SWONET TALK – Monika Wehr CyberWehr Risk Management Solutions GmbH
Petra Rohner, Präsidentin der Stiftung SWONET im Gespräch mit Monika Wehr.
Die Stiftung SWONET legt von Beginn an den Fokus auf die virtuelle Kommunikation, weshalb digitale Sicherheit schon immer ein wichtiges Thema war. Manchmal ergeben sich aus spontanen Begegnungen, interessante Gesprächspartner:innen, was auch am Business & Network Day 2021 in Aarau der Fall war. Petra Rohner lernte Monika Wehr kennen, wodurch dieses Interview zum Thema digitale Sicherheit entstand.
Monika Wehr ist Risk Managerin, zertifizierte Datenschutz-Auditorin und ext. Datenschutzbeauftragte.
Petra Rohner: Stadler Rail in der Schweiz, die Migros-Tochter Tegut in Deutschland und und und… Immer mehr Firmen werden von Cyberattacken überrascht. Wie kann man sich als Firma nicht nur technisch, sondern auch organisatorisch vor dieser neuen Verbrechensart rüsten?
Monika Wehr: Nur ein individuell ausgerichtetes, ganzheitliches Datenschutz- und Informationssicherheits-Konzept mit den altbewährten Risikomanagement Methoden, das die strategische, operative, organisatorische, informationstechnische Ebene aller Geschäftsprozesse mit einbezieht, führt zu beachtlicher Sicherheit. Der Verantwortliche muss Gefahrenpotential und Schwachstellen kennen sowie regelmässig die Wirksamkeit von Schutzmassnahmen kontrollieren und optimieren. Denn Schwachstellen können sogar bei Sicherheitsmassnahmen selbst durch fehlerhafte Software-Updates auftreten. Sie könne auch operativer Natur sein oder, bedingt durch Mängel, in der Anwendung bzw. in der Konstruktion von IT-Betriebs-Systemen liegen.
Ein INTEGRIERTES Sicherheitssystem oder zumindest implementierte Netzwerktrennungen tragen dazu bei, den Zeitraum der maximal tolerierbaren Ausfallzeit kritischer Systeme um ein Vielfaches zu reduzieren. Unabdingbar ist eine verhaltensbasierte Softwarelösung, die «on-time» Anomalien auf Servern und Webseiten erkennt, unbekannte Sicherheitslücken schliesst und das Auslesen und Extrahieren von Benutzerdaten und -profilen im ausgehenden Datenverkehr verhindert.
Am effizientesten ist die menschliche Firewall. Die Mitarbeiter sind die beste Cyber-Abwehr Waffe, wenn ihr Bewusstsein durch Trainings geschult ist und sie wissen, wie sie Schadsoftware erkennen und darauf reagieren müssen.
Petra Rohner: Wie gut bzw. verbessert schützen das neue Informationssicherheits- und Datenschutzrecht (ab 2022) vor Cyberattacken verglichen mit den aktuellen Gesetzen?
Monika Wehr: Informationssicherheit und Datenschutz sind ein Dauerlauf und kein Sprint! Das revidierte DSG verlangt von Organisationen, die personenbezogene Daten speichern, erstmals die Gefahrenermittlung auf einem risikobasierten Ansatz und die Umsetzung angemessener, individuell auf das Unternehmen abgestimmter, risikomindernder technischer und organisatorischer Massnahmen.
Auch das neue Informationssicherheitsgesetz, ISG, basiert auf international anerkannten Standards, insbesondere der ISO 27001 und standardisiert nicht nur die Informationssicherheit kritischer Infrastrukturen der Bundes- und kantonalen Behörden, sondern auch die Sicherheitsmassnahmen der privatwirtschaftlichen Unternehmen. Das Risikomanagement ist in beiden Gesetzen adressiert; verschärfte Geldstrafen bei Nichtbeachtung unterstützen die Dringlichkeit aufgrund voranschreitender Technisierung und Cyberkriminalität. Auf der organisatorischen Ebene ist ein im Vorfeld erprobtes Notfallkonzept äusserst hilfreich, da es das Unternehmen mit festgelegten Verantwortlichkeiten, Aufgaben und einem erprobten Aktionsplan in der Krisenbewältigung unterstützt.
Petra Rohner: Welche Fallstricke muss ein Schweizer KMU mit EU-Exporten sonst noch beachten?
Monika Wehr: Die Geldbusse im Fall einer Datenschutzverletzung soll als «Verstoss» gemäss Art. 83 Abs. 2 S. 2 EU-DSGVO dem Grunde nach wirksam, verhältnismässig und abschreckend sein. Aber die Bemessung ihrer Höhe berücksichtigt neben Art, Schwere und Dauer des Verstosses unter anderem auch, welche Art von Daten verarbeitet und ob früher angeordnete Massnahmen des Verantwortlichen eingehalten wurden. Darüber hinaus wird die Art und Weise begutachtet, wie der Verstoss der Aufsichtsbehörde bekannt wurde, ob er eigenständig mitgeteilt wurde oder nicht und insbesondere, ob und wie die Verantwortlichen in der Abwehr von Verstössen mit den Aufsichtsbehörden zusammengearbeitet haben. Auch der Grad der Verantwortung des Verantwortlichen und die von ihm getroffenen technischen und organisatorischen Massnahmen sind ein ausschlaggebendes Kriterium. Als erschwerender oder mildernder Umstand wird bewertet, ob die Organisation etwa durch Ausgestaltung ihrer Strukturen, Arbeitsprozesse und Kontrollmechanismen Vorkehrungen getroffen hat, die dazu dienen, die Einhaltung der datenschutzrechtlichen Anforderungen sicherzustellen oder aber die interne Organisation diesbezüglich Mängel aufweist.
Petra Rohner: Man hört von Horrorgeschichten, dass man sich juristisch kaum wehren kann, wenn die Täterschaft im Darknet oder in Fernost sitzt. Wie schätzen Sie hier die Lage ein?
Monika Wehr: Man kann nicht verhindern, dass man angegriffen wird. Die Masse der Täter greift jeden an: es ist nur eine Frage der Zeit, da zu viele Unternehmen Lösegelder zahlen und das Geschäftsmodell der Hacker weltweit bereits einen höheren Umsatz als der Drogenhandel aufweist. Aber es liegt in Ihrer Hand, den Grad der Auswirkung im Unternehmen zu bestimmen. Täter locken nach Bezahlung des Lösegeldes mit einer Wiederherstellungs-Software, die jedoch meist nicht zur Wiederherstellbarkeit der Daten führt. Auch bei bezahlten Lösegeldforderungen, falls die Entschlüsselung der Daten gelingen sollte, dauert der Betriebsunterbruch im besten Fall 3 Wochen bis zu 6 Monaten!! Zahlen Sie nach Möglichkeit kein Lösegeld, denn dann läuft Angriff ins Leere. Die Täter agieren aus dem Ausland: Nigeria, Israel, Seychellen…und werden deshalb meist nicht gefasst.
Ich empfehle als Prävention ein durchdachtes Sicherheits-Backupkonzept, Awarenessmassnahmen, ein gutes Zugriffs- und Rollenmanagement (IAM), Netzwerksegmentierung, Application Whitelisting, Updates, eine verhaltensbasierte Antiviren-Software sowie eine gute Dokumentation des Netzwerks. Dann können Externe Ihr System sofort verstehen und schnell helfen.