Sicherheit wird in der Schweiz allgemein grossgeschrieben – und das nicht nur, weil es ein Nomen ist. Kein Volk ist so (über-)versichert wie wir, die Banken geniessen einen hervorragenden Ruf und auch die Regeln zur Sicherheit im Verkehr werden rigoros durchgesetzt. Doch wie sieht es denn in der digitalen Welt mit der Sicherheit aus? Nehmen wir diese in der Schweiz genauso ernst? Und wo besteht dahingehend Handlungsbedarf?
Die topsoft Fachredaktion hat sich mit Umberto Annino unterhalten, dem Präsidenten der Information Security Society Switzerland ISSS
Herr Annino, bei der Altersvorsorge, im Strassenverkehr, beim Einkommen, kurz überall dort, wo es an die «Substanz» geht, sind wir Schweizerinnen und Schweizer sehr auf Sicherheit bedacht. Wie beurteilen Sie dieses Verhalten, wenn es um die Digitalisierung geht?
Da ist das Verhältnis offenbar ambivalent. Einerseits sind Schweizer eher zurückhaltend, andererseits werden – nicht nur von den jüngeren Generationen – viele Informationen freiwillig veröffentlicht. Einerseits, weil man sich nicht vorstellen kann, was damit alles passieren kann und wie diese Daten missbraucht werden können, andererseits vertraut man den Anbietern auch fast blind.
Als Präsident des Vereins Information Security Society Switzerland (ISSS) setzen Sie sich regelmässig und intensiv mit dem Thema Cyber-
Security auseinander. Wo und in welcher Form sehen Sie aktuell die grössten Bedrohungen für KMU?
Generell wurde in den letzten Jahren oder sogar Jahrzehnten viel in präventive Sicherheitsmassnahmen investiert. Detektion von Angriffen und die richtige Reaktion darauf – das können bereits einfache Sachen wie «Backup machen und zurück sichern» sein – wurden eher vernachlässigt, was sich nun rächt. Das nicht nur bei KMU – doch die professionelle Beratung kostet viel Geld, das bei Kleinstunternehmen oft nicht vorhanden ist. Hier gibt es noch wenige brauchbare Lösungen.
Mit welchen Vorkehrungen kann sich ein Unternehmen am besten gegen solche Gefahren schützen? Oder anders formuliert, was braucht
es aus Ihrer Sicht für eine möglichst perfekten Cyber-Schutz?
Perfektion ist so eine Sache – bei der Sicherheit ist man schon sehr gut bedient, wenn es «risiko-basiert» gemacht wird. Man muss sich also zunächst ein Bild machen der effektiven Risiken, die das Unternehmen überhaupt betreffen und dann die wirtschaftlich sinnvollen Massnahmen treffen. Mit dem sogenannten «Grundschutz», also der Umsetzung von einfachen, grundlegenden Sicherheitsmassnahmen, kann man so mit wenig Investition schon sehr viel erreichen.
Ihr Verein führt regelmässig Veranstaltungen zum Thema Information Security durch. Welchen Nutzen bieten Sie Ihren Mitgliedern
ausserdem?
Unser Motto ist «Wir vernetzen Security Interessierte» – diesen Anspruch möchten wir ausbauen und nicht nur Spezialisten, sondern generell am Thema Interessierte einladen, aktiv mitzuwirken. Wir sind in verschiedenen nationalen Gremien involviert, bearbeiten Themen in «Special Interest Groups» und erstellen auch Stellungnahmen zu Gesetzes-Entwürfen. Mein Anspruch mit dem Verein ist es, Informationssicherheit so zu bearbeiten, dass möglichst wenig «falsch» läuft und im Sinne der Sache, die Risiken objektiv bewirtschaftet werden können. Entsprechend sind wir neutral aufgestellt und nicht kommerziell oder politisch ausgerichtet.
Inwieweit findet der ISSS auf nationaler Ebene Gehör, wenn es um neue Gesetze und Verordnungen zum Datenschutz geht?
Wir haben beim Vorentwurf des Datenschutzgesetzes, sowie beim Entwurf des E-ID Gesetz, jeweils eine Stellungnahme eingereicht. Dazu stimmen wir uns auch mit anderen Verbänden und Organisationen ab und durften so auch in der Erarbeitung der «Nationalen Cyber Strategie 2018-2022» mitwirken, die kürzlich vom Bundesrat freigegeben wurde.
Mit dem «Internet der Dinge» setzen wir uns einer zunehmenden Abhängigkeit von autonom agierenden Geräten, Maschinen und Prozessen aus. Welches Risiko besteht, dass wir irgendwann die Kontrolle verlieren bzw. dass sich diese jemand unter den Nagel reisst?
Die «Kontrolle» ist das richtige Stichwort – beispielsweise beim Datenschutz: das Problem ist weniger, dass meine personenbezogenen Daten an vielen Orten abgelegt sind, sondern meine fehlende Kontrolle darüber. Dieses Prinzip lässt sich somit auch auf das «Internet der Dinge» übertragen: ich wünsche mir, dass der Eigentümer; sowohl bei den Personendaten wie auch bei Geräten, das «letzte Wort» hat. Es soll nicht möglich sein, dass eine Drittpartei gegen meinen Willen die Kontrolle über Daten oder Geräte hat. In diesem Bereich vorzusorgen ist wichtig, da die Hersteller von Geräten und Angeboten diesbezüglich oft gegenteilige Interessen haben.
Welchen Tipp geben Sie einem KMU, um sich möglichst rasch und gezielt mit Information Security auseinanderzusetzen? Wo und wie
gelingt der Einstieg ins Thema am besten?
Ein gutes Kosten-Nutzen-Verhältnis hat meines Erachtens die Grundschutz-Vorgehensweise des Deutschen Bundesamt für Sicherheit der Informationstechnik BSI, im Standard BSI 100-2, in neuer Auflage und mit vereinfachter Methodik im BSI 200-2, beschrieben. Diese Anleitung und die dazugehörigen Massnahmen-Kataloge sind einerseits frei verfügbar, in deutscher Sprache (die meisten Anleitungen sind nur in Englisch verfügbar) und in verschiedenen «Ausbau-Stufen» umsetzbar. Die zum Studium und Umsetzung notwendige Zeit kann man mit externen Beratern «kaufen» oder eben selber investieren. Die Anleitung ist gut verständlich und ohne Experten-Wissen anwendbar.
Und natürlich das erweiterte 10-Punkte-Programm, das der Verein InfoSurance erstellt hat und nach Auflösung an ISSS übergeben wurde.
Umberto Annino, Präsident der Information Security Society Switzerland ISSS
Information Security Society Switzerland ISSS
Wir sind ein aktiver unabhängiger Verein und vernetzen über 1200 Security Professionals in der Schweiz, darunter über 150 Firmen. Wir befassen uns in Theorie und Praxis mit technischen und juristischen sicherheitsrelevanten Aspekten der Informationsgesellschaft.
Das bieten wir unseren Mitgliedern:
- Networking mit Security Professionals
- Erstklassige Fachtagungen und Expertenreferate zu aktuellen Themen in den Bereichen Information Security, Privacy, Risk, Compliance und Governance
- Erfahrungsaustausch in Special Interest Groups und Task Forces
- Mindestens 15% Rabatt bei über 100 hochwertigen Security Kursen und Veranstaltungen unserer Partner pro Jahr
- Fachliteratur und Software zum Vorzugspreis
- Möglichkeit der Teilnahme an öffentlichen Vernehmlassungen
- Die Möglichkeit CPE und CPEH-Punkte zu erhalten bei einigen unserer Veranstaltungen
Kontakt: sekretariat@isss.ch oder president@isss.ch