Wirtschaft

Cyber? Kein Fragezeichen für professionelle Geschäftsleitungen

Cyber-Sicherheit – wer kennt das Schlagwort nicht? Aber wer ist in einer Firma verantwortlich dafür? «Cyber» ist ein weites Feld, aber manche Checklisten helfen, die richtigen Fragen zu stellen.

8. April 2016|Wirtschaft

Anfang 2016 warnte der Bund vor einer neuen Internet-Betrugsmasche. Demnach rufen die Täter bei KMU an und verschaffen sich danach über eine E-Mail Zugang zum eBanking des Unternehmens. Im März folgten die Erpressungen von Schweizer Online-Shops. Die NZZ resümierte: «Die Schweiz ist schlecht geschützt.»

Wenn dem so ist, liegt es an den Chefetagen, dies zu ändern. Sie müssen «Cyber» ebenso wenig abschliessend verstehen wie etwa die Überlegungen der Firmen-Juristen. Aber die richtigen Fragen stellen muss eine GL.

Mangelndes Training…

Primär im Fokus steht Organisatorisches (Fragen interne Organisation). Auf den ersten Blick lauter einfache Fälle wie «Gibt es ein (Cyber) Computer Emergency Response Team (CERT)?» Auch mit Ja beantwortet werden, sollte die Frage, ob das Management wisse, was im Falle eines Cyber-Angriffs von wem zu tun sei, und ob die Prozesse regelmässig trainiert würden. Letzteres ist meistens nicht gegeben, die Zahlen werden wir in einem zweiten Artikel beleuchten. Nimmt man aber den alten «Scherz» zum Massstab, wonach 80% der ICT-Probleme 20 Zentimeter hinter dem Bildschirm sitzen, ist mangelndes Training schlicht ein Führungsfehler.

Die beste Frage ist aber vielleicht die: «Wann wurde die Bedrohung von Cyberattacken zuletzt im Verwaltungsrat erörtert?» Worüber und auf welcher Basis diskutierte die Führung überhaupt? Angeführt wird die Liste der Fragen zur Geschäftstätigkeit (Fragen zur Geschäftstätigkeit) von einer ganzen Gruppe kritischer Punkte, beginnend mit: «Haben Sie die Informationswerte [ihres Unternehmens] nach Kritikalität priorisiert?» Wenn ja – wie?

«Bring your own desaster»

Auch im Zusammenhang mit der Geschäftstätigkeit stellen sich technische Fragen. Etwa die: «Sind Software und Informationen auf unternehmenseigenen Geräten wie Laptops und Smartphones gesichert? Ist «Bring Your Own Device» [kurz BYOD] erlaubt?» Letzteres ist eine weit verbreitete Realität. Aber warum witzeln CISOs gerne, BYOD heisse eigentlich «Bring Your Own Desater»? Ist technisch definiert, welche Information auf privaten Geräten bearbeitet werden dürfen? In einer Checkliste des Center for Internet Security finden sich konkrete Hinweise, was die Führung vorgeben müsste:

  • «Limit use of external devices to those with an approved, documented business need…
  • Monitor for use and attempted use of external devices [and].
  • Configure laptops, workstations, and servers so that they will not auto-run content from removable media, like USB Tokens (i.e., «thumb drives»), USB Hard Drives [etc.].»

«SQL-injection» und youtube

Schon Fragen zur Geschäftstätigkeit sind schwieriger zu beantworten als solche zur Organisation. Die harten technischen Fragen gehen noch einen deutlichen Schritt weiter (Technische Fragen). Eine bekannte Quelle dafür sind die «OWASP Top 10». OWASP steht für «The Open Web Application Security Project» – «eine offene Community mit dem Ziel, Unternehmen und Organisationen zu unterstützen, sichere Anwendungen zu entwickeln, zu kaufen und zu warten».

Unter den Top 10 listet OWASP die 10 häufigsten Sicherheitsrisiken nach ausschliesslich technischen Aspekten auf. Nummer 1: «Injection-Schwachstellen». Als Beispiele werden «SQL-, OS- oder LDAP-Injection» genannt und erklärt: «Sie treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Kommandos oder einer Abfrage von einem Interpreter verarbeitet werden. Ein Angreifer kann Eingabedaten dann so manipulieren, dass er nicht vorgesehene Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.»

Das ist so technisch, dass sich zwei Fragen stellen: Erstens – wie finden der CIO und der CISO (Chief Information Security Officer) Gehör? Wenn sie sich in ihren branchenüblichen Abkürzungen äussern, sicher nicht. Unternehmensführungen haben anderes zu tun, als zu erraten, was beispielsweise eine SQL-Injection sei.

Andererseits: Muss eine Geschäftsleitung das Technische überhaupt verstehen? Eher nicht. Wissen muss sie aber, dass absolut jedermann lernen kann, wie man beispielsweise eine SQL-injection baut und damit in Datenbanken eindringt. Entsprechende Werbung wird getwittert, Guides sind auf youtube einsehbar (als Beispiel der «Basic SQL Injection Guide #1 – Union SQL Injection GET Search») – und man braucht kein Cyber Expert zu sein, um diesem vorstehend verlinkten Film folgen zu können.

«Cross-Site Scripting (XSS)» und «unsichere direkte Objektreferenzen» sind weitere Punkte in den OWASP Top 10. Auch hier geht es nur darum, nachzufragen, ob das eigene Unternehmen derlei im Griff habe, und wenn ja, warum. Denn solange es vorkommt, dass Schweizer CIOs nicht wissen, wo das kritische geistige Eigentum ihres Unternehmens liegt, muss nachgefragt werden. Dann wissen sie nämlich auch nicht, auf welchen Wegen das geistige Eigentum – und damit das Kapital der Firma – angegriffen werden kann. 2013 hatte der Tages-Anzeiger getitelt: «NSA-Affäre rüttelt Schweizer Firmen wach». Befund 2016: Nicht wach genug.

Autoren: Myriam Burkhard und Mark A. Saxer, Geschäftsführung Swiss Cyber Experts

Die Welt von heute verstehen

Eine kurze Geschichte der Gegenwart von Philipp Sarasin - anhand der zentralen Weichenstellungen in den 70er-Jahren.

«Wie kreativ ist ein System, das unter höchstem Druck steht?»

Zukunftsforscherin Karin Frick erwartet einen beschleunigten Strukturwandel, im Guten wie im Schlechten.

«Umgebt Euch mit jungen Chefs»

Nathalie Manac’h, Gründerin von Nat Coffee und ehemalige Diplomatin in Westafrika, über das Unternehmertum, die Rolle der Frauen in der Wirtschaft und wie aus ihrer Leidenschaft zu Kaffee und Myanmar ein Start-up entstand.

Sieben Strategien, um Stress zu reduzieren

Ein wirksamer Umgang mit Stresssituationen kann unseren allgemeinen Gesundheitszustand verbessern und uns besser auf schwere und stark belastende Situationen vorbereiten.

«Sorgen bearbeitet mir die Zahl der Arbeitslosen bei den Ungelernten: über 10 Prozent»

Swissmem-Präsident Hans Hess sieht die Zukunft des Werkplatzes Schweiz positiv. Allerdings dürfe ein Segment der Arbeitskräfte nicht vergessen werden.

Ist die Frontstellung bei der Privatsphäre am Ende?

Harvard-Professor Niklas Maak sieht im Lockdown einen entscheidenden Treiber, dass wir unsere Einstellung zu unserem Schlafzimmer ändern.

Die neue Welt der Musikindustrie

2021 erzielte die Musikbranche einen Rekordumsatz von 25,9 Milliarden Dollar. Zu verdanken hat sie dies dem Streaming-Geschäft, das 65% der Einnahmen ausmacht.

«Wir wissen alle, was zu tun wäre. Nur: Wir machen es nicht»

Früher hat Karen A. Tramontano im Weissen Haus US-Präsident Bill Clinton beraten. Heute setzt sie sich als Lobbyistin unter anderem für die Ärmsten ein.

Fit sein für morgen

Wie sich die Chefs börsenkotierter US-Firmen auf die neue Ära des Welthandels vorbereiten und über die Fragen der Wirtschafts-Zukunft denken.

powered by

Newsletter abonnieren

BERN
Schauplatzgasse 39
CH-3011 Bern
T +41 31 313 18 48
info@furrerhugi.ch

ZÜRICH
Bleicherweg 14
CH-8002 Zürich
T +41 44 251 01 43
info@furrerhugi.ch

LAUSANNE
Rue de Bourg 30
CH-1003 Lausanne
T +41 21 312 16 86
info@furrerhugi.ch

LUGANO
Corso Elvezia 16
Casella postale 1434
CH-6901 Lugano
T +41 91 911 84 89
info@furrerhugi.ch

BRÜSSEL
Rue Montoyer 51
Box 7
B-1000 Bruxelles
T +32 2 235 00 20
info@furrerhugi.ch

Impressum | Datenschutz

Impressum | Datenschutz

«Alle Menschen haben Werte, aber nicht alle dieselben»Fintech: Weshalb sich die Schweiz selber blockiert