Security Archives

Wie sicher ist eine Cloud?

Viele Firmen denken darüber nach, in Zukunft nicht nur auf ihre eigene Infrastruktur vor Ort zu setzen, sondern einen Teil davon als Services aus der Cloud zu beziehen. Bekannte Anbieter sind Amazon, Microsoft, Google und Co. Die Vorteile für die Firma sind

Tiefere Hardware-Kosten pro Standort
Mehr Sicherheit vor Ausfällen
Kleinerer ökologischer Fussabdruck
Einfachere Schritt-für-Schritt-Skalierungbei Bedarf

Grosse Player aus den USA haben die Cloud aus dem Public-Bereich heraus dominiert. Viele Firmen schätzen die Möglichkeit, Cloud-Dienstleistungen bequem zu beziehen, egal wo das dazugehörige Rechenzentrum steht. Doch der Move in die Cloud wird nicht nur von den grossen Tech-Giganten getrieben. Schweizer Anbieter haben eine äusserst günstige Ausgangslage, um ihren Kunden eine höhere Sicherheit zu bieten. Private-Cloud Anbieter können viele Cloud-Bedenken entkräften.

Nehmen wir als Beispiel den Datenschutz. Nicht alle Firmen wollen, dass ihre Daten auf US-amerikanischen oder chinesischen Servern gespeichert werden. Cork, New York City oder Shanghai? Public-Cloud Kunden haben bei der Lokation keinerlei Mitspracherecht. Was wenn ein Geheimdienst den Anbieter, aus welchen Gründen auch immer auffordert, die Daten Ihres Kunden herauszurücken? Dies ist insbesondere bei sehr persönlichen Daten, wie Gesundheitsinformationen oder Bankangaben, ein sehr heikles Thema. Genau hier heben sich Schweizer Cloud-Anbieter von ausländischen Anbietern ab.

Cloud-Provider, die ihre Dienste aus einer privaten, Schweizer Cloud-Infrastruktur aus anbieten, können den «Swissness-Faktor» nutzen, um sich gegen internationale Tech-Giganten durchzusetzen. Kunden haben bei einem Schweizer Private Cloud Anbieter die Gewissheit, dass ihre Daten auch in der Schweiz bleiben. Für viele Unternehmen ist dieser Umstand entscheidend.

Auch BrokerStar kann in einer Private Cloud betrieben werden. Die meisten Kunden nützen diese Dienst. Das Label Swiss Hosting stellt sicher, dass die Daten ausschliesslich in der Schweiz bleiben.

Cloud-Anbieter benötigen dazu ein Datacenter, aus welchem die angebotenen Dienstleistungen, wie Software-as-a-Service, bereitgestellt wird. Dazu braucht es folgende Komponenten.

• Virtualisierter Storage
Speicherkapazität wird aus mehreren physischen Systemen zusammengelegt und den Usern als einzelner, zentral steuerbarer Speicher angeboten. Der physische Speicher wird kopiert und als virtuelles «Storage Attached Network» (vSAN) Pool zur Verfügung gestellt. Die daraus genutzten Anwendungen laufen auf virtuellen Maschinen (VMs).

• Virtualisierter Server
Bei der Servervirtualisierung wird CPU-Leistung statt Speicher virtualisiert. Physische Server werden mit einer Virtualisierungssoftware in mehrere voneinander getrennte virtuelle Serverumgebungen geteilt. Die User arbeiten auf jedem virtuellen Server unabhängig.

• Virtualisiertes Netzwerk
Netzwerkvirtualisierung sorgt dafür, dass physische Netzwerke in mehreren virtuellen Umgebungen unabhängig voneinander verwaltet werden. Router oder Switche werden zentral verwaltet.

• ICT-Security
Und dann braucht es jede Menge an Sicherheitseinrichtungen von der Firewall mit DMZ über Virenschutz, Intrusion Detection u.a. kurz alle Massnahmen um Geräte, Software und Daten vor bösartigen Angriffen zu schützen

Schön zu lesen…

Auf unsere Weihnachtsgrüsse haben wir von zahlreichen Kunden und Partnern ein Feedback erhalten. Hier eine kleine Auswahl. Für das WMC-Team ein Ansporn, auch im 2023 ein fairer und verlässlicher Partner zu sein.

Der Broker der Zukunft

Der Versicherungsmarkt wird sich in den nächsten Jahren massiv verändern. Marin Vlasec von der Pax hat in seinem Referat am Versicherungsbroker-Forum 2022 die Anforderungen an den Broker der Zukunft aufgezeigt. Heute liegt nun ein Leitfaden vor, den WMC mit freundlicher Genehmigung der Pax allen interessierten Brokern zur Verfügung stellt.

Digitalen Kundenwert erschaffen
Der Versicherungsbroker steht wegen des technischen Wandels und der Konzentration in der Branche unter Druck. Können sich kleinere unabhängige Broker gegenüber der immer grösser werdenden Konkurrenz behaupten? Hängt der Erfolg des zukünftigen Brokers an seiner digitalen Kompetenz?

1. Aktuelle Situation

Die Brokerlandschaft ist von zwei Entwicklungen geprägt. Zum einen kaufen grosse Brokerunternehmen kleinere auf. Dadurch werden die Möglichkeiten kleinerer und mittlerer Broker auf dem Markt eingeschränkt. Der Druck auf sie steigt. Zum anderen wirkt sich die Digitalisierung auf die Angebote und die Zugangswege zu Unternehmens- sowie Privatkunden aus. Was bedeutet das für die Zukunft der kleineren Gruppe. Digitalisierung kann einen Zielkonflikt darstellen – denn mit dieser ändern sich auch die Kundenbedürfnisse und die Art und Weise, wie Kunden sich über Angebote informieren. Durch die Nutzung digitaler Zugangswege könnte zum Beispiel das Risiko bestehen, dass der persönliche Kontakt mit der Kundschaft abnimmt. Bereits jetzt informieren sie sich über Internet und Social Media intensiver als noch vor einigen Jahren.

2. Kerndienstleistungen eines Versicherungsbrokers

Die Kerndienstleistungen eines Versicherungsbrokers können in den Bereichen Beratung, Administration & Support, Risk-Management sowie Vergleiche angesiedelt werden. Durch diese Grunddienstleistungen schafft der Versicherungsbroker einen konkreten Mehrwert für die Versicherungsnehmer. Es handelt sich dabei um eine Vereinfachung der Dienstleistungen und Aufgaben, wie im Rahmen der Forschungsarbeit zur Messung des Kundenwerts aufgezeigt wurde.

Beratung: Deckungsanalysen und Konzepte, Empfehlungen zur Sicherheit.
Administration & Support: Claims- Management, Anfragen beantworten und Informationen teilen.
Risk-Management: Aufzeigen und Abwägen von Risiken.
Vergleiche: Preis- und Leistungsvergleiche, Deckungsvarianten aufzeigen.

3. Schaffung von digitalem Kundenwert

Die Untersuchungen zeigen: Es besteht eine sogenannte Bereitschaftslücke bei Kunden, Angebote digital zu beziehen. Das bedeutet, dass eben jene Dienstleistungen, die ohne grossen Aufwand digital genutzt werden können, einen gleich hohen oder höheren Kundenwert generieren als in einem analogen Dialog. Die Lücke besteht bei Privat- und Unternehmenskunden in unterschiedlich starker Ausprägung.

Die Digitalisierungsbereitschaft ist sowohl bei Privatkunden als auch bei Unternehmenskunden vorhanden. Privatkunden sind jedoch eher dazu bereit, Dienstleistungen über Chats, Apps, Web- Plattformen zu beziehen, als Unternehmenskunden. Bei diesen ist die Bereitschaft kleiner, über digitale Zugangswege beraten zu werden, weil Angebote für Unternehmen komplex und beratungsintensiv sind. Da bleibt die direkte Kundenbeziehung während der Beratung – sehr wichtig.

Bei Privatkunden gibt es in der Regel eine gesunde Altersmischung: Ältere Leute haben eine weniger hohe Digitalisierungsbereitschaft. Wer also im Privatkundensegment tätig ist, muss nicht befürchten, dass es sich bei den Kundinnen und Kunden ausschliesslich um digital ultrakompetente User handelt.

Auch im Bereich Administration & Support sind Privatkunden eher bereit, die Dienstleistung über digitale Zugangswege zu beziehen. Das Verteilen von Informationen über eine digitale Plattform ist vorteilhaft, weil Versicherungsnehmer Zeit sparen können. Das entspricht einem Mehrwert – genauso wie das Erstellen von Vergleichen. Das kann zB. schnell und effizient über ein digitales Tool wie etwa Sobrado in Verbindung mit einer geeigneten Brokersoftware stattfinden. Bei Lohnsummendeklarationen und standardisierten Mutationen machte die Nutzung von digitalen Zugangskanälen jedoch bei Unternehmenskunden Sinn, da hier Aufwand und Zeit gespart werden kann.

Beratung bleibt ein Bereich, bei dem die Digitalisierung wenig Relevanz aufweist. Die Untersuchungen haben zum einen gezeigt, dass die Kundenbindung sehr wichtig ist und von Beginn an einen bedeutenden Wert hat: Das heisst, sie entwickelt sich nicht mit der Zeit, sondern ist vom ersten Kundengespräch an relevant. Das direkte Gespräch ist nach wie vor äusserst wichtig, denn mit der Interaktion wird Vertrauen stärker vermittelt.

Auch bei der Abwägung von Risiken ist Vertrauen äusserst wichtig: Daher lohnt es sich, bei beiden Kundentypen im Rahmen des Risk-Managements primär auf den analogen Kontakt zu setzen.

4. Zusammenfassung: wo auf Digitalisierung setzen – und wo nicht

Für Privatkunden: Der Versicherungsbroker ist zukünftig Plattformanbieter mit selektivem, von Kunden gesteuertem Zugang zu persönlicher Beratung. Dabei soll dem Endkunden die Wahl des digitalen Zugangswegs zur Beratung gelassen werden. Diese sollte in erster Linie in einer Face-to-Face-Situation stattfinden. Das schafft Vertrauen. Die Beratung muss jedoch nicht analog erfolgen. Es kann dabei auf Software zurückgegriffen werden, die das im digitalen Raum ermöglicht.

Für Unternehmenskunden: Der Versicherungsbroker ist ein Problemlöser und sollte in den Bereichen Beratung und Risk-Management stark individualisierte Dienstleistungen anbieten. Intelligente Reports unterstützen ihn dabei. Bei Administration und Vergleichen darf er auf digitale Tools zurückgreifen und so effizient einen Wert für Unternehmenskunden schaffen.

Quellen: Pax Versicherungen, 2022; The Broker 2022

Nachrichten mit Personendaten

Versenden von Personendaten per E‑Mail

Das Versenden von E‑Mails ist aus dem Alltag nicht mehr wegzudenken. Viele E‑Mails enthalten Personendaten, oft auch besonders schützenswerte. In der Regel werden E‑Mails unverschlüsselt übermittelt. Bekannt ist aber, dass das unverschlüsselte Versenden einer E- Mail weniger sicher ist, als das Verschicken einer Postkarte, weil:

Eine E‑Mail mit geringem technischem Wissen abgefangen, mitgelesen oder verändert werden kann;
E‑Mails im Gegensatz zur Postkarte auch einfach nach Schlüsselbegriffen durchsucht werden können;
Internet-Provider mit Sitz in der Schweiz verpflichtet sind, E‑Mails während sechs Monaten aufzubewahren und bei Bedarf den Behörden bekannt zu geben.

Bestimmungen des Datenschutzgesetzes.

Wichtig ist dabei die Unterscheidung, ob es sich um “gewöhnliche” Personendaten, besonders schützenswerte Personendaten oder Persönlichkeitsprofile handelt.

Der Versender ist für die datenschutzkonforme Bearbeitung der Personendaten verantwortlich und für die Einhaltung der Datenschutzbestimmungen beweispflichtig. Er ist verpflichtet, organisatorische und technische Massnahmen zur Sicherung der Daten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten zu treffen. Beim Versand von Personendaten in sensiblen Bereichen wie dem Gesundheitswesen handelt es sich in jedem Fall um besonders schützenswerte Personendaten, da alleine die Tatsache, dass jemand Klient(in)/Patient(in) bei der betreffenden Stelle ist, besonders schützenswert ist.

Es gelten folgende Grundsätze für die Nutzung von E‑Mail

Es sollen so wenig Personendaten wie möglich verwendet werden (Datensparsamkeit).
Wer Daten bearbeitet, ist für den gesetzesmässigen, zweckmässigen und verhältnismässigen Umgang und deren korrekte Weiterverarbeitung (z.B. Zugriffsberechtigung, Aktualisierung oder Löschung) verantwortlich.

Fehlleitungen von E‑Mails durch Irrtum stellen ein erhebliches Risiko dar. Die Adressen müssen sorgfältig gewählt werden. Automatismen bzw. „Komfortfunktionen“ sollen möglichst vermieden werden.

Auf privaten Geräten, sollen keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile bearbeitet oder gespeichert werden.
Nicht alles, was technisch möglich ist, ist auch erlaubt.
E‑Mails sollten keine Angaben über Passwörter, Konto‑, Kreditkartennummern oder andere Zugangsdaten wie z.B. Benutzeridentifikationen enthalten.
Es sollen keine grossen Datenmengen verteilt/gestreut werden.
Nur bekannte Verteiler auswählen und verwenden.

Mails an die betroffene Person sind in der Regel zulässig. Erhält die Stelle eine E‑Mail von der betroffenen Person, darf sie von der stillschweigenden Einwilligung dieser Person ausgehen und die Antwort ebenfalls per E‑Mail erteilen. Eine Ausnahme bilden Antworten, die besonders schützenswerte Personendaten, beispielsweise Gesundheitsdaten bzw. Persönlichkeitsprofile beinhalten. Hier empfiehlt sich eine Verschlüsselung.

Alternativen zu unverschlüsselten E‑Mails

Ablage auf Datenserver zB. BrokerWeb (durch entsprechenden Link in der Nachricht).
Verschlüsselung auf Dokumentenebene
Nutzung eines verschlüsselten Maildienstes zB. Seppmail

Zu beachten ist, dass die Nutzung von Social Media und Instant Messaging zB. Whatsapp oder SMS für die Übermittlung von Personendaten vermieden werden muss. Insbesondere für sehr sensible Daten ist der Postweg zu empfehlen.

Mail-Synchronisation mit BrokerStar

Das Modul Mail-Sync in BrokerStar besteht aus zwei Funktionen

Der E‑Mail-Sync erlaubt E‑Mails aus dem BrokerStar zu versenden und im BrokerStar zu empfangen. Dabei sind die Mails sowohl im BrokerStar als auch im Mailprogramm gespeichert.

Der Termin-Sync synchronisiert Termine, Aufgaben und Adressen aus BrokerStar in das Mailprogramm.

Beide Teilmodule funktionieren mit Outlook und anderen Mailprogrammen wie zB. Google Gmail.

Sicherer Austausch mit BrokerWeb

Das BrokerWeb-Kundenportal emöglicht den Austausch von Informationen, Dokumenten und Daten zwischen dem Broker und dem Kunden, so wie das vom E‑Banking bekannt ist. Die Übertragung erfolgt über eine geschützte Verbindung, die keinen Zugriff von aussen ermöglicht.

Cybercrime, die grosse Bedrohung

Das Nationale Zentrum für Cybersicherheit bietet Meldeformular auf seiner Website.

Das Nationale Zentrum für Cybersicherheit (NCSC), Nachfolger der Melde- und Analysestelle des Bundes Melani, erleichtert, dass IT-Security-Vorfälle in der Schweiz gemeldet werden. Unternehmen und Privatleute lockt das NCSC mit einem direkten Mehrwert: Sie erhalten bei einer Meldung auch direkt eine erste Hilfestellung. Dazu gibt es ein Online-Meldeformular, das User Multiple-Choice-mässig durch eine freiwillige Meldung führt, vom einfachen Phishing-Versuch über einen getürkten Anruf vom “Microsoft-Support” bis zu DDoS- oder Ransomware-Attacken. Das neue Meldeformular steht online auf der Website des NCSC.

Mit der Beantwortung von wenigen Fragen zum Cybervorfall, würden die Meldenden automatisiert auch auf Vorschläge für das weitere Vorgehen geleitet, so das NCSC. Die abschliessende Angabe von weiteren Informationen ermögliche es dem NCSC zudem, den Meldenden bei Bedarf auch noch bessere Unterstützung zu bieten. Insgesamt sollen die Informationen über Vorfälle dem NCSC dabei helfen Trends rasch zu erkennen, ein vollständiges Cyber-Lagebild zu erstellen und geeignete Gegenmassnahmen zu ergreifen.

Die NCSC-Webseite selbst wurde in drei Bereiche für IT-Spezialisten, Unternehmen und Privatpersonen aufgeteilt. Dies soll es diesen Benutzergruppen erleichtern, die für sie relevanten Informationen zu finden.

Unterstützung für Broker und Kunde

Jedes Unternehme sollte seiner Sicherheit ein grosses Augenmerk schenken — egal Sie als Broker oder Ihre Versicherungsnehmer. Zertifizierte Security Provider leisten hier eine wertvolle Unterstützung von der Sicherheitsprüfung über Ethical Hacking bis zur
7 x 24 Stunden- Überwachung.

Selution AG ist einer von mehreren Security Providern. WMC arbeitet schon einige Jahre erfolgreich mit diesen Fachleuten.

Finden Sie hier einige Informationen zu deren Dienstleistungen oder kontaktieren Sie roger.burch@selution.ch

So perfide gehen die Cybererpresser vor

Schadsoftware als Bewerbung getarnt.
Angriffe über das Internet häufen sich. Gisela Kipfer vom Nationalen Zentrum für Cybersicherheit kennt die Maschen der Täter.

Frau Kipfer, wer kann Opfer eines Cyberangriffs werden?

Im Fokus der Angreifer stehen alle verwundbaren Systeme, unabhängig ob es sich um Unternehmen, Behörden oder Privatpersonen handelt. Ziel der Angreifer ist stets, mit möglichst wenig Aufwand möglichst hohen Gewinn zu erzielen. Bei Ransomware ist ausserdem zu beachten, dass es aus Angreifersicht keine Rolle spielt, welche Daten verschlüsselt werden: Handelt es sich um Daten, die für das Opfer einen wirtschaftlichen oder persönlichen Wert haben, wird das Opfer vermutlich bereit sein, auf die Lösegeldforderung einzugehen.

Die E‑Mails mit Schadsoftware kommen immer personalisierter daher, etwa als Bewerbungen oder Offerten. Wie bereiten die Täter einen Angriff vor?

Oft suchen die Angreifer auf der Website der potenziellen Opfer nach hilfreichen Informationen wie Jahresberichten der Unternehmen oder Informationen zu Mitarbeitenden.

Wie kann sich ein Unternehmen vor Cyberangriffen schützen?

Wenn die wichtigsten Grundregeln befolgt werden, lässt sich die Gefahr von Ransomware-Angriffen oder generell Cyberangriffen aber dennoch senken. Dazu gehört die Umsetzung des Grundschutzes, zum Beispiel regelmässiges Daten-Back-up, Updates, Firewalls, Virenschutz und mehr. Darüber hinaus müssen organisatorische Massnahmen getroffen werden, beispielsweise im Bereich Krisenmanagement und Krisenkommunikation. Die stete Sensibilisierung der Mitarbeitenden spielt aber eine ebenso grosse Rolle. Organisatorische und technische Massnahmen greifen nur dann im gewünschten Rahmen, wenn die Mitarbeitenden verstehen, warum sie gewisse Dinge berücksichtigen müssen.

«Sollte keine Alternative zu einer Lösegeldbezahlung bestehen, unterstützen die Strafverfolgungsbehörden bei den Verhandlungen mit den Kriminellen.»

Was kann man tun, wenn trotz allem ein Angriff passiert ist?

Die infizierten Systeme sollten umgehend vom Netz getrennt werden. Back-ups sollten schnellstmöglich gesichert werden, sofern diese noch vorhanden sind beziehungsweise noch nicht verschlüsselt wurden. Und diese müssen raschestmöglich physisch vom infizierten Netzwerk getrennt werden. Sicherungskopien sollten ohnehin nach jedem Back-up-Vorgang vom Computer/Netzwerk getrennt werden. Wurden die Daten verschlüsselt und ist kein Back-up vorhanden, bietet die Website https://www.nomoreransom.org/ hilfreiche Tipps, um die Schadsoftware zu identifizieren, und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen.

Wie hoch sind die geforderten Lösegeldsummen?

Eine Schätzung betreffend Lösegeldsummen ist sehr schwierig, da dem NCSC in den wenigsten Fällen mitgeteilt wird, ob Lösegeld bezahlt wurde. Die Erfahrung zeigt, dass die Höhe der geforderten Summen oftmals an die finanziellen Möglichkeiten der Opfer angepasst werden.

Was bringt mehr: die Polizei einschalten oder einfach bezahlen?

Das Nationale Zentrum für Cybersicherheit rät von der Zahlung eines Lösegeldes ab. In jedem Fall sollte aber eine Strafanzeige bei der zuständigen Polizeibehörde eingereicht werden. Diese berät die Opfer bezüglich des weiteren Vorgehens insbesondere in Bezug auf die Kommunikation mit der Täterschaft und das Verhalten gegenüber dieser. Sollte ausserdem keine Alternative zu einer Lösegeldbezahlung bestehen, unterstützen die Strafverfolgungsbehörden bei den Verhandlungen mit den Kriminellen mit dem Ziel, dass möglichst wenig Lösegeld bezahlt wird.

Quelle: Basler Zeitung, 06.01.2022

Security bei WMC

Die Bedrohungen aus dem Internet nehmen gemäss dem Nationale Zentrum für Cybersicherheit (NCSC) des Bundes ständig zu .

WMC ist seit Jahren auf IT-Security fokussiert und unterstützt Kunden mit Sicherheitslösungen. Das gilt auch für den Schutz von BrokerStar-Daten, die durch WMC gehostet werden. Erneut wurden die Massnahmen massiv ausgebaut. Zudem wird die gesamte IT-Infrastruktur durch eine zugelassene Audit-Firma laufend geprüft.

Ab 2021 wird allen Kunden ein individuelles Audit Zertifikat ausgehändigt. Dieses dient als Ausweis für Compliance im Rahmen des internen Kontrollsystems (IKS).

Digitalisierung

Security for you

Cybersecurity Talks – Experten im Gespräch

27. – 30. September 2021 | 11:00 – 11:45 Uhr | kostenfrei

Sehr geehrte Damen und Herren,

verpassen Sie nicht die Sophos Security SOS Week zu aktuellen Themen wie Malware, Supply-Chain-Angriffen, Cyberversicherungen und effektive Verteidigungsstrategien gegen Cyberkriminelle.

Die Top-Sicherheitsexperten Sascha Pfeiffer und Michael Veit teilen ihr Fachwissen in einer Reihe von täglichen 45-minütigen Interviews.

Die Themen im Überblick:

27. September 2021

28. September 2021

29. September 2021

30. September 2021

Malware – Die unendliche Geschichte

Wie können Sie sich vor Supply Chain Attacken schützen?

Die Rolle der Cyberversicherungen bei der Online-Kriminalität

IT-Sicherheit in der Zukunft

Darüber hinaus haben Sie die Gelegenheit, live im Chat den Sophos-Experten Ihre Fragen
zu stellen und mehr zu erfahren.

Mit freundlichen Grüßen
Ihr IT Security Team

Hinweis: Sollten Sie aus zeitlichen Gründen nicht teilnehmen können, melden Sie sich bitte dennoch an für die Sophos Security SOS Week. Sie erhalten im Nachhinein so automatisch den Link zur Aufzeichnung von uns per E‑Mail. Das Webinar ist kostenfrei; es können lediglich Telefongebühren für Sie anfallen.

Dieser Anlass wird Ihnen präsentiert von WMC IT Solutions AG und SOPHOS

WMC IT Solutions AG

Wie sicher ist eine Cloud?

Schön zu lesen…

Der Broker der Zukunft

Nachrichten mit Personendaten

Cybercrime, die grosse Bedrohung

So perfide gehen die Cybererpresser vor

Security for you

Sitemap

Information

Lösungen

Newsletter anmelden