Neue Allianz gegen Cyber-Bedrohungen
Security Cybersicherheit Cyberangriff ISO27001 Security-Audit
Die Anzahl der Cyber-Attacken stieg im letzten Jahr dramatisch an. Eine der Ursachen sind mehrere grössere Sicherheitslücken, welche bekannt wurden. Eine andere ist der nach wie vor leichtfertige Umgang mit der Cyber-Sicherheit in vielen Organisationen. Die Warnungen über solche Sicherheitsprobleme werden oftmals ignoriert oder man verlässt sich zu sehr auf die IT-Dienstleister. Diese sind teilweise mit der Situation überfordert und wichtige Massnahmen wie das Aufspielen von Patches, die Segmentierung von Netzwerken und die Schulung von Mitarbeitenden werden oft vernachlässigt.
Gemäss einer Auswertung der Sicherheitsforscher von Check Point nahmen im Jahr 2021 in der Schweiz Cyber-Attacken im Jahresvergleich zu 2020 um 65 % zu. Weltweit lag die Zunahme der Cyber-Angriffe auf Unternehmen bei ca. 50 %. Besonders gegen Ende Jahr stieg die Anzahl wegen der Log4J-Schwachstelle stark an. Man geht davon aus, dass im Jahr 2022 dieser Anstieg weitergehen wird. Das Ganze ist zu einem Milliarden-Business geworden und es werden immer neue Methoden zur Durchführung von Attacken erschaffen. Die Liste der bekannten Fälle bei Schweizer Unternehmen, Organisationen und auch öffentlichen Verwaltungen ist lang. Die Dunkelziffer dürfte noch weit höher sein.
Darum darf man einigermassen erstaunt sein, wenn man kürzlich in einer Twitter-Meldung des Nationalen Zentrums für Cybersicherheit (NCSC) folgendes liest: Rund 130 Unternehmen und Gemeindeverwaltungen wurden per eingeschriebenen Brief (ja physische Post) aufgefordert, dringend, die seit Langem bekannte Sicherheitslücken in Microsoft Exchange zu schliessen. Dem ging voraus, dass im letzten Jahr 4'500 (!) Unternehmen und Gemeinden mehrmals per E-Mail vom NCSC angeschrieben wurden. Wer nicht reagierte, bekam einen Eingeschrieben. Man stellt sich das vor, es gab also 4'500 Organisationen, welche nach all den Presseberichten und vermutlich auch Informationen von ihren IT-Dienstleistern Anfang 2021 nicht oder erst sehr spät auf die massive Bedrohung reagiert haben.
Als Mitglied von secnovum, der Initiative für mehr Cyber-Fitness, will die first frame networkers ag einen Beitrag dazu leisten, die digitale Transformation und die IT-Sicherheit bei kleineren und mittleren Schweizer Unternehmen zu fördern. Zusammen mit den namhaften Unternehmen die Mobiliar, BDO, Raiffeisen, HP Inc., Alltron, SGS und ICPRO ist Secnovum Gründungsmitglied beim Verein Allianz Digitale Sicherheit Schweiz. Mit der Unterstützung des NCSC und digitalswitzerland wurde das Gütesiegel "CyberSeal für IT-Dienstleister durch die Allianz Digitale Sicherheit Schweiz" konzipiert. Das Ziel ist es, die KMU bei der Suche nach einem Security affinen IT-Dienstleister zu unterstützen.
Das unabhängige Gütesiegel CyberSeal zeichnet IT-Dienstleister aus, die mit geeigneten technischen und organisatorischen Massnahmen ihren Kunden ein angemessenes Schutzniveau vor Cyberrisiken anbieten. Das Siegel ist drei Jahre gültig. Im ersten Jahr werden die IT-Dienstleister durch geprüfte Auditoren dem umfassenden CyberSeal-Audit unterzogen. Zur Qualitätskontrolle erfolgt in den beiden darauffolgenden Jahren ein Aufrechterhaltungsaudit. Im vierten Jahr beginnt der Prozess wieder mit dem umfassenden Audit. Zur Vorbereitung bietet Alltron entsprechende Schulungen für interessierte IT-Dienstleister an. Im Audit werden folgende Kompetenzen geprüft:
- Organisation: z.B. Dokumentation, Aufgabenteilung, Ausbildung
- Technik: z.B. Schutz der Daten, Berechtigungen, Backup
- Prozesse: z.B. Change und Incident Management, Monitoring
Die Anforderungen werden laufend überprüft und auf die aktuellen Bedrohungen angepasst. Der Aufwand und die Kosten für die Erlangung des CyberSeal-Gütesiegels sind für einen IT-Dienstleister im KMU-Umfeld gut tragbar. Im Gegensatz zu einer IS0 27001-Zertifitzierung, welche sich für manche kleinere IT-Unternehmen nicht rechnet und von den Ressourcen keinen Sinn machen. Als CISO (Chief Information Security Officer) der first frame networkers ag war ich massgeblich am Erlangen der ISO 27001 Zertifizierung als Nachweis unseres Informationssicherheits-Managementsystem (ISMS) beteiligt und kann diesen Aufwand gut einschätzen. Zusammen mit meinem Kollegen Dario Portmann darf ich als geprüfter Auditor CyberSeal-Audits durchführen. Mit rund zehn anderen Auditoren dürfen wir so für mehr Cyberresilienz in der schweizerischen Wirtschaft sorgen.
www.digitalsecurityswitzerland.ch
Lukas Studer
Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.