NCSC hilft Cybercrime-Opfern

Das Nationale Zen­trum für Cyber­sicher­heit lanciert ein neu konzip­iertes Melde­for­mu­lar und eine neue Website.

Das noch junge Nationale Zen­trum für Cyber­sicher­heit (NCSC), Nach­fol­ger der Melde- und Analy­ses­telle des Bun­des Melani, erle­ichtert, dass IT-Secu­ri­ty-Vor­fälle in der Schweiz frei­willig  gemeldet wer­den. Unternehmen und Pri­vatleute lockt das NCSC mit einem direk­ten Mehrw­ert: Sie erhal­ten bei ein­er Mel­dung auch direkt eine erste Hil­festel­lung. Dazu gibt es ein neu konzip­iertes Online-Melde­for­mu­lar, das User Mul­ti­ple-Choice-mäs­sig durch eine frei­willige Mel­dung führt, vom ein­fachen Phish­ing-Ver­such über einen getürk­ten Anruf vom “Microsoft-Sup­port” bis zu DDoS- oder Ran­somware-Attack­en. Das neue Melde­for­mu­lar ste­ht online auf der neu gestal­teten Web­site des NCSC.

Mit der Beant­wor­tung von weni­gen Fra­gen zum Cyber­vor­fall, wür­den die Melden­den automa­tisiert auch auf Vorschläge für das weit­ere Vorge­hen geleit­et, so das NCSC. Die abschliessende Angabe von weit­eren Infor­ma­tio­nen ermögliche es dem NCSC zudem, den Melden­den bei Bedarf auch noch bessere Unter­stützung zu bieten. Ins­ge­samt sollen die Infor­ma­tio­nen über Vor­fälle dem NCSC dabei helfen Trends rasch zu erken­nen, ein voll­ständi­ges Cyber-Lage­bild zu erstellen und geeignete Gegen­mass­nah­men zu ergreifen.

Il NCSC-Web­seite selb­st wurde neu in drei Bere­iche für IT-Spezial­is­ten, Unternehmen und Pri­vat­per­so­n­en aufgeteilt. Dies soll es diesen Benutzer­grup­pen erle­ichtern, die für sie rel­e­van­ten Infor­ma­tio­nen zu finden.

Versand von E‑Mails mit Personendaten

Ver­sand von E‑Mails mit Personendaten

Das Versenden von E‑Mails ist aus dem All­t­ag nicht mehr wegzu­denken. Viele E‑Mails enthal­ten Per­so­n­en­dat­en, oft auch beson­ders schützenswerte. In der Regel wer­den E‑Mails unver­schlüs­selt über­mit­telt. Bekan­nt ist aber, dass das unver­schlüs­selte Versenden ein­er E- Mail weniger sich­er ist, als das Ver­schick­en ein­er Postkarte, weil:

  • Eine E‑Mail mit geringem tech­nis­chem Wis­sen abge­fan­gen, mit­ge­le­sen oder verän­dert wer­den kann;
  • E‑Mails im Gegen­satz zur Postkarte auch ein­fach nach Schlüs­sel­be­grif­f­en durch­sucht wer­den können;
  • Inter­net-Provider mit Sitz in der Schweiz verpflichtet sind, E‑Mails während sechs Monat­en aufzube­wahren und bei Bedarf den Behör­den bekan­nt zu

Beim Ver­sand von E‑Mails sind also die Bes­tim­mungen des Daten­schutzge­set­zes zu beacht­en. Wichtig ist dabei die Unter­schei­dung, ob es sich um “gewöhn­liche” Per­so­n­en­dat­en, beson­ders schützenswerte Per­so­n­en­dat­en oder Per­sön­lichkeit­spro­file handelt.

Der Versender ist für die daten­schutzkon­forme Bear­beitung der Per­so­n­en­dat­en ver­ant­wortlich und für die Ein­hal­tung der Daten­schutzbes­tim­mungen beweispflichtig. Es ist verpflichtet, organ­isatorische und tech­nis­che Mass­nah­men zur Sicherung der Dat­en vor Ver­lust und Entwen­dung sowie unbefugter Ken­nt­nis­nahme und unbefugtem Bear­beit­en zu tre­f­fen. Beim Ver­sand von Per­so­n­en­dat­en in sen­si­blen Bere­ichen wie das Gesund­heitswe­sen han­delt es sich in jedem Fall um beson­ders schützenswerte Per­so­n­en­dat­en, da  alleine  die  Tat­sache, dass jemand  Klientin/Patientin bzw. Klient/Patient bei der betr­e­f­fend­en Stelle ist, beson­ders schützenswert ist.

Daher gel­ten fol­gende Grund­sätze für den Ver­sand / die Nutzung von E‑Mail

  • Es sollen so wenig Per­so­n­en­dat­en wie möglich ver­wen­det wer­den (Datensparsamkeit).
  • Wer Dat­en bear­beit­et, ist für den geset­zes­mäs­si­gen, zweck­mäs­si­gen und ver­hält­nis­mäs­si­gen Umgang und deren kor­rek­te Weit­er­ver­ar­beitung (z.B. Zugriffs­berech­ti­gung, Aktu­al­isierung oder Löschung) verantwortlich.

Fehlleitun­gen von E‑Mails durch Irrtum stellen ein erhe­blich­es Risiko dar. Die Adressen müssen sorgfältig gewählt wer­den. Automa­tis­men bzw. „Kom­fort­funk­tio­nen“ sollen möglichst ver­mieden werden.

  • Auf pri­vat­en Geräten, sollen keine beson­ders schützenswerten Per­so­n­en­dat­en oder Per­sön­lichkeit­spro­file bear­beit­et oder gespe­ichert werden.
  • Nicht alles, was tech­nisch möglich ist, ist auch erlaubt.
  • E‑Mails soll­ten keine Angaben über Pass­wörter, Kon­to- und/oder Kred­itkarten­num­mern oder andere Zugangs­dat­en wie z.B. Benutzeri­den­ti­fika­tio­nen enthalten.
  • Es sollen keine grossen Daten­men­gen verteilt/gestreut werden.
  • Nur bekan­nte Verteil­er auswählen und verwenden.

Mails an die betrof­fene Per­son sind in der Regel zuläs­sig. Erhält die Stelle eine E‑Mail von der betrof­fe­nen Per­son, darf sie von der stillschweigen­den Ein­willi­gung dieser Per­son aus­ge­hen und die Antwort eben­falls per E‑Mail erteilen. Eine Aus­nahme bilden Antworten, die beson­ders schützenswerte Per­so­n­en­dat­en, beispiel­sweise Gesund­heits­dat­en bzw. Per­sön­lichkeit­spro­file bein­hal­ten. Hier emp­fiehlt sich eine Verschlüsselung.

Als Alter­na­tiv­en zum unver­schlüs­sel­ten E‑Mail-Ver­sand von Per­so­n­en­dat­en kom­men in Frage:

  • Nutzung eines ver­schlüs­sel­ten Mail­dien­stes zB. Seppmail
  • Ablage auf Datenserv­er zB. Bro­ker­Web (durch entsprechen­den Link in der Nachricht).
  • Ver­schlüs­selung auf Dokumentenebene

Zu beacht­en ist auch, dass die Nutzung von Social Media und Instant Mes­sag­ing zB. What­sapp oder SMS für die Über­mit­tlung von Per­so­n­en­dat­en ver­mieden wer­den muss. Ins­beson­dere für sehr sen­si­ble Dat­en ist der Post­weg zu empfehlen.

Cibersicurezza informatica

Cibersicurezza informatica

Molto prima di Corona, una cosa era chiara a molti manager IT: la probabilità di cadere vittima degli attacchi sempre più sofisticati dei criminali informatici aumenta di giorno in giorno. Di conseguenza, la gamma di misure, dagli aggiornamenti tecnici alla formazione intensiva dei dipendenti, è stata completamente elaborata. Ma manca ancora un pezzo del puzzle. Come si possono limitare i danni se lo scenario peggiore si verifica davvero? Tradotto con www.DeepL.com/Translator (versione gratuita)

Una variante è la cyber assicurazione. Il mercato offre diversi fornitori, in modo che gli interessati abbiano un'ampia scelta. Tuttavia, non tutte le offerte sono adatte a tutti. Contrariamente alle polizze specifiche come l'assicurazione MF, la cyber assicurazione è una combinazione di responsabilità, interruzione dell'attività e assicurazione dei dati per danni propri e di terzi sotto forma di perdita finanziaria.

L'assicurazione informatica ha senso per le aziende che lavorano con dati sensibili e le cui operazioni commerciali dipendono dalla loro disponibilità. Copre poi le perdite subite in relazione alla criminalità informatica. Questo include la protezione cibernetica, il rischio dei dati, la protezione dei dati, l'assicurazione degli hacker o dei portatori di dati. Dopo un attacco di malware, per esempio, l'assicuratore paga per il recupero dei dati o copre i costi associati al recupero completo dell'IT. Inoltre, i fornitori garantiscono ulteriore assistenza.

Le aziende sono ben consigliate di dare un'occhiata da vicino ai vari termini del contratto. Il semplice fatto di stipulare una qualsiasi polizza assicurativa, o anche una economica, non significa che tutte le perdite saranno compensate così. Molti assicurati dovrebbero averlo imparato dall'esperienza. È importante selezionare in anticipo i componenti appropriati che hanno davvero bisogno di essere coperti. Più copertura è richiesta, più sarà costosa.

Chiunque creda che i propri sforzi e investimenti nella sicurezza IT possano essere ridotti si sbaglia. Esattamente il contrario: gli assicurati sono costretti a utilizzare lo stato attuale della tecnologia di sicurezza. In certe circostanze, questo può significare che gli investimenti devono essere fatti prima della conclusione di una polizza.

Per le aziende, in definitiva, non c'è modo di evitare una valutazione accurata del rischio. È stato fatto tecnicamente tutto ciò che è umanamente possibile? I dipendenti sono formati in modo ottimale? Esiste un solido concetto di emergenza per la sicurezza informatica? Più spesso la risposta è "sì", più è probabile che le parti sensibili possano essere coperte dall'assicurazione. Altrimenti, dovrete scavare più a fondo nelle vostre tasche per una polizza.

La ricerca di un'assicurazione informatica adatta si rivela spesso difficile. Tuttavia, il termine assicurazione informatica non è un termine generalmente accettato. Poiché questo settore assicurativo è ancora relativamente nuovo, non è ancora emersa una denominazione uniforme e legalmente regolata. Così, la portata della copertura differisce significativamente da assicuratore a assicuratore.

Le aziende hanno l'imbarazzo della scelta, dai grandi pacchetti completi ai sistemi modulari e alle coperture di base strettamente definite. Le conseguenze possono essere gravi in seguito, quando i benefici sono richiamati. L'associazione svizzera delle assicurazioni SVV offre il Cybersecurity Quick Test come add-on. Questo determina se le misure tecniche, organizzative e relative ai dipendenti per proteggere le PMI dai rischi informatici sono sufficienti.

La sicurezza informatica è una priorità assoluta al WMC

Le minacce di Internet sono nuovamente aumentate in modo massiccio dopo la pandemia di Corona, riferisce il Centro nazionale per cibersicurezza NCSC.

WMC si concentra da anni sulla sicurezza IT e supporta i clienti con soluzioni di sicurezza. Questo vale anche per la protezione dei dati BrokerStar ospitati da WMC. A causa di questo sviluppo, le misure sono state massicciamente ampliate negli ultimi mesi. Inoltre, l'intera infrastruttura IT è continuamente controllata da una società di revisione approvata.

Dal 2021, un certificato di audit individuale sarà rilasciato anche ai clienti interessati. Questo serve come identificazione per i vostri clienti e per la conformità nel quadro del sistema di controllo interno (ICS).

Se siete interessati al certificato di audit, contattate hotline@wmc.ch