Interview
Aus Ihrer Sicht: Weshalb gibt es so viele Schadenfälle? Sind die Leute der Thematik nicht bewusst?
Viele Hersteller stellen Updates für entdeckte Sicherheitslücken innert Stunden- oder Tagefrist bereit. Leider werden die Updates aber oft spät oder gar nicht installiert. Aktuelle Software ist eine zentrale Abwehrmassnahme von Cyberangriffen. Zusätzlich müssen auch Mitarbeiter regelmässig für die Gefahren (Phishing, Ransomware etc) sensibilisiert werden.
Was könnte sie zum Handeln veranlassen?
Meist wird man leider erst durch Schaden klug. Ein erster Schritt für die Geschäftsführer von KMU ist eine Risikoanalyse, damit man erkennt, wie lange das Unternehmen ohne IT auskommen kann, bis es in existentielle Probleme gerät. Aus dem daraus resultierenden Risikoprofil lassen sich dann geeignete Massnahmen ableiten.
Wie unterscheiden Sie Datensicherheit und Datenhoheit?
Datensicherheit ist der übergeordnete Begriff und beinhaltet bsp. Schutz vor Manipulation der Daten, Schutz vor Diebstahl oder Zerstörung der Daten, physischer Schutz der IT Infrastruktur etc. Datenhoheit ist nur ein Teil der Datensicherheit und definiert, ob man die volle Kontrolle über seine Daten hat, oder bsp. ein Provider den Zugriff auf meine eigenen Daten unterbinden kann. Insbesondere in Zeiten von hybriden Cloudlösungen sollte man da einen besonderen Fokus darauf haben.
Immer wieder hört man vom CLOUD Act. Warum ist das ein so wesentliches Problem? Das betrifft doch die KMU kaum! Oder doch?
Der CLOUD Act betrifft alle Unternehmen mit Firmensitz in den USA, also bsp. Microsoft, Google, Apple etc. Der Eidgenössische Datenschützer EDÖB hat die USA auf die Liste von Staaten gesetzt, die „den Anforderungen an einen angemessenen Datenschutz des DSG nicht genügen.“
Somit sollten alle Unternehmen, die Daten auf Servern von amerikanischen Providern speichern die Daten konsequent Ende-zu-Ende
verschlüsseln. Anderenfalls riskieren Sie, das Schweizer Datenschutzgesetz zu verletzen. Es ist dabei übrigens egal, wo die Server des Anbieters stehen. Der CLOUD Act ermöglicht den weltweiten Datenzugriff, sofern der Anbieter den Hauptsitz in den USA hat.
Wo orten Sie mehr Handlungsbedarf: In den Firmen, in der öffentlichen Verwaltung wie Gemeindeverwaltungen und Schulen oder im privaten Umfeld?
Grundsätzlich sollte sich jede Person Gedanken über die Sicherheit der persönlichen Daten machen. Problematisch wird es aber immer dann, wenn man Daten von Drittpersonen speichern muss. Das trifft besonders auf Unternehmen und Gemeinden & Schulen zu. Die besondere Herausforderung ist das technische KnowHow, um sichere Lösungen auszuarbeiten.
Welche Rolle spielen die Mitarbeiter einer Firma in der Datensicherheit?
Die Mitarbeiter sind einer der Hauptangriffspunkte von Cyberangriffen. Eine regelmässige Sensibilisierung der Mitarbeiter für aktuelle
Angriffsmethoden sind unentbehrlich.
Nennen Sie drei Punkte, welche Sie als die wichtigsten Sicherheitsmassnahmen empfehlen.
Das Risikoprofil des eigenen Unternehmens kennen, regelmässige Updates aller Komponenten der IT-Infrastruktur und die regelmässige
Sensibilisierung von Mitarbeitern für die Gefahren von Cyberangriffen.
Der Experte:
Daniel Goldinger ist CTO des Schweizer Cloud-Spezialisten SIRANGA und verantwortlich für die technische Umsetzung der Cloud Infrastruktur. Seit über 20 Jahren ist er als System Engineering und IT-Sicherheitsexperte im Cloud-Umfeld tätig. Er ist auch zertifiziert in Offensive Security und für Aufträge in penetration testing.