Anfang 2016 warnte der Bund vor einer neuen Internet-Betrugsmasche. Demnach rufen die Täter bei KMU an und verschaffen sich danach über eine E-Mail Zugang zum eBanking des Unternehmens. Im März folgten die Erpressungen von Schweizer Online-Shops. Die NZZ resümierte: «Die Schweiz ist schlecht geschützt.»

Wenn dem so ist, liegt es an den Chefetagen, dies zu ändern. Sie müssen «Cyber» ebenso wenig abschliessend verstehen wie etwa die Überlegungen der Firmen-Juristen. Aber die richtigen Fragen stellen muss eine GL.

Mangelndes Training…

Primär im Fokus steht Organisatorisches (Fragen interne Organisation). Auf den ersten Blick lauter einfache Fälle wie «Gibt es ein (Cyber) Computer Emergency Response Team (CERT)?» Auch mit Ja beantwortet werden, sollte die Frage, ob das Management wisse, was im Falle eines Cyber-Angriffs von wem zu tun sei, und ob die Prozesse regelmässig trainiert würden. Letzteres ist meistens nicht gegeben, die Zahlen werden wir in einem zweiten Artikel beleuchten. Nimmt man aber den alten «Scherz» zum Massstab, wonach 80% der ICT-Probleme 20 Zentimeter hinter dem Bildschirm sitzen, ist mangelndes Training schlicht ein Führungsfehler.

Die beste Frage ist aber vielleicht die: «Wann wurde die Bedrohung von Cyberattacken zuletzt im Verwaltungsrat erörtert?» Worüber und auf welcher Basis diskutierte die Führung überhaupt? Angeführt wird die Liste der Fragen zur Geschäftstätigkeit (Fragen zur Geschäftstätigkeit) von einer ganzen Gruppe kritischer Punkte, beginnend mit: «Haben Sie die Informationswerte [ihres Unternehmens] nach Kritikalität priorisiert?» Wenn ja – wie?

«Bring your own desaster»

Auch im Zusammenhang mit der Geschäftstätigkeit stellen sich technische Fragen. Etwa die: «Sind Software und Informationen auf unternehmenseigenen Geräten wie Laptops und Smartphones gesichert? Ist «Bring Your Own Device» [kurz BYOD] erlaubt?» Letzteres ist eine weit verbreitete Realität. Aber warum witzeln CISOs gerne, BYOD heisse eigentlich «Bring Your Own Desater»? Ist technisch definiert, welche Information auf privaten Geräten bearbeitet werden dürfen? In einer Checkliste des Center for Internet Security finden sich konkrete Hinweise, was die Führung vorgeben müsste:

  • «Limit use of external devices to those with an approved, documented business need…
  • Monitor for use and attempted use of external devices [and].
  • Configure laptops, workstations, and servers so that they will not auto-run content from removable media, like USB Tokens (i.e., «thumb drives»), USB Hard Drives [etc.].»

«SQL-injection» und youtube

Schon Fragen zur Geschäftstätigkeit sind schwieriger zu beantworten als solche zur Organisation. Die harten technischen Fragen gehen noch einen deutlichen Schritt weiter (Technische Fragen). Eine bekannte Quelle dafür sind die «OWASP Top 10». OWASP steht für «The Open Web Application Security Project» – «eine offene Community mit dem Ziel, Unternehmen und Organisationen zu unterstützen, sichere Anwendungen zu entwickeln, zu kaufen und zu warten».

Unter den Top 10 listet OWASP die 10 häufigsten Sicherheitsrisiken nach ausschliesslich technischen Aspekten auf. Nummer 1: «Injection-Schwachstellen». Als Beispiele werden «SQL-, OS- oder LDAP-Injection» genannt und erklärt: «Sie treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Kommandos oder einer Abfrage von einem Interpreter verarbeitet werden. Ein Angreifer kann Eingabedaten dann so manipulieren, dass er nicht vorgesehene Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.»

Das ist so technisch, dass sich zwei Fragen stellen: Erstens – wie finden der CIO und der CISO (Chief Information Security Officer) Gehör? Wenn sie sich in ihren branchenüblichen Abkürzungen äussern, sicher nicht. Unternehmensführungen haben anderes zu tun, als zu erraten, was beispielsweise eine SQL-Injection sei.

Andererseits: Muss eine Geschäftsleitung das Technische überhaupt verstehen? Eher nicht. Wissen muss sie aber, dass absolut jedermann lernen kann, wie man beispielsweise eine SQL-injection baut und damit in Datenbanken eindringt. Entsprechende Werbung wird getwittert, Guides sind auf youtube einsehbar (als Beispiel der «Basic SQL Injection Guide #1 – Union SQL Injection GET Search») – und man braucht kein Cyber Expert zu sein, um diesem vorstehend verlinkten Film folgen zu können.

«Cross-Site Scripting (XSS)» und «unsichere direkte Objektreferenzen» sind weitere Punkte in den OWASP Top 10. Auch hier geht es nur darum, nachzufragen, ob das eigene Unternehmen derlei im Griff habe, und wenn ja, warum. Denn solange es vorkommt, dass Schweizer CIOs nicht wissen, wo das kritische geistige Eigentum ihres Unternehmens liegt, muss nachgefragt werden. Dann wissen sie nämlich auch nicht, auf welchen Wegen das geistige Eigentum – und damit das Kapital der Firma – angegriffen werden kann. 2013 hatte der Tages-Anzeiger getitelt: «NSA-Affäre rüttelt Schweizer Firmen wach». Befund 2016: Nicht wach genug.

Autoren: Myriam Burkhard und Mark A. Saxer, Geschäftsführung Swiss Cyber Experts

So entschärft man Image-Risiken

Fünf Schritte, um sich auf die nächste Krise vorzubereiten - und was im Kontakt mit Medienschaffenden alles schief laufen kann.

«Das neue Parlament schafft Raum für kreativere Lösungen»

Politgeograf Michael Hermann zum Wahlausgang, zum Wunsch nach etwas Neuem und warum das Machtkartell der grossen Parteien geschwächt ist.

Schwache soziale Bindungen sind bei der Jobsuche Gold wert

Anpassungen beim Algorithmus von 20 Millionen LinkedIn-Nutzenden führte zu 600'000 erfolgreichen Jobwechseln.

Politische Vielfalt garantiert

Laut neuer Studie berichten Medien in der Schweiz politisch ausgewogen.

Fünf Empfehlungen, um in der Informationsflut nicht unterzugehen

Professionelle Leserinnen und Leser raten: Push-Nachrichten aus, Multitasking vermeiden und den eigenen Bedarf vorher klären.

Metaversum: Spielwiese der Gen Z

Die virtuelle Welt fasziniert eine neue Generation – sie sucht dort neue Erlebnisse

Trends in der politischen Kommunikation

Warum Tiktok den Pace in fast allem vorgibt und weshalb «Dark Social» ein Problem sein könnte

«Neu ist sexy und einfacher zu verkaufen»

FDP-Generalsekretärin Fanny Noghero erklärt, warum es ihr Kollege von der GLP viel einfacher hat und weshalb Petra Gössi gut für das Image der Partei ist.

Jobs in der Schweiz trotzen dem Welthandel

Eine neue Studie zeigt, dass Arbeitslosigkeit nicht an Importzuwachs gekoppelt ist.