Fokus Sichere Schweiz

Marco Wyrsch

Schutz in der digitalen Sphäre: Ein Blick hinter die Kulissen mit Marco Wyrsch, Chief Security Officer bei Swisscom.

Serdar Günal Rütsche

«Willkommen zu Fokus

Sichere Schweiz»

Die Digitalisierung eröffnet der Wirtschaft neue Wachstumschancen und Beschäftigungsmöglichkeiten. Zugleich erfordert sie innovative Prozesse und führt zu einer grösseren Abhängigkeit von einwandfreier Informations- und Kommunikationstechnik. Diese Abhängigkeit können Cyberkriminelle ausnutzen, um sich Zugang zu Netzwerken zu verschaffen, Daten zu stehlen oder gesamte Systeme lahmzulegen. Obwohl wir in der Schweiz sehr gut geschützt sind, bieten alle Unternehmen wie auch Privatpersonen, die Internetdienste nutzen, eine Angriffsfläche für Cyberkriminelle. Ein solcher Cyberangriff kann zur existenziellen Bedrohung werden.

Manche Tätergruppen agieren absolut skrupellos und greifen selbst Spitäler und kritische Infrastrukturen an. Ein erfolgreicher Angriff auf ein grösseres Spital hat schwerwiegende Folgen. Es kann zu Todesfällen kommen, weil die Patient:innen bei einem Totalausfall der IT nicht mehr zeitnah fachgerecht behandelt werden können.

Die grösste Onlinebedrohung

Derzeit stellt Ransomware die mit Abstand grösste Bedrohung im Bereich der Cyberkriminalität dar. Die Anzahl der erfolgreichen Angriffe auf Unternehmensnetzwerke nimmt zu. Die Gruppierungen, die Ransomware einsetzen, haben 2023 mehrere Milliarden Dollar an nachgewiesenen Lösegeldzahlungen erhalten. Diese Einkünfte verwenden sie zum Teil für die Weiterentwicklung der Schadsoftware, den Ausbau der Organisationen und der Infrastruktur. Die Erfolge solcher Tätergruppierungen ziehen zudem neue Akteure an.

Das verbreitetste Geschäftsmodell ist «Ransomware-as-a-Service». Es funktioniert ähnlich wie ein Franchise-Vertriebssystem: Eine Kerngruppierung stellt gegen einen Prozentsatz des Lösegelds Verschlüsselungssoftware, Bezahlmodul und Infrastrukturen zur Verhandlung mit Geschädigten zur Verfügung, sodass mehrere Gruppen selbstständig Angriffe durchführen können. So entwickeln sich grosse, arbeitsteilige Netzwerke von Cyberkriminellen, die wie kommerziell erfolgreiche Unternehmen funktionieren.

Doppelte Erpressung

Oftmals setzen die Gruppierungen auf eine DoppelErpressungsstrategie. Einerseits erfolgt die Erpressung aufgrund der Datenverschlüsselung. Nur durch Bezahlung kann das Unternehmen weiter operieren. Andererseits werden vor der Verschlüsselung umfangreiche Datenbestände aus den betroffenen Unternehmensnetzwerken ausgeleitet. Anschliessend droht die Täterschaft mit der Veröffentlichung oder dem Verkauf der Daten, sofern das Lösegeld nicht überwiesen wird. Zudem erhöhen die Täter den Druck, indem sie teilweise aktiv Journalist:innen, Mitarbeitende und Kunden der Geschädigten angehen. Vorbereitung ist alles Das Unternehmensmanagement muss verstehen, dass ITSicherheit etwas kostet und man in sie investieren muss.

ANZEIGE

Sollte sich ein Vorfall ereignen, ist die Vorbereitung essenziell. Im Vorfeld muss eine Risikostrategie inklusive Prioritäten, Einschränkungen und maximal tragbarer Risiken definiert werden. Die Unternehmen müssen sich darauf einstellen, dass sie nach einem Vorfall während Tagen Teile ihrer Dienstleistung nicht erbringen können oder ihre Produktion stillsteht. Eingespielte Prozesse, Eskalationspfade und ein Konzept für die öffentliche Krisenkommunikation sind unabdingbar, um die Kontrolle zu behalten. Dazu sollten periodisch Notfallübungen durchgeführt und ein geeignetes Krisenmanagement eingerichtet sein. Wichtig ist auch, dass Unternehmen ein mehrschichtiges Sicherheitskonzept verfolgen. Auf der einen Seite muss man den technischen Aspekten Sorge tragen. Diesbezüglich stehen funktionierende Frameworks zur Verfügung, an die man sich halten kann. Nachlässigkeit darf man sich dabei nicht erlauben: Beispielsweise einen Patch nicht einzuspielen oder veraltete Geräte weiter zu benutzen, kann schwerwiegende Folgen haben.

Auf der anderen Seite müssen die Mitarbeitenden Teil des Sicherheitskonzeptes sein. Sie müssen wissen, wie mögliche Anzeichen eines Vorfalls aussehen und an wen sie entsprechende Feststellungen melden sollen.

Ausserdem müssen die Mitarbeiterinnen und Mitarbeiter, die Abwehrmassnahmen konfigurieren, ihre Arbeiten in einer aktuellen Dokumentation festhalten. Wenn die kombinierte Abwehr von Mensch und Technologie funktioniert, wird es für die Täter schwierig. Von Datenfriedhöfen geht auch eine grosse Gefahr aus. Unternehmen sollten regelmässig prüfen, welche Daten sie horten und jene löschen, die nicht mehr nötig sind. Insbesondere können Kundendaten für IT-Dienstleister zur Gefahr werden. Sensible Kundendaten darf man gar nicht speichern – auch nicht zu Testzwecken. Das Beispiel des Xplain-Hacks veranschaulicht das Problem: Der Vorfall erweckte den Eindruck, als seien mehrere Bundesämter gehackt worden. Doch das war nicht der Fall. Der IT-Dienstleister Xplain hatte Behördenund Polizeidaten auf seinen Systemen gespeichert, die durch den Vorfall in die Hände der Hacker gerieten.

Verfolgung von Cyberkriminellen

Ransomware-Angriffe stellen ein enormes wirtschaftliches Risiko dar – für Grosskonzerne und KMUs – und stürzen Unternehmen regelmässig in existenzbedrohende Krisen. Darüber hinaus sind Gruppierungen, die Ransomware einsetzen, häufig auch an weiteren cyberkriminellen Aktivitäten beteiligt. Folglich hat die Bekämpfung dieser Gruppierungen Einfluss auf andere Deliktsfelder. Die Kantonspolizei Zürich, das BACS (ehem. NCSC) und das Bundesamt für Polizei (fedpol) warnen regelmässig vor aktuellen Ransomware-Angriffen und empfehlen dabei präventive und reaktive Massnahmen.

Die professionelle Vorgehensweise der Täterschaft setzt entsprechend intensive, hoch spezialisierte Ermittlungen und Ressourcen voraus, wodurch erhebliche Kosten entstehen. Umso wichtiger ist es, dass die Strafverfolgungsbehörden die notwendigen Ressourcen investieren und ihre Ermittlungserfahrung in internationale Kooperationen einbringen können. Denn es hat sich gezeigt, dass auch Täter:innen von der Schweiz aus agieren und hier greifbar sind. Die Ressourcen der Schweizer Strafverfolgungsbehörden reichen aber nicht aus, um diese selbstständig zu identifizieren und lokalisieren.

Bewusster Datenumgang Technisch ist die Schweiz in Sachen IT-Sicherheit gut aufgestellt. Doch im Bereich der Data Governance müssen wir einen Schritt vorwärts machen. Wir müssen uns den bewussten Umgang mit Daten wieder in Erinnerung rufen. Das gilt besonders für Privatpersonen. Welche Daten speichere ich? Welche gebe ich weiter? Wie und wo sichere ich sie? In der aktuell herrschenden Überwachungsökonomie durch verschiedene Organisationen wie die Tech-Giganten Apple, Google, Meta und Microsoft müssen wir genau prüfen, welche Daten wir wo teilen und aufbewahren.

Gefahren der Zukunft

Ransomware wird für die Schweiz eine grosse Bedrohung bleiben, auch wenn sich vieles ändern wird. Wir müssen weiterhin an der Sensibilisierung der Bevölkerung arbeiten. Ein Gamechanger wird aber die künstliche Intelligenz (KI) sein. Diese erweitert mit neuen Angriffsmöglichkeiten wie Voice Cloning oder Deepfakes die Fähigkeiten der Cyberkriminellen massiv. Die Betrugsdelikte werden mit KI raffinierter und massgeschneiderter. Nur mit Technik allein gibt es keine IT-Sicherheit; die Schweiz benötigt IT-Fachkräfte und hoch spezialisierte Security-Teams. Dazu müssen entsprechende Budgets gesprochen und Schweizer Ausbildungsplätze geschaffen werden. Es ist eine Gemeinschaftsaufgabe.

Text Serdar Günal Rütsche, Chef Cybercrime bei der Kantonspolizei Zürich und Leiter NEDIK

Lesen Sie mehr. 04 Cybersecurity 08 Wirtschaftssicherheit 10 Interview: Marco Wyrsch 12 Arbeitssicherheit 16 Künstliche Intelligenz 18 Softwaresicherheit 20 Einbruchschutz

Fokus Sichere Schweiz

Projektleitung

Bruno Johnson

Country Manager

Pascal Buck

Produktionsleitung

Adriana Clemente

Layout

Mathias Manner, Sara Davaz

Text

Linda Carstensen, SMA, Valeria Cescato

Titelbild iStockphoto/Gwengoat

Distributionskanal Tages-Anzeiger

Druckerei DZZ Druckzentrum AG

Smart Media Agency

Gerbergasse 5, 8001 Zürich, Schweiz Tel +41 44 258 86 00 info@smartmediaagency.ch redaktion@smartmediaagency.ch fokus.swiss

«Ich schütze Kinder.»

Andrea Spescha, Kantonspolizist seit 1997, schützt Kinder vor sexuellem Missbrauch, indem er Täter aufspürt, bevor sie weiteres Unheil anrichten.

Wie sich Schweizer KMU vor Cyberkriminalität schützen können

Am 20. Februar 2024 wurde im Rahmen der Operation Cronos, die von internationalen Behörden wie der NCA, dem FBI und Europol durchgeführt wurde, die Ransomware-Gruppe LockBit zerschlagen und eine enorme Lösegeldeinnahme in Höhe von einer Milliarde US-Dollar aufgedeckt. Dieses Ereignis unterstreicht die drastische Zunahme finanziell motivierter Cyberkriminalität.

Die heutige Cyberlandschaft ist geprägt von organisierter Cyberkriminalität. Dabei geht es mehr um Profit als um individuelle Exploits oder politische Agenden. Sich als Unternehmen dagegen zu wehren, ist aber nicht nur eine Sache von technologischen Lösungen. Denn Cyberresilienz basiert auch auf menschlichem Verständnis, Bereitschaft und Urteilskraft. Sie erweist sich als entscheidend im Kampf gegen diese sich entwickelnden Bedrohungen.

Kleine und mittlere Unternehmen sind besonders anfällige Ziele für Cyberkriminelle. Das hat die LockBit-Ransomware gezeigt. In Mitarbeiterschulungen zu investieren und Cyberversicherungen abzuschliessen, kann diese Risiken erheblich mindern. Das Unternehmen Cyberion hat sich auf massgeschneiderte Cyberschutzlösungen und Versicherungen

für KMU spezialisiert und weiss, wo die grössten Herausforderungen liegen. Im Interview erklären CEO Isabelle Kuksin und CCO Jonas von Oldenskiöld, weshalb sich insbesondere KMU vertieft mit Cybersicherheit auseinandersetzen sollten.

Aus welchem Grund sind KMUs ein ideales Ziel für Cyberangriffe?

IK: Die schwerwiegendste Ursache ist, dass ihre Abwehrkräfte im Vergleich zu grösseren Unternehmen wesentlich schwächer sind. Es ist alarmierend, dass 82 Prozent der von uns untersuchten Unternehmen fehlerhaft konfigurierte Domains besitzen. In 58 Prozent der Fälle gibt es Datenlecks, welche sensiblen Login- und PasswortInformationen der Mitarbeitenden enthalten, die ihre Systeme kompromittieren und somit gefährden können.

JO: Meiner Meinung nach liegt es auch daran, dass die meisten Ressourcen den grösseren Unternehmen vorbehalten sind und KMUs dadurch nicht die Möglichkeit haben, effektive Hilfe zu bekommen. Weiter besteht auch oft der Fall, dass Unternehmer und Unternehmerinnen nicht über das adäquate Wissen bezüglich der Cybersicherheit verfügen und deshalb aufgrund ihrer Fehlinformation oder fehlenden Erfahrung der Meinung sind, dass sie gar keinen Schutz brauchen.

In der Schweiz wurden laut den letzten verfügbaren Daten im Jahr 2023 über 34 000 Angriffe gemeldet. Was können wir tun, um diese Zahl zu minimieren?

JO: Meiner Erfahrung nach ist die proaktive Vorbereitung der Schlüssel zum Schutz vor Cyberangriffen. Prävention, Mitarbeiterschulungen, Überwachung der Systeme und die Erstellung eines Notfallplans müssen kontinuierlich erfolgen.

IK: Aber selbst bei Ergreifung all dieser Massnahmen verbleibt immer ein Restrisiko. Hier kann eine Versicherung den entscheidenden Unterschied machen.

So werden KMU fit in Sachen Cybersicherheit

Mit der Plattform ITSec4KMU, die der gleichnamige Verein im vergangenen Herbst lanciert hat, sollen kleine und mittlere Unternehmen in der Schweiz für Gefahren im Internet sensibilisiert und gegenüber Cyberangriffen resilienter gemacht werden. Ein Einblick, was der Verein in Sachen IT-Sicherheit für Gewerbe und Industrie bereits erreicht hat und welche Ziele er 2024 anstrebt.

Warum sind in der Schweiz nur rund 7 bis 8 Prozent der Unternehmen gegen Cyberrisiken versichert?

IK: Auf diese Frage gibt es wahrscheinlich nicht die eine Antwort. Ich denke aber, dass vor allem die Sensibilisierung entscheidend ist. Wie stark sie von ihrer IT-Infrastruktur abhängig sind und welche potenziellen Auswirkungen eine Gefährdung dieser Assets hätte, ist vielen KMUs heute nicht bewusst.

JO: Meiner persönlichen Meinung nach besteht ein weiteres Problem darin, dass viele Unternehmen glauben, es sei schwierig, eine Cyberversicherung abzuschliessen, was oft der Fall ist, aber es gibt heutzutage Optionen, die mit weniger Schritten vor der Versicherung genehmigt werden.

Könnten Sie die Bedeutung von auf den Menschen ausgerichteten Ansätzen bei der Abwehr von Cyberangriffen näher erläutern?

JO: Ansätze, bei denen der Mensch im Mittelpunkt steht, beziehen sich bei der Abwehr von Cyberangriffen nicht nur auf technische Lösungen, sondern auch auf Verhalten und kulturelle Aspekte. Durch die Förderung einer cybersensiblen Kultur in Organisationen können Unternehmen ihre Mitarbeitenden dazu befähigen, die erste Verteidigungslinie gegen Cyberbedrohungen zu bilden. Schliesslich sind fast 90 Prozent aller Cyberangriffe auf KMUs das Ergebnis menschlichen Versagens.

Welche Leistungen umfasst die Unterstützung der Cybersicherheit durch Cyberion?

IK: Die Unterstützung von Cyberion umfasst nicht nur erstklassige und massgeschneiderte Cyberversicherungsprodukte, um vor finanziellen Verlusten zu schützen, sondern auch den kombinierten Zugang zu einer umfassenden Palette von Cyberschutz-Tools. Dazu gehören unter anderem die Überwachung von Datenlecks im Darknet, ein erweitertes Phishing-Training für Mitarbeiterinnen und Mitarbeiter und vor

allem ein persönlicher Service, welcher weit über die reine Erbringung von Dienstleistungen hinausgeht.

Die meisten Cyberversicherungen verlangen, dass Unternehmen über Notfallpläne verfügen. Was sind die Anforderungen an die Umsetzung dieser Pläne?

JO: Im Falle eines Cyberangriffs sind Notfallpläne für den Fall der Fälle unerlässlich. Sie sollten sofort und ohne jegliches Zögern aktiviert werden, um den Schaden so gering wie möglich zu halten. Dazu gehören Eindämmungsmassnahmen, eine klare Kommunikation und eine sorgfältige Dokumentation. Zudem muss regelmässig geübt und trainiert werden. Kennen wir den Speicherort unserer Back-up-Daten? Verstehen wir den Wiederherstellungsprozess?

Welche Schritte empfehlen Sie Unternehmen abschliessend, um ihre Cyberresilienz zu stärken?

IK: Unternehmen müssen der Sensibilisierung für Cybersicherheit Priorität geben und kleine Schritte ausführen, um gute Cybersicherheitspraktiken zu implementieren. Sie sollten dies als integralen Bestandteil ihres digitalen Fussabdrucks und ihrer IT-Systeme betrachten. Aber sie sollten nicht erwarten, dass es sich von selbst einstellt! Dafür zu sorgen, dass alle Grundlagen abgedeckt sind, liegt in ihrer Verantwortung.

JO: Wir möchten aber auch darauf hinweisen, dass es gar nicht so kompliziert sein muss! Wir haben Cyberion entwickelt, um das sicherzustellen. Weitere Informationen über Cyberion und wie sie Unternehmen helfen können unter: www.cyberion.ch

ITSec4KMU • Brandreport

Auch die neuste repräsentative KMU-Umfrage zum Thema Cybersicherheit (gfs Zürich, 2023) zeigt ein deutliches Bild: KMU sind sich der Gefahren durch Cyberkriminalität zwar bewusst – mit der Umsetzung grundsätzlicher Cybersicherheitsmassnahmen hapert es aber nach wie vor. Um die Cyberresilienz von KMU zu stärken, haben sich der Kanton Zug, die Hochschule Luzern (HSLU) und die Schweizerische Akademie der Technischen Wissenschaften (SATW) als Träger des Vereins «IT Security for KMU», kurz ITSec4KMU, zusammengeschlossen. Die Vision seit der Lancierung der Informationsplattform itsec4kmu.ch ist es, die zentrale Schweizer Plattform für die Sensibilisierung von KMU im Bereich Cybersicherheit zu werden. Das Team setzt sich seit der Gründung des Vereins vor etwa zwei Jahren mit grossem Einsatz für diese Vision ein.

Mit innovativen Dienstleistungen den Wandel anstossen Im vergangenen Jahr hat ITSec4KMU zu diesem Zweck das Onlineportal Cybero.ch übernommen. Als Awareness-Portal für Cybersicherheit gegründet und finanziert durch die Versicherungsgesellschaft «Die Mobiliar», hat sich Cybero seit seiner Einführung 2021 zu einem unverzichtbaren Instrument für KMU und IT-Dienstleister entwickelt. Neben einem Schnelltest, der KMU eine einfache Einschätzung ihrer eigenen Cybersicherheit ermöglicht und diese durch den sogenannten Cybero-Score vergleich- und nachprüfbar macht, sind auf der Plattform auch zertifizierte IT-Dienstleister aufgeschaltet. Mit CyberoLearn stellt Cybero zusätzlich ein niederschwelliges Schulungsangebot für KMU bereit.

Das

Team setzt sich seit der Gründung des Vereins vor etwa zwei Jahren mit grossem Einsatz für diese Vision ein.

In den kommenden Monaten wird Cybero vollständig in ITSec4KMU integriert. Zudem stehen eine Erweiterung und Weiterentwicklung der Plattform-Funktionalitäten bevor. Neben der Einführung eines OnlineLernportals strebt ITSec4KMU mit dem Security Advisor einen intensiveren Austausch zwischen IT-Dienstleistern und KMU an, der auf SecurityFrameworks und entsprechenden Standards basiert. Weitere innovative Dienstleistungen sind in Planung.

Gemeinsamer Anlass mit dem Bundesamt für Cybersicherheit

Der Schwerpunkt von ITSec4KMU liegt 2024 im Ausbau des Netzwerks. Um KMU zu erreichen und eine tatsächliche Verhaltensänderung herbeizuführen, sind starke Partnerschaften und effektive Kommunikationswege entscheidend. ITSec4KMU setzt dabei auf gemeinsame Veranstaltungen und Aktivitäten mit Akteuren, die fest

im KMU-Umfeld verankert und gut vernetzt sind. Als eine der nächsten Aktionen organisiert ITSec4KMU in Zusammenarbeit mit dem Bundesamt für Cybersicherheit (BACS) am 11. Juni 2024 einen Sensibilisierungsanlass für KMU. Das Ziel ist es, konkrete Massnahmen aufzuzeigen, mit denen KMU ihr Unternehmen schützen können. Diese Veranstaltung ist als Pilot konzipiert, mit der Absicht, sie 2025 in anderen Regionen der Schweiz zu wiederholen. Aktuell plant ITSec4KMU weitere Aktivitäten und Veranstaltungen, um gemeinsam mit Partnern und Unterstützern dazu beizutragen, dass KMU ihre Sicherheitsmassnahmen gegen Cyberangriffe stärken.

Weitere Informationen zum Anlass finden Sie unter: https://event.itsec4kmu.ch/KMU_2024

Hinweis: Dieser Beitrag ist erstmals auf SwissCybersecurity.net erschienen.

Über ITSec4KMU

ITSec4KMU ist eine Informationsplattform für KMU mit nützlichen Tipps rund um das Thema Cybersicherheit. Dazu gehören unter anderem Informationen und Checklisten, damit sich KMU bestens auf potenzielle Cyberangriffe vorbereiten können. Die Förderung des Bewusstseins für Cybersicherheit und der einfache Zugang zu Informationen sind wesentliche Elemente. Zusätzlich beinhaltet die Informationsplattform neben News und Hinweisen auf Veranstaltungen eine Übersicht von IT-Dienstleistern, welche von KMU bei konkreten Fragen oder in Notsituationen kontaktiert werden können. ITSec4KMU ist eine reine Informationsplattform

und bietet selbst keine Dienstleistungen für KMU an. Der Kanton Zug unterstützt ITSec4KMU bis 2026 mit rund 1,4 Millionen Franken. www.itsec4kmu.ch

Im Interview mit dem IT-Markt erklären der Regierungsrat und Initiant von ITSec4KMU, Heinz Tännler, sowie René Hüsler, Projekt-Owner und Direktor des Departements Informatik der Hochschule Luzern, Hintergründe zum Projekt. Unter anderem, weshalb der Kanton Zug für die Lancierung von ITSec4KMU prädestiniert ist und wie KMU konkret unterstützt werden.

Aufklärung hilft dabei, Cyberrisiken zu minimieren

Die Bedrohung durch Cybercrime ist heute allgegenwärtig und betrifft zunehmend auch KMU. «Daher sehen sich Firmen vermehrt mit der Herausforderung konfrontiert, ihre Daten und Systeme vor immer raffinierteren Angriffen zu schützen», erklärt Adrian Bachmann, Geschäftsführer der Temet AG. Eine zentrale Rolle in diesem Zusammenhang spiele die Sensibilisierung der Mitarbeitenden: «Es ist unerlässlich, dass die Angestellten die Gefahren von Cybercrime verstehen – und realisieren, welchen entscheidenden Beitrag sie zur Sicherheit des Unternehmens leisten können», erklärt der Experte. Ein entscheidender Schritt in diese Richtung sei die Durchführung gezielter und spezifischer Sensibilisierungskampagnen, welche die Temet AG als Teil ihres Serviceportfolios durchführt. Diese Kampagnen sollen die Mitarbeitenden über die vielfältigen Cyberrisiken, denen sie in ihrem Arbeitsalltag begegnen können, aufklären. Von Phishing-Attacken bis hin zu MalwareInfektionen – informierte Mitarbeitende sind besser gerüstet, um potenzielle Bedrohungen zu erkennen und angemessen darauf zu reagieren. Nach Abschluss der Schulungen sind PhishingKampagnen ein wirksames Mittel, um das erlernte Wissen zu überprüfen. «Durch simulierte Phishing-Angriffe können wir feststellen, ob die Angestellten die Inhalte unserer Schulungen wirklich verinnerlicht haben und ob sie in der Lage sind, korrekt zu reagieren.» Die Sensibilisierung der Mitarbeitenden sei im Idealfall kein einmaliger Prozess, sondern eine kontinuierliche Aufgabe. «Nur so können wir sicherstellen, dass die Unternehmen den wachsenden Herausforderungen im Bereich Cybercrime gewachsen sind», betont Bachmann. Die Temet AG nimmt hier die Rolle eines Wegbereiters ein.

Brandreport • Comvenis AG

Sicherheit im digitalen Zeitalter: Strategien gegen unternehmensinterne Cyberbedrohungen

Studien gehen bei 60 Prozent der Cyberkriminalität-Vorfälle von sogenannten Kritischen Informationstechnologie-Insidern (KITI) aus. Eine Macht- oder Schlüsselposition wird ausgenutzt. Um das Risiko solcher Ereignisse zu minimieren, können Unternehmen und vor allem ihre Mitarbeitenden einiges beachten. Eine Expertin erklärt, wo das Problem liegt und welche Lösungen bestehen.

Spion:innen und Cyberkriminelle sind auch hierzulande auf der Jagd nach vertraulichen Informationen und geschützten Technologien wie patentierten Erfindungen, Forschungsprojekten oder proprietären Softwarelösungen. Die Schweiz ist als hoch entwickelte Wirtschaftsnation ein begehrtes Ziel für Angriffe. Neben der geopolitischen Lage und der internationalen Verbindungen gibt es zahlreiche weitere Faktoren, die sie besonders attraktiv machen. Doch Unternehmen können sich schützen – «Fokus» zeigt wie.

Mitarbeitende dürfen sich nicht manipulieren lassen

Eine seit Jahrtausenden bekannte und häufige Taktik von Angreifer:innen ist das Social Engineering – auf Deutsch «soziale Manipulation». Dabei handelt es sich um eine zwischenmenschliche Beeinflussung mit dem Ziel, ein bestimmtes Verhalten beim Gegenüber hervorzurufen, um es zum Beispiel zur Freigabe vertraulicher Informationen oder Finanzmittel oder zum Kauf eines Produktes oder einer Dienstleistung zu bewegen. Schulungen und Sensibilisierungsprogramme können

Mitarbeitende auf verdächtiges Verhalten aufmerksam machen und über die Risiken von Spionage informieren. Schulungen können ihnen helfen, Anzeichen – sogenannte Frühwarnhinweise – zu erkennen und angemessen darauf zu reagieren. «Letztlich ist die Ausbildung des Menschen das Wichtigste», erklärt die Expertin Sonja Stirnimann. «Wir sind das stärkste, aber eben auch das schwächste Glied.» Einerseits brauche es eine Sensibilisierung, dass es zu solchen Angriffen kommen kann. Andererseits könnten Mitarbeitende in sehr praxisbezogenen Schulungen aus Fallbeispielen anderer Unternehmen lernen. Solche Fallbeispiele legt Stirnimann in ihrem Buch «Der Mensch als Risikofaktor bei Wirtschaftskriminalität» dar. Sie sollen Unternehmen in Krisensituationen helfen, den Schaden zu minimieren und die Reputation aller Betroffenen zu schützen. Was die Buchautorin kritisch beobachtet, ist die Verbreitung von Phishing-Kampagnen ohne vorgängige Sensibilisierung und angesichts mangelnder Fehlerkultur. «Wenn Unternehmen ihre Mitarbeitenden diesen sehr wichtigen Kampagnen unvorbereitet – im Sinne von fehlender Sensibilisierung und Ausbildung – aussetzen, hinterlassen sie oft ein schlechtes Gefühl und erzeugen Verunsicherung. Ziel muss sein, die Mitarbeitenden zu befähigen, das Unternehmen zu schützen.» Oft werde dieses gross vorhandene Potenzial für den Schutz des Unternehmens zu wenig ausgenutzt. «Mit gezielter strategischer Prävention lässt

sich das Risiko wesentlich reduzieren und den Schutz sensibler Daten erhöhen», bekräftigt Stirnimann.

Menschlich sei, dass oft erst nach einem Vorfall präventive Massnahmen ergriffen würden. «Davor gehen die Verantwortlichen nach wie vor gerne davon aus, dass sie ohnehin nicht interessant genug und somit keine Zielscheibe für solche Angriffe sind. Die Argumente sind so vielfältig wie die Unternehmen selbst.» Dabei sei es essenziell, dass sich die Verantwortlichen ihrer individuellen Risiken bewusst sind.

Vorsicht vor «Biases» bei der Rekrutierung Bei der Rekrutierung neuer Mitarbeitenden und insbesondere in Schlüsselfunktionen wie auch bei der Zusammenarbeit mit externen Partnern sollten Unternehmen gründliche Abklärungen durchführen. Sie müssen sicherstellen, dass diese Akteure vertrauenswürdig sind und keine potenzielle zusätzliche Sicherheitsbedrohung darstellen. «Diplome und Zeugnisse werden nicht immer mit der notwendigen professionellen Skepsis geprüft. Die richtigen Fragen, was die Integrität einer Person betrifft, ist von grosser Relevanz. HR-Abteilungen können hierbei eine grosse Unterstützung sein, wenn sie ihre Aufgaben ausweiten.

Auch hier sehe ich materielle qualitative Unterschiede und das Potenzial ist gross » so Stirnimann. Verantwortliche müssen sich darauf abstützen können, dass das Auswahlverfahren ihren Ansprüchen an Unternehmensintegrität entspricht. Immer wieder fällt auf, dass bei Personen, welche (medial) eine gewisse Followerschaft haben, die Überprüfung solider Referenzen und Auskünfte im Rahmen des Rekrutierungsprozesses weniger vertieft stattfinden.

«Wir Menschen lassen uns nicht selten blenden. Bereits das Bewusstsein und die Akzeptanz unserer eigenen Biases hilft, das nächste Mal diese mitzuberücksichtigen», erklärt Stirnimann.

Mit professioneller Skepsis und gesundem Menschenverstand dagegen ankämpfen Wie kommt es überhaupt zu Betrug? Sonja Stirnimann nennt als Vereinfachung das sogenannte Fraud-Dreieck, das aus Gelegenheit, Motiv und Rechtfertigung besteht. Was am Schluss ausschlaggebend dafür war, dass jemand die Vorteile ihrer Position ausnutzt, sei mannigfaltig. Grundsätzlich rät die Expertin zu einer professionellen Skepsis und Vertrauen in unseren gesunden Menschenverstand. Gepaart mit dem Wissen, welche Modi Operandi von Fraud-Muster es gibt – und da gehört die Thematik der Cyberkriminalität genauso rein wie der Anlagebetrug eines Ponzi-Schemas. Ohne dies fehle bei den Mitarbeitenden oft der Mut, einem unguten Bauchgefühl nachzugehen. «Mitarbeitende kündigen eher, als dass sie ein auffälliges Verhalten oder eine Unregelmässigkeit melden.» Wichtig sei vor allem die gelebte Unternehmensintegrität, Compliance ist nur einer der Bestandteile davon. Chefinnen und Teamleiter sollen sich ihre Vorbildfunktion immer wieder ins Bewusstsein rufen und tun gut daran, die Werte des Unternehmens tagtäglich vorzuleben. So könnten die Unternehmensintegrität gefördert und Vertrauensmissbräuche reduziert werden. Zahlreiche Unternehmen profitieren von diesem strategischen Wettbewerbsvorteil in vieler Hinsicht.

Text Linda Carstensen

O«Wir machen grosse Lösungen auch für kleinere Firmen nutzbar»

Die Comvenis AG bringt als Swisscom-Platinpartnerin die facettenreiche Lösungswelt der Swisscom zu Schweizer KMU und passt sie auf deren Bedürfnisse an. Gleichzeitig entwickelt man auch eigene Anwendungen, die das Portfolio perfekt ergänzen.

b Telefonie, sicheres Cloud-Computing oder Internetanschlüsse im Allgemeinen – der führende Schweizer Telekommunikationsanbieter Swisscom verfügt in diesen Bereichen über ein umfangreiches Produkt- und Serviceportfolio. «Allerdings richten sich diese erstklassigen Lösungen oft an eher grössere Betriebe», erklärt Pitsch Müller, Geschäftsführer der Comvenis AG. Sein Unternehmen schlägt hier die Brücke: Als Platinpartnerin der Swisscom passt das Team der Comvenis AG die Anwendungen so an, dass sie den Bedürfnissen und Möglichkeiten eines KMU ideal entsprechen und implementiert die Anwendungen der Swisscom-Welt direkt in die IT-Umgebungen der Kundinnen und Kunden. «Damit sorgen wir Outsourcing-Dienstleister dafür, dass ein KMU von den gleichen Sicherheiten wie eine Grossbank profitieren kann», betont Müller mit einem Augenzwinkern.

Auch eine Schmiede für eigene Lösungen Nebst ihrer Rolle als Swisscom-Partnerin hat sich die Comvenis AG noch ein zweites Standbein aufgebaut:

Der in Schlieren ZH domizilierte Dienstleister bietet mit «Venis Arbeitsplatz» auch eine selbst entwickelte Lösung für kleinere Betriebe an.

Der in Schlieren ZH domizilierte Dienstleister bietet mit «Venis Arbeitsplatz» auch eine selbst entwickelte Lösung für kleinere Betriebe an. «Hierbei handelt es sich quasi um eine IT-Security-as-a-Service-Lösung», erklärt Müller. Für einen monatlichen Betrag kann ein Unternehmen oder ein Start-up seine Daten-Angelegenheiten an die erfahrenen Profis der Comvenis AG delegieren. Das hat entscheidende Vorteile: Zum einen

kann sich das Kundenunternehmen voll und ganz auf seine Kernkompetenzen konzentrieren – und zum anderen greifen im Angriffsfall die bewährten und eingespielten Schutzprozesse. Kommt es etwa zu einem Ransomware-Vorfall, verliert ein KMU nicht sämtliche Daten und muss den Betrieb zwecks Säuberung und Neuinstallation für eine Woche stilllegen, sondern hat mit «Venis Arbeitsplatz» alle Daten innerhalb von

zwei Stunden zurückgespielt. Somit kann der Betrieb praktisch ohne Unterbruch weitergeführt werden.

Mit ihren beiden Standbeinen ist die Comvenis AG die ideale Wegbereiterin für alle Unternehmen, die bei der Sicherheit keine Kompromisse eingehen möchten – und dennoch Wert legen auf KMU-gerechte Konditionen.

Weitere Infos unter: www.comvenis.ch

«Den Menschen immer nur als Sicherheitsrisiko zu sehen, ist der falsche Ansatz»

Die Anzahl der Cyberangriffe steigt. Um sich vor dieser Gefahr zu schützen, müssen Unternehmen aller Branchen und Grössen auf mehreren Ebenen aktiv werden. Wie das gelingt, fragte «Fokus» bei einem Experten nach.

Herr Bachmann, die Temet AG ist spezialisiert auf Security Consulting. Worum handelt es sich dabei?

Im Kern geht es darum, unser Fachwissen im Bereich Cybersecurity in Form von massgeschneiderten Beratungsleistungen für unsere Kundschaft einzubringen. Das ist deshalb so wichtig, da wir nicht an das Giesskannenprinzip glauben. Unsere Strategie basiert vielmehr darauf, risikoorientiert zu agieren. Nehmen Sie zum Beispiel die Sensibilisierung von Mitarbeitenden: Durch gezielte und spezifische Sensibilisierungskampagnen gilt es, diese über Cyberrisiken in ihrer Arbeit aufzuklären. Phishing-Kampagnen helfen anschliessend zu überprüfen, ob die Mitarbeitenden die Inhalte unserer Schulungen wirklich verstanden haben – und ob eine angemessene Reaktion erfolgt. Wie messen Sie den Erfolg solcher Kampagnen?

Ein meistgenutzter Indikator ist die Klickrate, welche die Phishing-E-Mails erzielen. Wir müssen uns allerdings bewusst sein, dass es utopisch ist, eine Klickrate von null Prozent anzustreben. Viele Faktoren wie die individuelle Tagesform einer Person oder der Zeitpunkt können die Wahrscheinlichkeit eines Klicks beeinflussen.

Wer zum Beispiel auf LinkedIn über die anstehenden Tauchferien in der Türkei postet, läuft Gefahr, dass sie oder er eine Phishing-Mail anklickt, die auf diesen Urlaub Bezug nimmt. Und ja: Die heutigen Systeme der Cyberangreifer sind in der Lage, Informationen von Social Media direkt in ihre Phishing-Mails einfliessen zu lassen. Unser Ziel lautet daher, nicht nur die Klickrate zu reduzieren, sondern die Mitarbeiter so zu sensibilisieren, dass sie optimal auf verdächtige E-Mails reagieren.

Wie sieht demnach die optimale Reaktion auf den Erhalt einer Phishing-Mail aus?

Der essenzielle Faktor ist Geschwindigkeit. Ideal wäre es, wenn wir von Temet eine Kampagne über Nacht ausspielen und der erste Mitarbeiter unseres Kundenunternehmens, der am Morgen unsere Phishing-Mail erhält, diese direkt meldet. Wenn dann das Security Operations Center (SOC) zeitnah reagiert und Gegenmassnahmen einleiten kann, haben wir ein effektives System geschaffen. Diese Kultur des Sicherheitsverständnisses streben wir in unserer Beratung an.

Welche weiteren Faktoren sind dafür nebst Geschwindigkeit wesentlich?

Awareness allein reicht nicht. Eine Firma benötigt überdies solide Prozesse sowie einen angemessenen Grundschutz auf allen Endgeräten. Und falls doch einmal eine schädliche Software durchkommt, sollten Sicherungsmassnahmen wie Endpoint Isolation greifen. Zudem muss die richtige Kultur etabliert werden, um eine Atmosphäre der Angst zu vermeiden.

Eine Atmosphäre der Angst?

Genau. Oft wird der Mensch als schwächstes Glied im Sicherheitsprozess bezeichnet. Doch diese Sicht ist der falsche Ansatz, denn sie verhindert, dass eine

Gefährdungssituation gemeldet wird, weil man sich vor den Konsequenzen fürchtet. Dabei muss man relativieren: Wenn durch einen einzigen Fehlklick ein ganzer Betrieb lahmgelegt wird, hat nicht die Einzelperson versagt, sondern das ganze System. Der Mensch wird somit zum wichtigsten Sensor, wenn die Technik bereits versagt hat.

Wie hat sich das Phishing im Laufe der Zeit weiterentwickelt?

Leider werden Phishing-Attacken immer ausgefeilter. Besonders perfide: Es gibt heute sogar Angriffe, bei denen die Mails absichtlich in schlechtem Deutsch verfasst sind, um weniger versierte Opfer zu erwischen. Denn wer gutgläubig auf eine derartige Nachricht reagiert, folgt mit höherer Wahrscheinlichkeit auch der Aufforderung, ein Passwort weiterzugeben. Gleichzeitig ermöglicht der Einsatz von KI wie ChatGPT die Erstellung von äusserst überzeugenden Phishing-E-Mails.

Das klingt nach einer ständigen Bedrohung. Wie können Unternehmen reagieren?

Jede Organisation muss eine Kultur fördern, die von Sicherheitsbewusstsein geprägt ist, robuste Sicherheitsprozesse implementiert und für einen soliden technischen Schutz sorgt. Das ist ein fortlaufender Prozess, der Anpassungsfähigkeit und Engagement erfordert. Wir von der Temet AG unterstützen Unternehmen dabei, eine solche Kultur im Betrieb zu verankern. Zudem stehen wir als Sparringpartner zur Verfügung und überprüfen getroffene Massnahmen auf ihre Wirkung – und ihre Nachhaltigkeit. Zu diesem Zweck beraten wir auch hinsichtlich des «Supply Chain Risk Managements». Worum handelt es sich dabei? Lieferanten und Dienstleister haben einen wesentlichen Einfluss auf die Sicherheit eines Unternehmens,

denn keine Firma agiert isoliert. Daher muss man sich mit der Frage auseinandersetzen, wie man die Sicherheit in der eigenen Lieferkette gewährleisten kann. In verschiedenen Projekten durften wir unsere Kundschaft in den letzten Jahren in diesem Bereich unterstützen. Dabei gibt es verschiedene, individuelle Risikoszenarien, die berücksichtigt werden müssen. Verarbeitet ein Dienstleister Daten, können diese bei ihm gestohlen werden. Liefert der Anbieter Software, kann diese manipuliert sein.

Und wie kann man solche SupplyChain-Risks adressieren?

Ein gutes «Supply Chain Risk Management» beginnt bei der Inventarisierung der Lieferanten als erster Schritt zu einem umfassenden Lieferantenmanagement. Anschliessend benötigt man eine Methodik, um kritische Lieferanten unabhängig des Auftragsvolumens zu identifizieren. Jedes Beschaffungsprojekt wird in der Folge auf diese Weise bewertet. Wenn ich meine kritischen Lieferanten identifiziert habe, muss ich meine Erwartungen an sie kommunizieren. Es reicht nicht, anzunehmen, dass der Lieferant sich angemessen um die Sicherheit seiner Produkte und Dienstleistungen kümmern wird. Sicherheit muss daher in Ausschreibungen und Verträgen explizit und konkret eingefordert werden. Natürlich unterstützen wir Firmen auch in diesem wichtigen Handlungsfeld. Weitere Informationen unter: www.temet.ch

Suissedigital • Brandreport

Cybersecurity-Tests für die Öffentlichkeit und KMU

Vor rund drei Jahren lancierte der Wirtschaftsverband Suissedigital einen Cybersecurity-Test, der die Öffentlichkeit für die Gefahren des Cyberraums sensibilisiert. In Ergänzung dazu wurde vor Kurzem ein Test entwickelt, der spezifisch an die Bedürfnisse von kleinen und mittleren Unternehmen (KMU) angepasst ist. Beide Tests sind auf Deutsch und Französisch online unter www.suissedigital.ch verfügbar.

« In unserer digitalisierten Gesellschaft ist die Sicherheit im Cyberraum von eminenter Bedeutung. Wir befassen uns deshalb seit Längerem mit dem Thema Cybersecurity», sagt Simon Osterwalder, Geschäftsführer des Wirtschaftsverbands Suissedigital. Nebst Workshops und Beratung für die Mitglieder bietet der Verband unter dem Namen «Cybersecurity-Check» einen Onlinetest an, der die Öffentlichkeit für die Gefahren des Cyberraums sensibilisiert.

Zwei Schwierigkeitsstufen, zwei Sprachen Der Cybersecurity-Check ist auf Deutsch und Französisch sowie in zwei Schwierigkeitsstufen – für Einsteiger (Basic) und Fortgeschrittene (Advanced) –verfügbar. So ist garantiert, dass alle Interessierten ihr Wissen zum Thema Cybersecurity überprüfen und aktualisieren können. Dazu dienen auch ein ausführliches Glossar und zwei Merkblätter, die kostenlos heruntergeladen werden können. Wer den Security-Check absolviert, erhält bei jeder Frage ein detailliertes Feedback zur gewählten Antwort und am Schluss eine Gesamtauswertung. So vermittelt der Test relevantes Wissen, mit dem man sich gegen Cyberkriminalität schützen kann und bietet gleichzeitig eine Orientierungshilfe.

Fehlende Sensibilität bei KMU Immer mehr Aspekte des Geschäftslebens finden digital statt. Dies gilt gerade auch für kleine und mittlere Unternehmen (KMU), die dank der Digitalisierung ihre Prozesse effizienter gestalten und potenzielle Kunden leichter erreichen und binden können. Gleichzeitig steigt damit für die KMU das Risiko, Opfer von Cyberkriminalität zu werden. Oft scheint bei ihnen jedoch die Sensibilität dafür zu fehlen: «Gerade bei KMU oder Gemeindeverwaltungen fehlt

das Gefühl der eigenen Verletzlichkeit gegenüber Cyberkriminalität», sagte Cybersecurity-Spezialist Nicolas Mayencourt kürzlich in einem Interview. Orientierung am NIST-Framework Aus diesem Grund hat Suissedigital vor Kurzem einen weiteren Onlinetest lanciert, der KMU eine Selbsteinstufung und im Laufe der Zeit einen Vergleich mit anderen KMU ermöglicht. Der Verband orientierte sich dabei an den Funktionen des NIST-Framework, einer etablierten Reihe von Richtlinien und Vorgehensweisen zur Gewährleistung der IT-Sicherheit: 1. Identifizieren;

2. Schützen; 3. Erkennen; 4. Reagieren und 5. Wiederherstellen. An diesem Framework orientiert sich auch der IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung.

Bewusstsein für die Gefahren von Cyberkriminalität schärfen «Die meisten unserer Mitglieder gehören zur Gruppe der KMU – für sie haben wir den neuen Test entwickelt», sagt Suissedigital-Geschäftsführer Simon Osterwalder. Er ist überzeugt, dass der Test einen wichtigen Beitrag leisten wird, dass KMU ihr Bewusstsein für die Gefahren von Cyberkriminalität

schärfen und die notwendigen Massnahmen treffen. Der Test für KMU, der auch Nichtmitgliedern offensteht, ist auf Deutsch, Französisch und Englisch unter www.suissedigital.ch verfügbar.

Konkrete Unterstützung im Kampf gegen Cyberkriminalität

Die Cybersecurity-Tests wurden bis dato mehr als 4500 Mal (Test für Einsteiger), 2570 Mal (Test für Fortgeschrittene) und 300 Mal (Selbsteinstufungsund Vergleichstest für KMU) gemacht. Simon Osterwalder: «Unsere Tests sind populär, weil sie den Nutzerinnen und Nutzer im Kampf gegen Cyberkriminalität konkrete Unterstützung bieten.»

Mehr Informationen unter: suissedigital.ch

Suissedigital ist der Wirtschaftsverband der Schweizer Kommunikationsnetze. Ihm sind rund 180 privatwirtschaftlich wie auch öffentlichrechtlich organisierte Unternehmen angeschlossen, die über drei Millionen Haushalte mit Radio, TV, HDTV, Internet, Telefonie und weiteren Angeboten versorgen.

ie Anzahl der Cyberangriffe steigt und längst geraten auch Schweizer KMU ins Visier von Cyberkriminellen. Dennoch wird das Thema «Cybersecurity» in vielen Firmen noch als reines IT-Problem verkannt. Die WISS Schulen schaffen mit ihrem praxisnahen «Cyber Security Seminar für KMU» Aufklärung – und zeigen, dass die digitale Sicherheit auch Aufgabe der Führungsebene ist.

Herr Tschobokdji, warum ist das Thema «Cybersicherheit» derzeit in aller Munde?

Weil es zu den dringlichsten Themen unserer Zeit gehört. Laut polizeilicher Kriminalstatistik gab es vergangenes Jahr in der Schweiz 2023 knapp 44 000 Straftaten, die in einem «Cybermodus» begangen wurden. Und dabei handelt es sich nur um diejenigen Fälle, die bekannt sind: Weil Straftaten im Cyberbereich aus Reputationsgründen oft nicht öffentlich eingestanden oder zur Anzeige gebracht werden, ist die Dunkelziffer entsprechend höher. Das ist gleich doppelt problematisch, denn nicht nur verhindert dieses Mindset, dass in den betroffenen Unternehmen die entsprechenden organisatorischen Massnahmen und Sicherheitsvorkehrungen getroffen werden – die Betriebe verstossen damit auch gegen das neue Datenschutzgesetz. Denn dieses verlangt die Sicherstellung von Daten durch angemessene Massnahmen und umfasst auch eine Meldepflicht im Angriffsfall.

Brandreport • United Security Providers AG 6 Brandreport • WISS Schulen

«Die Erkenntnis muss sich durchsetzen, dass Cybersecurity auch ein Führungsthema

Was also muss sich ändern, um die Situation zu verbessern?

Wir erachten es als essenziell, dass sich in Unternehmen die Erkenntnis durchsetzt, dass Cybersecurity nicht nur ein IT-Thema ist, sondern auch auf Geschäftsleitungs- und Verwaltungsratsebene die entsprechende Relevanz erlangen muss. Gerade auf dieser Stufe ist dies besonders wichtig, da Datensicherheit nicht nur technisch, sondern auch auf organisatorischer Ebene im Unternehmen umgesetzt werden muss. Um hier die richtigen Entscheidungen treffen zu können, ist es notwendig, über ein Grundwissen und -verständnis zum Thema Cybersecurity zu verfügen. Genau hier setzen wir von den WISS Schulen an, mit unserem «Cyber Security Seminar für KMU». Über sechs Abende verteilt vermittelt das Seminar, das online durchgeführt wird, die grundlegenden Kenntnisse zu aktuellen Erscheinungsformen und Ausprägungen von Cyberbedrohungen, ihre Auswirkungen auf KMU und welche Managementmassnahmen einen Angriff erschweren können. Zudem beleuchten wir auch die rechtlichen Aspekte, Gefahren für eine Betriebsweiterführung und welche Schritte im Fall eines erfolgreichen Angriffs auf Geschäftsleitungsebene nötig sind.

An wen richtet sich das Seminar konkret? Primär an Geschäftsleitungs- oder Leitungsmitglieder von KMU, aber auch an Generalist:innen und NichtIT-Spezialist:innen mit Verantwortung oder Bezug zu Themen wie Mitarbeiterschulung, Unternehmensprozesse, Business Continuity Management, Cyber- und Informatiksicherheit oder Datenschutz. Das Seminar ist bewusst nicht technisch konzipiert und speziell darauf ausgerichtet, Kadermitarbeitenden von KMU den optimalen Überblick über die aktuellen Gefahren zu verschaffen und Bedrohungsformen in der Onlinewelt besser zu verstehen. Ferner eignen sich die Inhalte aber auch für alle Entscheidungsträger:innen, die für die Entwicklung und Umsetzung von Sicherheitsstrategien verantwortlich sind

Wir setzen für das Seminar explizit kein Spezialwissen im Bereich Informatik oder Recht voraus.

und lernen wollen, wie sie sich im Fall eines Cyberangriffs verhalten müssen und wie die juristischen Aspekte, Richtlinien und Sicherheitsstandards aussehen. Nochmals zu betonen: Wir setzen für das Seminar explizit kein Spezialwissen im Bereich Informatik oder Recht voraus.

Auf welche Gefährdungsszenarien gehen Sie konkret ein?

In der Schweiz sind KMU vorwiegend von Ransomware-Attacken, Datenabfluss (Geschäftsgeheimnisse) und verschiedenen weiteren Cyberphänomenen betroffen. Darum legen wir am Seminar grossen Wert auf diese Themenfelder. Auch Phishingangriffe (Kriminelle versuchen oft, durch gefälschte E-Mails, Nachrichten oder Websites an sensible Unternehmensdaten zu gelangen) sowie der Einfluss von künstlicher Intelligenz und Maschinellem Lernen auf zukünftige Angriffsszenarien werden abgedeckt. Zudem widmen wir uns dem Social Engineering, da Angriffe, die auf menschliche Schwächen abzielen, weiterhin häufig vorkommen. Den wichtigen Themen Compliance und Datenschutz widmen wir uns ebenfalls, um sicherzustellen, dass Unternehmen aktuelle Entwicklungen in den Datenschutzgesetzen und Branchenstandards berücksichtigen.

ist»

Welches zentrale Ziel verfolgen Sie mit dem Seminar?

Wir möchten die Teilnehmenden dazu befähigen, die heute vorherrschenden Begriffe und Thematiken einordnen sowie potenzielle Gefahren für ihre Firma abschätzen zu können. Sie sollen zudem in der Lage sein, zu analysieren, «wie fit» ihre Unternehmung ist und was sie noch tun können oder müssen, um ihr KMU (noch) besser zu schützen. Darüber hinaus werden die Teilnehmenden nach dem Seminar dazu imstande sein, mit IT-Sachverständigen auf «Management-Level» zu diskutieren, dadurch nachhaltige Entscheidungen im Kontext Cybersicherheit zu treffen sowie in Absprache mit ihren IT-Security-Verantwortlichen die richtigen Schritte einzuleiten. Um diese Ziele erfolgreich zu erreichen, bestehen die einzelnen Seminar-Abende nicht nur aus theoretischen Inhalten, sondern umfassen auch praktische Gruppenarbeiten.

Weitere Informationen unter: wiss.ch/SECS

Über WISS

Die WISS Schulen für Wirtschaft Informatik Immobilien ist in Zürich, Bern, Luzern und St. Gallen mit Schulstandorten vertreten und bietet Lehrgänge und Weiterbildungen in den Bereichen Betriebswirtschaft, Informatik, Wirtschaftsinformatik und Immobilien an.

«Vertrauen» ist im Bereich Cybersecurity ein kritischer Schwachpunkt

Viele Unternehmen schützen ihr Netzwerk mit einem virtuellen Perimeter wie etwa einer Firewall. Das Problem dabei: Haben Angreifer:innen diese digitale Schutzmauer erst einmal überwunden, stehen ihnen anschliessend viele Türen offen. Eine Lösung hierfür bietet die Zero-Trust-Architektur. «Fokus» sprach mit einem Experten auf diesem Gebiet.

Herr Gueggi, im Zusammenhang mit Cybersicherheit fällt heute vermehrt der Begriff «Zero-Trust-Architektur». Was genau versteht man darunter? Damit wird ein Sicherheitskonzept beschrieben, bei dem Vertrauen als Risikofaktor gesehen wird. Das bedeutet, vereinfacht gesagt: Man vertraut nichts und niemandem und identifiziert stattdessen alles und jeden. Das klingt äusserst strikt. Das stimmt, doch angesichts der heutigen Gefährdungslage ist diese Striktheit unumgänglich. Und dank der heutigen Technologie gewährleistet das Zero-Trust-Prinzip nicht nur einen sicheren Betrieb, sondern steht auch effizienten Prozessen nicht im Weg. Wir müssen einfach anerkennen, dass das vorherrschende Perimetermodell heutzutage nur noch bedingt dazu in der Lage ist, eine ausreichende Cybersecurity zu gewährleisten. Beim Perimetermodell geht es, vereinfacht gesagt, darum, dass man eine IT-Umgebung mit einer Schutzzone umgibt. Haben Angreifer diese aber erst einmal überwunden und befinden sich innerhalb des digitalen Schutzwalls, haben sie anschliessend mehr oder weniger freien

Zugang zu sämtlichen Daten und Programmen im Netzwerk. Angesichts der zunehmenden Verbreitung der Cloud sowie Software-as-a-Service-Lösungen verteilt sich der Perimeter auf verschiedene ITUmgebungen und kann nicht mehr zentral gesteuert werden. Die Zero-Trust-Architektur mit ihrer stetigen Autorisierung und partiellen Zugangsgewährung bietet hier ein deutlich höheres Sicherheitspotenzial.

Wie funktioniert Zero Trust in der Praxis genau?

Zero Trust geht davon aus, dass alles unsicher ist. Anstatt einen weitläufigen Perimeter um das gesamte Netzwerk zu errichten, schaffen wir «Mini-Perimeter» um jedes einzelne schützenswerte Objekt im Netzwerk, wobei jede dieser Schutzmassnahmen eine enorme Resilienz aufweist. Sämtliche Objekte und Nutzer:innen im Netzwerk werden individuell authentifiziert und autorisiert. Bei Zero Trust handelt es sich also um eine umfassende Sicherheitsstrategie, welche die Dimensionen Identity Management, Access Management, Endpoint Security, Security Architecture und People Security umfasst.

Die strikte Authentifizierung und Autorisierung sind also Kernmerkmale des Zero-Trust-Ansatzes? Ganz genau. Es braucht unter anderem Systemlösungen, die jede Anfrage auf Netzwerk- und Applikationsebene prüfen, jede Benutzerin und jeden Benutzer inklusive der verwendeten Geräte und deren Zustand identifizieren und risikobasiert bewerten, bevor Zugriff gewährt wird. Ändert sich der Kontext, etwa, wenn sich eine Person von einem neuen Standort aus einloggen möchte, überprüft das Gesamtsystem automatisch sämtliche kritischen Gesichtspunkte nach einer vordefinierten Richtlinie neu.

Sie haben kürzlich eine «Zero-TrustMarktstudie» veröffentlicht und hierfür in der DACH-Region eine Befragung von Unternehmen durchgeführt. Wie lauten die Kernergebnisse? Richtig, wir haben zusammen mit der HWZ und Cato Networks eine Umfrage im DACH-Raum

durchgeführt, bei der rund 250 Unternehmen verschiedenster Branchen und Grössen mitgemacht haben. Uns interessierte dabei primär, wo diese Unternehmen auf dem Weg zu einer Zero-Trust-Architektur stehen und welche Massnahmen sie bereits umgesetzt haben. Die Ergebnisse zeigen, dass viele Firmen zwar den Bedarf erkennen und bereits erste Schritte eingeleitet haben – doch die Erhebung machte auch klar, dass es noch viel zu tun gibt, insbesondere bei der Problematik der verteilten Identitäten oder auch bei People Security. Was würden Sie dementsprechend Unternehmen empfehlen, die den ZeroTrust-Ansatz implementieren möchten? Zunächst ist es wichtig zu verstehen, dass die Umsetzung von Zero Trust eine Reise ist. Es handelt sich nicht um ein Projekt, bei dem man einfach mal ein System einführt und damit das Thema erschlägt. Gemäss unserer Einschätzung gibt es auch keinen Technologieanbieter, der sämtliche Aspekte abdeckt. Wir empfehlen deshalb eine ganzheitliche Herangehensweise, welche auf der individuellen Situation eines Unternehmens aufbaut und die passenden Schwerpunkte bezüglich Zero-Trust-Komponenten setzt. Eine schrittweise Implementierung berücksichtigt dann diejenigen Technologien, welche individuell am besten zur Situation und den Schwerpunkten passen. Dadurch bleibt das strategische Vorhaben übersichtlich, es können Zwischenerfolge gefeiert und Veränderungen auf dem Weg mitberücksichtigt werden.

Und wo können Sie als United Security Providers dabei unterstützen?

Da muss ich kurz ausholen. Seit 30 Jahren sind wir spezialisiert unterwegs im Kontext IT-Security. Als Consulting-Boutique, als Entwickler von Swiss-Made-Security-Software, als Systemintegrator und auch als Betreiber weltweit verteilter IT-Security-Infrastrukturen. Ausserdem vereinen wir fundiertes Know-how in den Disziplinen Netzwerk- und Applikationssicherheit unter einem Dach, was einmalig ist. Beim Thema Zero Trust kommen alle diese Aspekte zusammen und müssen ganzheitlich eingesetzt werden.

Vor diesem Hintergrund erwarten unsere Kunden deshalb von uns, dass wir sie auf dem Weg zu einer Zero-Trust-Architektur umsichtig begleiten und in allen Phasen Mehrwert bieten – egal, von welchem Startpunkt aus die Reise losgeht. Unser Anspruch besteht darin, Fehlinvestitionen zu vermeiden und die Transformation schrittweise und erfolgreich zu bewältigen. Und wir glauben fest daran, dass der Zero-Trust-Ansatz für Unternehmen jeder Grösse und Branche von entscheidender Bedeutung und auch bewältigbar ist.

Weitere Informationen unter www.united-security-providers.ch

«Sicherheit

funktioniert

nur ganzheitlich –alles andere ist Flickwerk»

NorthC betreibt Rechenzentren in der Schweiz, Deutschland sowie in den Niederlanden. Diese fungieren als digitale Ökosysteme, in denen Organisationen aller Art mit Cloud- und IT-Anbietern kooperieren können. Gemeinsam mit dem Schweizer Unternehmen Phoenix Systems AG und seiner «souveränen Cloud» bietet man Kundinnen und Kunden die Möglichkeit, Daten in einer der modernsten und sichersten Cloudlösungen in der Schweiz unterzubringen.

Herr Mitric, Herr Nöll, das Thema «Cybersicherheit» steht heute bei praktisch allen Unternehmen oben auf der Agenda. Was zeichnet «echte» Sicherheit aus?

Miki Mitric: Meines Erachtens kann Sicherheit nur holistisch angegangen werden – alles andere ist Flickwerk. Man benötigt also eine ganzheitliche Perspektive. Wir von NorthC sind darauf spezialisiert, die physische Sicherheit von IT- und Dateninfrastrukturen zu gewährleisten. Das heisst, wir kümmern uns um die Resilienz der jeweiligen Immobilien unserer Rechenzentren und stellen unter anderem sicher, dass Stromversorgung und Kühlung redundant vorhanden sind. Gleichzeitig kümmern wir uns auch um die Nachhaltigkeit der Anlagen, wobei die Auflagen für Datacenters äusserst streng sind. Mit unserer technischen Expertise sowie unserer langjährigen Erfahrung im Betrieb von Rechenzentren schaffen wir eine wichtige Basis für die Cybersicherheit unserer Kundschaft.

Die bekanntesten Public Cloud und Datacenter Provider liegen ja mehrheitlich in den USA. Miki Mitric: Das stimmt – und genau darin liegt ein wesentliches Problem, gerade hinsichtlich der Datensouveränität. Wir stellen vermehrt fest, dass mit zunehmendem Bewusstsein für Cybersicherheit sich auch immer mehr Unternehmen die Frage stellen, wie sicher die Daten im Ausland tatsächlich sind. Gerade für Firmen, die in der Finanz- und Pharmabranche oder dem Medtech-Sektor tätig sind, ist dieses Thema nicht nur aus regulatorischen Gründen enorm relevant. Denn diese Unternehmen müssen sowohl hochgradig sensible Daten als auch ihre Intellectual Property schützen. Wir bemerken daher, dass die Nähe und Regionalität eines Rechenzentrums immer mehr geschätzt und gesucht wird. Wir von NorthC stehen für diese anspruchsvollen Kundengruppen für Sicherheit und Verlässlichkeit. Dies spiegelt auch unser Firmenname wider: NorthC ist eine Abwandlung von Nordsee – denn unsere europäischen Strukturen trotzen auch starkem Wind. Das gilt umso mehr, da wir mit unserem Partner, der Phoenix Systems AG, unsere Stärken noch besser ausspielen können, ganz im Sinne der holistischen Sicherheit. Wie ergänzt die Phoenix Systems AG denn die Rechenzentren von NorthC?

Florian Nöll: Wir begegnen dem steigenden Sicherheitsbedürfnis mit unserer «souveränen Cloud». Das heisst, wir ergänzen die von NorthC gelebte Sicherheit auf Ebene des Rechenzentrums um unsere sichere Hardware sowie weitere Aspekte. Dazu gehören etwa der Bereich Operations sowie weitere spezielle Technologien, auf die wir zurückgreifen.

Können Sie das Prinzip der «souveränen Cloud» näher ausführen?

Florian Nöll: Aus unserer Perspektive besteht die digitale Souveränität aus drei Bereichen: Datensouveränität, technologische Souveränität und operationale Souveränität. «Operational» bedeutet, dass unsere Mitarbeitenden alle in der Schweiz sitzen und wir damit nicht von bilateralen Verträgen zwischen Ländern abhängig sind. «Technologisch» meint, dass wir auf Open-Source-Lösungen setzen und nicht abhängig von Dritten oder Lizenzmodellen sind, was auch die Preisstruktur planbar und transparent macht. Datensouveränität beruht unter anderem darauf, dass die Daten in der Schweiz liegen. Dies wiederum schaffen wir mit unserem Partner NorthC. Wir bei Phoenix sind überzeugt davon, dass eine «Swiss Sovereign

Cloud» nicht weniger als das Rückgrat der souveränen digitalen Zukunft der Schweiz darstellt – und somit entscheidend dazu beiträgt, dass Organisationen widerstandsfähig und unabhängig bleiben. Die Zusammenarbeit mit NorthC war dementsprechend ein logischer und sinnvoller Schritt für uns, der letztlich Schweizer Unternehmen aller Branchen und Grössen zugutekommt. Und die Kooperation reicht weit über das Erbringen einer sicheren, regionalen Cloudlösung hinaus: Wenn man sich die Entwicklung des letzten Jahres anschaut, dann stellt man fest, dass acht von zehn Firmen die Frage umtreibt, wie sie KI nutzen sollen und können. Im Zuge dieser Entwicklung erhält auch die Sicherheitsthematik eine ganz neue Dimension. Deshalb lancieren wir gemeinsam mit NorthC ein souveränes AI-as-a-Service-Angebot. Wie kann man sich ein solches Angebot konkret vorstellen?

Miki Mitric : Wie Florian Nöll ausgeführt hat, ist die künstliche Intelligenz ein brennendes Thema in praktisch allen Industrien. Unser Rechenzentrum in Basel wird nun die Basis für die neue Anwendung bilden. Mit diesem AIaaS-Angebot können Unternehmen verschiedene KI-Funktionen bedarfsgerecht nutzen, ohne dass sie dafür eine eigene, kostenintensive KI-Infrastruktur entwickeln müssen. Vielmehr können sie die künstliche Intelligenz ideal auf ihre Bedürfnisse abgestimmt über uns beziehen – und die Lösung dennoch individuell an ihre Anforderungen und Möglichkeiten anpassen. Und dank des Standorts in Basel ist die Datensouveränität jederzeit gewährleistet.

Florian Nöll: Unsere KI-Plattform kann Unternehmen bei einer Vielzahl von Anwendungsfällen unterstützen. Gerade für die Pharma- und Life-Sciences-Industrie sehen wir ein enormes Potenzial für die erste KI-Cloud

dieser Art. Vor allem, da diese Betriebe für ihre Forschungen zukünftig mit hoher Wahrscheinlichkeit auf künstliche Intelligenz als Unterstützung angewiesen sein werden und gleichzeitig von der Datensouveränität sowie den hohen Sicherheitsstandards profitieren, um ihre Unternehmenswerte zu schützen. Die Schweiz ist gut positioniert, strebt nach Perfektion und Exzellenz und kann mit ihrer Rolle ausserhalb der EU mutig denken, was helfen wird, die KI-Thematik im Zentrum der Digitalisierung von Unternehmen zu positionieren. Wie könnte ein konkreter Kundencase aussehen?

Miki Mitric: Nehmen wir das Beispiel eines etablierten Schweizer Unternehmens. Dieses verfügt über ein stabiles Business-Modell und die Initiativen der digitalen Transformation sind durch die «Journey to the Cloud» entsprechend im Gange. Seit dem «ChatGPT-Moment» vor anderthalb Jahren ist das Management stark fokussiert darauf, AI im Alltag für Business-Vorteile einzusetzen. Das können wir ihnen abnehmen und gleichzeitig erstklassige Sicherheit gewährleisten. Somit können sie sich auf ihr Kernbusiness konzentrieren, indem sie die anderen Aspekte an uns auslagern. Und weil wir die Datensouveränität gewährleisten können, behalten sie nach wie vor die Kontrolle. Doch nicht nur die grossen und etablierten Unternehmen profitieren von unserem Schulterschluss, sondern auch die kleinen und agilen: Viele Jungunternehmen verfügen über tolle Ideen, die Finanzierung ist ebenfalls gesichert und die Motivation «zum Durchstarten» ist entsprechend hoch. Doch dann müssen sich die Gründerinnen und Gründer zuerst mit der ganzen Basistechnologie herumschlagen. Ebenso erschliesst sich das Unternehmen durch das Know-how von Phoenix erstklassige KI-Ressourcen, mit denen es seine fachliche Innovation vorantreiben kann.

Wir stellen vermehrt fest, dass mit zunehmendem Bewusstsein für Cybersicherheit sich auch immer mehr Unternehmen die Frage stellen, wie sicher die Daten im Ausland tatsächlich sind.

Florian Nöll: Damit Unternehmen die Potenziale unseres KI-Angebots vollumfänglich nutzen können, sollten sie eine klare Datenstrategie verfolgen, was entsprechende Vorarbeit voraussetzt. Dann nämlich erlaubt es ihnen unsere souveräne Schweizer KI, spannende interne und externe Use Cases zu verfolgen. Im Grunde erschliessen wir diesen Firmen die Möglichkeiten eines Supercomputers – den sie für ihre unternehmerischen Zwecke nutzen können. Und das Ganze, ohne befürchten zu müssen, dass die dadurch entstehenden Daten, das Wissen und die Anwendungen irgendwann fremder Kontrolle unterliegen. Wie können Unternehmen vorgehen, die von dieser KI-Lösung profitieren möchten und/ oder eine souveräne Cloud benötigen?

Florian Nöll: Bei Phoenix vertrauen wir auf Neugier sowie Forschungsdrang und ganz nach dem Prinzip «fail fast and learn» können wir mit Unternehmen gemeinsam grossartige Projekte in kürzester Zeit im Bereich AI umsetzen. Das heisst, «Cloud first» muss nicht amerikanisch sein. Im Bereich «souveräne Cloud» helfen wir erfahrenen Managementteams, die Vorteile einer Schweizer Lösung auf ihre Unternehmensprozesse und Daten nachzuvollziehen und umzusetzen.

Miki Mitric: Ferner setzen wir auf regelmässige Updates und Meilensteinbesprechungen, damit unsere Kundschaft immer auf dem Laufenden ist. Eventuelle Anpassungen setzen wir zeitnah und präzise um und pflegen auch nach der Implementierung einen engen und regelmässigen Kontakt. Dadurch ist sichergestellt, dass die Unternehmen maximal von unserer souveränen KI-Lösung profitieren.

Über NorthC Mit aktuell über 170 Mitarbeitenden an insgesamt 19 Standorten in Deutschland, der Schweiz und den Niederlanden gehört NorthC zu den stark expandierenden Anbietern von Rechenzentren in Europa.

Über die Phoenix Systems AG Das Unternehmen besteht aus Cloud-Spezialistinnen und -Spezialisten, die sich der Mission verschrieben haben, die modernste und kosteneffizienteste Cloud für eine souveräne Schweiz anzubieten.

CUnternehmen müssen sich selbst und ihre Stakeholder schützen – so gehts

orporate Security soll ein Unternehmen nicht nur vor kriminellen Handlungen wie Cyberattacken schützen, sondern auch die Schwachstellen entlang der Wertschöpfungskette identifizieren. Sie soll die Sicherheit von Mitarbeitenden, Vermögenswerten und sensiblen Informationen gewährleisten.

Wie kann sich ein Unternehmen schützen? Organisationen benötigen ein Sicherheitskonzept. Dieses soll Massnahmen enthalten, die die Sicherheit des Betriebes und seiner Stakeholder wie Mitarbeitende, Kunden und Lieferanten gewährleistet. Aber auch die Vermögenswerte und Reputation sowie unternehmensinterne Informationen sollen dadurch geschützt werden. Indem Gefahrenstellen entlang der Wertschöpfungskette – beispielsweise in der Produktion oder der Lieferung – identifiziert werden, soll die Unternehmensfortführung sichergestellt werden. Nur so kann ein Gefühl der Sicherheit und Vertrauenswürdigkeit in und um ein Unternehmen entstehen.

Auch ein Corporate/Chief Security Officer (CSO) ist in einem Unternehmen notwendig. Sie sind für die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, personellen, arbeitssicherheitstechnischen und gesundheitlichen Aspekte der Sicherheit zuständig. Sie sind verantwortlich für die Identifizierung, Bewertung und Priorisierung der Risiken eines Unternehmens. Anschliessend initiieren sie Massnahmen, um die Sicherheit des Betriebes zu gewährleisten. Bestenfalls leiten sie ein Team aus Datenschutzbeauftragten, Sicherheitsbeauftragten, Cloud- und IT-SecurityManager:innen und Krisenmanager:innen.

ANZEIGE

sind stolz

Es gibt mehrere Herausforderungen für das Corporate-Security-Team:

Cyberkriminalität

Cyberkriminelle Angriffe sind eine zunehmende Bedrohung für Unternehmen. Datenlecks – wenn vertrauliche Informationen unbeabsichtigt oder aufgrund von Sicherheitslücken an die Öffentlichkeit gelangen – gehören zu den häufigsten Vorkommnissen. Auch bösartige Softwarearten wie Ransom- oder Malware kommen regelmässig vor. Oder Phishing-Versuche, die darauf abzielen, durch gefälschte E-Mails oder Nachrichten an sensible Daten zu gelangen. Um solche Cyberbedrohungen abzuwehren, braucht ein Unternehmen ein Bündel an Schutzmechanismen wie Firewalls, Verschlüsselungstechnologien und Sicherheitsschulungen für die Mitarbeitenden. Das Bundesamt für Cybersicherheit (BACS) hat ein Merkblatt für KMU erstellt, das ihnen helfen soll, die Informationssicherheit im Unternehmen zu erhöhen.

Verhalten der Mitarbeitenden

Die Sicherheit eines Unternehmens steht und fällt mit dem Verhalten seiner Mitarbeitenden. Unbeabsichtigtes, aber auch absichtliches Fehlverhalten können Sicherheitslücken entstehen lassen und somit Cyberangriffe und Datenverluste begünstigen. Um dies zu verhindern, sind einerseits Schulungen und Richtlinien zur Sensibilisierung der Mitarbeitenden beispielsweise für einen verantwortungsvollen Umgang mit Unternehmensinformationen notwendig. Andererseits sollten Mitarbeitende immer wieder auf fahrlässiges Verhalten überprüft werden.

Physische Sicherheit

Diebstahl, Einbruch und Vandalismus können erhebliche finanzielle und operationelle Schäden verursachen. Auch Gewalt und sexuelle Belästigung am Arbeitsplatz sind ernst zu nehmende Probleme, die die Sicherheit und das Wohlbefinden der Mitarbeitenden bedrohen. Um diesen physischen Bedrohungen entgegenzuwirken, können Unternehmen Zutrittskontrollsysteme, Überwachungskameras, Alarmanlagen und Sicherheitsschulungen einführen. Das Gleichstellungsgesetz (GIG) verpflichtet alle Arbeitgebenden in der Schweiz, die eigenen Mitarbeitenden vor Diskriminierungen zu schützen, präventive Massnahmen zu ergreifen und Belästigungen zu stoppen.

Um Übergriffe zu verhindern, sollten Arbeitgeber ein Merkblatt mit den wichtigsten Punkten zum Schutz vor sexueller Belästigung erstellen. Zudem müssen sie sicherstellen, dass alle Vorgesetzten und Mitarbeitenden den Inhalt des Merkblatts kennen und verstehen. Dieses Informieren sollte regelmässig wiederholt werden. Betroffene Frauen und Männer müssen sich im Fall einer sexuellen Belästigung an eine kompetente Ansprech- oder Vertrauensperson wenden können. Diese soll Betroffene über ihre Rechte und Vorgehensmöglichkeiten aufklären und sie in einer schwierigen Situation unterstützen.

Globale Sicherheitsanforderungen Für international tätige Unternehmen ist die Sicherheit ungleich komplexer: Sie müssen sich an verschiedene rechtliche und kulturelle

Rahmenbedingungen anpassen. Internationale Reisen und grenzüberschreitender Handel erfordern beispielsweise eine sorgfältige Planung und Anpassung an lokale Vorschriften. Hierbei geht es nicht nur um die Einhaltung internationaler Datenschutzgesetze, sondern auch um das Verständnis kultureller Unterschiede im Geschäftsverkehr und bei der Mitarbeiterführung.

Damit all diese Richtlinien und Schulungen auch verstanden werden, ist eine adressatengerechte Kommunikation auf Augenhöhe vonnöten. Dafür arbeitet die Sicherheitsabteilung im Optimalfall mit der internen Kommunikation zusammen.

Corporate Security – wofür?

Das Ziel der Corporate Security ist, Unternehmen vor finanziellen und rufschädigenden Belastungen zu schützen. Durch proaktive Sicherheitsmassnahmen können potenzielle Risiken minimiert und somit teure Sicherheitsvorfälle vermieden werden. Werden beispielsweise sensible Daten geleakt, kann auch das Vertrauen der Kundschaft in das Unternehmen schwinden. Langfristige Geschäftsbeziehungen sind plötzlich gefährdet. Ein effektives Sicherheitskonzept kann Kunden und Partner beruhigen, das Vertrauen in die Integrität des Unternehmens stärken und somit als Wettbewerbsvorteil dienen. Das Ziel ist eine Kultur der Sicherheit, die über technologische Lösungen hinausreicht. Denn nur wenn die Sicherheit ein integraler Bestandteil der Unternehmensphilosophie ist, entsteht wahrhaftige Resilienz.

Text Linda Carstensen

Vorsorge

zu

Der wirklich sichere Datentransfer

Die Digio AG aus Zürich setzt neue Massstäbe für den digitalen Austausch vertraulicher Daten. Mit dem neuen Onlinedienst transferly.swiss können Privatpersonen und Firmen Daten unkompliziert und vollständig verschlüsselt verschicken.

Wir leben in einer Zeit, in der niemand mehr die Kontrolle über seine persönlichen Daten zu haben scheint. Was im Leben als geheim und vertraulich gilt, wird gutgläubig per Mail verschickt und auf Servern weltweit gespeichert. Sehr oft, weil Interesse und Zeit fehlen oder schlicht aus Bequemlichkeit.

Was darf und soll das Internet, private Firmen, der Staat und die Öffentlichkeit alles über einen wissen dürfen? Wer ist im Besitz welcher Daten? Und wofür werden diese Daten in Zukunft verwendet? Diese Fragen und noch viele mehr werden immer drängender. Umso wichtiger ist es, dass Dienste geschaffen werden, mit welchen Privatpersonen und Firmen selbst entscheiden können, wie wichtig ihnen Privatsphäre und Kontrolle über eigene Daten sind.

In welchen Fällen Daten nicht sicher sind, lässt sich Laien nur schwer erklären. «Nehmen wir an, Sie versenden eine Mail. Der Anbieter kann – in der Theorie und in der Praxis – Ihre Nachricht lesen. Vom Absender bis zum Server ist die Mail zwar verschlüsselt, aber danach wird sie unverschlüsselt abgelegt, zugänglich für Anbieter und mögliche Hacker», erklärt Damien Vouillamoz, CEO & Security Engineer bei der Digio AG.

Dasselbe gilt auch für Datentransfers: Hierbei werden

unverschlüsselte Daten über einen verschlüsselten Kanal (In-Transit-Verschlüsselung) zum Anbieter übermittelt, wo diese dann bestenfalls durch den Anbieter selbst noch verschlüsselt (At-Rest-Verschlüsselung) abgespeichert werden. «Nicht selten propagiert der Anbieter eine Endezu-Ende-Verschlüsselung, die eigentlich keine ist und ihm weiterhin Zugriff auf die Daten erlaubt», so Damien. Wie unterscheidet sich transferly?

Und genau hier liegt der Unterschied: transferly basiert auf einer neuen Technologie und verschlüsselt die Daten im Browser des Absenders noch bevor diese an den Server von transferly übermittelt werden. Die Daten werden somit nur verschlüsselt abgespeichert und sind für transferly nie lesbar. Für eine erhöhte Sicherheit werden die verschlüsselten Daten mit den weiteren gängigen Verschlüsselungsmethoden (In-Transit- und At-Rest-Verschlüsselung) geschützt. Bei transferly findet somit eine echte Ende-zu-Ende-Verschlüsselung statt.

Zugang zu den Daten erhält nur, wer im Besitz des Links ist, welcher den Schlüssel (key) für die Entschlüsselung der Daten enthält. Soll zusätzlich garantiert werden, dass der Link nicht in falsche Hände gelangt, bietet transferly mit verschiedenen Angeboten Möglichkeiten für einen erweiterten Schutz (Zwei-Faktor-Authentifizierung, Passwortschutz und später biometrische Authentifizierung).

Im Vergleich zu anderen Transferdiensten werden die Daten nach der ausgewählten Speicherzeit unwiderruflich gelöscht. «Einerseits ist es im Interesse des Nutzers, wenn seine Daten nicht längerfristig gespeichert werden. Andererseits ist es auch für transferly nicht interessant, da die Daten sowieso nicht gelesen werden können», erklärt Damien.

Welche Funktionen bietet transferly? transferly ist ein sicherer und moderner Datentransferdienst aus der Schweiz, der die Privatsphäre aller Benutzer:innen respektiert. Er ermöglicht die schnelle und vertrauliche Übertragung von Dokumenten, Nachrichten oder Passwörtern übers Internet.

Neben dem Versenden ist vor allem für Firmen und professionelle Anwender:innen die Funktion des Anforderns von Daten eine zentrale Funktion. Dies kann zum Beispiel im Gesundheitsbereich (Anfordern von Arztberichten), im Finanzbereich (Anfordern von Steuerdokumenten) und im Rechtswesen (Anfordern von Anklageschriften) von zentraler Bedeutung sein.

Derzeit gibt es drei verschiedene Angebote auf transferly: Personal, Pro und Business. Personal eignet sich für den privaten Gebrauch zum Versenden mittelgrosser Dateien und ist kostenlos. Die Daten werden sieben Tage gespeichert und dürfen maximal 1 GB gross sein. Pro ist für den professionellen Versand grosser Dateien gedacht. Die Dateien können bis zu 30 Tage gespeichert werden und dürfen maximal 25 GB gross sein. Ein grosser Vorteil ist hier die Möglichkeit, bloss einen einmaligen Download der Daten zu

erlauben sowie erweiterte Schutzfunktionen (ZweiFaktor-Authentifizierung oder Passwort) einzustellen.

Das dritte Angebot, Business, befindet sich momentan in der Betaphase. Es richtet sich an kleine und mittelgrosse Unternehmen und bietet 50 GB Speicherplatz und eine Speicherzeit von bis zu 180 Tagen. Für grosse Firmen wird es zudem bald eine Enterpriselösung geben, in welcher alles an die individuellen Bedürfnisse angepasst wird und on-Premise eingesetzt werden kann. «In den nächsten Monaten lanciert transferly zudem eine MacOS- und Windows-App, die es erlaubt, Daten direkt aus dem Desktop in wenigen Klicks zu versenden», freut sich Damien. Sicher Dateien versenden mit transferly.swiss

Was macht die Digio AG?

Die Digio AG ist ein etabliertes Unternehmen im Herzen von Zürich. Das Unternehmen spezialisiert sich auf die Entwicklung komplexer Softwarelösungen, die speziell auf die Bedürfnisse ihrer Kunden zugeschnitten sind. Zu ihren Kernkompetenzen zählen zudem Dienstleistungen und Lösungen im Bereich der Cybersecurity für Unternehmen. Die Schweizer Firma setzt auf Qualität und Verlässlichkeit. Sie pflegt als strategischer Partner eine langfristige, nachhaltige und persönliche Beziehung zu ihren Kunden, damit diese zukunfts- und wettbewerbsfähig bleiben.

Primetrack AG • Brandreport

«IT-Security ist ein zentrales Thema für den Unternehmenserfolg»

Unternehmen müssen sich mit Cyberrisiken auseinandersetzen und die Sicherheit ihrer IT kontinuierlich hinterfragen.

Stephan Fredrich, CEO der Primetrack AG, erzählt, wie er und sein Team die Kunden vor Cyberattacken schützen.

Herr Fredrich, wie stark ausgeprägt ist heute das Bewusstsein für Cybersicherheit bei Unternehmen? Das Bewusstsein für Cyberrisiken ist in den letzten Jahren erheblich gestiegen. Dies sicherlich auch aufgrund der starken Präsenz des Themas in den Medien. Im digitalen Zeitalter ist ganz klar: IT-Security ist ein zentrales Thema für den Unternehmenserfolg. Unternehmen sind sich durchaus bewusst, dass sie potenzielle Ziele für Cyberkriminelle sind. Die IT-Verantwortlichen wissen, dass es für den Businesserfolg entscheidend ist, die richtigen Sicherheitsmassnahmen zu treffen, um den Schutz von sensitiven Daten und Systemen zu gewährleisten. Es ist allerdings nicht immer ganz einfach für sie, die richtigen Massnahmen einzurichten, um dieses Ziel zu erreichen.

Welche IT-Sicherheitsmassnahmen empfehlen Sie Unternehmen als Erstes? Die erste und wichtigste Massnahme ist sicherlich die Analyse des Istzustands bezüglich IT-Sicherheit des Unternehmens. Sind alle Softwareanwendungen, Betriebssysteme und Sicherheitspatches auf dem neusten Stand, um bekannte Sicherheitslücken zu schliessen? Gibt es eine zuverlässige Firewall, ist ein Antivirenprogramm installiert und sind Netzwerke und Systeme vor unerwünschten Zugriffen und Malware geschützt? Sind Berechtigungsmanagement und Zugriffskontrolle eingerichtet? Wenn die

Verantwortlichen diese Fragen nicht alle zweifelsfrei mit «Ja» beantworten können, empfehle ich dringend, Lücken schnellstmöglich zu schliessen. Welche Rolle spielt dabei die Sensibilisierung der Mitarbeitenden? Das Bewusstsein der Mitarbeitenden für Cybergefahren zu schärfen, ist ein sehr wichtiges Thema. Viele Unternehmen haben bereits erkannt, dass Cybersicherheit nicht nur eine technische Angelegenheit ist, sondern auch eine Frage der Unternehmensführung und des Risikomanagements. Es ist wichtig, nicht nur in technologische Lösungen zu investieren, sondern auch in Schulungen und Sensibilisierungsmassnahmen für die Mitarbeitenden, um eine ganzheitliche Sicherheitskultur zu schaffen, die funktioniert. Denn oft sind beispielsweise E-Mails an Mitarbeitende der Ursprung von erfolgreichen Cyberangriffen. Diese Tatsache muss den Mitarbeitenden unbedingt bewusst gemacht werden, damit sie z. B. beim Anklicken von Links oder beim Öffnen von digitalen Dokumenten die nötige Vorsicht walten lassen.

Primetrack erhielt Anfang Jahr das ISO 27001 Zertifikat für Informationssicherheitsmanagement. Wie können Ihre Kunden davon profitieren?

Die ISO-Zertifizierung unterstreicht unsere Verpflichtung zur Informationssicherheit und bestätigt nun auch offiziell, was wir schon seit vielen Jahren praktizieren: Wir identifizieren kontinuierlich potenzielle Risiken für die Informationssicherheit und ergreifen entsprechende Massnahmen, um Risiken zu minimieren. Unseren Kunden vermitteln wir so das Vertrauen, dass ihre Daten, Informationen und Systeme bei uns sicher und in guten Händen sind.

Welche spezifischen Dienstleistungen bieten Sie an, um die IT-Security Ihrer Kunden auf ein ähnlich hohes Niveau zu bringen?

In einem ersten Schritt eruieren wir in unseren IT-Assessments, wo dringender Handlungsbedarf besteht, um die IT-Sicherheit zu gewährleisten. Natürlich verfügen wir auch über das entsprechende Know-how und Wissen sowie die nötige Erfahrung im Umgang mit innovativen Technologien, um Sicherheitslücken zuverlässig zu schliessen und die Unternehmen unserer Kunden für die Zukunft gegen Cyberattacken zu wappnen.

Wie gehen Sie bei Ihren IT-Assessments vor?

In unseren verschiedenen IT-Assessments beleuchten wir die aktuelle IT-Security nach unterschiedlichen Gesichtspunkten. Wir analysieren die bestehende IT-Infrastruktur in einem vielerprobten und zuverlässigen Verfahren und nehmen eine Bewertung bezüglich Schwachstellen und Risiken vor. Erste Sofortmassnahmen setzen wir direkt und unkompliziert um. Wir entwickeln aber auch weitere tiefergreifende und komplexere Massnahmen zur Schliessung der identifizierten Sicherheitslücken und implementieren diese, wenn der Kunde zustimmt.

Wie begleiten Sie Ihre Kunden bei der Umsetzung der empfohlenen Sicherheitsmassnahmen und danach? Wir installieren und testen die von uns empfohlenen Massnahmen in der IT-Infrastruktur der Kunden und stellen sicher, dass alles nach Plan läuft. Wenn gewünscht, übernehmen unsere Fachleute auch danach das kontinuierliche Monitoring der IT-Infrastruktur und stellen sicher, dass alle Systeme zuverlässig funktionieren. Bei Auffälligkeiten und einem potenziellen Sicherheitsrisiko greifen wir sofort ein und implementieren die notwendigen Massnahmen. Unsere IT-Security-Expert:innen kennen die Tricks der Cyberkriminellen und haben Spass daran, ihnen das Leben so schwer wie möglich zu machen.

Weitere Informationen unter: primetrack.ch

Die Primetrack AG mit Büros in der Schweiz und Österreich unterstützt KMUs jeglicher Branchen seit 2002. Erfahrene IT-Expert:innen erkennen die individuellen Bedürfnisse der Kunden und bieten ihnen die passenden Services und Leistungen in den Bereichen IT-Infrastruktur-Beratung und -Betrieb. Dabei kommen innovative Technologien der neusten Generation zum Einsatz. Unser Fokus liegt stets auf grösstmöglicher IT-Sicherheit, Effizienz und störungsfreiem Betrieb.

«Es ist nicht förderlich, wenn man Mitarbeitenden ständig

sagt, dass sie der grösste Risikofaktor sind»

Die Digitalisierung hat längst sämtliche Lebensbereiche erfasst. Dadurch stellt sich die Frage, wie man sich in diesen Sphären effektiv und nachhaltig vor Cyberangriffen schützen kann. «Fokus» sprach hierzu mit Marco Wyrsch, Chief Security Officer bei der Swisscom. Und erfuhr unter anderem, was es mit der «Fünf-Finger-Regel» auf sich hat.

Herr Wyrsch, welche spezifischen Herausforderungen sehen Sie in der heutigen Bedrohungslandschaft für Unternehmen – und wie begegnen Sie diesen Herausforderungen?

Es handelt sich hier um ein äusserst breites Feld. Innerhalb dieser Thematik gibt es drei zentrale Bereiche, auf die ich fokussiere. Der erste betrifft die Motivation der Angreifer. Wir sehen etwa bei den Angreifern, die auf Ransomware setzen, ganz klar einen kommerziellen Antrieb. Daneben gibt es auch die staatlichen Hackergruppen sowie die ideologisch motivierten Angreifer. Letztere versuchen oft, mit ihren Aktionen ein gewisses Statement zu untermauern oder Destabilisierung und Unsicherheit zu erreichen. Doch die breite Masse der Cyberkriminellen besteht aus organisierten Teams, die mit ihren Attacken Geld verdienen möchten. Die Gegenseite und ihre Motivation nachvollziehen zu können, ist für Unternehmen aller Art essenziell. Welches ist demnach der zweite wesentliche Themenbereich innerhalb der Cybersicherheit?

Dieser betrifft unsere zunehmende Abhängigkeit von Technologie. Dieser Umstand stellt ebenso eine Chance wie auch ein Risiko dar. Dessen muss man sich bewusst sein. Ein gutes Beispiel hierfür bietet Generative AI: Diese Form der künstlichen Intelligenz eröffnet für Firmen aller Branchen und Grössen enorme Chancen. Gleichzeitig muss man sich aber auch die Risiken, die daraus entstehen können, vor Augen führen. Gleiches gilt für die Cloudtransformation, die für zahlreiche Unternehmen ein weiteres Hot Topic darstellt. Denn gerade beim Wechsel in die Cloud sollte man die Lösung vorgängig richtig konfigurieren, anstatt einfach eine «Out-of-the-Box-Anwendung» zu nutzen. Dafür muss man sich im Vorfeld ausgiebig mit der Technologie auseinandersetzen, was zeit- und ressourcenaufwendig ist – aber, wie gesagt bei richtiger Umsetzung eine enorme Chance für Firmen bietet. Der dritte und letzte Securityschwerpunkt betrifft den gesellschaftlichen Wandel. Welche Herausforderungen ergeben sich dort?

Die Unternehmenslandschaft verändert sich sowohl organisatorisch als auch kulturell. Dies stellt uns als Securityorganisation vor die Frage, wie wir uns an die neuen Gegebenheiten anpassen sollen und können. Natürlich wollen wir unsere Businesskunden zum Handeln befähigen – dennoch muss es sicher sein. Zwar nimmt die generelle Awareness für Security zu, sowohl auf privater, unternehmerischer als auch politischer Ebene. Doch wie man Sicherheit konkret gewährleisten kann – das ist oft die Knacknuss.

Welche Technologien oder Ansätze erachten Sie demnach als nützlich, um mit den heutigen Sicherheitsbedrohungen Schritt zu halten?

Wir befinden uns in einem konstanten Wettrennen – oder fast schon einem Wettrüsten – zwischen Angreifern und Unternehmen. Um am Ball zu bleiben, benötigt man in erster Linie fähige und motivierte Leute, die bereit sind, sich auf diesen Wettstreit einzulassen. Erst dann kommen die von Ihnen erwähnten Technologien zum Tragen. Mit Generative AI etwa lassen sich enorme Mengen an Information verarbeiten. So ist diese Form der KI unter anderem in der Lage, Angriffsmuster zu erkennen sowie zu detektieren, ob man in der Vergangenheit bereits auf diese Weise attackiert wurde. Dies erhöht die Schnelligkeit deutlich, mit der man passende Massnahmen ergreifen kann. Bei Swisscom nutzen wir seit Jahren eine KI-Komponente, genauer gesagt die Möglichkeiten des Machine-Learnings. Damit analysieren wir unsere Datensätze, um die sicherheitsrelevanten Punkte eruieren zu können. Auch Phishing-Webseiten kann man auf diese Weise entlarven, denn auch dort zeigen sich wiederkehrende

Wir befinden uns in einem konstanten Wettrennen – oder fast schon einem Wettrüsten – zwischen Angreifern und Unternehmen. Um am Ball zu bleiben, benötigt man in erster Linie fähige und motivierte Leute, die bereit sind, sich auf diesen Wettstreit einzulassen.

möglichst viele Security-Fachleute zu konzentrieren, reicht nicht aus. Idealerweise befindet sich in jedem Entwicklerteam jemand, der oder die über das entsprechende Sicherheits-Know-how verfügt und damit als Multiplikator dient. Wir müssen Menschen befähigen, diese Rolle einnehmen zu können und zu erkennen, wo in ihrer Tech und in ihrem Bereich mögliche Gefahren lauern.

Was sind einfache Sicherheitslösungen, die wir als Enduserinnen und -user in unseren Alltag einbauen können?

Oft sind es die gleichen Themen wie im Business; Basissachen im Grunde: Man sollte neue Technologien mit Neugier nutzen, sich aber auch kritisch mit der Frage auseinandersetzen, wo das Risiko liegen könnte. Neugier, aber auch eine gesunde Skepsis, sind letztlich entscheidend. Und Unternehmerinnen und Unternehmern empfehle ich, sich an den Weisungen des Bundesamts für Cybersicherheit zu orientieren: Nehmen Sie Backups vor, installieren Sie regelmässig Patches, richten Sie eine Zweifaktor-Identifizierung ein. Cybersicherheit kann man sich zudem ideal mithilfe der Fünf-Finger-Regel vor Augen führen.

Die Fünf-Finger-Regel?

Ganz genau. Wir starten beim Daumen: Dieser steht für das Identifizieren der relevanten Aspekte. Der Zeigefinger zeigt dann auf die Punkte, die man in den Griff bekommen möchte und muss. Den Mittelfinger zeigt man den Angreifern im Netz – sprich, er steht für die Vorbereitung für den Ernstfall. Der Ringfinger symbolisiert wie bei einer Ehe Verantwortung und Verpflichtung: Wenn man einen Angriff erkannt hat, muss man reagieren und Verantwortung übernehmen. Nur so lässt sich Schaden minimieren. Kundinnen und Kunden, Mitarbeitende etc., die davon betroffen sein könnten, muss man ebenfalls informieren.

Hat der kleine Finger auch eine Funktion in dieser Metapher?

Er steht für die vielen kleineren Dinge, die man gerne im Alltag vergisst, wie Backups oder die Etablierung von Notbetriebslösungen. Diese Fünf-Finger-Regel eignet sich gut, um die Resilienz eines Unternehmens zu erhöhen.

Welche künftigen Entwicklungen und Trends sehen Sie im Bereich Cybersicherheit auf uns zukommen?

Muster, weswegen ein KI- oder Machine-LearningSystem gut unterstützen kann. Selbst auf einem Endpoint, sprich einem User-Mac oder PC detektieren solche Systeme Muster und können so Gefährdungen aufdecken. Letztlich geht es darum, mithilfe von Technologie das «Grundrauschen» aus den Daten herauszufiltern, damit man die eigenen Ressourcen zielgerichtet dort einsetzen kann, wo es notwendig und sinnvoll ist. Dafür braucht man aber nicht immer die neuste und beste Technologie, manchmal reichen bereits die Basics aus – zum Beispiel das Installieren von Patches. Die «gehypten» Themen wie KI und Co. muss man verfolgen, aber darüber sollte man die Grundlagen nicht vernachlässigen.

Zentrale Bedeutung für eine sichere digitale Umgebung kommt den Userinnen und Usern zu. Inwiefern integriert Swisscom menschliche Faktoren in die Sicherheitsstrategie?

Eine positive Sicherheitskultur beginnt bereits bei der Grundmessage: Es ist nicht förderlich, wenn man den Mitarbeitenden ständig sagt, dass sie der grösste Risikofaktor sind. Wir wollen bei Swisscom eine Sicherheitskultur schaffen, die es den Leuten ermöglicht, auch in diesem Feld ihr Potenzial zu erkennen. Deshalb möchten wir unsere

Mitarbeitenden dazu motivieren, sich zu melden, wenn ein Vorfall eintritt – sei dieser selbst verschuldet oder nicht. Denn wenn es sich tatsächlich um ein sicherheitsrelevantes Vorkommnis handelt, können wir den Schaden dann eingrenzen. Dies setzt ein Betriebsklima voraus, in dem sich Menschen trauen, über Erfahrung und Vorkommnisse zu sprechen. Gleichzeitig müssen wir unseren Teams Werkzeuge anbieten, die nicht zu kompliziert sind. Das ist unsere Aufgabe als Unternehmen – und stellt eine konstante Herausforderung dar. Denn einerseits streben wir ein möglichst hohes Sicherheitsniveau an, möchten andererseits aber keinen zu grossen Impact auf das Arbeiten der Leute bewirken. Diese Balance beschäftigt uns täglich. Ist das nicht aufreibend?

So würde ich es nicht bezeichnen, allerdings ist es in der Tat so, dass ich keinen langweiligen Tag habe ( lacht ). Glücklicherweise werde ich von einem grossartigen Team unterstützt. Eine Einheit befasst sich tagtäglich damit, unsere Leute «draussen» zu unterstützen. Sie eruieren, verbessern und vereinfachen Dinge kontinuierlich. Zudem haben wir viele Leute vor Ort in den verschiedenen Geschäftsbereichen der Swisscom, die ihrerseits zur Sicherheit beitragen. Denn nur an einem zentralen Punkt

Unsere Welt durchläuft einen derart starken Wandel, dass man unbedingt flexibel sein muss. Die Motivation der Angreifenden wird hoch bleiben und gar zunehmen. Sie werden immer wieder neue Türen und Schlupflöcher finden. Ferner denke ich, dass die ideologisch motivieren Attacken zunehmen werden. Zudem durchlaufen gerade viele Firmen ihre Cloud-Transformation. Dies erhöht die Sicherheit auf der einen Seite, man muss auf der anderen Seite aber auch die Sicherheitsthematik im Auge behalten. Gleiches gilt für den KI-Bereich. Was zudem leider oft unterschätzt wird, sind die Abhängigkeiten von Firmen innerhalb ihrer eigenen Supply Chain: Denn dort müssen sie klären, wie Dritte ihre Daten nutzen und weitergeben. Man muss daher der Frage nachgehen, wie es um den Security-Zustand der Zulieferer und Partnerbetriebe bestellt ist. Im gesamtgesellschaftlichen Kontext sind wir meines Erachtens gut unterwegs, die Awareness zum Thema Cybersicherheit steigt. Wir als Expertinnen und Experten müssen dieses Thema immer wieder forcieren und erklären. Desinformation und Destabilisierung werden uns ebenfalls beschäftigen, gerade im Zeitalter von KI. Letztlich denke ich, dass diejenigen, die Neugier und Skepsis miteinander verbinden, in der Lage sein werden, Chancen zu nutzen und Risiken zu erkennen. Das ist entscheidend.

Das Geheimnis effektiven Datenschutzes: ein Insider-Bericht

Die Gesetzgebung hinsichtlich Datenschutz ist streng. Dennoch haben sich viele Schweizer Unternehmen noch kaum mit der Umsetzung beschäftigt. Die PlanSec AG unterstützt Firmen dabei, Compliance sicherzustellen – und handelt dabei nach dem Credo «so viel wie nötig, so wenig wie möglich.»

Herr Huber, die PlanSec AG spricht potenzielle Kundinnen und Kunden mit einem pointierten Claim an: «Wir wissen beide, dass Sie keine Lust auf Datenschutz haben. Aber trotzdem müssen Sie compliant sein.» Wie helfen Sie Firmen dabei, diese Unlust zu überwinden? Ja, mit diesem Spruch bringen wir in der Tat den Mindset vieler Unternehmen auf den Punkt (lacht). Es ist auch nicht überraschend, denn das neue Datenschutzgesetz bringt für alle Organisationen, die Daten sammeln und bearbeiten, neue Anforderungen mit sich – und auch Sanktionen, falls die neuen Regulierungen nicht eingehalten werden. Daher besteht unser oberstes Ziel darin, Unternehmen nicht nur dabei zu unterstützen, die aktuellen Datenschutzgesetze einzuhalten, sondern ihnen auch dabei zu helfen, ein Bewusstsein für die Relevanz des Themas zu entwickeln. Denn Datenschutz ist mehr als nur Compliance; es geht darum, eine Kultur der Verantwortung und Transparenz zu etablieren. Wir möchten, dass Firmen verstehen, dass eine proaktive Datenschutzstrategie nicht nur Risiken minimiert, sondern auch das Vertrauen ihrer Kundinnen und Kunden sowie ihrer Mitarbeitenden stärkt.

Welche Anpassungen markieren Ihres Erachtens die wichtigsten Veränderungen im Bereich des Datenschutzes?

Neu müssen Unternehmen umfassend über ihre Datenerhebungen Auskunft geben. Sie müssen dabei nicht mehr nur Webseitenbesucher informieren, sondern auch alle Bewerber:innen, die später Mitarbeiter:innen werden können, sowie Personen, die von Videoüberwachungen erfasst werden könnten. Auch zukünftige Kundinnen und Kunden, die kurz vor einem Vertragsabschluss stehen, gehören dazu. Unternehmen sind zudem verpflichtet, sämtliche Prozesse, die personenbezogene Daten betreffen, umfassend zu dokumentieren und sicherzustellen, dass diese Daten unter Einhaltung strengster Sicherheitsvorkehrungen erhoben und verarbeitet werden. Zwar sind Firmen mit 250 Mitarbeitenden und weniger vom Erstellen eines solchen Bearbeitungsverzeichnisses befreit, doch wir empfehlen dennoch, ein solches anzulegen. So lassen sich proaktiv Risiken identifizieren und Massnahmen ergreifen, um diese Risiken zu minimieren. Diese Veränderungen fordern von den Unternehmen ein hohes Mass an Sorgfalt und Transparenz in ihrem Umgang mit personenbezogenen Daten. Welche Herausforderungen entstehen durch diese Änderungen für Unternehmen? Eine zentrale Challenge liegt in der Einhaltung der Sorgfaltspflicht, besonders wenn es um die Zusammenarbeit mit Drittanbietern geht. In der digitalen Welt von heute, in der Unternehmen häufig Datenverarbeitungsaufgaben auslagern, ist es essenziell, dass die Verträge mit solchen Dienstleistern die notwendigen Sicherheits- und Datenschutzbestimmungen enthalten. Sollte zum Beispiel ein Dienstleister einem Cyberangriff unterliegen, liegt die Verantwortung der Information der eigenen Kundinnen und Kunden sowie der Behörden immer noch beim auftraggebenden Unternehmen. Daher ist es unerlässlich, dass Organisationen die Sicherheitspraktiken ihrer Partner sorgfältig prüfen und vertraglich absichern. Und dies ist, wie man sich vorstellen kann, ebenso komplex wie umfangreich.

Wie unterstützt die PlanSec AG Firmen dabei, diesen neuen Anforderungen gerecht zu werden? Wir beginnen mit einer kostenlosen Erstanalyse der aktuellen Datenschutzpraktiken des Unternehmens, um Herausforderungen und Zielsetzungen zu identifizieren. Zu diesem Zweck setzen wir ein umfassendes und bewährtes Datenschutzmanagementsystem ein. Damit können wir das Unternehmen strukturiert beleuchten. Basierend auf den Erkenntnissen dieser Auslegeordnung entwickeln wir dann eine massgeschneiderte Strategie, die nicht nur auf die Einhaltung der Gesetze abzielt, sondern auch die Stärkung des Vertrauens zwischen dem Unternehmen und seinen Kundinnen und Kunden sowie seinen Mitarbeitenden abzielt. Je nach Bedarf bieten wir eine grosse Bandbreite von Dienstleistungen an, von der

Beratung und Schulung bis hin zur vollständigen Übernahme der Datenschutzverantwortung. Unsere Ansätze sind darauf ausgelegt, pragmatische und effektive Lösungen zu implementieren, die sowohl die Compliance als auch die betriebliche Effizienz verbessern.

Können Sie auf die Konsequenzen eingehen, die Unternehmen bei Nichteinhaltung der Datenschutzgesetzgebung erwarten? Die Folgen können potenziell gravierend sein. Zunächst sind da die Sanktionen: Personen, denen im Unternehmen einen Verstoss des Datenschutzgesetzes

Datenschutz

Können Sie diese drei Schutzziele näher ausführen?

Vertraulichkeit bedeutet, dass personenbezogene Daten vor unbefugtem Zugriff geschützt werden müssen. Verfügbarkeit bezieht sich auf die Gewährleistung, dass Daten zugänglich und nutzbar sind, wenn sie benötigt werden. Integrität schliesslich stellt sicher, dass Daten korrekt und vollständig sind. Diese Ziele bilden das Fundament eines robusten Datenschutzprogramms und sind entscheidend für das Vertrauen, das Kundinnen und Kunden sowie Geschäftspartner:innen in die Datenverarbeitungspraktiken eines Unternehmens setzen.

ist mehr als nur Compliance; es geht darum, eine Kultur der Verantwortung und Transparenz zu etablieren.

– Dieter Huber, Geschäftsführer PlanSec AG

nachgewiesen wird, können mit Bussgeldern von bis zu 250 000 Franken belegt werden. Besonders mit Verstössen gegen die Meldepflicht bei Cyberangriffen kann man sich vergleichsweise schnell strafbar machen. Nebst den finanziellen Strafen gibt es die Auskunftsund Sorgfaltspflichten: Unternehmen müssen nicht nur transparent über ihre Datenverarbeitungsaktivitäten informieren, sondern auch nachweisen können, dass sie angemessene Massnahmen zum Schutz personenbezogener Daten ergriffen haben. Dazu gehört die Auswahl von Dienstleistern, die den Datenschutzbestimmungen gerecht werden, sowie die Implementierung von Prozessen, welche die Sicherheit der Daten gewährleisten. Ein weiterer wichtiger Aspekt ist die Kooperation mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Worauf ist bei der Zusammenarbeit mit ihm zu achten?

Obschon der EDÖB nicht proaktiv Unternehmen auditiert, sondern reaktiv auf Beschwerden und Meldungen reagiert, ist es entscheidend, eine offene und kooperative Haltung gegenüber dieser Behörde einzunehmen. Eine solche Zusammenarbeit kann nicht nur bei der Vermeidung von Sanktionen hilfreich sein, sondern auch das Vertrauen in die Datenschutzpraktiken des Unternehmens stärken. Wir von der PlanSec AG sprechen in diesem Zusammenhang immer von drei zentralen Schutzzielen im Datenschutz: Vertraulichkeit, Verfügbarkeit und Integrität.

Angesichts dieser Herausforderungen: Wie wichtig ist die Investition in Sicherheitsmassnahmen?

Diese Investition ist absolut kritisch und sollte als unverzichtbarer Teil der Geschäftsstrategie betrachtet werden. Vergleicht man die potenziellen Kosten einer Datenschutzverletzung – sei es durch Bussgelder oder Reputationsschäden– mit den Investitionen in präventive Sicherheits- und Datenschutzmassnahmen, wird schnell klar, dass Prävention die einzige sinnvolle Entscheidung darstellt. Letztlich ist es weitaus kosteneffektiver, proaktiv in Datenschutz und Datensicherheit zu investieren, als die Konsequenzen einer Nichteinhaltung zu tragen.

Was hält Unternehmen denn meist davon ab, auf ihre Datensicherheit zu fokussieren?

Unternehmen, insbesondere KMU, stehen oft vor der Herausforderung, dass ihnen die Zeit sowie das spezialisierte Wissen fehlen, um die Anforderungen der Datenschutzgesetzgebung vollständig zu verstehen und im hektischen Geschäftsalltag umzusetzen. Dies führt zu Unsicherheiten und potenziellen Risiken. Allerdings ist bei Weitem nicht jede Vorgabe des Datenschutzgesetzes für jedes Unternehmen gleichermassen relevant: So ist etwa die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, erst für Unternehmen mit mehr als 250 Mitarbeitenden verbindlich. Das zeigt, dass eine individuelle Betrachtung und Anpassung an die spezifischen Bedürfnisse und Kapazitäten jedes Unternehmens erforderlich ist.

Wie unterstützt die PlanSec AG Unternehmen dabei, diesen Herausforderungen zu begegnen und ihre Datenschutzziele zu erreichen? Unser Ansatz besteht darin, zunächst die richtigen Fragen zu stellen: Ist eine bestimmte Datenschutzanforderung für das Unternehmen relevant oder nicht? Und wie könnte diese in die Prozesse der Firma eingebettet werden? Wir erläutern dann die Gründe für unsere Einschätzung und stellen ein Argumentarium zur Verfügung, das die Entscheidungsfindung unterstützt. Dieser Prozess hilft nicht nur die Relevanz bestimmter Anforderungen zu klären, sondern auch Interpretationsfehler zu vermeiden. Unser Ziel besteht darin, Unternehmen durch diesen Dschungel an Vorschriften zu navigieren, indem wir klare, verständliche und vor allem anwendbare Informationen bereitstellen. Hierfür bieten wir eine kostenfreie Datenschutzanalyse, die den Anfang der Zusammenarbeit markiert. Mit diesem Angebot gehen wir bewusst in Vorleistung, um die spezifischen Bedürfnisse und Herausforderungen unserer potenziellen Kundinnen und Kunden zu verstehen. Diese Analyse gibt uns und dem Kundenbetrieb die Möglichkeit, einander kennenzulernen und zu entscheiden, ob eine Zusammenarbeit für beide Seiten von Vorteil ist. Das Onboarding ist für uns also nicht nur ein Prozess der Informationsgewinnung, sondern auch eine Gelegenheit, um eine vertrauensvolle Beziehung aufzubauen. Uns ist es wichtig, dass unser Gegenüber sich sicher fühlt und genau weiss, welche Schritte wir unternehmen werden, um gemeinsam den Weg zur Datenschutzkonformität zu beschreiten. Dabei agieren wir immer getreu unserem Credo: So wenig wie möglich, so viel wie nötig. Wir wollen mit unserer Kundschaft keine Datenschutz-Doktorarbeit verfassen, sondern setzen auf einen pragmatischen Ansatz. Dazu kann auch gehören, Firmen bei der Umsetzung der «ISO 27001 Informationssicherheit» zu unterstützten. Denn diese Norm gewinnt immer mehr als Bedeutung, weil sie einen Compliance-Backbone darstellt und Datenschutzanforderungen mitberücksichtigt. Weitere Informationen unter: web.plansec.ch

Über die PlanSec AG

Das in Cham ZG ansässige Unternehmen unterstützt Firmen aller Branchen und Grössen dabei, die Herausforderungen des modernen Datenschutzes und ISO 27001 zu bewältigen. Das Team von Datenschutz- und Informationssicherheitsexperten verfügt über umfangreiches Wissen und Erfahrung in diesem Bereich. Die PlanSec AG versteht die rechtlichen Anforderungen und die technischen Aspekte des Datenschutzes sowie der ISO 27001 Norm und ist bestens gerüstet, massgeschneiderte Lösungen zu entwickeln.

Arbeiten soll nicht gefährlich sein

Ist die Rede von Arbeitssicherheit, denkt man primär an die Unfallvermeidung. Tatsächlich wird das Konzept mittlerweile ganzheitlicher betrachtet, wodurch auch der psychische Gesundheitsschutz und das Bedrohungsmanagement mehr Aufmerksamkeit erhalten.

Der Druck auf Unternehmen nimmt dadurch zu. Ein Einblick in Pflichten, Herausforderungen und mögliche Hilfsmittel.

Arbeitgeber in der Schweiz sind laut Arbeitsgesetz, Obligationenrecht und Unfallversicherungsgesetz dazu verpflichtet, gewisse Anforderungen an Arbeitssicherheit und Gesundheitsschutz zu erfüllen. Nach Arbeits- und Unfallversicherungsgesetz müssen alle Massnahmen getroffen werden, die notwendig, nach dem Stand der Technik anwendbar und dem Betrieb angemessen sind, um Berufsunfälle und -krankheiten zu vermeiden. Derweil legt das OR den Fokus auf Persönlichkeit der Arbeitnehmer:innen:

«Der Arbeitgeber hat im Arbeitsverhältnis die Persönlichkeit des Arbeitnehmers zu achten und zu schützen, auf dessen Gesundheit gebührend Rücksicht zu nehmen und für die Wahrung der Sittlichkeit zu sorgen.»

Diese gesetzlichen Grundlagen gelten für alle Schweizer Unternehmen, wobei die Richtlinien der Eidgenössischen Koordinationskommission für Arbeitssicherheit

EKAS diese konkretisieren. Zum Beispiel spezifiziert die EKAS-Richtlinie 6508 die Pflicht der Arbeitgeber zum Beizug von Arbeitsärzt:innen und Spezialist:innen der Arbeitssicherheit bei besonderen Gefährdungen.

Kontrolle und Beratung

Primär sind die Kantone und die Suva mit der Überwachung der Betriebe beauftragt. Letztere kümmert sich insbesondere um Betriebe mit hohen Risiken, während die übrigen Unternehmen durch die Kantone kontrolliert werden. Zudem werden diese beiden Durchführungsorgane durch das Seco und Fachorganisationen unterstützt. Die Verordnung über die Unfallverhütung VUV legt ausserdem fest, dass die Arbeitgeber beim entsprechenden Durchführungsorgan Rat über die Umsetzung und Sicherheitsmassnahmen einholen können. Zur Förderung der Arbeitssicherheit stehen auch Branchen- und Modelllösungen sowie Selbsttests zur Verfügung.

Kümmert sich ein Betrieb nicht um Arbeitssicherheit und Gesundheitsschutz, nimmt er Strafen und Sanktionen in Kauf.

Warum Arbeitssicherheit?

Kümmert sich ein Betrieb nicht um Arbeitssicherheit und Gesundheitsschutz, nimmt er Strafen und Sanktionen in Kauf. Die Gründe dafür sind aber nicht nur rechtlicher Natur. Auf der finanziellen Seite riskiert man durch die Ausfälle der Mitarbeitenden Ersatzkosten, administrative Umtriebe und Unterproduktion. Ausserdem werden sich allenfalls die Prämien erhöhen. Auch ethische Argumente spielen in dieses Thema, denn ein angemessener Schutz vermindert Leid und Stress. Dies steigert wiederum die Zufriedenheit, Motivation und schlussendlich auch die Produktivität der Belegschaft.

Arbeitgeber tun also gut daran, das Thema ernst zu nehmen. Sicherheitsmassnahmen angemessen und langfristig umzusetzen, kann trotz der Hilfe der Durchführungsorgane herausfordernd sein. Grundsätzlich lassen sich die Teilbereiche der Arbeitssicherheit (Unfall) und des Gesundheitsschutzes (Krankheit) trennen, doch die Grenze ist fliessend und unscharf. Darüber hinaus stellt sich die Balance zwischen gesetzlichen Vorgaben und notwendiger Umsetzung als eine Gratwanderung heraus. Ausserdem will man die Mitarbeitenden

nicht mit überbordenden Reglementierungen und Schulungen überfordern. Externe Unterstützung ist vor allem bei mittleren und grösseren Unternehmen angebracht. Aber: Die Auslagerung der Arbeitssicherheit und des Gesundheitsschutzes entbindet den Arbeitgeber nicht von seinen rechtlichen Pflichten.

Neue Gefahren der modernen Welt Tatsächlich sind die Vorfälle von Betriebsunfällen und anerkannten Berufserkrankungen seit einigen Jahren rückläufig. Allerdings steigt die Inzidenz berufsassoziierter Gesundheitsstörungen, die sich oftmals nicht gänzlich einer beruflichen Tätigkeit zuschreiben lassen. Somit ertönen die Rufe nach Schutz vor psychosozialen Risiken immer lauter. Insbesondere der Kundenkontakt wird zunehmend zu einem Gefahrenherd für Mitarbeitende.

Seit Längerem erschweren gewisse Kund:innen die Arbeit und das Leben von Unternehmensund Behördenangestellten. Der Umgang damit gestaltet sich schwierig, da es sich meist um diffuse Bedrohungen und Gefahrensituationen handelt. Einige Kantonspolizeien haben deshalb Leitfäden erstellt, die Abhilfe dabei bieten sollen, Personen

und Situationen mit Gefahrenpotenzial zu erkennen, einzuschätzen und zu entschärfen. Gängige Empfehlungen im Bedrohungsmanagement sind, Arbeits- und Kundenbereiche zu trennen und ein:e Mitarbeiter:in als Ansprechperson zu schulen. Digitalisierung kann Arbeitssicherheit erhöhen

Die digitale Revolution hat neue Wege eröffnet, um die Arbeitssicherheit und den Gesundheitsschutz zu verbessern. Von der Überwachung der Arbeitsumgebung bis hin zur Schulung der Mitarbeitenden bieten digitale Lösungen eine Vielzahl von Instrumenten, um Unfälle und Risiken zu minimieren. Zum Beispiel ermöglichen Sensoren die Echtzeitüberwachung von Maschinen und Arbeitsumgebungen, wodurch potenzielle Gefahren frühzeitig erkannt und behoben werden können. Zudem können Trends und Muster von Vorfällen identifiziert werden. Virtuelle Schulungen und Simulationen ermöglichen es den Mitarbeitenden, sich mit potenziellen Risiken vertraut zu machen, ohne sich tatsächlich in Gefahr zu begeben. Insgesamt sind die Arbeitssicherheit und der Gesundheitsschutz in der Schweiz ein umfassendes Konzept, das nicht nur die physische Unversehrtheit der Mitarbeitenden, sondern auch ihre psychische Gesundheit und ihr Wohlbefinden berücksichtigen soll. Durch den Einsatz digitaler Lösungen, die Verantwortung der Arbeitgeber und falls nötig einem proaktiven Bedrohungsmanagement können Unternehmen sicherstellen, dass ihre Mitarbeitenden in einer sicheren und gesunden Arbeitsumgebung arbeiten können. Schliesslich ist und bleibt die Belegschaft der wichtigste Erfolgsfaktor jedes Betriebes.

So können Unternehmen die rechtlichen Vorgaben zu Arbeitssicherheit

und Gesundheitsschutz erfüllen

Unternehmen sind gesetzlich verpflichtet, bestimmte Massnahmen zur Arbeitssicherheit und zum Gesundheitsschutz einzuhalten. Der Geschäftsführer der Firma Qualitätswerk GmbH Matthias Kunz, erklärt, wie Unternehmen diese Herausforderungen effektiv umsetzen können.

Matthias Kunz

Geschäftsführer Qualitätswerk GmbH

Unternehmen, die keinen Wert auf Arbeitssicherheit und Gesundheitsschutz legen, haben ein höheres Unfall- und Krankheitsrisiko, was zu erhöhten Fehlzeiten, Fluktuation und sogar Strafverfahren führen kann. Dies verursacht hohe Kosten für das Unternehmen, unnötige Aufwände, Reputationsschäden und führt letztlich eine schlechte Unternehmenskultur. Unternehmen hingegen, die Arbeitssicherheit und Gesundheitsschutz in den Fokus stellen, profitieren nicht nur finanziell, sondern auch von einer besseren Wertschöpfung und Betriebskultur. Abgesehen davon sind Arbeitssicherheit und Gesundheitsschutz gesetzlich verankert. Die rechtlichen Vorgaben für Unternehmen in der Schweiz Gemäss Artikel 82 zum Unfallversicherungsgesetz UVG sind Arbeitgeber verpflichtet, zur Verhütung von Berufsunfällen und Berufskrankheiten alle Massnahmen zu treffen, die nach der Erfahrung notwendig, nach dem Stand der Technik anwendbar und den gegebenen Verhältnissen angemessen sind. Es liegt daher in der Verantwortung der Arbeitgeber, die gesetzlichen Anforderungen der Arbeitssicherheit und des Gesundheitsschutzes im Betrieb einzuführen und umzusetzen, was in der

rechtsverbindlichen EKAS-Richtlinie 6508 der Eidgenössischen Kommission für Arbeitssicherheit (EKAS) weiter konkretisiert wird. Folglich müssen Unternehmen drei Massnahmen zur Rechtskonformität zwingend berücksichtigen und umsetzen, das derzeit auch vonseite Behörde bei einer Inspektion vor Ort überprüft wird:

1. Sicherheitskonzept erstellen, im Unternehmen implementieren und umsetzen Die erste Massnahme ist das Sicherheitskonzept, das eingeführt und implementiert werden muss. Es beschreibt in zehn festgelegten Kapiteln, wie die gesetzlichen Anforderungen in den betrieblichen Prozessen umgesetzt werden. Das Konzept wird mithilfe von externen Spezialist:innen erstellt und dann intern von ausgebildeten Sicherheitsbeauftragten umgesetzt.

Seit 2021 bietet die Qualitätswerk GmbH eine Modelllösung an, welche bereits mehr als 150 Unternehmen in der Schweiz erfolgreich umsetzen. Dabei handelt es sich um ein fertiggestelltes Sicherheitskonzept, das Unternehmen jeder Grösse und Branche erwerben und im eigenen Betrieb mit relativ wenig Aufwand umsetzen können. Diese Modelllösung wurde von der EKAS zertifiziert. Der Vorteil der Modelllösung von Qualitätswerk ist, dass sich Unternehmen damit den zeitlichen, aber auch finanziellen hohen Aufwand für die Erstellung eines Sicherheitskonzeptes sparen können. Weiter gilt die Modelllösung durch die Zertifizierung als rechtskonform, was sich zum Beispiel bei Inspektionen aber auch bei möglichen Strafverfahren positiv auswirkt.

2. ASA-Spezialist:innen im Betrieb beschäftigen oder extern proaktiv beziehen ASA-Spezialist:innen steht für Ärztinnen und

Spezialisten der Arbeitssicherheit. Sie sind entweder im Betrieb angestellt oder werden, was häufiger der Fall ist, extern beigezogen. Gemäss der Verordnung über Unfallversicherung Art 11.a und der EKAS-Richtlinie 6508 müssen ASA-Spezialist:innen präventiv eingesetzt werden. Ihre Aufgabe ist es, Betriebe bei der Umsetzung der rechtlichen Vorgaben zu unterstützen, betriebsinterne Wissenslücken zu schliessen und präventiv gegen Berufsunfälle und Berufskrankheiten vorzugehen.

Qualitätswerk bietet anerkannte ASA-Fachleute, die beratend, unterstützend und begleitend tätig sind. Die Dienstleistung umfasst die Grundausbildung der Mitarbeitenden, aber auch das Erkennen von sicherheitsrelevanten Schwachstellen im Betrieb. Mit einem ASA-Mandat können die gesetzlichen Anforderungen auf einfache Weise erfüllt werden und die Betriebe profitieren von einem breiten Spektrum an Fachwissen durch Arbeitsärzten, Arbeitshygienikern oder Sicherheitsspezialisten.

3. Kontaktperson für Arbeitssicherheit ausbilden lassen

In jedem Unternehmen muss das Grundwissen zu Arbeitssicherheit und Gesundheitsschutz vorhanden sein. Daher ist es notwendig, dass mindestens eine Person im Betrieb zur Kontaktperson für Arbeitssicherheit (KOPAS) ausgebildet wird. Qualitätswerk bietet dazu den KOPAS-Grundkurs an, in dem die grundlegenden Kompetenzen, Aufgaben und Funktionen vermittelt werden.

Der Kurs richtet sich an Mitarbeitende und Vorgesetzte aus Klein- und Grossunternehmen und dauert zwei Tage. Er kann sowohl vor Ort als auch digital im Selbststudium (E-Learning) absolviert werden. Da der Kurs die vorgegebenen Richtkompetenzen der EKAS berücksichtigt, ist der Abschluss schweizweit anerkannt.

Weitere Informationen unter: qualitaetswerk.ch

Sicherheitsevent / Kongress «Arbeitssicherheit und Gesundheitsschutz»

26. November 2024 I Stadttheater Olten

Hauptthema:

Psychosoziale Risiken am Arbeitsplatz

Referenten: Behördenvetreter und Fachspezialisten klären zum Thema psychosoziale Risiken am Arbeitsplatz auf und informieren zu weiteren Themen bezüglich Arbeitssicherheit / Gesundheitsschutz

Special Guest: Didier Cuche

Moderation: Stéphanie Berger (Keynote-Speakerin/ Ex-Miss-Schweiz)

Teilnehmende:

Geschäftsführer, Vorgesetzte, ASA-Spezialist:innen, Sicherheitsbeauftragte (Sibe)

Hier für die Veranstaltung anmelden:

Datarec AG • Brandreport

Datenvernichtung – schafft Sicherheit und ist nachhaltig

Die Absicherung ihrer IT-Infrastruktur ist für Unternehmen heutzutage ein Muss. Doch damit allein ist Datensicherheit nicht gewährleistet, denn oft schlummern auf Datenträgern noch Informationen, die nicht in falsche Hände geraten sollten. Diese Daten vernichtet die Datarec AG physisch – und führt die anfallenden Abfallstoffe zurück in die Kreislaufwirtschaft.

Herr Rieder, die Datarec AG ist spezialisiert auf die sichere physische Vernichtung von Akten, Daten und Datenträgern. Was bedeutet «sichere Vernichtung» genau? Damit garantieren wir, dass man die aufgezeichneten, gespeicherten oder gedruckten Informationen nicht wiederherstellen kann, auch nicht mit modernsten Methoden. Wir setzen zu diesem Zweck spezifische Shredder- und Zerkleinerungsanlagen ein, die in mehrstufigen Prozessen Papier, Festplatten, SSD-Chips, Mobiltelefone, Memorysticks und weitere Speicher aller Art ein für alle Mal vernichten und die enthaltenen Informationen nutzlos machen. Datarec steht aber noch für mehr als nur sichere Abholung und Datenvernichtung –nämlich für eine nachhaltige Kreislaufwirtschaft. Denn sämtliche Abfall- beziehungsweise Rohstoffe, die bei der Zerkleinerung anfallen, rezyklieren wir.

Warum ist es so wichtig, nicht nur Daten zu löschen, sondern auch Datenträger zu vernichten? Letztlich wird alles, was nicht virtuell im täglichen Internetverkehr unterwegs ist, physisch gelagert. Nebst klassischem Papier werden hierfür die beschriebenen Datenträger mit ihren unterschiedlichen Funktionsweisen genutzt. Doch gerade

digitale Datenträger lassen sich nicht immer so formatieren, dass wirklich sämtliche Daten – auch Metadaten – restlos verschwinden. Werden diese Speichermedien unachtsam entsorgt, können die enthaltenen Informationen potenziell für Schwierigkeiten sorgen – gerade im Zeitalter zunehmender Datenschutz-Awareness sowie steigender Sicherheitsanforderungen an Unternehmen. Darum bietet die Datarec AG Firmen aller Branchen und Grössen an, nebst Papierakten auch ihre digitalen Datenträger und Devices abzuholen und diese sicher zu vernichten. Dabei legen wir grossen Wert auf maximalen Kundenkomfort und bieten auf Wunsch sozusagen eine «Vernichtung as a Service» an. Wodurch zeichnet sich dieses Angebot genau aus?

Wir stellen Unternehmen abschliessbare Container mit Einwurfschlitz zur Verfügung, in die sie ihre Datenträger oder Akten entsorgen können.

Diese holen unsere Securitas-Mitarbeitenden mit gesicherten Lastwagen auf Abruf oder regelmässig vor Ort ab. Anschliessend vernichten wir sämtliche Inhalte in unseren Shredderzentren sicher.

Dabei kümmern wir uns um alle Belange, von der Sortierung der Containerinhalte bis hin zur Weiterführung der entstehenden Abfallstoffe in die entsprechenden Materialkreisläufe. Zudem erhalten unsere Kundinnen und Kunden nach jedem Einsatz ein Vernichtungszertifikat. Dies ist insbesondere für Unternehmen relevant, die ihre Sicherheitsbestrebungen nach ISO 27001 zertifizieren: Sie können zum Jahresende ausweisen, wie viele Akten/Datenträger vernichtet wurden. Und da unsere Lastwagen GPS-getrackt sind, ist überdies garantiert, dass die abgeholten Materialien unseren Kreislauf nicht mehr verlassen, bevor sie sicher vernichtet werden.

Wie können Unternehmen die Dienstleistungen der Datarec AG in Kauf nehmen?

Wir reagieren schnell und unkompliziert auf alle Anfragen, da wir regional verankert sind. Diese Kundennähe ist uns sehr wichtig. Anschliessend erbringen wir sämtliche Dienstleistungen und Aspekte aus einer Hand, auch bei anspruchsvollen Fällen. Wenn jemand zum Beispiel noch ein altes Archiv im Estrich hat, welches vernichtet werden muss, regeln wir

die Abholung der Akten und Datenträger, inklusive Umlad, in gesicherte Container. Ordner, Register oder Spezialverpackungen wie Medizin-Blister oder Ähnliches muss man nicht aussortieren, auch darum kümmern wir uns. Unsere Chauffeure sind allesamt bei unserem Partner Securitas angestellt und damit in Sicherheitsfragen bestens ausgebildet. Die anschliessende Vernichtung erfolgt nach höchsten Ansprüchen (entsprechend DIN-Normen) und man hat wieder eine Sorge weniger im Business-Alltag. Und zusätzlich darf man sich am Gedanken erfreuen, dass alle Stoffe so weit wie möglich rezykliert werden und man somit zur Nachhaltigkeit beiträgt.

Weitere Informationen unter: www.barec.ch

Über die Datarec AG Datarec wurde 1993 durch die Groupe Barec und die Securitas AG gegründet. Eingebunden in den breit abgestützten renommierten RecyclingKonzern Barec, entwickelte sich Datarec zum führenden Sicherheitsunternehmen im Bereich Akten- und Datenvernichtung in der ganzen Schweiz. Fünf Standorte mit eigenem Shredderwerk, über 20 Sicherheitsfahrzeuge und rund 18 000 Sicherheitsbehälter mit Barcodesystem im Umlauf sind die Eckdaten eines Unternehmens, welches sich höchste Vertraulichkeit und Sicherheit zur Firmenphilosophie gemacht hat.

Mit Fachwissen und Praxis-Tipps für ein sicheres E-Banking sorgen

Die meisten Menschen in der Schweiz wickeln ihre Finanzangelegenheiten online ab. Doch nicht allen ist das sichere Verhalten im Zusammenhang mit E-Banking präsent. Aus diesem Grund betreibt die Hochschule Luzern (HSLU) gemeinsam mit Schweizer Finanzinstitutionen die Plattform «eBanking – aber sicher!»

Herr Hirschi, seit mittlerweile 15 Jahren betreibt die HSLU die Plattform «eBanking – aber sicher!» Worum handelt es sich dabei genau? «eBanking – aber sicher!» (EBAS) ist eine Dienstleistung, die von der Hochschule Luzern – Informatik in Kooperation mit Schweizer Finanzinstituten erbracht wird. 2008 startete das Angebot mit drei Pilot-Partnern, heute sind schweizweit knapp 100 Banken mit an Bord. Im Kern geht es bei EBAS darum, die Nutzerinnen und Nutzer von E-Banking dabei zu unterstützen, ihre digitalen Finanzangelegenheiten so sicher wie möglich zu regeln. Zu diesem Zweck stellen wir ihnen relevantes Wissen sowie praxistaugliche Tipps und Tricks zur Verfügung. Ferner helfen wir auch Endkundenberaterinnen- und -beratern sowie bankinternen Helpdesks dabei, die aktuellen und relevanten Themen rund um IT-Sicherheit zielgerichtet zu adressieren und kompetent zu beraten.

Wie wird E-Banking denn möglichst sicher? Es sind zwei Faktoren, die hierfür zusammenspielen müssen und die wir mit unserem Angebot zusammenbringen: Auf der einen Seite stehen die Banken, die durch moderne IT-Infrastrukturen sowie entsprechende Massnahmen die Gefahr von erfolgreichen Cyberangriffen minimieren. Und auf der anderen Seite haben wir die Kundinnen und Kunden, die ihrerseits durch korrektes Verhalten zu einem möglichst sicheren E-Banking beitragen. An dieser Schnittstelle setzen wir den Hebel an, indem wir informieren und aufklären –sowohl mit kostenlosem Know-how als auch durch zielgruppenspezifische Kurse, Schulungen und Seminare.

Wie hat sich denn in den letzten 15 Jahren die Gefährdungslage verändert?

Leider muss man festhalten, dass die Angriffe deutlich professioneller geworden sind und auch die Bandbreite an Angriffsvarianten enorm zugenommen hat. Heute kann man beispielsweise die benötigten Mittel für einen Angriff einfach als «Software as a Service» erwerben. Zudem sind die Cyberattacken globaler geworden. Gleich geblieben ist hingegen die Tatsache, dass der Angriffsvektor meist auf die Anwenderinnen und Anwender abzielt, beziehungsweise auf die Schnittstelle zwischen Bank und Endkund:innen.

Wie verhindern Sie, dass diese Schnittstelle zum Schwachpunkt wird? Indem wir eine direkte Sensibilisierung vorantreiben.

Wir stellen Wissen, Checklisten,

Anleitungen etc. zur Verfügung, die für alle Userinnen und User nützlich sind.

– Prof. Oliver Hirschi

Wir stellen Wissen, Checklisten, Anleitungen etc. zur Verfügung, die für alle Userinnen und User nützlich sind – gerade auch für solche, die kein vertieftes IT-Fachwissen haben. Wie gesagt, bieten wir auch vertiefende Kurse an und sorgen mit Schulungen dafür, dass unsere Partnerbanken für die heutigen Herausforderungen hinsichtlich Cyberkriminalität so gut wie möglich gerüstet sind. Diese Angebote erbringen wir in allen Schweizer Landessprachen sowie auf Englisch. Eine Zielgruppe, die immer mehr in den Fokus von Cyberkriminellen rückt, sind KMU. Das ist korrekt. Deswegen haben wir in den letzten

fünf Jahren bei «eBanking – aber sicher!» vermehrt den Fokus auch auf KMU gelegt. Denn insbesondere in einem KMU-Land wie der Schweiz ist das Gefahrenpotenzial riesig. Gleichzeitig können Aufklärung und Schulung hier eine enorme Wirkung entfalten. In unseren KMU-Schulungen gehen wir unter anderem auf die Problematiken «Ransomware» und «CEO-Fraud» ein, von denen solche Unternehmen aktuell oft betroffen sind. Und unsere Kernbotschaft an alle KMU lautet: Kein Unternehmen ist zu klein, um für Cyberangriffe attraktiv zu sein! Welche künftigen Entwicklungen erwarten Sie hinsichtlich Cybercrime und E-Banking? Solche Prognosen ähneln immer einem Blick in die Kristallkugel. Was man aber mit einer gewissen Sicherheit sagen kann: Sowohl Cyberangriffe als auch der Schutz vor Cybercrime werden künftig durch KI enorme Veränderungen erfahren. Gerade Betrugsfälle im Zusammenhang mit Social Engineering werden durch künstliche Intelligenz immer perfider. Umso wichtiger ist es, weiterhin aufzuklären und ein Bewusstsein für sicheres E-Banking zu schaffen.

Weitere Informationen unter: www.ebas.ch

Die schnelle Taskforce für den Cyberangriff-Ernstfall

Firmen aller Branchen und Grössen müssen in die präventive Sicherheit ihrer IT-Infrastrukturen und Netzwerke investieren. Doch wer unterstützt Unternehmen, wenn ein Cyberangriff bereits im Gange ist? Hier kommt die Forentec AG zum Zug. Denn sie unterstützt Kundinnen und Kunden nicht nur mit Sensibilisierung und Prävention, sondern steht ihnen auch bei tatsächlichen Angriffen zur Seite.

Herr Bloch, im Zusammenhang mit IT- und Datensicherheit wird vornehmlich über präventive Massnahmen gesprochen. Wie aber können Firmen reagieren, wenn sich Cyberangreifer schon im firmeneigenen System befinden? In diesem Worst Case agieren wir von der Forentec AG als externe Taskforce, welche die betroffene Firma bei der Abwehr der Angreifer und der Sicherung ihrer Systeme unterstützt (Incident Response). Man kann sich das wie eine polizeiliche Einsatztruppe oder wie ein Team der Feuerwehr vorstellen. Denn wenn es zu einem Cyberangriff kommt, sind zwei Faktoren essenziell: Timing und Speed. Beide Faktoren kann man mit Prävention optimieren, zum Beispiel, indem man den «Service für Vorfallreaktion» (Incident Response Retainer) nutzt. Denn die effektivste Reaktion im Ernstfall wird nur dann möglich, wenn auf Seiten der Prävention bereits Vorarbeit geleistet wurde. Insofern ist es nicht unberechtigt, viel über präventive Massnahmen zu sprechen. Bei der Forentec AG versuchen wir, hier anzusetzen und diese beiden Dienstleistungen zu verbinden, um unsere Kundinnen und Kunden bestmöglich zu unterstützen.

Wobei handelt es sich beim «Incident Response Retainer»-Angebot genau? Im Grunde bieten wir damit einen 360-Grad-Sicherheitsservice, den wir unserer Kundschaft das ganze Jahr über rund um die Uhr zur Verfügung stellen. Ein wesentlicher Aspekt ist die Vorbereitung auf einen Sicherheitsvorfall: Im Rahmen eines Workshops simulieren wir einen Angriff und üben das richtige Vorgehen mit den Verantwortlichen des Unternehmens. Im Ernstfall überlassen wir unsere Kundinnen und Kunden dann natürlich nicht sich selbst: Während eines laufenden Angriffs evaluieren unsere erfahrenen und geschulten IT-Forensiker stetig, welche Massnahmen wann zu ergreifen sind. Anschliessend orchestrieren wir sämtliche Prozesse, um einerseits wichtige Kundendaten zu sichern und andererseits festzustellen, wo die Schwachstellen im System liegen. Unser oberstes Ziel besteht jeweils darin, den Betrieb des Unternehmens aufrechtzuerhalten, Geldabflüsse und Datendiebstahl zu verhindern und gleichzeitig dafür zu sorgen, dass die IT-Umgebung wirklich wieder sicher ist. Gerade dieser Schritt, die forensische Spurensuche, ist enorm wichtig, um garantieren zu können, dass keine Hacker mehr Zugang zum Firmennetzwerk haben.

Wie gelingt es Angreifern eigentlich, solch erhebliche Schäden in Unternehmenssystemen zu verursachen?

Man muss verstehen, dass sich solche Eindringliche nicht nur für ein paar Stunden im jeweiligen Netzwerk aufhalten. Vielmehr haben sich die Angreifer durch eine Lücke im System längst Zutritt verschafft und analysieren seit Wochen oder gar Monaten ganz präzise, wie der Traffic im Netzwerk aussieht, welche

der Lage sind, dank unserer professionellen Unterstützung auf solche Vorfälle umgehend und richtig zu reagieren. Oder anders ausgedrückt: Es geht nicht um die Frage, ob es zu einem Angriff kommt, sondern wann. Und kein Unternehmen, egal welcher Grösse, kann es sich leisten, auf dem falschen Fuss erwischt zu werden. Wir sprechen in diesem Zusammenhang von «Forensic Readyness» (forensische Bereitschaft). Diese wollen wir in Unternehmen etablieren.

Im Grunde bieten wir damit einen 360-Grad-Sicherheitsservice, den wir unserer Kundschaft das ganze Jahr über rund um die Uhr zur Verfügung stellen.

– Lionel Bloch

Prozesse die Firma hat, wie die Geldströme fliessen etc. Erst wenn die Angreifer über ausreichende Informationen verfügen, lancieren sie einen Angriff auf die IT-Infrastruktur oder verschieben mithilfe fingierter Rechnungen Gelder. Werden solche Tätigkeiten erkannt, muss die Reaktion darauf angemessen ausfallen – und wie bereits erwähnt, möglichst rasch erfolgen. Um dies sicherzustellen, haben wir mit vielen Kundenunternehmen SLAs (Service-Level-Agreements) vereinbart, die unsere Aufgaben im Ernstfall exakt definieren, damit möglichst keine Zeit verloren geht und alle Prozesse maximal effizient ablaufen. Zu diesem Schritt raten wir grundsätzlich allen Unternehmen. Idealerweise kommt unser «Incident Response Retainer»-Service aber nicht erst im Ernstfall zum Tragen.

Sondern?

Bleiben wir bei der Feuerwehr-Metapher: Unsere Aufgabe besteht nicht nur darin, Brände zu löschen, sondern auch deren Ausbruch zu verhindern. Eine Schlüsselrolle dafür spielen unsere Schulungen und Workshops, die wir spezifisch auf die Ansprüche und Möglichkeiten von KMU und Grossunternehmen auslegen. Im Rahmen dieser Workshops vermitteln wir den Teilnehmenden nicht nur theoretisches und praktisches Wissen, sondern simulieren auch den konkreten Angriffsfall und üben das richtige Vorgehen während einer Attacke. Denn angesichts der aktuellen Bedrohungslage ist es unvermeidlich, dass Sicherheitsverstösse in Unternehmen auftreten. Daher ist es wichtig, dass sich die Betriebe auf das Szenario eines Cyberangriffs vorbereiten und in

Und wie fördern Sie die forensische Bereitschaft in Kundenbetrieben?

Indem wir ihre IT-Infrastrukturen, ihre Netzwerke sowie ihre Prozesse einer tiefgreifenden und genauen Analyse unterziehen. Wir eruieren zuerst mögliche, für das individuelle Unternehmen relevante Gefährdungsszenarien und simulieren diese anschliessend. Auf diese Weise decken wir relevante Schwachstellen auf, wie fehlende Strategien bei der Verwaltung von Datenbackups oder nicht definierte Verantwortlichkeiten für den Ernstfall. Alle diese Punkte nehmen wir auf, erläutern sie dem Unternehmen und schlagen passende Lösungen vor. Zum Beispiel kann ein wichtiger Schritt hin zu mehr Sicherheit darin bestehen, dass wir das Datenmanagement einer Firma übernehmen. Dazu gehört etwa das Scannen der Dokumente, deren Aufbereitung, Sortierung, Indexierung und Archivierung. In Absprache mit dem Unternehmen werden bestehende Archivstrukturen übernommen oder optimiert. Auch das Wiederherstellen und Retten gelöschter Daten sowie das sichere Entsorgen der entsprechenden Datenträger sind Teil unseres Data-Management-Services. In anderen Betrieben wiederum kann unsere Evaluierung zutage fördern, dass die Mitarbeitenden im Rahmen eines Workshops für die korrekte Handhabung gewisser Risiken sensibilisiert werden sollten. Oder wir stellen fest, dass die Kundschaft von einer weiteren, besonderen Dienstleistung der Forentec AG profitieren könnte, wie unserem Service «OSINT». Worum handelt es sich bei OSINT genau? Der Begriff steht für «Open Source Intelligence» und bedeutet, dass unsere Fachleute Informationen zu

Personen oder Themen aus öffentlich zugänglichen Datenquellen sammeln und analysieren. Dies kann ihnen in verschiedenen Situationen, etwa im Rahmen von Hirings oder bei der Evaluierung von Partnerschaften helfen, eine umfassende Risikoabschätzung vorzunehmen. Unter anderem werden hierfür Onlinequellen wie Social-Media-Profile, Webseiteninformationen und Medienberichte verwendet. Zusätzlich bieten online veröffentlichte Dokumente sowie amtliche Datenbanken Raum für Recherchen. Durch die Analyse der verschiedenen Informationen werden Erkenntnisse zur Person oder zum Thema der Untersuchung gewonnen – und in einem Bericht übersichtlich festgehalten. Dieser Bericht macht es den Entscheidungsträgerinnen und -trägern einer Organisation möglich, potenzielle Risiken noch besser abzuschätzen. Mit OSINT können wir unser ganzes forensisches Know-how zum Tragen bringen. Wie können Unternehmen die Dienste der Forentec AG in Anspruch nehmen? Am einfachsten ist es, wenn ein Erstkontakt per E-Mail oder Telefon erfolgt. Wir bieten auch ein kostenloses Erstberatungsgespräch an. In unserem Business ist Vertrauen ein essenzieller Wert und gerne ermöglichen wir es unseren potenziellen Kundinnen und Kunden, uns vor einer Zusammenarbeit kennenzulernen. Diese Nähe ist uns sehr wichtig und das Gespräch gibt uns die Gelegenheit herauszufinden, in welchen Feldern wir das jeweilige Unternehmen am besten unterstützen können. Weitere Informationen unter: www.forentec.ch

Über die Forentec AG

Die Experten des in Uster ZH ansässigen Unternehmens gehören zu den schweizweit Besten im Bereich IT Sicherheit und IT Forensik. Gemeinsam stellen sich die Fachleute der Forentec AG der Herausforderung, einen sicheren digitalen Raum für Unternehmen aller Grössen und Branchen zu schaffen. Nebst einer kundenfreundlichen Kultur setzt man dafür sowohl auf präventive als auch auf reaktive IT-Sicherheitsmassnahmen und arbeitet auch unter Zeitdruck mit grösster Sorgfalt und stets nach aktuellstem Stand der Technologie. Dies macht die Forentec AG zur Partnerin, die sämtliche Sicherheitsaspekte umfassend aus einer Hand anbieten und erbringen kann.

Dedicated to a safer digital world.

KKI-Lösungen datenschutzkonform nutzen

Entweder nutzen Unternehmen KI ohne Umwege und gefährden so die Datensicherheit oder sie räumen dem Datenschutz höchste Priorität ein und können KI-Tools kaum nutzen. Die Schlüsselkompetenz besteht darin, beides zu vereinbaren. Ist das überhaupt möglich?

ünstliche Intelligenz (KI) stellt in verschiedenen Formen und Situationen eine Bedrohung für den Datenschutz und die Sicherheit von Unternehmen dar.

Beispielsweise können Kriminelle KI für gefälschte E-Mails und manipulierte Telefonanrufe nutzen. In diesem Fall spricht man von Phishing- und SocialEngineering-Angriffen. Bei einem Informationsabfluss füttern Mitarbeitende KI mit sensiblen Daten und veröffentlichen damit unbewusst vertrauliche Informationen. Auch Infektionen mit Schadsoftware sind gefährlich: Kriminelle können kostenlose gefälschte KI-Anwendungen verbreiten, bei deren Installation sensible Daten gestohlen werden.

So funktioniert Datenschutz

Wie können Mitarbeitende die Daten ihres Unternehmens und sich selbst im Umgang mit KI schützen? Sie sollten ChatGPT und Co. nicht mit vertraulichen Informationen füttern, keine personenbezogenen Daten wie Namen und Gesundheitsdaten eingeben oder Bilder hochladen – weder von sich selbst noch von anderen Personen. Sie sollten keine Prozessabläufe, Netzpläne (Methoden zur Ablaufplanung von Projekten) oder Codeschnipsel von Software in ein KI-System laden.

Bei Large Language Models (LLM) wie ChatGPT dürfen die Mitarbeitenden den Antworten der KI nicht blind vertrauen. Erstens basieren die Antworten nicht auf Logik, sondern sind wahrscheinlichkeitsbasierte Vervollständigungen. Zweitens können sie veraltet sein. ChatGPT ist beispielsweise «nur» auf Daten bis im April 2023 trainiert. Drittens

können die Antworten voreingenommen sein, weil die Input-Daten gleichermassen mit Vorurteilen versehen sind. Fazit: ChatGPT ist nicht vertrauenswürdig und muss kritisch hinterfragt werden.

Die Geschäftsleitung oder die Sicherheitsabteilung muss Richtlinien zur Nutzung und zum Einsatz von KI-Systemen erstellen. Die Mitarbeitenden müssen wissen, was sie dürfen und was nicht.

Es ist sinnvoll, Cybersecurity-Trainings wahrzunehmen und die Mitarbeitenden entsprechend regelmässig zu schulen.

Neues DSG: Wer ist verantwortlich?

Das revidierte Datenschutzgesetz (revDSG) verpflichtet Unternehmen, über die Erhebung, Speicherung, Verarbeitung und Nutzung gewisser Daten zu informieren. Das Gesetz stellt eine Leitplanke für den Schutz sensibler Informationen dar, die den aktuellen Sicherheitsrisiken begegnet. Unternehmen müssen natürliche Personen bei Bedarf darüber informieren, welche Daten sie über sie besitzen, wie sie diese verwenden, an wen sie diese weitergegeben und wie sie erhoben werden.

Verantwortlich für die Umsetzung des neuen DSG ist das Unternehmen selbst – ergo die Geschäftsführung. Sie kann Aufgaben an geeignete Mitarbeitende oder an Externe delegieren. Diese internen oder externen Datenschutzbeauftragten überwachen die Einhaltung von Datenschutzverordnungen und stellen sicher, dass die Organisation die gesetzlichen Anforderungen erfüllt. Sie beraten und schulen die Mitarbeitenden in

Was sagt ChatGPT dazu?

Auf die Frage, ob ChatGPT gefährlich ist für den Datenschutz von Unternehmen, antwortet die künstliche Intelligenz: «Als KI-Modell habe ich keinen direkten Zugang zu externen Systemen oder Datenbanken von Unternehmen, daher stelle ich an sich keine direkte Bedrohung für den Datenschutz dar. Meine Interaktionen sind auf Informationen beschränkt, die während einer Sitzung bereitgestellt werden, und ich speichere keine persönlichen Daten über Sitzungen hinweg.

Es ist jedoch wichtig, dass Unternehmen, die KIModelle wie mich nutzen, sorgfältig überlegen, welche Daten sie in die Interaktionen einbringen.

Zum Beispiel sollten sensible Informationen oder persönlich identifizierbare Daten vermieden werden, besonders in öffentlich zugänglichen oder weniger sicheren Umgebungen. Die sicherheitsbewusste Verwendung von KI beinhaltet den Schutz von Daten durch Verschlüsselung und die Einhaltung von Datenschutzbestimmungen.

Im Endeffekt hängt die Sicherheit beim Einsatz von KI-Technologie stark von der konkreten Anwendungsweise und den Sicherheitsmassnahmen des nutzenden Unternehmens ab.»

Datenschutzfragen. Einerseits müssen sie relevante Gesetze und Richtlinien erklären und andererseits einen sicheren Datenumgang aufzeigen. Falls Fragen bezüglich des Datenschutzes auftauchen, fungieren sie als Anlaufstelle für Mitarbeitende und Kund:innen. Sie nehmen auch Beschwerden entgegen und bearbeiten diese. Zur selben Zeit sind sie auch Ansprechpersonen für Aufsichtsbehörden, die Audits durchführen oder Nachfragen stellen. Datenschutzbeauftragte sind vor allem bei Unternehmen, die sensible personenbezogene Daten verarbeiten, unverzichtbar. Ihre Arbeit trägt dazu bei, das Vertrauen der Kundschaft und die rechtliche Konformität zu sichern. Verantwortungsvoller Einsatz Geschäftsprozesse optimieren und Effizienz steigern: Künstliche Intelligenz ist eine hervorragende Technologie, wenn sie von Unternehmen sicher eingesetzt und angewendet wird. Unternehmen müssen die Privatsphäre und die Daten ihrer Nutzer:innen schützen – ohne ethische oder rechtliche Kompromisse einzugehen. Dies erfordert eine strikte Einhaltung von Datenschutzgesetzen und die Implementierung umfassender Sicherheitsmassnahmen. Geschäftsleitungen, Mitarbeitende und Datenschutzbeauftragte, die einen verantwortungsvollen Umgang mit KI fördern, sichern den Unternehmenserfolg und sichern die Wettbewerbsfähigkeit im schnelllebigen Technologiezeitalter.

Text Linda Carstensen

Schutz & Rettung Zürich ist die grösste zivile Rettungsorganisation der Schweiz. Wir agieren 24/7 am Puls von Zürich und sind im Einsatz für die Menschen in der Stadt und Agglomeration.

Ihre berufliche Weiterentwicklung in die Blaulichtwelt bei attraktivem Ausbildungslohn:

– Ausbildung Dipl. Rettungssanitäter*in HF (2,5 resp. 3,5 Jahre)

– Ausbildung Transportsanitäter*in eidg. FA (1 Jahr)

– Ausbildung Berufsfeuerwehrmann*frau eidg. FA (20 Monate)

– Ausbildung Airport Fire Service (4 Monate)

– Medizinische Fachperson Einsatzleitzentrale (3 Monate)

Zudem suchen wir regelmässig kompetente Berufsleute in folgenden Bereichen: ICT, Brandschutz, Bau & Immobilien, Logistik, Nutzfahrzeuge, Erwachsenenbildung, Kommunikation, Personal sowie Finanzen

Entdecken Sie unsere Berufswelten, offenen Stellen und modernen Anstellungsbedingungen online.

Rutschen Sie mit uns!

Sind meine Daten in der Cloud sicher?

Digitalisierung, KI, Datensicherheit, Cybersecurtiy – um nur einige Schlagworte zu nennen, die jedes Unternehmen derzeit beschäftigen, führen auch dazu, sich mit der Verlagerung der Infrastruktur, Daten und Anwendungen in die Cloud auseinanderzusetzen. Cloud-Computing bietet Unternehmen zahlreiche Vorteile wie Skalierbarkeit, Flexibilität, Kosteneffizienz und die Möglichkeit, von überall auf Daten und Anwendungen zuzugreifen. Doch gleichzeitig birgt die Cloud auch Risiken, die Unternehmen bei der Nutzung unbedingt berücksichtigen müssen. IT-Sicherheit und Datensouveränität spielen dabei eine entscheidende Rolle.

Die Bedrohungslandschaft: Warum IT-Sicherheit so wichtig ist Cyberangriffe stellen eine ernste Bedrohung für Unternehmen aller Grössen und Branchen dar. Der Fall Xplain in der Schweiz verdeutlicht, wie verheerend die Folgen sein können, wenn Hacker:innen Zugriff auf sensible Daten erlangen. Was war passiert?

Die Cyberkriminellen-Gruppe «Play» hat eine gross angelegte Cyberattacke auf das IT-Unternehmen Xplain durchgeführt. Die Angreifer:innen konnten sich dabei Zugang zu den internen Systemen des Unternehmens verschaffen und sensible Daten wie Kundendaten, Finanzdaten und geistiges Eigentum stehlen. Erst als die IT-Sicherheitsteams verdächtige Aktivitäten bemerkten, wurde der Angriff entdeckt. Xplain musste einen Grossteil seiner IT-Systeme herunterfahren, um die Malware zu entfernen. Dies führte zu erheblichen Betriebsunterbrechungen und finanziellen Verlusten. Die gestohlenen Daten wurden teilweise im Darknet zum Kauf angeboten. Neben dem finanziellen Schaden, der durch solche Attacken samt Datendiebstahl, Betriebsunterbrechungen oder Erpressungsversuche entstehen kann, leidet auch das Vertrauen der Kunden in das betroffene Unternehmen. Hackerangriffe können somit die Existenz eines Unternehmens gefährden. Um sich vor solchen Angriffen zu schützen, ist eine umfassende IT-Sicherheitsstrategie unerlässlich. Diese sollte sowohl technische als auch organisatorische Massnahmen umfassen. Zu den technischen Massnahmen zählen beispielsweise:

Firewalls und Intrusion Detection Systeme: Diese Systeme dienen dazu, unberechtigte Zugriffe auf das Unternehmensnetzwerk zu verhindern und Angriffe frühzeitig zu erkennen.

Regelmässige Sicherheitsupdates: Software-Updates schliessen Sicherheitslücken und machen es Angreifer:innen schwerer, Systeme zu kompromittieren. – Verschlüsselung: Daten sollten sowohl bei der Übertragung als auch bei der Speicherung (Data at rest) verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen.

– Back-ups: Regelmässige Back-ups stellen sicher, dass Daten im Falle eines Angriffs oder eines technischen Defekts wiederhergestellt werden können.

Neben den technischen Massnahmen sind auch organisatorische Massnahmen von entscheidender Bedeutung. Dazu gehören:

– Mitarbeiterschulungen: Mitarbeitende sollten regelmässig über IT-Sicherheitsrisiken und Best Practices informiert werden.

– Zugriffskontrollen: Der Zugriff auf sensible Daten sollte auf die Mitarbeiter:innen – intern wie extern – beschränkt werden, die diese für ihre Arbeit benötigen.

– Notfallpläne: Unternehmen sollten Notfallpläne für den Fall eines Cyberangriffs entwickeln, um schnell und effektiv reagieren zu können.

Doch sichere Daten bedeutet weitaus mehr als nur Sicherheitsmechanismen. Denn neben den oben erwähnten Konsequenzen drohen den Unternehmen weitere Unannehmlichkeiten in Form von Bussgeldern, die im Rahmen der Datenschutzgrundverordnung (DSGVO) sowie dem Schweizer Datenschutzgesetz (DSG) eingeführt wurden. «Die DSGVO verpflichtet Unternehmen dazu, personenbezogene Daten zu schützen und nur unter bestimmten Bedingungen zu verarbeiten. Bei Verstössen drohen hohe Bussgelder», erklärt Antoine Coetsier, COO und Co-Founder von Exoscale.

Und das gilt keineswegs nur bei Cyberattacken, sondern grundsätzlich, wenn sich Unbefugte Zugriff auf die Daten eines Unternehmens verschaffen, auch wenn diese Daten nicht beim Unternehmen selbst, sondern bei einem Cloudprovider gespeichert und verarbeitet werden. Das müssen dabei keineswegs immer Kriminelle sein, dies können auch

staatliche Stellen sein, beispielsweise in den USA, wo Regularien wie der «US Cloud Act» es Behörden ermöglicht, auf Daten von Unternehmen, die in US-Rechenzentren lagern, Zugriff einzufordern.

Dazu sollten die Unternehmen wissen, dass die DSGVO hohe Standards für den Datenschutz setzt, die in anderen Ländern auch neben den USA nicht unbedingt eingehalten werden. Dort gilt der «Cloud Act» und dieser erlaubt den US-Behörden unter Angabe triftiger Gründe den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, unabhängig davon, wo auf der Welt diese Daten gespeichert sind.

Ein weiterer Vorteil der DSGVO ist die klare Definition von Zustimmungsregeln. Unternehmen müssen eine ausdrückliche Zustimmung von Einzelpersonen einholen, bevor sie deren Daten verarbeiten dürfen. Diese Einwilligung muss freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und eindeutig sein. Der US Cloud Act enthält keine solchen Bestimmungen zur Zustimmung.

Unternehmen anhand der individuellen Bedürfnisse und Erfordernisse selbst bestimmen. Einsatz von Open Source Der Einsatz von Open-Source-Technologie im Cloud-Computing bietet europäischen Unternehmen eine grössere Unabhängigkeit gegenüber US-Unternehmen. Dies liegt daran, dass Open-Source-Software frei verfügbar ist und von einer Gemeinschaft von Entwickler:innen unterstützt wird, anstatt von einem einzigen Unternehmen kontrolliert zu werden.

Durch den Einsatz von Open-Source-Technologie können europäische Unternehmen ihre Daten und Anwendungen auf eigenen Servern hosten oder auf lokale Cloud-Anbieter zurückgreifen, die auf Open-Source-Software basieren. Dies gibt ihnen mehr Kontrolle über ihre Daten und ermöglicht es ihnen, ihre Abhängigkeiten zu verringern.

Darüber hinaus bietet Open-Source-Technologie auch Vorteile in Bezug auf Flexibilität und

Die DSGVO verpflichtet Unternehmen dazu, personenbezogene Daten zu schützen und nur unter bestimmten Bedingungen zu verarbeiten. Bei Verstössen drohen hohe Bussgelder.

– Antoine Coetsier

«Wenn man eine schweizer Alternative für die Eliten der Geschäftswelt verspricht, dann ist es wichtig, eine entsprechende Infrastruktur zu haben», erklärt Herve Blanc, Gründer und CEO von Sharekey. «Die Wahl fiel auf Exoscale wegen ihrer Eigentümerstruktur, der Gerichtsbarkeit des Unternehmens, ihrer umfangreichen Zertifikaten, die hohe Sicherheit und Verfügbarkeit garantieren sowie DatenresidenzDaten bleiben auch für Back-ups in der Schweiz.»

Kern der Lösung von Sharekey ist eine App-zu-AppVerschlüsselung, bei der die privaten Schlüssel zur Entschlüsselung der Daten ausschliesslich auf den Geräten der Nutzer:innen verbleiben. Selbst Sharekey hat keinen Zugriff auf die Daten. Die Sharekey-Applikation integriert Schlüsselelemente von Slack, Dropbox und Zoom in einem einfach zu nutzenden Tool für Business Professionals. Es ermöglicht Einzel- und Gruppenkommunikation mit und ohne Video, Dateiund Ordnerfreigabe für das gemeinsame Arbeiten an Dokumenten sowie Identitäts- und Zugriffsverwaltung. Neben dem Einsatz für private Arbeitsumgebungen wird es auch als Krisenmanagementwerkzeug eingesetzt.

Daraus ergeben sich gleich mehrere Vorteile:

– Datenschutz: Daten bleiben immer verschlüsselt, selbst wenn sie auf den Servern von Sharekey bei der Exoscale gespeichert sind. Nur wer den Schlüssel hat, kontrolliert.

– Multi-Device-Funktionalität: Einfache Synchronisierung von Daten über mehrere Geräte hinweg.

– Notfall-Tool: Sharekey kann auch bei Cyberangriffen eingesetzt werden, wenn andere Kommunikationswege ausfallen.

– Open Source: Der Code von Sharekey ist offen einsehbar und kann von Sicherheitsexpert:innen geprüft werden.

– Schweizer Datenschutzgesetze: Die Daten von Sharekey unterliegen den strengen Schweizer Datenschutzgesetzen.

«Eine Zusammenarbeit zwischen europäischen CloudAnbietern wie Exoscale und sicheren Kommunikationslösungen wie Sharekey bietet Unternehmen eine Kombination aus sicherer Cloud-Infrastruktur und privater Kommunikation und Kollaboration», so Coetsier. «Auf diese Weise können sie ihre Daten effektiv schützen und gleichzeitig die Anforderungen der DSGVO, NIS2 und anderen gesetzlichen Vorgaben erfüllen.»

Exoscale

Strafen für Verstösse

Die DSGVO sieht strenge Sanktionen bei Verstössen vor. Unternehmen können mit Geldbussen von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Der US Cloud Act hingegen enthält keine spezifischen Sanktionen für Unternehmen, die gegen die Vorschriften verstossen.

Daraus wird deutlich, dass für Unternehmen, die sich für einen nicht-europäischen Anbieter entscheiden, möglicherweise in Konflikte zwischen US Cloud Act und der DSGVO laufen, da die Firmen die Kontrolle über ihre Daten verlieren könnten.

Doch europäische Cloud-Anbieter wie Exoscale unterliegen nicht dem US Cloud Act. Sie speichern die Daten in Rechenzentren innerhalb Europas und gewährleisten somit ein höheres Mass an Datensouveränität. Durch die Nutzung europäischer Cloud-Anbieter können Unternehmen sicherstellen, dass sie die Anforderungen der DSGVO erfüllen und gleichzeitig ihre Daten vor unbefugtem Zugriff durch ausländische Behörden schützen.

Souveräne Cloud

Eine souveräne Cloud-Umgebung, wie sie Exoscale betreibt, ist durch drei Formen der Souveränität gekennzeichnet. Das sind die zum Einsatz kommenden Technologien, sämtliche Daten und die operationalen Prozesse. Auch hier stehen Open-Source-Ansätze auf der Agenda, die einen sogenannten Vendor-Lock-in ausschliessen sollen.

Darüber hinaus lassen sich Daten eigenverantwortlich verschlüsseln und darauf zugreifen, und die gewünschten Speicherorte können die

Anpassungsfähigkeit. Da die Software offen und frei zugänglich ist, können Entwickler:innen sie leicht anpassen und erweitern, um den spezifischen Anforderungen eines Unternehmens gerecht zu werden.

Nimmt man all diese Kriterien zusammen, wird schnell klar, dass die Exoscale-Cloud im besten Sinne souverän ist. So befindet sich der Sitz des Anbieters in der Schweiz (vgl. US Cloud Act) und ist damit immun gegen eine extraterritoriale Gerichtsbarkeit, alle Rechenzentren sind in der EU angesiedelt, wo auch die Daten gespeichert werden (vgl. DSGVO, NIS-2, etc.), die zugrunde liegende Zertifikate erfüllen sämtliche Standards mit Fokus auf Sicherheit und Datenschutz (u. a. ISO 27001 , CSA Star, PCI DSS 32, TISAX), etc. Darüber hinaus zählt die Exoscale-Cloud zu den wenigen Cloud-Infrastrukturen, bei denen Open-Source-Ansätze ganz weit oben auf der Agenda stehen. Das zeigen beispielsweise das FirewallTool IPFire und die Datenbank-Technik MySQL.

Zusammenarbeit von Exoscale und Sharekey: Mehr Sicherheit und Datenschutz für Unternehmen Um die IT- und Datensicherheit zu erhöhen, können Unternehmen auf die Zusammenarbeit von Exoscale und Sharekey setzen. Wie gezeigt, bietet Exoscale eine sichere und skalierbare Cloud-Plattform, die den Anforderungen der DSGVO entspricht. Die Plattform ist nach ISO 27001, CSA Star und PCI DSS 3.2 zertifiziert und erfüllt somit hohe Sicherheitsstandards. Sharekey läuft auf der Exoscale-Plattform. Dabei handelt es sich um eine hochsichere Kollaborationsplattform für Entscheidungsträger:innen, Vorstandsmitglieder sowie die Abteilungen Finanzen, Recht, IT und HR, die mit besonders sensiblen Daten arbeiten. Also ein Ort mit höchstem Datenschutz für Geschäftskunden.

Exoscale ist Mitglied von A1 Digital, wurde 2011 gegründet und gehört zur Telekom Austria Group. Der Cloudanbieter mit Sitz in der Schweiz unterstützt Unternehmen und Engineers ihre Workloads und Anwendungen sicher in der Cloud zu betreiben. Mit der benutzerfreundlichen, zuverlässigen und performanten Cloud-Plattform ist Exoscale der ideale Partner für Cloud-native Anwendungen. Unser Fokus auf Sicherheit und Datenschutz ermöglichet zudem eine reibungslose und DSGVO-konforme Nutzung der Cloud.

Für Fragen zu Exoscale steht Oliver Fuchs, Senior Account Executive Schweiz, zur Verfügung: oliver.fuchs@exoscale.ch

Tel.: +41788446932

Mehr Informationen unter: exoscale.com

Sharekey

Dabei handelt es sich um eine hochsichere Kollaborationsplattform für Entscheidungsträger:innen, Vorstandsmitglieder sowie die Abteilungen Finanzen, Recht, IT und HR, die mit besonders sensiblen Daten arbeiten. Also ein Ort mit höchstem Datenschutz für Geschäftskunden.

Mehr Informationen unter: sharekey.com

Strategien für robuste Softwaresicherheit

Software wird immer mehr in die Arbeitsprozesse von Unternehmen integriert und erleichtert Prozesse von der Finanzverwaltung bis zum Verkauf von Produkten. Viele Aktivitäten werden heute über digitale Kanäle abgewickelt, wodurch die Gefahr von Cyberangriffen gestiegen ist. Umso wichtiger ist es für Unternehmen, in Softwaresicherheit zu investieren. Was ist Softwaresicherheit?

Ziel der Softwaresicherheit ist es, die mit der Nutzung von Software verbundenen Risiken zu minimieren und vor Angriffen zu schützen, denn unsichere Software gefährdet die Integrität, Authentifizierung und Verfügbarkeit von Daten und Anwendungen. Softwaresicherheit beinhaltet Prozesse und Mechanismen, die sicherstellen sollen, dass die Software funktionsfähig und widerstandsfähig bleibt, zum Beispiel wenn sie von Viren oder Malware angegriffen wird. Diese Techniken werden bereits bei der Entwicklung und den Testprozessen von neuer Software eingesetzt. Die Absicht ist, Software zu entwickeln, die ohne zusätzliche Sicherheitselemente geschützt ist – obwohl diese in den meisten Fällen erforderlich sind. Durch die Testprozesse werden Schwachstellen aufgedeckt und behoben, bevor das Produkt auf den Markt kommt. Anschliessend ist es wichtig, die Benutzer:innen im sicheren Umgang mit der Software zu schulen, damit sie Angriffe erkennen und sich davor schützen können. Softwaresicherheit ist ein Prozess, der in jeder Phase des Software-Lebenszyklus stattfindet, von der Erstellung bis zur Nutzung. Softwaresicherheit wird immer stärker betont Softwaresicherheit gewinnt zunehmend an Bedeutung, da die Nutzung von Software zunimmt und das Risiko von Cyberangriffen steigt. Unsichere Software

Brandreport • CyOne Security AG

ist anfällig für Hackerangriffe von innen und aussen sowie für Betriebsspionage. Darüber hinaus kann es erhebliche finanzielle Schäden verursachen, indem es die Verfügbarkeit von Anwendungen einschränkt und möglicherweise zu Produktionsausfällen führt.

Eine weitere Gefahr besteht darin, dass Daten gestohlen oder manipuliert werden können, sei es durch Phishing oder durch Angriffe auf Cloud-Services. Dies kann zu Datenschutzverletzungen führen, die mit Bussgeldern geahndet werden können. Vertrauliche Daten, sowohl von Kunden als auch von Unternehmen, müssen geschützt werden. Dies ist auch wichtig, da sich ein Datenleck negativ auf das Vertrauen der Kundschaft auswirkt und dem Ruf der Firma schadet. In letzter Zeit häufen sich Phishing-Vorfälle und Angriffe auf Cloud-Services.

Sicherheit bei der Herstellung Wer Sicherheitssoftware selbst herstellt, sollte bewährte Sicherheitsverfahren anwenden. Zudem sollten Anwendungstests regelmässig durchgeführt werden, um potenzielle Schwachstellen zu identifizieren. Diese sollten behoben oder gepatcht werden, sobald sie entdeckt werden. Softwaresicherheit muss in allen Phasen des Entwicklungsprozesses berücksichtigt werden. Ausserdem müssen die Verantwortlichkeiten klar zugewiesen werden. Die sichere Herstellung von Software kann durch Tools und Services unterstützt werden, die beispielsweise Schwachstellen im Code oder zwischen Anwendungen und ihren Schnittstellen identifizieren.

Sicherheitsverfahren entwickeln sich laufend weiter und es ist unerlässlich, über diese Veränderungen informiert zu bleiben. Diese Verfahren sind jedoch kompliziert und zeitaufwendig, deshalb lohnt es sich

für viele Unternehmen, in Sicherheitssoftware von Drittanbietern zu investieren. Dabei sollte Sicherheit ein wichtiger Faktor bei der Entscheidung sein.

Best Practices für Softwaresicherheit

Die meisten Unternehmen betreiben Anwendungssicherheit. Sie erhalten ihre Softwaresicherheitsprogramme von Drittanbietern und ihre Sicherheitsprotokolle befassen sich mit der sicheren Anwendung. Damit dies funktioniert, ist es wichtig, eine Strategie zu entwickeln und diese laufend zu aktualisieren.

Text Valeria Cescato

Einige Beispiele für Best Practices im Bereich der Softwaresicherheit sind:

– Least-Privilege-Prinzip: Das bedeutet, dass die Benutzer:innen nur eingeschränkten Zugang zu den Programmen haben und nur auf die Funktionen zugreifen können, die sie benötigen. Der Grund dafür ist, dass Hacker:innen nur so viel Zugriff auf das Programm haben wie die Benutzer:innen, die sie hacken. Durch eingeschränkte Zugriffsrechte kann so der Schaden minimiert werden.

– Verschlüsselung von Softwaredaten: Datenverschlüsselung schützt Daten, indem sie in ein unlesbares Format umgewandelt werden. Wenn ein:e Hacker:in Zugriff auf die Daten hat, benötigt er oder sie auch den Verschlüsselungsschlüssel, um sie nutzen zu können. Daher ist es wichtig, dass alle gespeicherten und übertragenen Softwaredaten verschlüsselt werden.

– Software aktualisieren & patchen: Software sollte auf dem neuesten Stand gehalten und regelmässig gepatcht werden, da jede Software Probleme haben kann, die oft von Hacker:innenn ausgenutzt werden. Für grosse Unternehmen können Wartungs- und Inventarisierungstools hilfreich sein, um den Überblick zu behalten.

– Automatisieren: Die Infrastruktur muss regelmässig überprüft werden. Dies ist komplex, zeitaufwendig und für grosse Unternehmen manuell nicht machbar. Daher ist es sinnvoll, diese Aufgabe durch Sicherheitssoftware zu automatisieren, die dann Sicherheitskonfigurationen überprüft oder Änderungen an der Firewall analysiert.

– Sicherheitsplan: Auch das beste Sicherheitssystem kann versagen, daher ist es wichtig, einen Plan für den Fall eines Angriffs zu haben. Der Plan sollte beschreiben, was im Falle eines Angriffs zu tun ist, wie ein Angriff erkannt wird, wie der Schaden begrenzt wird und was zu tun ist, um zur Normalität zurückzukehren.

– Dokumentieren, Überwachen, Messen: Richtlinien sollten schriftlich festgehalten werden und für alle zugänglich sein. Zudem sollten Protokollierungs- und Überwachungsfunktionen implementiert werden, um Sicherheitsvorfälle in Echtzeit zu erkennen und darauf zu reagieren, einschliesslich unbefugter Zugriffsversuche, ungewöhnlichen Verhaltens und Verstösse gegen Sicherheitsrichtlinien.

Post-Quanten-Kryptografie:

Der «Q-Day» rückt näher: Unter Hochdruck arbeiten Cybersecurity-Expert:innen weltweit an der Post Quantum Security. Ihr besonderes Augenmerk liegt dabei auf der Kryptografie. Die Verschlüsselungslösungen der CyOne Security sind bereits heute post-quantensicher.

Quantencomputing markiert eine Zäsur im IT-Zeitalter. Anders als herkömmliche Laptops oder Smartphones «denken» Quantenrechner in Qubits und können somit eine enorme Vielzahl an Rechenaufgaben parallel lösen. Die Kehrseite der Medaille: Die gigantische Rechenleistung von Quantencomputern stellen CybersecurityFachleute vor grosse Herausforderungen. Der «Q-Day» –jener Tag, an dem Quantencomputer es schaffen, die

kryptografischen Algorithmen heute gängiger PublicKey-Systeme in kurzer Zeit zu brechen – rückt näher. Expert:innen gehen davon aus, dass dies bereits in fünf bis zehn Jahren der Fall sein wird. Je früher sichere Verschlüsselungssysteme zur Verfügung stehen, desto besser.

PQC-Entwicklung als Wettbewerb Deshalb beschäftigt sich die Kryptologie weltweit seit Jahren mit der sogenannten Post-Quanten-Kryptografie (engl. abgekürzt PQC). Diese fokussiert auf asymmetrische Verschlüsselungs- und Signaturverfahren. Dies, da die aktuell weltweit umfassend eingesetzten asymmetrischen Public-Key-Verfahren auf mathematischen Problemen – der Schwierigkeit der Primfaktorzerlegung und der Berechnung diskreter Logarithmen – beruhen, welche sich mit Quantencomputern effizient lösen lassen. Daher ist es das Ziel von PQC, neue quantensichere Public-KeyVerfahren zu entwickeln, die für die Ära nach Beginn der kommerziellen Nutzung des Quantencomputers zur sicheren Verschlüsselung eingesetzt werden.

2016 startete das National Institute of Standards and Technology (NIST) einen Prozess zur Standardisierung von quantenresistenter Public-Key-Kryptografie in Form eines Wettbewerbs. Erste definitive Standards sollen noch in diesem Jahr folgen.

Post-quantensichere Verschlüsselung – bereits heute Die CyOne Security hat – unabhängig von den Standardisierungsbemühungen – bereits post-quantensichere Verschlüsselungslösungen entwickelt. Grossmehrheitlich kommen dabei symmetrische Chiffrierverfahren mit einem mehrstufigen Sicherheitskonzept zum Einsatz. Die symmetrische Kryptografie gilt als nicht von Quantencomputern bedroht, solange ausreichend lange Schlüssel verwendet und Schlüsselaustausch- und Authentifizierungsmechanismen umfassend geschützt werden.

Ein Beispiel hierfür ist die hochmoderne one Technology Suite: Um höchste Cybersecurity für Behördenorganisationen zu erreichen, wurde die

post-quantensichere one-Produktfamilie, bestehend aus hard- und softwarebasierten Sicherheitselementen und basierend auf dem «Security by Design»-Ansatz entwickelt. Sie bietet umfassenden und zuverlässigen Schutz – auch vor dem allgemein mit Bangen erwarteten «Q-Day» und den damit verbundenen potenziellen Cyber-Bedrohungen. Erfahren Sie mehr über die one-Produktfamilie!

«Viele

Unternehmen sind sich nicht bewusst, wie vulnerabel sie wirklich sind»

Die Digitalisierung ist ein Gamechanger. Doch obschon sie neue Chancen bietet, erhöht sie auch den Druck auf Unternehmen – gerade im Zusammenhang mit Cybersicherheit und Datenschutz. Hier setzt die Neo One AG an: Sie errichtet massgeschneiderte IT-Umgebungen, bei denen «Sicherheit» ganzheitlich gedacht wird. Und die Bedürfnisse der Menschen stets oberste Priorität geniessen.

Herr Braunschweiler, gemäss dem Bundesamt für Cybersicherheit steigt die Anzahl gemeldeter Cybervorfälle hierzulande drastisch an. Wo sehen Sie Gefahren für Schweizer Unternehmen?

Die grundlegende Problematik hat meines Erachtens mit der Tatsache zu tun, dass viele Unternehmen mit der digitalen Welt überfordert sind. Man kann dies als «Schattenseite der Digitalisierung» bezeichnen: Einerseits eröffnen moderne Technologien enorme Chancen, andererseits steigen aber auch die Ansprüche an Unternehmen exponentiell an. Dies führt dazu, dass wir immer wieder mit Kundinnen und Kunden zu tun haben, die sich gar nicht bewusst sind, wie vulnerabel ihr Unternehmen tatsächlich ist.

Wie reagieren Sie in solchen Fällen?

Wir suchen das Gespräch. Denn die Neo One AG steht für eine ganzheitliche Konzeption, in welcher Sicherheit, IT-Funktionalität und Datenschutz massgeschneidert auf den Betrieb abgestimmt werden. Wir passen die IT dem Unternehmen an und nicht umgekehrt. Der erste Schritt auf diesem Weg besteht für uns in einer vertieften Analyse der Ist-Situation. Dadurch erfahren Unternehmen, über welche Assets sie verfügen, ob

sie die richtige IT-Strategie gewählt haben und wo potenzielle Gefahren lauern. Kürzlich haben wir von einer Unternehmerin ein schönes Kompliment erhalten: Sie meinte, dass sie unsere Risikoanalyse schon vor zehn Jahren hätte in Anspruch nehmen sollen.

Welche Schritte folgen nach dieser Analyse?

Wir fertigen einen umfassenden Bericht an und bringen dessen Erkenntnisse den verschiedenen Gremien des Kundenbetriebs näher. Natürlich bieten wir auch unsere fachliche Einschätzung der Resultate an, wofür wir die entdeckten Risiken nach Priorität einteilen.

Anschliessend erarbeiten wir auf dieser Grundlage ein Konzept, das es uns ermöglicht, eine IT-Umgebung zu errichten, die exakt auf die tatsächlichen Bedürfnisse und Möglichkeiten des Unternehmens ausgerichtet ist.

Und wie erwächst aus einem solchen Konzept letztlich eine sichere IT-Umgebung?

Sobald der Startschuss für die weiterführende Zusammenarbeit gefallen ist, nehmen sich unsere Fachleute sämtlichen wichtigen Themenfeldern an – von der Compliance über das IT-Management bis hin zur Security. Ein essenzieller Faktor ist auch die Langfristigkeit unserer

IT-Lösung: Die Komponenten müssen homogen sein und nicht nur heute, sondern auch morgen und übermorgen maximale Sicherheit gewährleisten. Darum fusst unser Qualitätsanspruch auf drei zentralen Säulen: Unsere Lösungen sollen funktional sowie sicher sein – und die Reputation unserer Kundinnen und Kunden durch das Erfüllen von Datenschutz- und Compliance-Anforderungen gewährleisten. Der letzte Punkt ist angesichts der neuen Datenschutzgesetzgebung wichtiger als je zuvor.

Wie sieht die Implementierung der erarbeiteten Lösungen und Anwendungen aus?

Ich vergleiche das gerne mit dem Penaltyschiessen beim Fussball: Im Vorfeld dieses entscheidenden Moments hat das gesamte Team ein volles Spiel lang sein Bestes gegeben. Nun muss aber für den Meistertitel auch der finale Schuss sitzen. Und genau dies stellt die Implementierung dar. Unser Vorteil: Anders als beim Fussball ist in der IT grundsätzlich alles planbar. Man benötigt allerdings die entsprechende Hingabe und Detailtreue. Beide Aspekte stellen wir mit unserer umfassenden, analytischen und konzeptionellen Vorarbeit sicher. Und da wir bei jedem Schritt der Journey die Menschen und ihre Bedürfnisse direkt adressieren, sind wir am Tag des Penaltyschiessens optimal vorbereitet und treffsicher: In unserer Laborumgebung wurde die Implementierung ausgiebig vorkonfiguriert, Belastungstests durchgelaufen und Qualitätssicherungen vollzogen. Unsere verantwortlichen Techniker sind so optimal auf die Aufgabe vorbereitet und unsere Kundinnen und Kunden werden noch nicht von Umstellungsabläufen tangiert. Am Tag der eigentlichen Umsetzung rückt dann ein eingespieltes Team zum Kundenunternehmen aus. Über Nacht oder im Laufe eines Wochenendes bauen wir dann die alte IT-Umgebung

ab und errichten die neue. Auch hier ist der menschliche Faktor entscheidend für uns: Nach der Umsetzung sind wir mehrere Tage im Kundenbetrieb vor Ort, um Schulungen und Workshops durchzuführen. Auf diese Weise ermöglichen wir es den Mitarbeitenden, sich an die neuen Systeme zu gewöhnen und sich schnellstmöglich zurechtzufinden. Ein ausführlicher Jahresplan orientiert die Kunden über Wartungen und Updates und dank unserer umfassenden Dokumentation lassen sich mögliche Compliance-Anfragen lückenlos beantworten. Darüber hinaus kann unsere Kundschaft jederzeit verschiedene zielgruppenspezifische Schulungen in Anspruch nehmen. Wie können Unternehmen die Dienstleistungen von Neo One am einfachsten in Kauf nehmen?

Auch hier setzen wir gerne auf den direkten, zwischenmenschlichen Austausch: Im Rahmen eines unverbindlichen Erstberatungsgesprächs kann man mit uns ungeniert erste Fragen klären und spezifische Themen ansprechen. Das kann Face-to-Face oder als digitaler Call geschehen. Durch diesen Dialog erhalten Unternehmen bereits viele interessante Inputs – und wenn es später zu einer Zusammenarbeit kommt, nehmen wir direkt von dort den Faden wieder auf, der schlussendlich zu einer sicheren, massgeschneiderten IT-Umgebung führt. Wie man es von uns kennt, bleiben wir dabei stets am Puls der Zeit. Weitere Informationen unter: www.neo-one.ch

Wie steht es um Ihre Unternehmenssicherheit?

Zertifikatslehrgang CAS der HSG – mögliches Startdatum: 24.-28.6.2024

Einbruchsicherheit für Unternehmen: praktische Tipps

Im Durchschnitt wird in der gesamten Schweiz fast 100 Mal täglich eingebrochen. Betroffen sind nicht nur Privathaushalte, sondern auch Unternehmen. Doch es gibt wirksame Massnahmen, um sich vor Einbrecher:innen zu schützen.

Aufgebrochene Fenster, beschädigte Türen, gestohlene Dokumente. Im Jahr 2023 wurden in der Schweiz über 28 000 Einbruchdiebstähle gemeldet. Das Bundesamt für Statistik publiziert jährlich eine Polizeiliche Kriminalstatistik (PKS), in der auch die Einbruchsraten aufgelistet werden. Diese Zahlen sind wichtige Indikatoren für die Entwicklung der nationalen Kriminalität. Und die Polizei rechnet laut Securitas Direct mit einer Zunahme der Einbruchsdelikte.

Fast die Hälfte der Einbruchdiebstähle geschieht nicht in einer Wohngegend, sondern betrifft den öffentlichen Raum. Ein Raum gilt als öffentlich, wenn er für verschiedene Personen zugänglich ist wie Verkaufsräume, Geschäftsräume und Baugewerbe. Einbrüche und Diebstähle können für Unternehmen hohe und kostspielige Schäden verursachen. Folgende Sicherheitstechniken und -massnahmen gewährleisten die allgemeine Sicherheit und unterstützen die betrieblichen Abläufe.

Sicherheitskonzept erstellen

Nur schon aus versicherungstechnischen Gründen sollten Unternehmen zwingend ein Sicherheitskonzept ausarbeiten. Denn viele Versicherungen setzen Schutzmassnahmen gegen Einbruch und Diebstahl voraus. Wenn ein Unternehmen also über kein Sicherheitskonzept verfügt, kann es sein, dass die Versicherung im Schadensfall keine oder nur geringe Kosten übernimmt.

Mitarbeiter:innen schulen

Die Wirksamkeit der modernsten Techniken verpufft allerdings, wenn die Angestellten nicht wissen, wie sie damit umgehen müssen. Deshalb müssen Unternehmen Schulungen für Sicherheitsvorkehrungen am Arbeitsplatz durchführen. Die Verhaltensregeln müssen schriftlich festgehalten werden. Wer ist für welche Massnahmen verantwortlich? Wie sieht die Alarmierungskette aus? Und wer schliesst bei Feierabend alle Räume ab? Solche und weitere Fragen müssen im Sicherheitskonzept geklärt werden.

Elektronische Zutrittslösungen

Im Idealfall stoppt man Einbrecherinnen und Einbrecher bereits ausserhalb des Firmengeländes. Hierfür spielen Zutrittssysteme eine Schlüsselrolle, denn sie regeln, wer wann und wo Zutritt erhält. Unbefugten soll dadurch der Zutritt verwehrt werden. Besucher:innen sollten im Idealfall angemeldet, an der Haupttüre in Empfang genommen, zum Gesprächspartner oder zur Gesprächspartnerin geführt und dann wieder aus dem Gebäude gebracht werden. So bleiben Fremde nicht unbeobachtet.

Das Ziel aller Sicherheitsmassnahmen besteht darin, die Mitarbeitenden, aber auch das Firmeneigentum und das interne Know-how zu schützen. Dank der Zutrittssysteme kann bei einem Vorfall nachvollzogen werden, wer sich wann wo aufgehalten hat. Tipp: Es lohnt sich, gute Beziehungen zu benachbarten Unternehmen aufzubauen. Wenn sie etwas Verdächtiges bemerken, schlagen sie eher Alarm.

Wertgegenstände im Safe sichern

Bargeld, wichtige Dokumente und Daten müssen vor Diebstahl geschützt werden. Dazu braucht es einen funktionstüchtigen Safe. Ein weiterer Vorteil eines solchen: Im Brandfall sind diese Wertgegenstände auch vor dem «Flammentod» geschützt.

Alarmanlage und Bewegungsmelder installieren

Einbrecher:innen ergreifen bei Alarm die Flucht – das Anbringen einer Alarmanlage ist daher für viele Betriebe ratsam. Bewegungsmelder wiederum schalten automatisch das Licht ein, wenn unbefugte Personen einen bestimmten Bereich betreten. Auch das Vortäuschen von Aktivitäten im Unternehmen kann

Einbrecher:innen abschrecken. Zeitschaltuhren, die Licht automatisch ein- und ausschalten, können einen regen Betrieb vortäuschen – und hindern Einbrecher:innen ihr Vorhaben zu vollführen.

Zutrittssysteme

Sicherheitskarten

Schlüsselanhänger

Biometrischer Zugang • Parkplatz Management • Zutritt mit Tags,QR-Code oder Telefon

Baulicher Einbruchschutz:

Einbruchsichere Fenster und Türen

Die Widerstandsklassen – RC für Resistance Class –geben den Schutzfaktor von Türen und Fenstern an: RC 1 weist das niedrigste Schutzniveau auf, RC 6 gewährleistet den höchsten Schutzfaktor. Die einzusetzende Widerstandsklasse hängt von der Art des Gebäudes, Lage des Immobilienobjekts, erforderlichen Interventionszeit für einen erfolgreichen Einbruchsvorgang, dem zu schützenden Sachwert oder notwendigen Personenschutz ab. Jeder Widerstandsklasse sind spezifische Einbruchswerkzeuge zugeordnet, die in der Regel zum Einsatz kommen.

Widerstands- Täterprofil und klasse Anwendungsgebiete

RC 1 Gelegenheitseinbrecher:innen versuchen mit kleinen Werkzeugen und körperlicher Gewalt Zutritt zu erlangen. Absicherung gegen Vandalismus, vor allem bei Gebäuden ohne direkten Zugang im Erdgeschoss.

RC 2 Gelegenheitseinbrecher:innen versuchen mit kleinen Werkzeugen wie Schraubendrehern oder Zangen während mindestens drei Minuten Zutritt zu erlangen.

Bei Wohngebäuden, Gewerbegebäuden und öffentlichen Gebäuden.

RC 3 Einbrecher:innen versuchen mit mehreren und grösseren Werkzeugen während mindestens fünf Minuten Zutritt zu erlangen. Bei Wohngebäuden, Gewerbegebäuden und öffentlichen Gebäuden.

RC 4 Erfahrene Einbrecher:innen nutzen schwere Werkzeuge

wie einen Hammer oder eine Axt während mindestens zehn Minuten, um Zutritt zu erlangen. Bei Gewerbegebäuden und öffentlichen Gebäuden.

RC 5 Sehr erfahrene Einbrecher:innen nutzen zusätzlich Elektrowerkzeuge wie Bohrer während mindestens 15 Minuten, um Zutritt zu erlangen.

Bei Gewerbegebäuden und öffentlichen Gebäuden mit hohen Sicherheitsanforderungen.

RC 6 Sehr erfahrene Einbrecher:innen nutzen zusätzlich leistungsstarke Elektrowerkzeuge während mindestens 20 Minuten. Bei Gewerbegebäuden und öffentlichen Gebäuden mit hohen Sicherheitsanforderungen.

Die Schweizerische Kriminalprävention (SKP) empfiehlt Hausbesitzer:innen, Mieter:innen, WGBewohner:innen und Geschäftsführer:innen von KMU, sich um einen Einbruchschutz zu kümmern. Sie rät allen Akteuren, Türen abzuschliessen, Fenster zu schliessen, die eigene Anwesenheit vorzutäuschen, einen guten Kontakt mit den Nachbar:innen zu pflegen und sich von Sicherheitsexpert:innen beraten zu lassen. Organisatorische Massnahmen können das Risiko eines Einbruchs bereits beträchtlich verringern. Folglich lohnen sich Investitionen in die Einbruchshemmung – für Privathaushalte und auch für Unternehmen.

Text Linda Carstensen

Anwalt digital –Wandel als Chance

Abacus AbaLaw – Software für Anwaltskanzleien Save the Date: Abacus Digital Lawyer Event 10.06.2024

Rundum digitale Anwaltskanzlei

Abacus stellt Ihnen das ideale Werkzeug für Ihren Arbeitsalltag bereit, das Sie optimal für die voranschreitende Digitalisierung in der Anwaltsbranche ausrüstet. Die Software bietet Anwaltskanzleien alles aus einer Hand – mit nahtloser Integration und ohne Schnittstellen.

Alle notwendigen Funktionen für ein professionelles Mandatsmanagement, einschliesslich Leistungserfassung, Aktivitätsverwaltung und Rechnungsstellung sind verfügbar. Firmengründungen sowie -mutationen erledigen Sie zukünftig in Lichtgeschwindigkeit. Heben Sie Ihre Anwaltskanzlei auf ein neues Level!

Weitere Informationen sowie die Event-Anmeldung finden Sie unter: abacus.ch/abalaw

Rechtsstaatlichkeit ist keine Frage des momentanen Zeitgeists

In den schweizerischen Verwaltungsverfahren zur Überprüfung der Rechtmässigkeit der Sanktionierung einzelner Personen unter Schweizer Recht werden zentrale rechtsstaatliche Prinzipien in teils erschreckendem Umfang verletzt. Dies, so der Tenor, um die Russland-Sanktionen effektiv umzusetzen – ob im Einzelfall gerechtfertigt oder nicht. Dass dies mit dem Konzept der Rechtsstaatlichkeit nicht vereinbar ist bzw. dass die Werte, welche einen Rechtsstaat ausmachen – wie der Anspruch auf ein faires Verfahren und die Rechtsgleichheit – nicht dem jeweils geltenden Zeitgeist geopfert werden dürfen, sollte offensichtlich sein.

Vorwort – Disclaimer

Um es gleich vorwegzunehmen: Dieser Kommentar äussert sich weder zur Rechtmässigkeit der Sanktionen gegen Russland, noch zum Ukraine-Krieg oder zur Frage, ob die sanktionierten russischen Oligarchen ihre Vermögen rechtmässig erwirtschaftet haben oder nicht und daher – was der allgemeine Tenor zu sein scheint –«zu Recht» sanktioniert werden. Für die nachfolgenden Bemerkungen spielt all dies keine Rolle: Es geht einzig um das innerstaatliche Verfahren vor den hiesigen Behörden und Gerichten, in dessen Rahmen die Rechtmässigkeit der Sanktionierung im Einzelfall nach rechtsstaatlichen Prinzipien überprüft werden sollte.

Die Russland-Sanktionen der Schweiz Der Bundesrat entschied am 28. Februar 2022, die Sanktionen der Europäischen Union (EU) gegen Russland zu übernehmen und setzte am 4. März 2022 die totalrevidierte «Verordnung über Massnahmen im Zusammenhang mit der Ukraine» («Ukraine-Verordnung») in Kraft.

Die in der Ukraine-Verordnung vorgesehenen restriktiven Massnahmen beinhalten insbesondere eine Sperre sämtlicher Vermögenswerte, welche sich im Eigentum oder unter direkter oder indirekter Kontrolle von Personen befinden, die in Anhang 8 der Ukraine-Verordnung aufgenommen wurden.

Finde einen Schweizer Rechtsvertreter, welcher ohne behördliche Bewilligung nicht bezahlt werden darf

Möchte sich eine sanktionierte Person gegen ihre Aufnahme in Anhang 8 zur Wehr setzen, d. h. die Rechtmässigkeit ihrer Sanktionierung durch die Schweiz überprüfen lassen, muss sie ein sogenanntes Delisting-Verfahren beim Eidgenössischen Departement für Wirtschaft, Bildung und Forschung (WBF) anstrengen.

Für dieses Verwaltungsverfahren dürfte die sanktionierte Person in der Regel einen fachkundigen Schweizer Rechtsanwalt benötigen und auf erste Schwierigkeiten stossen: Wie erwähnt, sind sämtliche Vermögenswerte einer sanktionierten Person in der Schweiz gesperrt. Dies bedingt, dass eine sanktionierte Person ihren Schweizer Rechtsvertreter grundsätzlich nicht mit diesen Vermögenswerten bezahlen kann. Dies setzt nämlich eine vorgängige Prüfung der Honorarnote sowie die Freigabe deren Bezahlung durch das Staatssekretariat für Wirtschaft (Seco) voraus, was in der Regel mehrere Monate dauert. Die sanktionierte Person kann ihren Schweizer Rechtsvertreter jedoch auch nicht mit Geldern

bezahlen, welche sich ausserhalb der Schweiz befinden und somit der Vermögenssperre eigentlich nicht unterliegen. Denn obwohl dies vom Wortlaut der einschlägigen Bestimmung der Ukraine-Verordnung nicht erfasst ist, bedarf es – so die Auslegung der Schweizer Behörden – auch für die Entgegennahme von Geldern sanktionierter Personen durch Schweizer Rechtsvertreter einer Bewilligung durch das Seco. Die sanktionierte Person muss folglich in einem ersten Schritt nicht nur einen fachkundigen Schweizer Rechtsvertreter finden, welcher im gegenwärtigen Umfeld bereit ist, diese zu vertreten. Dieser muss auch noch bereit sein, im Zusammenhang mit der Vertretung im Delisting-Verfahren erhebliche Aufwendungen zu tätigen, welche erst nach mehreren Monaten entschädigt werden.

Faktische Enteignung auf unbestimmte Zeit ohne Aktenkenntnis der Schweizer Behörden

Die Aufnahme einer Person in Anhang 8 erfolgt grundsätzlich nachdem diese Person in die Sanktionsliste der EU aufgenommen wurde. Die Begründungen für die Sanktionierung werden von der Schweiz materiell ungeprüft von der EU übernommen. Die Aufnahme einer Person in Anhang 8 erfolgt grundsätzlich ohne Vornahme eigener Abklärungen durch die Schweizer Behörden, weshalb das WBF im Zeitpunkt der Sanktionierung einer Person über keine Akten verfügt, welche die Gründe für die Sanktionierung belegen.

Damit die sanktionierte Person jedoch weiss, welche – konkreten und belegten – Vorwürfe ihre Sanktionierung rechtfertigen sollen, benötigt sie zunächst die der Begründung zugrunde liegenden Verfahrensakten, weshalb beim WBF (via Seco) ein

untermauern sollten, um Zeitungsartikel. Damit nicht genug: Bei diesen Zeitungsartikeln handelt es sich in der Regel nicht um Artikel aus der renommierten New York Times oder der Washington Post, bei denen man erwarten dürfte, dass sie den Wahrheitsgehalt des Inhalts zumindest rudimentär verifizieren. Vielmehr handelt es sich um Artikel, welche teilweise – nach dem 24. Februar 2022 – in ukrainischen Zeitungen veröffentlicht wurden oder aber sogar von dubiosen Onlineportalen heruntergeladen wurden, wobei kaum angenommen werden kann, dass der Wahrheitsgehalt der dort publizierten Artikel im Sinne westlicher Standards verifiziert wird. Dass solche «Beweismittel» kaum eine erhöhte Glaubwürdigkeit für sich beanspruchen können, dürfte – auch losgelöst von irgendwelchen rechtlichen Überlegungen – offensichtlich sein.

Gemäss höchstrichterlicher Schweizer Rechtsprechung wird die Beweiseignung von Informationen aus öffentlichen Quellen (d. h. selbst aus Zeitungen wie der New York Times oder der Washington Post) grundsätzlich infolge deren Anfälligkeit für Manipulation generell infrage gestellt. Entsprechend vermögen Informationen aus öffentlichen Quellen die Überzeugung eines Gerichts oder einer Behörde hinsichtlich der Richtigkeit der betreffenden Information daher grundsätzlich nicht zu begründen. Daraus folgt, dass sich ein Gericht bzw. eine Behörde grundsätzlich nicht telquel auf Tatsachenbehauptungen in öffentlichen Quellen verlassen kann, sondern deren Wahrheitsgehalt weiter überprüfen und untermauern muss.

Dieser Grundsatz scheint bei der Überprüfung der Rechtmässigkeit der Sanktionierung nach der UkraineVerordnung hingegen nicht zu gelten. Als Begründung wird seitens der Schweizer Behörden angeführt,

Der Rechtsstaat hat nicht zu siegen, er hat auch nicht zu verlieren, sondern er hat zu existieren.

– Helmut Schmidt

gezwungen ist, die gegen sie erhobenen Vorwürfe rechtsgenüglich zu widerlegen. Die Beweislast wird somit gänzlich – und ohne gesetzliche Grundlage dafür – umgekehrt.

Akteneinsichtsgesuch gestellt werden muss. Infolgedessen fordert das WBF die Verfahrensakten zunächst bei der EU an und stellt diese nach Erhalt der sanktionierten Person bzw. ihrem Schweizer Rechtsvertreter zu. Auch dies kann mehrere Monate dauern.

Kurzum: Im Zeitpunkt der Aufnahme einer Person in Anhang 8, welches die faktische Enteignung der betroffenen Person auf unbestimmte Zeit und somit einen schwerwiegenden Eingriff in verfassungsmässige Grundrechte zur Folge hat, haben die Schweizer Behörden noch kein einziges Beweismittel gesehen, welches die von der EU angeführte Begründung der Sanktionierung rechtfertigt.

Schweizer Behörden nehmen für sich eine Verringerung des Beweismasses in Anspruch und verzichten zugleich komplett auf eine Überprüfung des Wahrheitsgehalts der erhobenen Vorwürfe Angesichts der einschneidenden Konsequenzen, welche eine Sanktionierung nach sich zieht, wäre zu erwarten, dass die Gründe, welche eine Sanktionierung rechtfertigen, durch belastbare Beweismittel belegt sind. Falsch gedacht, denn in einer Vielzahl der Fälle handelt es sich bei den von der EU zusammengestellten und an das WBF übermittelten «Belegen», welche die faktische Enteignung des Betroffenen auf unbestimmte Zeit

dass eine eigenständige Überprüfung der Behauptungen schwierig oder gar unmöglich sei, weshalb der Beweismassstab einerseits auf die überwiegende Wahrscheinlichkeit reduziert sei und sich Schweizer Behörden für die Bewertung des Wahrheitsgehalts der Begründungen der EU auf öffentlich zugängliche Informationsquellen, Berichte, Presseartikel oder andere ähnliche Informationsquellen stützen müsse. Dies sei zudem gerechtfertigt, als andernfalls die effektive Durchsetzung von Sanktionen verhindert würde.

Nach dem Motto «Der Zweck heiligt die Mittel» scheint in den hiesigen Delisting-Verfahren, welche der Überprüfung schwerwiegender Grundrechtseingriffe unter Schweizer Recht dienen sollen, nicht nur das Beweismass verringert, sondern die entscheidende Behörde auch gleichzeitig von der (eigenständigen) Überprüfung des Wahrheitsgehalts der angeblichen Beweise befreit, damit die effektive Durchsetzung von Sanktionen – ungeachtet, ob diese im Einzelfall gerechtfertigt sind oder nicht – nicht erschwert wird.

Demgegenüber verlangen Schweizer Behörden von den Betroffenen den vollen Beweis von negativen oder gar inneren Tatsachen hinsichtlich Dritter Der vorstehend beschriebene Umstand bedingt, dass die sanktionierte Person im Delisting-Verfahren

Die von der sanktionierten Person verlangte Beweisführung erfordert dabei nicht selten, dass diese den Beweis einer negativen Tatsache oder innerer Zustände rechtsgenüglich zu erbringen vermag. Im Falle des häufig erhobenen Vorwurfs, wonach die betreffende Person zum «inneren Kreis» von Präsident Putin gehöre, bedeutet dies beispielsweise, dass die sanktionierte Person den rechtsgenüglichen Nachweis erbringen muss, in keiner besonderen Nähe zum russischen Präsidenten zu stehen. Doch selbst ein Beweis dieser negativen und teils inneren Tatsache der sanktionierten Person ist nicht ausreichend, um die Streichung von der Sanktionsliste zu erreichen. Denn selbst wenn die sanktionierte Person den Beweis für ihre fehlende Nähe zu Präsident Putin erbracht hat, verlangen die Schweizer Behörden mittlerweile offenbar sogar, dass die betroffene Person den Negativbeweis über innere Tatsachen von Präsident Putin – d. h., was Präsident Putin denkt – erbringt. Gelingt es der sanktionierten Person also nicht, zu beweisen, dass auch Präsident Putin ihr gegenüber keine besondere Nähe verspürt, halten die Schweizer Behörden die Sanktionierung mit der Begründung aufrecht, dass Präsident Putin eine – von der sanktionierten Person gar ungewollte – Nähe zur sanktionierten Person verspürt, notabene ohne dass die Schweizer Behörden rechtsgenüglich belegen könnten, dass dies tatsächlich der Fall ist. Rechtsgleichheit und der Anspruch auf ein faires Verfahren müssen unabhängig vom Zeitgeist sein Die Übernahme der Sanktionen der EU durch die Schweiz bedeutet für eine Vielzahl von Personen einen erheblichen Eingriff in ihre Grundrechte. Die in der Schweiz geltenden rechtsstaatlichen Prinzipien gebieten es, dass die Rechtmässigkeit der Sanktionierung im Einzelfall unter Schweizer Recht im Rahmen eines – verfassungsmässig garantierten – fairen Verfahrens überprüfbar ist. Die vorstehenden Beispiele zeigen allerdings, dass es den Betroffenen faktisch verunmöglicht werden soll, sich wirksam gegen ihre Sanktionierung im Rahmen eines rechtsstaatlichen Verfahrens zu wehren – ganz offensichtlich mit dem Ziel, die Wirksamkeit der Sanktionen sicherzustellen bzw. zu verstärken. Der gegenwärtig eingeschlagene Weg bedeutet, dass gewisse politisch bestimmte Merkmale einer Person (gegenwärtig: russische Staatsbürger) darüber entscheiden, inwiefern zentrale rechtsstaatliche Grundsätze zur Anwendung kommen oder nicht. Dieser Entwicklung ist dringend Einhalt zu gebieten. Dass hinsichtlich des Grundsatzes der Rechtsgleichheit sowie des Anspruchs auf ein faires Verfahren keine vom momentanen Zeitgeist geforderte Unterscheidungen gemacht werden sollten, ist ein Grundpfeiler eines jeden Rechtsstaates. Weicht die Schweiz davon ab, mutiert die Alpenrepublik zur Bananenrepublik. Im Interesse der Schweiz und ihrer Bürger kann dies nicht sein.

Zur Autorin

Anja Vogt ist Rechtsanwältin und Partnerin bei 5Gambit Disputes – eine Zürcher Anwaltskanzlei, welche auf die Vertretung von Klienten in Zivil-, Schieds-, Straf- und Verwaltungsverfahren spezialisiert ist.

Weil umfassender Schutz für alle erschwinglich sein sollte

Längst geraten nicht mehr nur Grossunternehmen, sondern auch KMU ins Visier von Cyberkriminellen. Dies ist für betroffene Betriebe besonders problematisch, da ihnen häufig die Ressourcen fehlen, um Cyber-Schwachstellen professionell zu entdecken und zu beheben. Die Gobugfree AG schafft hier Abhilfe – mit einem agilen Lösungsansatz, der ideal ins KMU-Budget passt.

Frau Kistler, die Gobugfree AG hat es sich zum Ziel gesetzt, Schweizer Unternehmen im Kampf gegen Cyberkriminalität zu unterstützen. Wie ernst ist die aktuelle Lage? Man muss die Lage als ernst bezeichnen. Denn gerade Schweizer KMU, die 99,7 Prozent der hiesigen Unternehmenslandschaft ausmachen, gehören zu den bevorzugten Zielen von Cyberkriminellen. Die Palette der Angriffe reicht von Datendiebstahl über Erpressung bis hin zu Sabotage. Gemäss dem BACS (Bundesamt für Cybersicherheit) ist bereits jedes dritte KMU schon einmal Opfer einer Cyberattacke geworden. Und das Risiko steigt weiter –nicht zuletzt, weil es vielen Unternehmen an den finanziellen und personellen Ressourcen fehlt, um sich gegen die Bedrohungen zu wappnen. Hier setzen wir von Gobugfree mit unserer Vulnerability-Management-Plattform an. Wodurch zeichnet sich diese VulnerabilityManagement-Plattform aus?

Sie eröffnet Unternehmen aller Branchen und Grössen unser «Sicherheits-Ökosystem». Dort erhalten sie Zugang zu einer weltweiten Community erfahrener Sicherheitsexpertinnen und -experten sowie vertrauenswürdiger

Ethical Hacker. Unsere agilen Testmethoden wie Bug-Bounty-Programme, Penetrationtesting as a Service sowie Analysen der Angriffsfläche helfen Unternehmen, Sicherheitslücken proaktiv zu entdecken und zu schliessen, bevor Cyberkriminelle sie ausnutzen können. Man kann sich das Ganze wie ein grosses Team aus Expertinnen und Experten vorstellen, das Industriehallen oder Büroräumlichkeiten auf offene Fenster und unverschlossene Türen untersucht. Nur, dass es sich um die Kontrolle der digitalen Präsenz des Unternehmens handelt.

Und was geschieht, wenn solche Schwachstellen festgestellt werden?

Dann treten wir von Gobugfree auf den Plan und versorgen unsere Kundinnen und Kunden mit umfassenden Analysen sowie konkreten Handlungsempfehlungen, die es ihnen ermöglichen, ihre Schutzmassnahmen effektiv zu verbessern und die aufgedeckten Sicherheitslücken zu schliessen. Als Pionierin in der Schweiz bietet die Gobugfree AG zudem ein kostenloses «Vulnerability Disclosure Program» (VDP) an. Worum handelt es sich bei diesem kostenlosen VDP?

Es fördert eine sichere und rechtskonforme Interaktion zwischen Unternehmen und aussenstehenden Drittpersonen, wodurch die Firmen von der frühen Erkennung und Meldung von Schwachstellen profitieren und ihre Compliance verbessern – eine Initiative, die kurz darauf von anderen Branchenführern nachgeahmt wurde. Da wir bei unserem Angebot auf crowd-basierte Cybersicherheit setzen, können wir jedoch auch unsere anderen umfassenden Cybersicherheitsdienstleistungen zu einem KMU-gerechten Preis anbieten.

Was genau bedeutet «crowdbasierte Cybersicherheit»?

Wir machen uns die kollektive Intelligenz und Fähigkeiten einer globalen Community von Ethical Hackern zunutze und setzten diese zielgerichtet für unsere Kundschaft ein. Die Zusammenarbeit ist vergleichbar mit einem offenen Innovationslabor, in dem Expertinnen und Experten mit unterschiedlichem Spezialwissen zusammenkommen.

Dass Schweizer KMU ihre IT-Infrastrukturen und Netzwerke durch Ethical Hacker testen lassen können, ist aus sicherheitstechnischer Sicht ein enormer Vorteil. Doch warum sollte man diesen Ethical Hackern trauen?

Weil wir strenge Kriterien für unsere Crowd von Ethical Hackern anlegen. Derzeit sind über 1600 dieser Sicherheitsforschenden in unserer Community und alle wurden vorgängig durch unser FINMA-konformes Partnerunternehmen geprüft und verifiziert. Bei unseren Ethical Hackern handelt es sich um Softwareingenieurinnen und -ingenieure, Security Fachleute, Pentester sowie IT-Fachkräfte in Ausbildung. Seit 2022 konnten sie mehrere tausend Schwachstellen bei unseren Kundenunternehmen identifizieren, von denen mehrere hundert ein kritisches Schadensrisiko darstellten. Um sicherzustellen, dass wir auch künftig auf erstklassige Sicherheitsprofis zählen können, arbeiten wir eng mit Schweizer Hochschulen und unserem Partner-Ökosystem zusammen. Dem wichtigen Thema «Cybersecurity & Ethical Hacking» bereiten wir zudem mit unserem alljährlichen «GoHack»-Event eine Bühne, der in diesem Jahr vom 14. bis 16. November am FFHSCampus im Herzen von Zürich stattfinden wird.

Was möchten Sie Unternehmen hinsichtlich Cybersicherheit mit auf den Weg geben? Vor allem, dass Cybersicherheit für jedes Unternehmen – unabhängig von seiner Grösse – relevant ist. Kleinere Unternehmen gehen oft davon aus, dass sie zu unbedeutend sind, um Ziel eines Cyberangriffs zu sein. Das ist ein Irrtum, denn Cyberkriminelle werfen ihre Netze weit aus und nehmen, was sie fangen können. Effektive Cybersicherheit ist eine Angelegenheit der Geschäftsleitung und muss proaktiv angegangen werden. Wir begleiten unsere Kunden auf ihrem Weg zur gewünschten Sicherheitsmaturität und helfen ihnen dabei, die jeweils geeignete Massnahme zu wählen, um vorhandene Schwachstellen aufzudecken und sie zu beheben, bevor daraus ein Schaden entsteht. Bugtests, Bug-Bounty-Programme sowie Ethical Hacking sind kostengünstige Ergänzungen, die wir einsetzen, um Sicherheitslücken zu entdecken. Wir finden Lösungen für jedes Budget! Melden Sie sich unter www.gobugfree.com Wir beraten Sie gerne.

Treuhand Steuer- und Rechtsberatung

Wirtschaftsprüfung Unternehmensberatung

HR-Services Informatik-Gesamtlösungen

OBT – Deine Zukunft, unsere Kultur.

Wir als Arbeitgeber

Bei OBT schätzen wir einander und pflegen eine offene und ehrliche Arbeitsatmosphäre. Unsere flachen Hierarchien, die Open-Door-Policy und die Du-Kultur prägen unseren Arbeitsalltag. Regelmässige Firmenund Teamveranstaltungen stärken unseren Zusammenhalt zusätzlich. Die Unterstützung und Förderung unserer Mitarbeitenden stehen im Mittelpunkt. Vom Onboarding bis zur kontinuierlichen Weiterbildung begleiten und fördern wir dich das ganze Jahr über. Flexibilität ist uns wichtig, dank unserer Jahresarbeitszeit und fortschrittlichen IT-Infrastruktur kannst du deine Arbeit zeit- und ortsabhängig gestalten. Unser OBT Teamgeist und unsere einzigartige Firmenkultur sind der Schlüssel zum Erfolg.

Zur OBT Gruppe gehören zudem die folgenden Tochtergesellschaften:

Über OBT

Mit rund 500 Mitarbeitenden (davon bis zu 25 Lernenden) gehört die OBT AG zu den sechs grössten Unternehmen in den Bereichen Treuhand, Wirtschaftsprüfung, Unternehmensberatung, Steuer- und Rechtsberatung, HR-Services sowie Informatik-Gesamtlösungen. Sie unterstützt und berät Geschäfts- und Privatkunden, öffentlich-rechtliche Unternehmen und Verwaltungen. Mit elf Niederlassungen ist OBT regional verankert und bietet so eine ausgesprochene Kundennähe. OBT ist Mitglied von EXPERTsuisse und unabhängiges Mitglied des weltweiten Netzwerks Baker Tilly International.

Unser Readiness-Check prüft Ihre Daten hinsichtlich sensibler Informationen und leitet daraus eine Governance ab. So verläuft Ihr Start mit GenAI reibungslos.