Anfang 2016 warnte der Bund vor einer neuen Internet-Betrugsmasche. Demnach rufen die Täter bei KMU an und verschaffen sich danach über eine E-Mail Zugang zum eBanking des Unternehmens. Im März folgten die Erpressungen von Schweizer Online-Shops. Die NZZ resümierte: «Die Schweiz ist schlecht geschützt.»

Wenn dem so ist, liegt es an den Chefetagen, dies zu ändern. Sie müssen «Cyber» ebenso wenig abschliessend verstehen wie etwa die Überlegungen der Firmen-Juristen. Aber die richtigen Fragen stellen muss eine GL.

Mangelndes Training…

Primär im Fokus steht Organisatorisches (Fragen interne Organisation). Auf den ersten Blick lauter einfache Fälle wie «Gibt es ein (Cyber) Computer Emergency Response Team (CERT)?» Auch mit Ja beantwortet werden, sollte die Frage, ob das Management wisse, was im Falle eines Cyber-Angriffs von wem zu tun sei, und ob die Prozesse regelmässig trainiert würden. Letzteres ist meistens nicht gegeben, die Zahlen werden wir in einem zweiten Artikel beleuchten. Nimmt man aber den alten «Scherz» zum Massstab, wonach 80% der ICT-Probleme 20 Zentimeter hinter dem Bildschirm sitzen, ist mangelndes Training schlicht ein Führungsfehler.

Die beste Frage ist aber vielleicht die: «Wann wurde die Bedrohung von Cyberattacken zuletzt im Verwaltungsrat erörtert?» Worüber und auf welcher Basis diskutierte die Führung überhaupt? Angeführt wird die Liste der Fragen zur Geschäftstätigkeit (Fragen zur Geschäftstätigkeit) von einer ganzen Gruppe kritischer Punkte, beginnend mit: «Haben Sie die Informationswerte [ihres Unternehmens] nach Kritikalität priorisiert?» Wenn ja – wie?

«Bring your own desaster»

Auch im Zusammenhang mit der Geschäftstätigkeit stellen sich technische Fragen. Etwa die: «Sind Software und Informationen auf unternehmenseigenen Geräten wie Laptops und Smartphones gesichert? Ist «Bring Your Own Device» [kurz BYOD] erlaubt?» Letzteres ist eine weit verbreitete Realität. Aber warum witzeln CISOs gerne, BYOD heisse eigentlich «Bring Your Own Desater»? Ist technisch definiert, welche Information auf privaten Geräten bearbeitet werden dürfen? In einer Checkliste des Center for Internet Security finden sich konkrete Hinweise, was die Führung vorgeben müsste:

  • «Limit use of external devices to those with an approved, documented business need…
  • Monitor for use and attempted use of external devices [and].
  • Configure laptops, workstations, and servers so that they will not auto-run content from removable media, like USB Tokens (i.e., «thumb drives»), USB Hard Drives [etc.].»

«SQL-injection» und youtube

Schon Fragen zur Geschäftstätigkeit sind schwieriger zu beantworten als solche zur Organisation. Die harten technischen Fragen gehen noch einen deutlichen Schritt weiter (Technische Fragen). Eine bekannte Quelle dafür sind die «OWASP Top 10». OWASP steht für «The Open Web Application Security Project» – «eine offene Community mit dem Ziel, Unternehmen und Organisationen zu unterstützen, sichere Anwendungen zu entwickeln, zu kaufen und zu warten».

Unter den Top 10 listet OWASP die 10 häufigsten Sicherheitsrisiken nach ausschliesslich technischen Aspekten auf. Nummer 1: «Injection-Schwachstellen». Als Beispiele werden «SQL-, OS- oder LDAP-Injection» genannt und erklärt: «Sie treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Kommandos oder einer Abfrage von einem Interpreter verarbeitet werden. Ein Angreifer kann Eingabedaten dann so manipulieren, dass er nicht vorgesehene Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.»

Das ist so technisch, dass sich zwei Fragen stellen: Erstens – wie finden der CIO und der CISO (Chief Information Security Officer) Gehör? Wenn sie sich in ihren branchenüblichen Abkürzungen äussern, sicher nicht. Unternehmensführungen haben anderes zu tun, als zu erraten, was beispielsweise eine SQL-Injection sei.

Andererseits: Muss eine Geschäftsleitung das Technische überhaupt verstehen? Eher nicht. Wissen muss sie aber, dass absolut jedermann lernen kann, wie man beispielsweise eine SQL-injection baut und damit in Datenbanken eindringt. Entsprechende Werbung wird getwittert, Guides sind auf youtube einsehbar (als Beispiel der «Basic SQL Injection Guide #1 – Union SQL Injection GET Search») – und man braucht kein Cyber Expert zu sein, um diesem vorstehend verlinkten Film folgen zu können.

«Cross-Site Scripting (XSS)» und «unsichere direkte Objektreferenzen» sind weitere Punkte in den OWASP Top 10. Auch hier geht es nur darum, nachzufragen, ob das eigene Unternehmen derlei im Griff habe, und wenn ja, warum. Denn solange es vorkommt, dass Schweizer CIOs nicht wissen, wo das kritische geistige Eigentum ihres Unternehmens liegt, muss nachgefragt werden. Dann wissen sie nämlich auch nicht, auf welchen Wegen das geistige Eigentum – und damit das Kapital der Firma – angegriffen werden kann. 2013 hatte der Tages-Anzeiger getitelt: «NSA-Affäre rüttelt Schweizer Firmen wach». Befund 2016: Nicht wach genug.

Autoren: Myriam Burkhard und Mark A. Saxer, Geschäftsführung Swiss Cyber Experts

«Ein Schlagabtausch ist eine gute Sache»

Daniel Lampart, Chefökonom des Schweizerischen Gewerkschaftsbundes, stellt sich nach dem jüngsten Abstimmungssieg auf einen heissen Lohnverhandlungsherbst ein.

«Die Diskussion ist unglaublich konservativ»

Medienprofessor Manuel Puppis erklärt, warum die SRG im digitalen Zeitalter mehr Geld bekommen sollte.

«Theoretisch könnte man auch ein Rad patentieren lassen – nur wäre das nicht viel wert»

Catherine Chammartin, Direktorin des Eidgenössischen Instituts für Geistiges Eigentum IGE, über die Gründe, warum die Schweiz immer noch als innovativstes Land brilliert.

«Das ist kein Missbrauch, sondern Ausdruck des Zeitgeistes»

SRG-Ombudsfrau Esther Girsberger hat kein Problem mit orchestrierten Beschwerden. Sie erklärt, warum sie nicht mehr Chefredaktorin sein möchte und warum Frauen schneller ernst genommen werden als Männer.

Trübe Aussichten für die Weltwirtschaft

Die Pandemie ist noch immer nicht bewältigt, Auswirkungen auf Lieferketten bleiben ein Problem. Fünf Trends.

Digitale Stolpersteine der Schweizer Demokratie

Welche Rolle die sozialen Medien und Fake-News für die politische Informationsbeschaffung spielen.

Kleider machen Räte

Seit dieser Herbstsession dürfen Ständerätinnen wieder Schulter zeigen. Doch Blazer, Kostüme, Hemden und Krawatten prägen das Erscheinungsbild weiterhin. Neben Masken natürlich.

«De-Sede-Ledermöbel kommen fast in jedem James-Bond-Film vor»

Die Unternehmerin Monika Walser über Kunden aus Hollywood, Auftritte in den 007-Streifen und die Lancierung einer eigenen Handtaschenkollektion.

«Die AHV braucht ohnehin eine strukturelle Reform»

Eric Breval, Direktor des AHV-Ausgleichsfonds compensuisse, über die Auswirkungen von Corona auf das AHV-Vermögen und warum er auf einen Schritt der Politik hofft, damit der Fonds langfristig anlegen kann.