Anfang 2016 warnte der Bund vor einer neuen Internet-Betrugsmasche. Demnach rufen die Täter bei KMU an und verschaffen sich danach über eine E-Mail Zugang zum eBanking des Unternehmens. Im März folgten die Erpressungen von Schweizer Online-Shops. Die NZZ resümierte: «Die Schweiz ist schlecht geschützt.»

Wenn dem so ist, liegt es an den Chefetagen, dies zu ändern. Sie müssen «Cyber» ebenso wenig abschliessend verstehen wie etwa die Überlegungen der Firmen-Juristen. Aber die richtigen Fragen stellen muss eine GL.

Mangelndes Training…

Primär im Fokus steht Organisatorisches (Fragen interne Organisation). Auf den ersten Blick lauter einfache Fälle wie «Gibt es ein (Cyber) Computer Emergency Response Team (CERT)?» Auch mit Ja beantwortet werden, sollte die Frage, ob das Management wisse, was im Falle eines Cyber-Angriffs von wem zu tun sei, und ob die Prozesse regelmässig trainiert würden. Letzteres ist meistens nicht gegeben, die Zahlen werden wir in einem zweiten Artikel beleuchten. Nimmt man aber den alten «Scherz» zum Massstab, wonach 80% der ICT-Probleme 20 Zentimeter hinter dem Bildschirm sitzen, ist mangelndes Training schlicht ein Führungsfehler.

Die beste Frage ist aber vielleicht die: «Wann wurde die Bedrohung von Cyberattacken zuletzt im Verwaltungsrat erörtert?» Worüber und auf welcher Basis diskutierte die Führung überhaupt? Angeführt wird die Liste der Fragen zur Geschäftstätigkeit (Fragen zur Geschäftstätigkeit) von einer ganzen Gruppe kritischer Punkte, beginnend mit: «Haben Sie die Informationswerte [ihres Unternehmens] nach Kritikalität priorisiert?» Wenn ja – wie?

«Bring your own desaster»

Auch im Zusammenhang mit der Geschäftstätigkeit stellen sich technische Fragen. Etwa die: «Sind Software und Informationen auf unternehmenseigenen Geräten wie Laptops und Smartphones gesichert? Ist «Bring Your Own Device» [kurz BYOD] erlaubt?» Letzteres ist eine weit verbreitete Realität. Aber warum witzeln CISOs gerne, BYOD heisse eigentlich «Bring Your Own Desater»? Ist technisch definiert, welche Information auf privaten Geräten bearbeitet werden dürfen? In einer Checkliste des Center for Internet Security finden sich konkrete Hinweise, was die Führung vorgeben müsste:

  • «Limit use of external devices to those with an approved, documented business need…
  • Monitor for use and attempted use of external devices [and].
  • Configure laptops, workstations, and servers so that they will not auto-run content from removable media, like USB Tokens (i.e., «thumb drives»), USB Hard Drives [etc.].»

«SQL-injection» und youtube

Schon Fragen zur Geschäftstätigkeit sind schwieriger zu beantworten als solche zur Organisation. Die harten technischen Fragen gehen noch einen deutlichen Schritt weiter (Technische Fragen). Eine bekannte Quelle dafür sind die «OWASP Top 10». OWASP steht für «The Open Web Application Security Project» – «eine offene Community mit dem Ziel, Unternehmen und Organisationen zu unterstützen, sichere Anwendungen zu entwickeln, zu kaufen und zu warten».

Unter den Top 10 listet OWASP die 10 häufigsten Sicherheitsrisiken nach ausschliesslich technischen Aspekten auf. Nummer 1: «Injection-Schwachstellen». Als Beispiele werden «SQL-, OS- oder LDAP-Injection» genannt und erklärt: «Sie treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Kommandos oder einer Abfrage von einem Interpreter verarbeitet werden. Ein Angreifer kann Eingabedaten dann so manipulieren, dass er nicht vorgesehene Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.»

Das ist so technisch, dass sich zwei Fragen stellen: Erstens – wie finden der CIO und der CISO (Chief Information Security Officer) Gehör? Wenn sie sich in ihren branchenüblichen Abkürzungen äussern, sicher nicht. Unternehmensführungen haben anderes zu tun, als zu erraten, was beispielsweise eine SQL-Injection sei.

Andererseits: Muss eine Geschäftsleitung das Technische überhaupt verstehen? Eher nicht. Wissen muss sie aber, dass absolut jedermann lernen kann, wie man beispielsweise eine SQL-injection baut und damit in Datenbanken eindringt. Entsprechende Werbung wird getwittert, Guides sind auf youtube einsehbar (als Beispiel der «Basic SQL Injection Guide #1 – Union SQL Injection GET Search») – und man braucht kein Cyber Expert zu sein, um diesem vorstehend verlinkten Film folgen zu können.

«Cross-Site Scripting (XSS)» und «unsichere direkte Objektreferenzen» sind weitere Punkte in den OWASP Top 10. Auch hier geht es nur darum, nachzufragen, ob das eigene Unternehmen derlei im Griff habe, und wenn ja, warum. Denn solange es vorkommt, dass Schweizer CIOs nicht wissen, wo das kritische geistige Eigentum ihres Unternehmens liegt, muss nachgefragt werden. Dann wissen sie nämlich auch nicht, auf welchen Wegen das geistige Eigentum – und damit das Kapital der Firma – angegriffen werden kann. 2013 hatte der Tages-Anzeiger getitelt: «NSA-Affäre rüttelt Schweizer Firmen wach». Befund 2016: Nicht wach genug.

Autoren: Myriam Burkhard und Mark A. Saxer, Geschäftsführung Swiss Cyber Experts

«Bundesrat ist mittelfristig unser Ziel»

Michael Köpfli erklärt, warum die Grünliberalen jetzt einen Vormarsch in den Kantonen planen – und warum seine Arbeitstage als Generalsekretär einer stark gewachsenen Partei eher kürzer geworden sind.

«Wir passen bei einer Prüfung immer extrem auf»

Michel Huissoud, Direktor der Eidgenössischen Finanzkontrolle EFK, über die Macht der Transparenz – und die magischen Finger seiner Kontrolleure, die Geld sparen und heilen.

«Blockchain verfügt über immenses Potential»

Liechtensteins Regierungschef Adrian Hasler geht neue Wege bei der Regulierung der Blockchain-Industrie.

Warum Liebe und Nette bessere Wahlchancen haben

Die aktuelle Wachstumsschwäche verstellt den langfristigen Blick auf die steigenden Compliance-Anforderungen

Sieben Strategien, um Stress zu reduzieren

Ein wirksamer Umgang mit Stresssituationen kann unseren allgemeinen Gesundheitszustand verbessern und uns besser auf schwere und stark belastende Situationen vorbereiten.

Vier Wege, um die Zeit in den Griff zu kriegen

Wie der US-Unternehmer und Berater Banks Benitez vorgeht, damit er seine Arbeitswoche erfolgreich gestalten kann.

Was Chefs von Niederreiter & Co. lernen können

Sportlerinnen und Sportler kommunizieren oft in Ausnahmensituationen – drei Beispiele von gelungenen und missglückten Auftritten

Grosse Alpentäler als Retter des Berggebiets

Statt auf «Geld aus Bern» zu warten, sollen die Gebirgskantone ihre Haupttäler zu neuen Zentren aufwerten: Das empfiehlt eine Studie von Avenir Suisse.

«Der Euro war ein Fehler»

25 Jahre nach der Unterzeichnung der Maastrichter Verträge ist die Anfangseuphorie längst verflogen. Heute herrscht Katerstimmung.