Die Pandemie und der Run auf virtuelle Kollaboration
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Pascal Schaffner.
Mit der Pandemie kam scheinbar urplötzlich die grosse Erkenntnis, dass «Social Distancing» die einzige Möglichkeit ist, den Zusammenbruch unseres Gesundheitssystems zu verhindern. Obwohl sich Epidemiologen schon seit dem mittleren 19. Jahrhundert intensiv mit dem Thema beschäftigen und die World Health Organisation (WHO) 1999 forderte, dass alle Länder nationale Pandemiepläne erarbeiten.
Nun, die Infektionskurve stieg rasant an, Regierungen waren überfordert und der Notstand wurde ausgerufen. Hände regelmässig waschen, Gesichtsschutz tragen und vor allem zuhause bleiben wann immer möglich, das war plötzliche die Norm. Firmen mussten quasi über Nacht zu virtuellen Unternehmen mutieren. Hastig wurden Netzwerkkapazitäten ausgebaut, Verträge mit Remote-Kollaborationssoftware-Anbietern geschlossen und viele, viele ad-hoc- und Ausnahmelösungen eingerichtet. Viele erbrachten unglaubliche Meisterleistungen, um sicherzustellen, dass ganze Belegschaften von zuhause aus weiterarbeiten konnten.
Nun sitze ich hier und schreibe diesen Text auf meinem Geschäftslaptop, der verbunden ist mit dem Geschäftsnetzwerk und ich komme nicht umhin, mir gewisse kritische Frage zu stellen. Zu welchem Preis haben wir das geschafft? Welche Sicherheitslücken haben wir, in der Hast, geschaffen oder übersehen? Machen Hacker jetzt Überstunden, um an diese Schwachstellen zu kommen?
Massnahmen gegen das erhöhte Datenrisiko
Mit Remotearbeit wird auch das Datenrisiko erhöht und man kommt nicht drumherum, Zusatzmassnahmen zu ergreifen, um die Daten zu schützen. Angefangen an der Basis, beim Netzwerk, auf verschiedenen Ebenen:
- Perimeter-Sicherheit: Schutz vor externen Angriffen durch Technologien wie Firewall und Intrusion Detection.
- Kommunikationssicherheit: Sicherstellung der Vertraulichkeit und Integrität der Daten durch die Verwendung von Secure Socket Layer (SSL) oder Virtual Private Network (VPN).
- Plattformsicherheit: Stellt die Stabilität und Verfügbarkeit sicher durch Redundanzen, Antivirenprüfung und Intrusion Detection.
- Zugriffssicherheit: Stellt sicher, dass Anwender und Anwenderinnen nur auf das zugreifen können, was für sie bestimmt ist.
- Physische Sicherheit: Um das Netzwerk vor physischen Schäden oder Änderungen zu schützen. Wobei die offensichtlichsten Formen der physischen Sicherheit verschlossene Türen und Alarmsysteme sind.
Vor allem bei der Zugriffssicherheit sollten heutzutage Lösungen wie Zwei-Faktor-Authentifizierung (2FA) Standard sein. Eine sehr nützliche Sicherheitsfunktion, die sehr simpel in der Anwendung und sehr stark im Schutz ist.
Auch bei den Geräten und Softwarelösungen müsste ein erhöhter Sicherheitsstandard gelten, indem ein Lebenszyklus von maximal fünf Jahren etabliert wird. Nach Ablauf der Frist, müsste dann geprüft werden, ob Software und Geräte noch den modernen Sicherheitsstandards entsprechen oder ersetzt werden müssen. Weiterhin müssen Richtlinien aufgestellt werden, die den sicheren Umgang mit den Firmengeräten, -software und -daten definiert und die Konsequenzen eines Verstosses dagegen klar regelt. Im gleichen Zuge nützen diese Richtlinien natürlich nur wenig, wenn die Anwender und Anwenderinnen nicht regelmässig geschult und Bedienungsanleitungen zur Verfügung gestellt werden. Gegen Cyberattacken ist und bleibt der Anwender das schwächste Glied in der Verteidigungskette, womit es nur logisch scheint, da etwas Energie zu investieren. Ich denke, man kann den fleissigen Spezialisten, die es uns ermöglicht haben, von zuhause aus zu arbeiten, nur gratulieren. Aber nun muss vermutlich einiges an Energie ins «Löcher stopfen» investiert werden. Und zwar nicht mit den üblichen Schuldzuweisungen und -abweisungen, sondern in enger Zusammenarbeit auf allen Ebenen, wie wir es tun, um diese Pandemie zu bewältigen.
Autor: Pascal Schaffner
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)