit verhältnismäßig kleinem Budget und relativ einfach beherrschbaren und automatisierten Cloud-Services massiv reduzieren. Es eignet sich z.B. Office365, Emailsignierung und / oder –verschlüsselung, Managed Mailsecurity, Managed Security oder ein einfaches Cloud-Backup.

Die unverändert wichtigste Grundlage für alle Schutzmaßnahmen sind aktuelle, korrekt eingerichtete und laufend aktualisierte Betriebssysteme. Und natürlich Programme wie Virenschutz, Anti-Malware-Monitoring oder Baseline-Analyzer, die den PC auf Sicherheitslücken überprüfen. Auch hier gibt es bereits proaktive und zentral verwaltbare Lösungen, die sich geschickt kombinieren lassen.

60% des Datenverlusts, der den Ruf oder die Existenz einer Firma bedrohen könnte, entsteht durch Diebstahl. Dieses Risiko kann mittels gut kombinierbaren Cloud-Services auf ein Minimum reduziert werden. Wer zum Beispiel seine Emails oder sogar alle Daten verschlüsselt überträgt, regelmäßig Backups in der Cloud sichert oder auch auf einer Gesamtlösung in der Cloud aufbaut, minimiert die Bedrohungslage deutlich.

Im Zentrum der Computer-Kriminalität steht allerdings unverändert der Mensch / Mitarbeiter als Ziel. Mitarbeiter können jedoch als aktive Beteiligte im Kampf gegen IT-Risiken miteinbezogen werden. Mit einer generellen Sensibilisierung dem Thema gegenüber, gezielten Schulungen, aber auch über eine IT Security Policy, die im Arbeitsvertrag verbindlich hinterlegt werden kann.

Sicherheit als explizite Anforderung in einen  Entwicklungsprozess aufzunehmen und  ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an zu berücksichtigen ist richtig. Mit kombinierten Maßnahmen lässt sich gut eine “Security by Design” / “Security by Default” Gesamtlösung realisieren, die an die Anforderungen des europäischen Datenschutzes angepasst ist. Weitergehende Anforderungen und Compliance-Vorgaben gemäß der eigenen IT-Firmen-Strategie werden durch präventive Maßnahmen sinnvoll und budgetierbar unterstützt.

“Make or buy”-Entscheidungen im Bereich dieser Managed Security Services sind mittlerweile relativ einfach geworden. So gibt es international tätige Services-Anbieter, die mit Security-Spezialisten im 7x24h-Betrieb arbeiten. Die Milliarden-Investitionen in die globalen Sicherheitsgesamtaspekte von kritischen Infrastrukturen zeigen hier natürlich bereits Wirkung. Da mit der zunehmenden Größe einer Industrie die Kosten pro Einheit abnehmen – der sogenannte „economy of scale“-Effekt – ist bereits heute eine erschwingliche Nutzung solcher Enterprise-Lösungen auch für kleine und mittlere Unternehmen sowie Non-Profit-Organisationen möglich.

Über den Autor:   
Fridel Rickenbacher ist Mitgründer des Schweizer ICT-Total-Unternehmens MIT-GROUP – sowie Mitglied von diversen Fachgruppen wie z.B. „Privacy und Security“ und „Informationsethik“ bei SI, Akteur bei “Nationale Strategie gegen Cyberrisiken (NCS)” des Bundes und Redaktions-Mitglied bei swissICT.

Foto: Copyright shutterstock.com, wk1003mike

Security by design / by Default zum Schutz der Anwender und Firmen

image-security-ethz

90% der erfolgreichen Cyberangriffe starten mit Phishing-Attacken / Social Engineering z.B. per Email und darüber aktivierte und verbreitete Malware wie z.B. Ransomware, Verschlüsselungs-Trojaner, Spähprogramme -> mit mittlerweilen einfach beherrschbaren und automatisierten Cloud-Services wie z.B. Office365, Emailsignierung, Emailverschlüsselung, Managed Mailsecurity, Managed Security, Cloud-Backup kann dieses grösste Angriffs-Sicherheits-Risiko mit verhältnismässig kleinem Budget massiv reduziert werden.

Die unverändert wichtigste Grundlage für solche geschickt kombinierte, orchestrierte Services bzw. Gegenmassnahmen sind aktuelle, korrekt eingerichtete und laufend aktualisierte Betriebssysteme und Endpoint Protection Services wie z.B. Virenschutz, Anti-Malware, Monitoring, Baseline-Analyzer -> auch hier gibt es unlängst proaktive und zentral verwaltbare Lösungen wie z.B. gut abgestimmte Richtlinien (GPO, Benutzer, Computer, Netzwerk, Server, Firewall), Microsoft Enterprise Mobility & Security, Verhaltensmonitoring, Sandboxing, Baselining aufgrund Verhaltensmuster-Massnahmen, besser absicherbare und verwaltbare Betriebssysteme wie z.B. Windows 10 mit ATA Advanced Threat Analytics. (übrigens ist Windows 10 / Surface Geräteklasse offiziell beim amerikanischen Geheimdienst NSA als besonders sicher eingestuft und auf einer Liste von ICT-Produkten, welche geeignet seien, geheime Dinge geheim zu halten) und letztlich Cloud-Gesamtlösungen.

60% des auch firmenvitalen oder reputationsgefährdenden Datenverlusts entsteht durch Diebstahl -> mittels sehr gut kombinierbaren Cloud-Services wie z.B. Document Rights Management DRM, Emailverschlüsselung, verschlüsselter Datenaustausch via SharePoint / OneDrive, Cloud-Backup und Cloud-Gesamtlösungen lässt sich auch dieses Risiko der zunehmenden Bedrohungslage auf ein Minimum reduzieren.

Im Zentrum von Cyberrisiken / Cyberwar steht unverändert der Mensch / Mitarbeiter als Ziel welcher jedoch auch mittels Sensibilisierungen, Schulungen und unterstützend per ICT Security Policy (optional auch als Arbeitsvertrags-Anhang) als Beteiligter involviert werden in der proaktiven Unterstützung gegen ICT-Risiken.

Mit solchen kombinierten Massnahmen lässt sich bereits jetzt schon eine „Security by design“ / „Security by Default“ Gesamtlösung realisieren welche dann auch gemäss dem künftigen, derzeit in einer Vernehmlassung stehenden Datenschutzgesetz DSG der Schweiz oder Europa konform ist. Weitergehende Anforderungen / Compliance-Vorgaben von z.B. auch der FINMA, IKS, Risk-Management bzw. gemäss der Pflichten entlang der ICT-Firmen-Strategie werden durch solche präventive Massnahmen sinnvoll und budgetierbar unterstützt.

„make or buy“ Entscheide im Bereich solcher Managed Security Services sind mittlerweilen relativ einfach geworden … International tätige Services-Anbieter mit tausenden von Security-Spezialisten mit 7x24h-Betrieb / Operation Centers / Responce Centers und Milliarden-Investitionen in globalen Sicherheitsgesamtaspekten von auch kritischen Infrastrukturen (unterstützt mit Artificial Intelligence AI / KI, Technologie-Allianzen) lassen die erschwingliche Nutzung von solchen Enterprise-Lösungen infolge „economy of scale“ Effekten zu – auch für Kleinstunternehmen KMU.

Ergänzend finden Sie allenfalls hier weitere nützliche Inputs und hoffentlich impulsbringende Gedanken