Cybersecurity – Massnahmen und Hilfsmittel

Sicherheit kostet Geld, ist oft unbequem und verlangsamt ein System. Sicherheit trägt im Normalzustand nicht zur Wertschöpfung bei. Solange nichts passiert, ist man versucht, Investitionen in die ­Sicherheit tief zu halten. Je grösser die Bedrohung im Umfeld, umso grösser wird die Wahrscheinlichkeit eines Ereignisses und desto stärker der Druck, sich um die Sicherheit zu kümmern. Dieser Druck steigt stark, wenn ein Ereignis eintritt, wobei natürlich jeder hofft, dass es ihn nicht als Ersten erwischt.

Kosten quantifizieren

Mit dieser Situation gekonnt umzugehen, nennt man Risikomanagement. Aufgrund der systematischen Analyse im Rahmen des Risikomanagements findet jede Or­ganisation für ihre aktuelle Situation die notwendigen Massnahmen und kann ­somit auch die Kosten quantifizieren. Es sollte selbstverständlich sein, dass die Massnahmen nur dann einen Wert haben, wenn sie konsequent umgesetzt werden. 

Aus der Erfahrung als Zertifizierungsstelle stellen wir oft fest, dass einerseits aufgrund unsystematischer Risikobe­ur­teilung am falschen Ort investiert wird und andererseits Massnahmen nicht konsequent umgesetzt werden.

Das immaterielle Vermögen

Die grössten Werte entstehen heute nicht mehr bei den Unternehmen, die über ­materielle oder finanzielle Vermögenswerte verfügen, sondern bei denjenigen, die immaterielle Werte am besten ver­walten. Dabei kann es sich um so unter­schied­liches immaterielles Vermögen wie Software, Patente, geistiges Eigentum, Ur­heberrechte, Kundendaten, Marken oder Humankapital handeln. Imma­te­rielle Werte machen heute etwa 85 Prozent der Bewertung der im Standard-­&-Poor’s-­Index vertretenen Unternehmen aus. 1975 waren es noch weniger als 20 Prozent. 

Information ist ein Aktivposten im Un­ternehmen. Information kann in vielen Formen vorkommen: auf Papier, elek­tronisch, auf Film, gesprochen oder per Post übermittelt. Information ermöglicht Chancen zu ­nutzen, und sie ist Gefahren ausgesetzt. Zur Ermittlung des Wertes des immateriellen Vermögens wurden aufgrund des zunehmenden Bedarfs ­verschiedene Methoden entwickelt.

Die Bedrohung

Der Begriff Cybersecurity kommt in der täglichen Berichterstattung immer öfter vor. Es muss auch kaum mehr diskutiert werden, ob man sich als Unternehmen darum kümmern muss. Aufgrund der Entwicklungen im Rahmen der Digitalisierung, die wohl in keiner Strategie mehr fehlt, nehmen die Gefahren zu.

Die Zunahme der von zu Hause aus Ar­beitenden hat, durch die Pandemie angestossen, nicht unbedingt neue Bedrohungen aufgezeigt, sie haben aber an Wahrnehmung gewonnen. Es geht dabei nicht nur um das Arbeiten im Homeoffice, sondern generell um das mobile Arbeiten. Die zunehmende Digitalisierung und die Benutzung von Hilfsmitteln wie zum ­Beispiel MS Teams erleichtern ortsun­abhängiges Arbeiten, machen aber auch abhängig von funktionierenden Systemen und erhöhen die Verletzlichkeit.

Es gibt viele Risiken, von denen einige schwerwiegender sind als andere. Zu ­diesen Gefahren gehören Malware, die das gesamte System löscht, ein Angreifer, der in das System eindringt und Dateien ver­ändert, ein Angreifer, der Computer benutzt, um andere anzugreifen, oder ein Angreifer, der Kreditkartendaten stiehlt und unberechtigte Einkäufe tätigt. Es gibt keine Garantie dafür, dass selbst mit den besten Vorsichtsmassnahmen nicht doch etwas davon passiert, aber es gibt Schritte, die man unternehmen kann, um das Risiko zu minimieren. Dazu kommt, dass zunehmend Gesetze zu berücksichtigen sind, die zum Motiv haben, für die Gesellschaft eine sichere Basis zu ermöglichen. Dazu zählen die DSGVO im EU-Raum und in der Schweiz das neue Datenschutzgesetz, das auf seine Inkraftsetzung wartet. 

Wichtige Themen sind die Informationssicherheit, Netzwerksicherheit, Operative Sicherheit, Sicherheit der Anwendungen, Ausbildung der Endbenutzer und Planung der Geschäftskontinuität. Cybersecurity muss als Grundlage für eine funktionierende, stabile Volkswirtschaft verstanden werden und liegt im ­Interesse jedes Einzelnen.

Die Verantwortung

Auch wenn die hundertprozentige Sicherheit nicht erreicht werden kann, ist es keine Option, nichts zu tun und im Eintretensfall zu argumentieren «dumm gelaufen», «das kann jedem passieren». Es muss bewusst Risikomanagement ­betrieben werden, das zu dokumentieren ist.

Unter Risikomanagement versteht man alle Tätigkeiten zur Identifikation, Einschätzung, Steuerung und Überwachung von Risiken bezüglich der Zielerreichung im Unternehmen.

Seit der Aktienrechtsrevision 2013 müssen ordentlich revisionspflichtige Unternehmen anstelle des Jahresberichts einen Lagebericht mit einer Risikobeurteilung erstellen. Der Verwaltungsrat muss ein System zur Risikoerfassung und des Ri­sikomanagements einrichten, damit Ri­siken im Unternehmen erkannt und richtig behandelt werden. 

Der Verwaltungsrat selbst muss sich mit den Risiken auseinandersetzen, die für das Unternehmen von existenzieller Bedeutung sind, sowie die Gesamtrisikolage des Unternehmens steuern beziehungsweise der Ri­sikofähigkeit der Gesellschaft anpassen. Diese Elemente der Risikosteuerung müssen zu einem sinnvollen Ganzen zusammengesetzt werden, das es ermöglicht, Risiken zu erkennen und, wo sie unvermeidbar sind, einzugrenzen. 

Die Ausgestaltung dieser Instrumente und die Intensität, mit der sie eingesetzt werden, hängen von der Komplexität, der Grösse und der Ausrichtung des Unternehmens ab. Cybersicherheit ist also ein Thema, mit dem sich die oberste Führung einer Organisation kompetent ausein­andersetzen muss.

Die Massnahmen

Der erste Schritt, um sich zu schützen, besteht darin, die Risiken zu erkennen. Dazu muss man sich mit den Bedrohungen und möglichen Szenarien vertraut machen. Um die Risiken von Cyberangriffen zu minimieren, sollte man grundlegende bewährte Verfahren der Cybersicherheit befolgen. 

In Anbetracht der vielen Möglichkeiten, die einem offenstehen, um an Informa­tionen über Bedrohungen zu kommen, deren Relevanz für die eigene Organisation abzuschätzen und sich durch gezielte Massnahmen besser zu schützen, gibt es keinen Grund, nichts zu tun.

Wertvolle und laufend aktualisierte Informationen findet man zum Beispiel auf den Regierungsseiten im Internet (siehe Kasten: Informationsquellen). Es ist dabei sicher sinnvoll, über die Landesgrenzen hinauszuschauen. Eine wertvolle und umfassende Quelle für mögliche Massnahmen ist das Dokument ISO/IEC 27002.

Cybersecurity ist teilweise kompliziert, aber nicht immer komplex. Man sollte den Begriff komplex nicht bei jedem ­Problem / jeder Herausforderung ver­wenden, die einem etwas mehr als üblich abverlangt (siehe Box «Stichwort: Komplizierte/Komplexe Probleme»).

Normen helfen

Informationssicherheit muss in jeder ­Organisation ein Thema sein. Stellt sich die Frage, was konkret zu tun ist. Auch in einer komplexen Umgebung hilft sys­tematisches Vorgehen. Der Einsatz von ­Methoden (Wie ist etwas zu tun?) und Vorgehensmodellen (Was ist zu tun?) erleichtert das Vorgehen und führt zum ­Erfolg. Sicher hilfreich wäre ein Katalog von Bedrohungen und Massnahmen, den man auf die eigene Organisation anwenden kann. Dieser Katalog steht in Form der Norm ISO/IEC 27002 zur Verfügung.

Es stehen mit ISO/IEC 27001 eine etablierte, zertifizierbare Norm und eine ­grosse Anzahl (ca. 50) Leitfäden zur ­Verfügung, die bei der Umsetzung im spe­zifischen Umfeld eine grosse Hilfe sind und Sicherheit geben.

Entwicklung

ISO/IEC 27002 ist ein Leitfaden, der ­praxisbezogene Hinweise enthält, welche Massnahmen sich im Rahmen der In­formationssicherheit bewährt haben und wie diese umgesetzt werden können.

Normen für Managementsysteme gehen mit der Zeit und werden alle fünf Jahre auf ihre Gültigkeit hin überprüft. Nach über neun Jahren ist die überarbeitete ISO/IEC 27002:2022 im Februar endlich erschienen. Bisher hiess die Norm: Information technology – Security techniques – Code of practice for information security controls, neu nennt sie sich: Information security, cybersecurity and privacy protection – Information security controls. Damit ist klar, dass die Informationssicherheit in einem viel breiteren Kontext betrachtet wird. Die Inhalte berücksichtigen zusätzliche Cyberelemente (Cybersecurity). Gleichzeitig bekommt auch der Datenschutz einen grösseren Stellenwert (Privacy Protection).

Die Norm, nach der sich Organisationen zertifizieren lassen können und die heute immer mehr von Unternehmen als Basis für eine vertrauensvolle Zusammenarbeit verlangt wird, heisst ISO/IEC 27001. Weil ein Teil dieser Norm (Anhang A) die Massnahmen aus ISO/IEC 27002 enthält, sind Anpassungen notwendig. Für solche Fälle gibt es die Möglichkeit, anstelle ­einer neuen Version eine Aktualisierung (Amendment) herauszugeben. Man will an einer Norm nicht mehr als zwei solche Aktualisierungen vornehmen. 

Bei der aktuellen Version wurden bereits zwei Ergänzungen vorgenommen, deshalb erscheint eine neue Version, auch wenn sich die Änderungen primär auf den Anhang A beschränken werden. Die Publikation der Norm sollte, so ist es aktuell geplant, im Oktober 2022 erfolgen. Bereits zertifizierte Organisationen haben, nach aktuellem Stand, zwei Jahre Zeit für die Umstellung. Es empfiehlt sich also jetzt schon, mit ISO/IEC 27002 auf die neue ISO/IEC 27001 vorzubereiten.

Die wichtigsten Vorteile der neuen ­Ver­sion für zertifizierte Unternehmen:

• berücksichtigt neue Szenarien und ­Risiken;
• hilft, andere Sicherheitsperspektiven zu verstehen;
• umfasst Aspekte der Cybersicherheit und des Datenschutzes;
• enthält neue Controls (Massnahmen), um sicherzustellen, dass neue Sze­narien und Risiken nicht übersehen werden.

Im Zusammenhang mit der Informationssicherheit bewertet man Bedrohungen und Schwachstellen auf der Grundlage ihrer potenziellen Auswirkungen in den drei Dimensionen: Vertraulichkeit, In­tegrität und Verfügbarkeit der Vermögenswerte eines Unternehmens. Auf der Grundlage dieser Bewertung implementiert das Unternehmen eine Reihe von Massnahmen, um das Risiko zu verringern.

ISO/IEC 27001 beschreibt Anforder­ungen, die man erfüllen sollte, wenn man In­formationssicherheit gewährleisten will. Diese Norm ist in der Struktur identisch aufgebaut wie andere, bekannte Normen sind: ISO 9001 – Qualitätsmana­gement, ISO 14001 – Umweltmanagement, ISO 45001 – Arbeitsschutz etc. 

Das ist kein Zufall, sondern Absicht. Mit der sogenannten High Level Structure (HLS) will man es den Anwendern ein­facher machen, mehrere Normen an­zuwenden. Dabei soll man nicht für jedes Bedürfnis ein isoliertes System aufbauen. Man sollte ein einziges, unternehmens­eigenes System pflegen und weiterent­wickeln.

In einem Kapitel wird auf den Umgang mit Risiken und Chancen eingegangen (Kapitel 6.1). Informationssicherheits­risiken sollten beurteilt und behandelt werden. Als Hilfestellung enthält die Norm den Anhang (A), der eine umfassende, wenn auch nicht abschliessende Liste von Massnahmenzielen und Massnahmen enthält. In den oben aufgeführten Leit­fäden findet man weitere Massnahmen zu den speziellen Themen.

ISO/IEC 27002 ist ein Leitfaden und gibt auf 168 Seiten Hilfestellung bei der Umsetzung. Die Massnahmen aus dem Anhang A von ISO/IEC 27001 sind aufgeführt, der Zweck der Massnahme wird erläutert und – sehr hilfreich – es sind ausführlich An­leitungen zur Umsetzung aufgeführt.

Praxistipp: Die Korrelationstabellen können helfen, den Zugang zur neuen Struktur zu finden. Weil die Massnahmen inhaltlich teilweise zusammengeführt wurden, kann die Entsprechung im Titel trügerisch sein und die Massnahme enthält inhaltliche Änderungen oder man hat diese bisher anders verstanden, was man nun durch die verbesserte Formu­lierung erkennt. Man geht also besser alle Massnahmen durch und überlegt sich, ob es noch Handlungsbedarf gibt.

Auf den ersten Blick fällt die geänderte Struktur auf. Man ist bei zwei Ebenen ­geblieben. Anstelle von bisher 14 Kapiteln hat man sich auf 4 Kapitel mit gut ­verständlichen Oberbegriffen geeinigt:

• Organisatorische Massnahmen (Organizational controls), 37
• Personelle Massnahmen (People controls), 8
• Physische Massnahmen (Physical controls), 14
• Technische Massnahmen (Technological controls), 34

Die Anzahl der Massnahmen pro Kapitel (Anzahl in Klammern) hat sich dadurch generell erhöht. Insgesamt hat sich die Zahl der Massnahmen von 114 auf 93 ­reduziert. Das heisst nun aber nicht, dass die Themen reduziert wurden. 61 Massnahmen können als unverändert ­betrachtet werden. Diverse wurden zu­sammengefasst. Drei Massnahmen wurden weggelassen und elf neue eingeführt (siehe Box «Neue Massnahmen»).

Damit man den Überblick behält, ist für jede Massnahme eine Tabelle mit Aus­prägungen in fünf Attributen erhalten. Dadurch ist es möglich, je nach Interesse die Massnahmen aus unterschiedlichen Sichten (Views) durch die Zusammenfas­sung nach beliebigen Hashtags (#) darzu­stellen. Im Anhang A sind dazu Beispiele aufgeführt. Eine nützliche Spielerei.

• Kategorisierung: präventiv, detektivisch, korrigierend
• Merkmale der Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit (CIA)
• Cybersicherheitskonzepte: Identität, Schutz, Identifizierung, Reaktion, Wiederherstellung
• Operative Fähigkeiten: Governance, Vermögensverwaltung, Informationssicherheit, Sicherheit der Humanressourcen usw.
• Sicherheitsbereiche: Schutz, Gover­nan­ce, Widerstandsfähigkeit
• Control type: Preventive, Detective, and Corrective
• Information security properties: Confidentiality, Integrity, and Availability
• Cybersecurity concepts: Identify, Protect, Detect, Respond, and Recover
• Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships se­curity, Legal and compliance, Information security event management, and ­Information security assurance
• Security domains: Governance and ecosystem, Protection, Defense, and Resilience

Wer bereits die Version 2013 von ISO/IEC 27002 nutzt, findet im Anhang B eine Korrelationstabelle zwischen den Versionen 2013 und 2022 in beiden Richtungen.

Zertifizierung ist nützlich

Die Frage ist nicht, ob man eine Zertifizierung benötigt, sondern welche Einstellung man dazu hat. Die Zertifizierung entfaltet in unterschiedlichen Dimen­sionen ihren Nutzen. Intern hilft sie, das Ziel nicht aus den Augen zu verlieren und täglich und personenunabhängig die von den Kunden und interessierten Parteien erwartete Leistung zu erbringen. Die ­Organisation erhält zudem eine Rückmeldung über den Grad, in dem Massnahmen umgesetzt werden. 

Extern ist das Zertifikat ein Zeichen dafür: Man kann sich darauf verlassen, dass die mit der Norm verbundenen Anfor­derungen erfüllt werden und dies von ­einer ­objektiven und unabhängigen Stelle bestätigt wird.

Natürlich haben Unternehmen eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Trotzdem sollten sie sich jetzt schon mit der überarbeiteten Norm beschäftigen, denn es hat sich nicht nur der Titel geändert.

Vorgehen

Wer bereits ein Managementsystem implementiert hat und anwendet, ist klar im Vorteil (vgl. ISO 9001). Massnahmen, die mit einem System verknüpft sind, das Prozesse und ihre Wechselwirkung aufzeigt, entfalten ihre Wirkung zuverläs­siger als Regeln, die ohne Zusammenhang zu befolgen sind.

• Die einhundertprozentige Sicherheit gibt es nicht. Das ist kein Grund, sich nicht zu schützen.
• Die Massnahmen müssen auf die Or­ganisation abgestimmt sein.
• Eine Organisation muss wissen, wo sie angreifbar ist (Bedrohung, Gefährdung, Risiken).
• Eine Organisation muss sich über ­mögliche Massnahmen informieren und die für sie zweckmässigen aus­suchen.
• Am Schluss zählen umgesetzte Massnahmen und nicht schöne Pläne.
• Zertifizierung schafft Vertrauen und hilft dranzubleiben.