Aus dem Unterricht des CAS Digital Finance von Rino Borini mit Peter Gassmann, Chief Consulting Officer bei AdNovum Informatik AG, berichet Kai Dorner.

Cyber Security

Mit folgenden Schlagzeilen tauchte Peter Gassmann am 29. Juli 2019 in die Welt der Cyber Security ab und zeigte der Digital Finance Klasse die Dimensionen und Ausmasse von stattgefundenen Cyber Attacken auf:

  • CNN: WhatsApp deckt schwerwiegende Sicherheitslücken auf, durch die Hacker auf Telefone zugreifen können
  • Krebs on Security: Innerhalb von vier Jahren wurden Daten von 500 Millionen Marriott Gästen gestohlen
  • Wired: Facebook gab bekannt, dass ein beispielloses Sicherheitsproblem fast 50 Millionen Benutzerkonten betraf

Die erwähnten Schlagzeilen sind längst keine Einzelfälle. Weit erschreckender sieht die Liste globaler und bekannter Unternehmen aus, denen das gleiche widerfahren ist. So gesellen sich neben Ebay mit 145 Millionen, Myspace mit 145 Millionen, Yahoo mit unglaublichen 3 Milliarden noch zahlreiche weitere Unternehmen hinzu. Die Millionen über Millionen an geklauten Daten symbolisieren eindrücklich die Tragweite der kriminellen Aktivitäten im Cyber Space, welche sich mittlerweile zu einem richtigen Business entwickelt hat (Crime as a service). Eine kriminelle Organisation ist vergleichbar mit einem Grosskonzern, hochspezialisiert und gewinnorientiert. Neben einer treibenden Kraft, vergleichbar mit einem CEO, deckt eine Vielzahl von Projekt Managers, verantwortlich für einzelne Angriffsarten, die gesamte Wertschöpfungskette ab. Selbst Arbeitszeitregelungen scheinen im kriminellen Cyber Milieu keine Seltenheit zu sein: “We can see the discipline they have, we can see that they are active during office hours, they take the weekends off, they work regular hours, they take holidays”. (CNBC)

Sind alle Unternehmen von Cyber Attacken betroffen?

Die kurze und leider weniger erfreuliche Antwort lautet: Ja. Egal ob Global Player oder KMU, egal ob im Finanzbereich oder im Gesundheitssektor. Jedes an das Internet angeschlossene Unternehmen kann potentielles Opfer von Cyber Attacken werden. Dabei geht es nicht um die Frage «ob», sondern vielmehr um das «wann». Mit den nötigen Ressourcen (u.a. Know-How, Geld und Zeit) ist nahezu jedes Unternehmen verwundbar. Je nach Branche und Alter der tausend- bis millionenfach erbeuteten Daten kommt so schnell ein ordentliches Vermögen zusammen.

Markt für Identitätsdiebstahl                     Quelle: RSA Quarterly Source Report, Q4 2018

Bei der Cyber Security geht es weit mehr als nur um das blosse Schützen der unternehmenseigenen Webseite. Es fängt bei jedem von uns einzelnen an (Stichwort «Social Engenieering») und endet bei der technischen Implementierung von Massnahmen.

Kleiner Tipp vom Autor dieses Artikels: Wer sich also fragt, ob seine Daten in einem dieser zahlreichen Breaches geklaut wurden, kann dies auf einer hierfür spezialisierten Plattform überprüfen. Check it out: have i been pwned?

Dabei ist es für alle Unternehmen essentiell wichtig im ersten Schritt seine sogenannten Kronjuwelen (assets) zu identifizieren, denn nur so lassen sich diese im Folgenden mit den verfügbaren Ressourcen optimal schützen.

Schutz der Kronjuwelen

  • Vermögenswerte (z.B. Geld)
  • Daten
  • Digitale Identität
  • Systemleistung
  • System Control (z.B. Wasser- und Elektrizitätsversorgung)
  • Vertrauen & Reputation

Hinweis: Beim Eintreten einer Cyber Attacke bieten Versicherung durch die Risikoübernahme eine mögliche Lösung für den Schadensausgleich (ex post). Allerdings muss man sich bewusst sein, dass man im Gegensatz zu Vermögenswerten die Reputation nicht versichern lassen kann. Daher ist und bleibt es unerlässlich in die Sicherheit der Mitarbeitenden und der Systeme zu investieren (ex ante).

Was sind schützenswerte Daten im Unternehmen?

  • Authentisierungs- und Berechtigungsdaten
  • Backupdaten
  • CRM Daten
  • Finanzdaten
  • HR Daten
  • Strategiedaten
  • Produkt -/ Kundendaten
  • Produkt-Designs
  • Produktionsdaten (Maschinen, Lager)
  • Vertragsdaten

Kleiner Tipp vom Autor dieses Artikels: Man muss das Rad nicht neu erfinden um alle Risiken vollumfänglich zu entdecken und zu kategorisieren. Gerade im Bereich Cyber Security gibt es mit dem kostenlosen «Framework for Improving Critical Infrastructure Cybersecurity» (kurz: Cybersecurity Framework) des Nationalen Instituts für Standards und Technologie (NIST) eine sehr gute Anleitung das eigene Unternehmen fit im Umgang mit Cyber Risiken zu machen. Alternativ würden auch noch andere Richtlinien wie z.B. COBIT (u.a. COBIT 5 for Information Security), ISO (u.a. ISO/IEC 27001) oder CIS Controls geben, welche man zu Rate ziehen kann.

Digitale Identitäten

Egal ob in sozialen Netzwerken, bei Online Versandhändler oder bei Streaming Dienstleister, mittlerweile besitzt jeder von uns mehr und mehr digitale Identitäten für seine online Aktivitäten. Gemäss der AdNovum Studie «Digital Identity Usage» hat jeder durchschnittlich etwa 30 verschiedene Identitäten. Bei all den Identitäten kommen eine Menge an Anmeldedaten (Benutzernamen & Passwörter) zusammen, die es immer schwieriger macht sie zu managen. Und wer nicht auf die Unterstützung eines Passwortmanagers zurückgreifen möchte, der versucht die Passwörter klassischerweise zu merken. Trotz vermehrter Data Breaches, wie anfangs beschrieben, werden aber in der Realität nicht immer starke Passwörter verwendet. Um daher die Endanwender zu sensibilisieren werden jährlich die schlechtesten Passwörter veröffentlicht. Ist dein Passwort auch dabei?

  1. Platz: 123456
  2. Platz: Password
  3. Platz: 123456789
  4. Platz: 12345678
  5. Platz: 12345

Neben diesen Top 5 der schlechtesten Passwörter sind auch Kreationen wie «qwertz», «l0gin» oder «passw0rt» nicht besser. Aber selbst starke Passwörter als alleinige Authentifizierungsmassnahme gelten heut zu Tage nicht mehr als «best practice». Die derzeitig gängigste Lösung lautet daher: Zwei-Faktor-Authentifizierung. Dabei soll zweifelsfrei festgestellt werden, ob beim Login die Person tatsächlich auch die berechtigte Person ist. Bei der starken Authentifizierung werden mindestens zwei der folgenden drei möglichen Kategorien verwendet. Es wird davon ausgegangen, wenn zwei von drei Elementen benutzt werden, ein Diebstahl schwieriger zu bewerkstelligen ist:

  • Besitz: «Was besitzt man?» (z.B. Chipkarte, TAN-Generator)
  • Sein: «Wer ist man?» (z.B. Fingerabdruck, Iriserkennung)
  • Wissen: «Was weiss man?» (z.B. Passwort, PIN)

Fazit

Cyber Security betrifft jeden von uns. Auch wenn es mühsam erscheint, nur wer sich mit der Thematik ernsthaft auseinandersetzt und Schutzmassnahmen trifft, wird langfristig gesehen mehr davon haben. Dies beinhaltet neben den technischen und organisatorischen Komponenten wie bspw. Backup Lösung, Business-Continuity-Management (BCM), Data Loss Prevention (DLP), Firewall, Virtual Private Network (VPN) und Zugriffskontrolle (Benutzerberechtigungen; Authentifizierungs-Methoden) vor allem aber auch die eigenen Mitarbeitenden mittels Schulungen stets auf den laufenden Stand zu halten. Denn was bringt einem eine noch so sichere Haustüre, wenn der Bewohner sie einfach öffnet?