Digitalisierung – CybersecurityResilienz – Sensibilisierung : Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget, V2

Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget, V2

Früher waren ICT-Prozesse eher reaktiv gestaltet und initiiert worden

In den guten, alten Zeiten vor dem beängstigenden Erfolg und Siegeszug der organisierten Cyberkriminalität und deren äusserst erfolgreichen und finanziell einträglichen Kampagnen basierend auf dem beliebten Angriffsvektor „Social Engineering“ durch z.B. Phishing Attacken, Ransom / Spy Ware, Verschlüsselungs Trojaner etc. waren viele Wartungs- und Support-Prozesse eher reaktiv gestaltet.

Dafür gab es damals Gründe infolge z.B. der damalig mitunter noch kleineren Abhängigkeit des Business von der EDV und damals noch nicht so dynamischen und vitalen Bedrohungslage durch die Cyberkriminalität.
Entsprechend wurde mehr oder minder das repariert und optimiert was gerade anfiel bzw. nicht mehr funktionierte. Die Systemwartung, Programmierung und klassischer ICT-Support war vielfach für die Gegenwart und die rasche Bereinigung / „Flick“ ausgerichtet für das Aufrechterhalten der nötigen, bisherigen Basis-Funktionalität.

Proaktive Prävention und Innovation, auch zugunsten der künftigen Business Kontinuität

Die Zeiten von „Set it & forget it“ sind vorbei
Damit die Angriffs- und Betriebs-Sicherheit eines ICT-Systems zugunsten einer möglichst hohen Resilienz (Widerstandsfähigkeit zugunsten der Verfügbarkeit und die Fähigkeit, Krisen zu bewältigen), Verfügbarkeit und Datenschutz / Datensicherheit aufrechterhalten werden kann, braucht es angepasste organisatorische und technische Massnahmen und Methoden für die dringlich nötige, systematische Orientierung zugunsten der „System-Störung- und Unterbruch-Prävention“. Zu solchen Präventionen gemäss „Stand der Technik“ und je nach Kritikalität des ICT Risk Management können z.B. Hybrid-Cloud-Lösungen, Cloud-Backup, Managed Services, Monitoring Systeme bis hin zu einem sogenannten „Security Operation Center (SOC)“ gehören.

Ganz einfach sollte man sich z.B. folgende Beispiel-Frage eines ganzen Katalogs stellen und sich die systemseitig nötige Antworten geben bzw. implementieren können anhand eines erweiterten „ICT Risk Management“ oder „Contingency Planning“: „Was muss präventiv geändert, anders implementiert oder überwacht werden damit eine Störung oder gar Unterbruch vom System oder Funktion X oder Y schneller behoben oder überbrückt werden kann?“

Sicherheit und Vertrauen ist ein „nicht kaufbares (Bauch)Gefühl“, aber trainierbar

Ein gutes Mass an Sicherheit kann man trotzdem nicht einfach so kaufen. Das Grundbedürfnis der Sicherheit erfordert weitergehend zu finanziellen Investitionen ebenso auch ein gutes, „nicht kaufbares“ (Bauch)Gefühl und Vertrauen. Ein solches gutes Gefühl und Vertrauen ist entsprechend besser zu erreichen und zu erhalten mit einem guten, trainierten und auch getesteten „Business Contingency Plan“ in Abstimmung mit dem eigenen Risk Managment und der dringlich nötigen Involvierung und Sensibilisierung der Mitarbeiter als „Human CyberResilienz Firewall“

Schlagfertige Präventivmassnahmen oder Präventivkampagnen – wie bei z.B. der SUVA

Die fortwährenden und stark ansteigenden Angriffe und Risiken seitens Cyberkriminalität bedürfen entsprechend laufende, schlagfertige Präventivmassnahmen oder regelrechte «Präventivgegenangriffe» in gar intelligent orchestrierten Kampagnen.
In Analogie zur SUVA mit den umfassenden Kampagnen gegen Unfälle auf der Arbeit oder im Haushalt / Alltag braucht es ebenfalls entsprechend «deutlich mehr als bisher» in den betriebskritischen ICT-Infrastrukturen.

Fahrlässiges oder falsches Verhalten im Bereich von CyberSecurity-Resilienz ist asozial

Mitverantwortung tragen und auch andere Mitmenschen auf Gefahren hinweisen – oder mitunter auch proaktiv davor schützen versuchen – ist in der Unfallprävention, diversen Versicherungen, bei alltäglichen Schutzmassnahmen und diversen «Safety First»-Kampagnen seit Jahren gang und gäbe. Wenn es gelingt, ein solches «soziales» Verhalten vom Grundgedanken her zu adaptieren zugunsten der «digitalen Selbstverteidigung» bzw. «Mitverantwortung bei CyberRisiken in der digitalisierten Gesellschaft und Firmen» können die erfolgreichsten CyberCrime-Angriffsvektoren und deren weltweiten Schadenspotentiale mit Fokus auf «Social Engineering» (Clevere Manipulation der menschlichen Tendenz zum Grundvertrauen) stark gemindert werden zum Wohle der «Digital-Gesellschaft». Es gibt also durchaus diverse Möglichkeiten – nicht nur im «analogen» Umfeld – einen sozialen und für die ganze «Digital-Gesellschaft» spürbaren Beitrag zu leisten im digitalen Raum unter der Anwendung von diversen, längst bekannten Verhaltensregeln. Einfache Verhaltensregeln beginnend in der Basis-Sicherheit wie z.B. «Komplexe – und vorallem von Firmenzugängen getrennte – Kennwörter» verwenden, gesundes Misstrauen anwenden bei Mails mit Anhängen / integrierten Internet-Links oder gar Anweisungen, aufgrund (sicherzustellenden) unterschiedlichen Daten-Backups keine Erpressungs-Gelder bezahlen, empfohlene und/oder voreingestellte Datensicherheit- und Datenschutz-Einstellungen (security / privacy by design) möglichst nicht negativ verändern und mitunter auch «gefährliches Halbwissen» / «vermeintlich hochinformiert sein» ablegen und offen sein für «security minded» neues, schützendes Wissen in der dynamischen Bedrohungslage durch CyberCrime und technologischen Entwicklungssprüngen bei z.B. auch «Digitalisierung», Clouds, «Künstliche Intelligenz» oder «cyber physical systems».

Nochmals sei angemerkt: Die Zeiten von „Set it & forget it“ ohne Prävention und ohne „digital-soziale Mitverantwortung“ sind gemäss auch „Stand der Technik“ längst vorbei im Bereich der ICT-Wartung, ICT-Support, ICT-Architektur und speziell der ICT-CyberSecurity zugunsten einer möglichst ausgereiften CyberSecurity-Resilienz.

Publizierter Print-Artikel in „Schwyzer Gewerbe“ – ksgv – CyberSecurityResilienz Sensibilisierung – Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget – Nov 19

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Von der Reaktion zur Prävention in ICT-Prozessen und ICT-Budget

Von der Reaktion zur Prävention in ICT-Prozessen und ICT-Budget

Früher waren ICT-Prozesse eher reaktiv gestaltet und initiiert worden


In den guten, alten Zeiten vor dem beängstigenden Erfolg und Siegeszug der organisierten Cyberkriminalität und deren äusserst erfolgreichen und finanziell einträglichen Kampagnen basierend auf dem beliebten Angriffsvektor „Social Engineering“ durch z.B. Phishing Attacken, Ransom / Spy Ware, Verschlüsselungs Trojaner etc. waren viele Wartungs- und Support-Prozesse eher reaktiv gestaltet.

Dafür gab es damals Gründe infolge z.B. der damalig mitunter noch kleineren Abhängigkeit des Business von der EDV und damals noch nicht so dynamischen und vitalen Bedrohungslage durch die Cyberkriminalität.
Entsprechend wurde mehr oder minder das repariert und optimiert was gerade anfiel bzw. nicht mehr funktionierte. Die Systemwartung, Programmierung und klassischer ICT-Support war vielfach für die Gegenwart und die rasche Bereinigung / „Flick“ ausgerichtet für das Aufrechterhalten der nötigen, bisherigen Basis-Funktionalität.

Proaktive Prävention und Innovation, auch zugunsten der künftigen Business Kontinuität

Die Zeiten von „Set it & forget it“ sind vorbei

Schlagfertige Präventivmassnahmen oder Präventivkampagnen – wie bei z. B. der SUVA – wären hilfreich.

Publizierter Print-Artikel in „Schwyzer Gewerbe“ – ksgv – CyberSecurityResilienz Sensibilisierung – Von der Reaktion zur Prävention in ICT-Prozessen und ICT-Budget – Nov 19

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Schwachstelle Mensch – Cyber Security / Cyber Resilienz – Der Gartenbauer

Schwachstelle Mensch – Cyber Security / Cyber Resilienz

Die bedeutendste Schwachstelle im Bereich der IT-Sicherheit ist der Mensch. Das verdeutlichte Fridel Rickenbacher in seinem Referat und Workshop am Digital-Kongress für die Grüne Branche, den das netzwerk_G Mitte September in Zürich veranstaltete.

  • Garten- und Landschaftsbau
  • Branche
  • Internet

Text: Petra Reidel, Dipl.-Ing. agr., Grafenau

 

Bei unglaublichen 90 % aller Angriffe hilft der Anwender, sprich Mitarbeiter, aktiv mit, dem Täter ein Erfolgserlebnis zu verschaffen. Meist ist es ein zu schneller Klick auf einen Link, einen Anhang oder aber auch ein zu schwaches Passwort, was fatale Folgen haben kann. Dies berichtete Fridel Rickenbacher zum Einstieg. Er ist Mitglied der execure ag / Swiss-IT-Security-Gruppe und besitzt einen gros­sen Erfahrungsschatz auf dem Gebiet der Cyber Security. «Wenn das System erst mal lahmgelegt ist, kann dies zu grossen Lieferverzögerungen bis hin zu hohen Konventionalstrafen führen», betonte Rickenbacher und bemerkte, dass das sprichwörtliche Gottvertrauen hier komplett fehl am Platz ist. Er empfiehlt die Null-Vertrauens-Strategie, das ist definitiv sicherer.

Die gesamte Arbeitswelt, aber auch das private Leben, streben auf eine immer massivere digitale Vernetzung zu. Bereits jetzt ist vieles miteinander verbunden, was uns häufig gar nicht bewusst ist. Im Privatbereich ist das beispielsweise die automatische Bewässerungsanlage, die sich per App steuern lässt. Genau hier ­docken die Unternehmen mit an, die für den Unterhalt oder die Pflege zuständig sind. «Die dunkle Seite der Macht ist viel weiter, als wir denken», so Rickenbacher. Virenprogramme schützen nur gegen bekannte Infekte. Zudem kennen Hacker die Sicherheitslücken immer vor dem Hersteller. «China ist Hersteller von Software und grossen Servern. Die teils eingepflanzten Chips, fähig, die kompletten Unternehmensdaten auszuspionieren, wurden vom chinesischen Staat toleriert», gibt der Spezialist einen kleinen Einblick in die Welt des Bösen und nennt neben China auch noch Russland und die USA, wenn es um Staatsspionage geht. «Die Frage ist auch nicht, ob etwas passiert, sondern wie oft es schon passiert ist», so Rickenbacher. Am Schlimmsten ist dabei neben dem wirtschaftlichen Schaden der Reputationsschaden für das Unternehmen. Es kann Jahre dauern, bis der gute Ruf wiederhergestellt ist. Mitarbeitende, die sich ausserhalb eines geschützten Netzwerkes befinden, sind leichter angreifbar. Eine Software für Schnittstellen mit entsprechender Voreinstellung bietet laut Rickenbacher einen besseren Grundschutz. Er empfiehlt eine mehrschichtige Sicherheitsstrategie. Komplex, zielgerichtet und äusserst effektiv, so lässt sich die heute meist verwendete Angriffsart einer Cyber-Attacke, im Fachjargon auch als APT bezeichnet (Advanced Persistent Threat), beschreiben. Dagegen hilft nur, die grosse Gefahr Mensch durch klare Regeln der Kommunikation im Netz zu sensibilisieren. Als Sicherheitsstrategie schlägt der Experte ein mehrstufiges Konzept vor: «Ein Backup im Betrieb, eines ausserhalb des Firmengeländes und eine Sicherheitskopie in der Cloud sind das Minimum.» Backup, Backup, Backup sowie die Ende-zu-Ende-Verschlüsselung bei E-Mails lautet seine Devise. Diese Kombination macht recht immun gegen kriminelle Erpressung im Netz. Grundsätzlich sollte man Cloud-Lösungen vertrauen, denn die dort herrschenden Sicherheitsvorkehrungen kann sich kein Einzelunternehmen leisten und letztlich basiert die gesamte Smartphone-Technologie auf komplexen Cloud-Lösungen, stellte Rickenbacher in den Raum.

Sicherheitstipps für Unternehmen

Im Workshop gab Rickenbacher weitere Tipps, wie es gelingt, die Mitarbeitenden zu sensibilisieren. «Da reicht es manchmal aus, auf dem Parkplatz einen USB-Stick zu verlieren, auf dem das Wort vertraulich klebt. Die Neugierde ist die grösste Versuchung und mit ziemlicher Sicherheit wird es einen Mitarbeiter geben, der diesen ungeprüften Stick in den Rechner steckt. Das ist dann ein guter Einstieg, die Gefährlichkeit solcher Aktionen zu kommunizieren.» Auslandsaufenthalte der Geschäftsleitung regen Kriminelle dazu an, gefälschte Überweisungsaufträge mit hohen Summen im Namen des Chefs an die Buchhaltung zu schicken. Meist mit einem extremen Zeitdruck versehen, sind die Mitarbeitenden überfordert und agieren somit ohne jegliches Hinterfragen, obwohl die Adresse des Absenders nicht exakt mit der des Chefs übereinstimmt. Schulungen sind hier hilfreich und auch der Hinweis, dass alles, was einem nicht ganz koscher vorkommt, vom IT-Service zu überprüfen ist. Wer ausserhalb des gesicherten Netzwerkes unterwegs ist, hat sich zudem an genaue Kommunikationsvorgaben zu halten. Auch erzwungene Kennwortänderungen in kurzen Rhythmen für alle Angestellten machen es Angreifern schwerer. Eine vierte verschlüsselte Datensicherung, die nur dann sichert, wenn der Systemstatus auf grün steht, senkt das Risiko weiter. «Ein Prozent Risiko bleibt aber immer bestehen, egal was man unternimmt», so der Sicherheitsexperte. Bei Vernetzungen mit Kunden rät Rickenbacher ebenfalls zu Aufklärung und proaktiver Kommunikation, die man sich durch eine Unterschrift bestätigen lässt, denn sonst haftet der GaLaBauer sogar mit.

Publizierter Artikel in „Der Gartenbauer“ – https://www.dergartenbau.ch/artikel/schwachstelle-mensch-cyber-security

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Cybersouveränität der Schweiz ist relevant für die Zukunft der Digitalisierung

«Der Bund will eine deutlich aktivere Rolle übernehmen»

Cybersouveränität der Schweiz ist relevant für die Zukunft der Digitalisierung.

Ein intelligent orchestrierter, mehrschichtiger Cyberangriff auf systemkritische Infrastrukturen – das ist ein nach wie vor realistisches und beunruhigendes Szenario in der digitalisierten Welt. Fridel Rickenbacher hat dazu mit Peter Fischer, Leiter Informatiksteuerorgan des Bundes (ISB), gesprochen.

Publizierter Artikel in Spezial-Printausgabe „IT for Gov“ der Netzmedien / netzwoche.ch

IT-for-Gov_2019_Spezialausgabe_netzwoche_Interview_Peter_Fischer_ISB

und in Online-Ausgbabe bei netzwoche.ch

https://www.netzwoche.ch/news/2019-10-16/der-bund-will-eine-deutlich-aktivere-rolle-uebernehmen

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Ein trainierter guter Plan und «Human CyberResilience Firewall» für bessere CyberResilienz

In den schon länger aufgekommenen dunkleren Wolken und dynamischen Bedrohungslagen der massiv vernetzten Digitalisierung  und Hybrid-Cloud sind technische und organisatorische Massnahmen ein lohnenswertes Investment zugunsten der «Business Continuity».

«Ein Idiot mit einem Plan kann ein Genie schlagen ohne Plan»

Der Spagat und das kritische Dreieck der «Human CyberResilience Firewall»

Publizierter Artikel im Schwyzer Gewerbe ksgv – CyberSecurityResilienz Sensibilisierung – Trainierter Contingency Plan und Human CyberResilience Firewall – Okt 19

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Dialog Digitale Schweiz – Cybersicherheit – als Investition mehr als ein notwendiges Übel

Schutz und Sicherheit sind Grundbedürfnisse und wesentliche Elemente der Ausgestaltung der Digitalisierung.
Diese Investitionen sollten auch als gewinnbringende Chance betrachtet werden.

Publiziertes, mehrsprachiges Interview mit Fridel Rickenbacher, Senior Consultant, execure AG, Mitglied Swiss IT Security Group, bei „Dialog Digitale Schweiz“:

Deutsch: https://www.digitaldialog.swiss/de/dialog/cybersicherheit-als-investition-mehr-als-ein-notwendiges-uebel

Französisch: https://www.digitaldialog.swiss/fr/dialogue/la-cybersecurite-un-investissement-pas-un-mal-necessaire

Italienisch: https://www.digitaldialog.swiss/it/dialogo/sicurezza-informatica-un-investimento-piu-che-un-male-necessario