NCSC hilft Cybercrime-Opfern

Das Nationale Zen­trum für Cyber­sicher­heit lanciert ein neu konzip­iertes Melde­for­mu­lar und eine neue Website.

Das noch junge Nationale Zen­trum für Cyber­sicher­heit (NCSC), Nach­fol­ger der Melde- und Analy­ses­telle des Bun­des Melani, erle­ichtert, dass IT-Secu­ri­ty-Vor­fälle in der Schweiz frei­willig  gemeldet wer­den. Unternehmen und Pri­vatleute lockt das NCSC mit einem direk­ten Mehrw­ert: Sie erhal­ten bei ein­er Mel­dung auch direkt eine erste Hil­festel­lung. Dazu gibt es ein neu konzip­iertes Online-Melde­for­mu­lar, das User Mul­ti­ple-Choice-mäs­sig durch eine frei­willige Mel­dung führt, vom ein­fachen Phish­ing-Ver­such über einen getürk­ten Anruf vom “Microsoft-Sup­port” bis zu DDoS- oder Ran­somware-Attack­en. Das neue Melde­for­mu­lar ste­ht online auf der neu gestal­teten Web­site des NCSC.

Mit der Beant­wor­tung von weni­gen Fra­gen zum Cyber­vor­fall, wür­den die Melden­den automa­tisiert auch auf Vorschläge für das weit­ere Vorge­hen geleit­et, so das NCSC. Die abschliessende Angabe von weit­eren Infor­ma­tio­nen ermögliche es dem NCSC zudem, den Melden­den bei Bedarf auch noch bessere Unter­stützung zu bieten. Ins­ge­samt sollen die Infor­ma­tio­nen über Vor­fälle dem NCSC dabei helfen Trends rasch zu erken­nen, ein voll­ständi­ges Cyber-Lage­bild zu erstellen und geeignete Gegen­mass­nah­men zu ergreifen.

Die NCSC-Web­seite selb­st wurde neu in drei Bere­iche für IT-Spezial­is­ten, Unternehmen und Pri­vat­per­so­n­en aufgeteilt. Dies soll es diesen Benutzer­grup­pen erle­ichtern, die für sie rel­e­van­ten Infor­ma­tio­nen zu finden.

Versand von E‑Mails mit Personendaten

Ver­sand von E‑Mails mit Personendaten

Das Versenden von E‑Mails ist aus dem All­t­ag nicht mehr wegzu­denken. Viele E‑Mails enthal­ten Per­so­n­en­dat­en, oft auch beson­ders schützenswerte. In der Regel wer­den E‑Mails unver­schlüs­selt über­mit­telt. Bekan­nt ist aber, dass das unver­schlüs­selte Versenden ein­er E- Mail weniger sich­er ist, als das Ver­schick­en ein­er Postkarte, weil:

  • Eine E‑Mail mit geringem tech­nis­chem Wis­sen abge­fan­gen, mit­ge­le­sen oder verän­dert wer­den kann;
  • E‑Mails im Gegen­satz zur Postkarte auch ein­fach nach Schlüs­sel­be­grif­f­en durch­sucht wer­den können;
  • Inter­net-Provider mit Sitz in der Schweiz verpflichtet sind, E‑Mails während sechs Monat­en aufzube­wahren und bei Bedarf den Behör­den bekan­nt zu

Beim Ver­sand von E‑Mails sind also die Bes­tim­mungen des Daten­schutzge­set­zes zu beacht­en. Wichtig ist dabei die Unter­schei­dung, ob es sich um “gewöhn­liche” Per­so­n­en­dat­en, beson­ders schützenswerte Per­so­n­en­dat­en oder Per­sön­lichkeit­spro­file handelt.

Der Versender ist für die daten­schutzkon­forme Bear­beitung der Per­so­n­en­dat­en ver­ant­wortlich und für die Ein­hal­tung der Daten­schutzbes­tim­mungen beweispflichtig. Es ist verpflichtet, organ­isatorische und tech­nis­che Mass­nah­men zur Sicherung der Dat­en vor Ver­lust und Entwen­dung sowie unbefugter Ken­nt­nis­nahme und unbefugtem Bear­beit­en zu tre­f­fen. Beim Ver­sand von Per­so­n­en­dat­en in sen­si­blen Bere­ichen wie das Gesund­heitswe­sen han­delt es sich in jedem Fall um beson­ders schützenswerte Per­so­n­en­dat­en, da  alleine  die  Tat­sache, dass jemand  Klientin/Patientin bzw. Klient/Patient bei der betr­e­f­fend­en Stelle ist, beson­ders schützenswert ist.

Daher gel­ten fol­gende Grund­sätze für den Ver­sand / die Nutzung von E‑Mail

  • Es sollen so wenig Per­so­n­en­dat­en wie möglich ver­wen­det wer­den (Datensparsamkeit).
  • Wer Dat­en bear­beit­et, ist für den geset­zes­mäs­si­gen, zweck­mäs­si­gen und ver­hält­nis­mäs­si­gen Umgang und deren kor­rek­te Weit­er­ver­ar­beitung (z.B. Zugriffs­berech­ti­gung, Aktu­al­isierung oder Löschung) verantwortlich.

Fehlleitun­gen von E‑Mails durch Irrtum stellen ein erhe­blich­es Risiko dar. Die Adressen müssen sorgfältig gewählt wer­den. Automa­tis­men bzw. „Kom­fort­funk­tio­nen“ sollen möglichst ver­mieden werden.

  • Auf pri­vat­en Geräten, sollen keine beson­ders schützenswerten Per­so­n­en­dat­en oder Per­sön­lichkeit­spro­file bear­beit­et oder gespe­ichert werden.
  • Nicht alles, was tech­nisch möglich ist, ist auch erlaubt.
  • E‑Mails soll­ten keine Angaben über Pass­wörter, Kon­to- und/oder Kred­itkarten­num­mern oder andere Zugangs­dat­en wie z.B. Benutzeri­den­ti­fika­tio­nen enthalten.
  • Es sollen keine grossen Daten­men­gen verteilt/gestreut werden.
  • Nur bekan­nte Verteil­er auswählen und verwenden.

Mails an die betrof­fene Per­son sind in der Regel zuläs­sig. Erhält die Stelle eine E‑Mail von der betrof­fe­nen Per­son, darf sie von der stillschweigen­den Ein­willi­gung dieser Per­son aus­ge­hen und die Antwort eben­falls per E‑Mail erteilen. Eine Aus­nahme bilden Antworten, die beson­ders schützenswerte Per­so­n­en­dat­en, beispiel­sweise Gesund­heits­dat­en bzw. Per­sön­lichkeit­spro­file bein­hal­ten. Hier emp­fiehlt sich eine Verschlüsselung.

Als Alter­na­tiv­en zum unver­schlüs­sel­ten E‑Mail-Ver­sand von Per­so­n­en­dat­en kom­men in Frage:

  • Nutzung eines ver­schlüs­sel­ten Mail­dien­stes zB. Seppmail
  • Ablage auf Datenserv­er zB. Bro­ker­Web (durch entsprechen­den Link in der Nachricht).
  • Ver­schlüs­selung auf Dokumentenebene

Zu beacht­en ist auch, dass die Nutzung von Social Media und Instant Mes­sag­ing zB. What­sapp oder SMS für die Über­mit­tlung von Per­so­n­en­dat­en ver­mieden wer­den muss. Ins­beson­dere für sehr sen­si­ble Dat­en ist der Post­weg zu empfehlen.

Cyber Security

Cyber Security

Schon lange vor Coro­na war vie­len IT-Ver­ant­wortlichen eines klar: Die Wahrschein­lichkeit, Opfer der immer raf­finiert­er wer­den­den Angriffe von Cyberkrim­inellen zu wer­den, steigt von Tag zu Tag. Entsprechend wurde die Mass­nah­men-Palette von tech­nis­ch­er Aufrüs­tung bis zur Inten­siv-Schu­lung der Mitar­beit­er kom­plett abgear­beit­et. Doch ein Puz­zlestein fehlt noch. Wie kann man Schä­den begren­zen, wenn das Worst-Case-Szenario wirk­lich eintritt?

Eine Vari­ante stellen Cyberver­sicherun­gen dar. Der Markt bietet unter­schiedlichen Anbi­eter, so dass Inter­essen­ten eine grosse Auswahl besitzen. Doch nicht jedes Ange­bot ist für jeden geeignet. Im Gegen­satz zu zweck­ge­bun­de­nen Poli­cen wie beispiel­sweise ein­er MF-Ver­sicherun­gen han­delt es sich bei Cyberver­sicherun­gen um eine Kom­bi­na­tion aus ein­er Haftpflicht‑, ein­er Betrieb­saus­fall- und ein­er Daten­ver­sicherung für Dritt- und Eigen­schä­den in Form von Vermögensschäden.

Eine Cyberver­sicherung ist für Unternehmen sin­nvoll, die mit sen­si­blen Dat­en arbeit­en und bei denen der Geschäfts­be­trieb von deren Ver­füg­barkeit abhängt. Sie tritt dann für Schä­den ein, die im Zusam­men­hang mit Inter­netkrim­i­nal­ität entste­hen. Dazu zählen Cyber­schutz, Data-Risk, Datenschutz‑, Hacker‑, oder Daten­trägerver­sicherung. Nach einem Mal­ware-Angriff zahlt der Ver­sicher­er beispiel­sweise für die Daten­ret­tung oder kommt für die Kosten auf, die mit der voll­ständi­gen IT-Wieder­her­stel­lung anfall­en. Daneben garantieren die Anbi­eter weit­ere Assistenz-Hilfe.

Unternehmen sind gut berat­en, sich die ver­schiede­nen Ver­trags­be­din­gun­gen genau anzuschauen. Ein­fach eine beliebige oder gar bil­lige Ver­sicherung abzuschliessen, bedeutet nicht, dass alle Schä­den ein­fach so aus­geglichen wer­den. Das dürfte so manch­er Ver­sicherte aus Erfahrung gel­ernt haben. Es gilt im Vor­feld die passenden Bausteine auszusuchen, die wirk­lich abgesichert wer­den müssen. Je mehr Deck­ung gefordert wird, desto teur­er wird es.

Wer glaubt, dass die eige­nen Anstren­gun­gen und Investi­tio­nen in IT-Sicher­heit ver­ringert wer­den kön­nen, derr irrt sich, Genau das Gegen­teil ist der Fall: Ver­sicherungsnehmer sind gezwun­gen, den aktuellen Stand der Secu­ri­ty-Tech­nolo­gie einzuset­zen. Dies kann unter Umstän­den bedeuten, dass investiert wer­den muss, bevor eine Police zum Abschluss kommt.

Für Unternehmen führt let­ztlich kein Weg an ein­er exak­ten Risikoab­schätzung vor­bei. Ist tech­nisch alles Men­schen­mögliche getan? Sind die Mitar­beit­er bestens geschult? Gibt es ein grif­figes IT-Secu­ri­ty-Not­fal­lkonzept? Je öfter die Antwort «ja» lautet, desto eher kann man mit ein­er Ver­sicherung sen­si­ble Teile absich­ern. Anderen­falls muss für eine Police tiefer in die Tasche gegrif­f­en werden.

Die Suche nach ein­er geeigneten Cyberver­sicherung erweist sich oft als schwierig. Der Begriff der Cyberver­sicherung ist allerd­ings kein all­ge­me­ingültiger Begriff. Da dieser Ver­sicherungs­bere­ich noch ver­gle­ich­sweise neu ist, hat sich bish­er keine ein­heitliche und geset­zlich geregelte Beze­ich­nung ergeben. So unter­schei­det sich der Deck­ung­sum­fang von Ver­sicher­er zu Ver­sicher­er deutlich.

Vom grossen Kom­plettpaket über Baukas­ten­sys­teme bis hin zu eng gefassten Kern-Deck­un­gen haben Unternehmen die Qual der Wahl. Die Kon­se­quen­zen kön­nen später bei der Leis­tungsabru­fung gravierend sein. Der Schweiz­er Ver­sicherungsver­band SVV bietet addi­tiv den Cyber­se­cu­ri­ty-Schnell­test an. Dieser ermit­telt, ob die tech­nis­chen, organ­isatorischen und mitar­beit­er­be­zo­ge­nen Mass­nah­men zum Schutz vor Cyber­risiken von KMU aus­re­ichend sind.

IT-Sicherheit wird bei WMC gross geschrieben

Die Bedro­hun­gen aus dem Inter­net haben seit der Coro­na-Pan­demie nochmals mas­siv zugenom­men, meldet das Nationale Zen­trum für Cyber­sicher­heit (NCSC) des Bundes.

WMC ist seit Jahren auf IT-Secu­ri­ty fokussiert und unter­stützt Kun­den mit Sicher­heits-lösun­gen. Das gilt auch für den Schutz von Bro­ker­Star-Dat­en, die durch WMC gehostet wer­den. Auf­grund dieser Entwick­lung wur­den die Mass­nah­men in den let­zten Monat­en mas­siv aus­ge­baut. Zudem wird die gesamte IT-Infra­struk­tur  durch eine zuge­lassene Audit-Fir­ma kon­tinuier­lich geprüft.

Ab 2021 wird inter­essierten Kun­den auch ein indi­vidu­elles Audit Zer­ti­fikat aus­ge­händigt. Dieses dient  als Ausweis gegenüber Ihren Kun­den und für Com­pli­ance im Rah­men des inter­nen Kon­troll­sys­tems (IKS).

Bei Inter­esse am Audit-Zer­ti­fikat wen­den Sie sich bitte an hotline@wmc.ch