Disclose Im Fokus: Informationssicherheit Dezember 2013 Aktuelles aus Rechnungslegung und Revision

Transkript

1 Disclose Im Fokus: Informationssicherheit Dezember 2013 Aktuelles aus Rechnungslegung und Revision

2 Herausgeber: PricewaterhouseCoopers AG, Geschäftsbereich Wirtschaftsprüfung, Birchstrasse 160, 8050 Zürich Konzept, Redaktion und Gestaltung: PricewaterhouseCoopers AG, Zürich Redaktion: Graf Moll & Partner, Corporate Publishing GmbH, Zürich Disclose Aktuelles aus Rechnungslegung und Revision ( Bestellungen von Gratisabonnementen und Adressänderungen:

3 Peter Ochsner Leiter Wirtschaftsprüfung Schweiz «Die Unternehmen müssen ihre Daten und Informationen gezielt schützen. «Beinahe unmerklich sind die modernen Informationstechnologien in unseren Alltag eingedrungen. s, Suchmaschinen und soziale Plattformen nutzen wir ebenso selbstverständlich wie diverse Formen der digitalen Speicherung. Die Selbstverständlichkeit geht indes mit einer Unbekümmertheit einher. Den meisten von uns haben erst die Enthüllungen Edward Snowdens mit einem Schlag bewusst gemacht, wie gefährlich eine solche Bedenkenlosigkeit ist, welch hohen Preis jeder Einzelne für die Geschwindigkeit der Kommunikation, die Mobilität und die Präsenz bezahlt: den zumindest teilweisen Verlust der Privatsphäre. Das vordergründige Argument «Ich habe ja nichts zu verbergen» ist ein Affront gegen all jene, die das hohe Gut der Privatsphäre erkämpft haben. Zudem hat jeder schützenswerte Privatdaten als Patient, als Anwaltsklient, als Bankkunde. Erst recht gilt dies für die Wirtschaft; sie lebt vom geistigen Eigentum, von vertrauensvollen Beziehungen zu den Partnern der Wertschöpfungskette, von der Integrität der Finanzdaten. Seit einigen Jahren befragt PwC weltweit Führungskräfte nach dem Sicherheitsniveau ihrer Informationen und Daten, und regelmässig zeigt dieser «Global State of Information Security Survey», dass sich viele sicherer fühlen, als sie es tatsächlich sind (vgl. Beitrag auf Seite 10). Es besteht Hoffnung, dass sich daran etwas ändert, denn die unverfrorenen Abhörpraktiken des US-amerikanischen, aber auch des britischen und des kanadischen Geheimdienstes legen nahe, dass es nicht nur um den Krieg gegen den Terror, sondern auch um Wirtschaftsspionage geht. Ein Beispiel: Die gesamte Kommunikation des brasilianischen Erdöl- und Bergbauministeriums soll abgehört worden sein. Kein Wunder, dass Präsidentin Dilma Rousseff nationale Anbieter für Internetdienstleistungen fordert. Ein Ruf, der auch in Europa immer lauter erklingt. Die Europäer müssen sich auch Versäumnisse vorhalten lassen. Die Datenschutzgesetze der EU und der Schweiz stammen aus den Neunzigerjahren. Erst jetzt werden sie an die Entwicklung der vergangenen Jahre angepasst (vgl. Beitrag auf Seite 18). Ob die Gesetzgebung mit dem rasanten technologischen Wandel Schritt halten kann, ist fraglich. Im Interview plädiert die Lausanner Professorin Solange Ghernaouti für einen internationalen Cyberspacevertrag (vgl. Beitrag auf Seite 24). Fest steht: Die Unternehmen müssen ihre Daten und Informationen gezielt schützen. Cyberangriffe werden von unterschiedlichen Personen und Organisationen geführt. Yaron Blachman, der Leiter des «Cyber Security Centre of Excellence» von PwC, bringt es auf den Punkt: «Jeder, der Informationen stiehlt, der sich ohne Erlaubnis Zugriff verschafft, ist ein Bösewicht.» (vgl. Beitrag auf Seite 14). Ich wünsche Ihnen eine anregende Lektüre. Dezember 2013 Disclose 3

4 Im Fokus: Informationssicherheit Inhalt Strategie und Governance für die Informationssicherheit von Unternehmen von Jürgen Müller und Thomas Koch 5 Wichtige Begriffe 9 Ist Vertrauen in die Datensicherheit gerechtfertigt? von Robert Metcalf 10 «Cyberangriffe werden von Gruppen, dem organisierten Verbrechen und von Staaten geführt.» Interview mit Yaron Blachman, Technology and Forensic Leader von PwC 14 Datenschutz betrifft jeden von Rauno Hoffmann 18 Kunden vertrauen darauf, dass ihre Daten sicher sind von Christian Westermann und Umberto Annino 21 «Das Jahr 2000 markiert einen Wendepunkt.» Interview mit Solange Ghernaouti, Professorin für Informationssicherheit an der wirtschaftswissenschaftlichen Fakultät der Universität Lausanne (HEC) Die Verantwortung des Verwaltungsrates für die Informationssicherheit von Fabien Mooser und Marco Schurtenberger Leserservice Update In der Rubrik Update thematisiert «Disclose» das neue Rechnungslegungsrecht, die Kosten der Compliance, den neuen Leasingstandard des International Accounting Standards Board und die Umsetzung der Minder-Initiative Disclose Dezember 2013

5 Strategie und Governance für die Informationssicherheit von Unternehmen Mit der rasanten Entwicklung der Informationstechnologie erhöhen sich auch deren Sicherheitsrisiken. Die meisten Unternehmen sind sich der Gefahren bewusst, denen ihre Systeme und Informationen ausgesetzt sind. Fraglich ist aber, ob die derzeit eingesetzten Sicherheitsstrategien die Bedrohungen angemessen abwehren können. Eines der drei Szenarien, die die Unternehmensführer weltweit am meisten beunruhigen, besteht in Cyberattacken oder grösseren Störungen des Internets. Dies zeigt der diesjährige CEO Survey von PwC. Die Sorge ist berechtigt, denn das Szenario würde den Geschäftsbetrieb unmittelbar beeinträchtigen. Die Bedrohung ist realistisch: Dem soeben erschienenen «Global State of Information Security Survey 2014» (GSISS), den PwC unter mehr als 9600 Führungskräften durchgeführt hat, lässt sich entnehmen, dass die Anzahl der aufgedeckten Sicherheitsvorfälle innerhalb eines Jahres um 25% gestiegen ist; die damit verbundenen Kosten nahmen um 18% zu (vgl. Beitrag auf Seite 10). Für Unternehmen und andere Organisationen steht die Sicherheit ihrer Informationen weit oben auf der Agenda. Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen wie auch in den Köpfen der Nutzer gespeichert sein. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender beziehen weitere Grundwerte in ihre Betrachtungen ein wie Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit. Grundsätzlich werden drei Kategorien von schützenswerten Daten und Informationen unterschieden: personenbezogene Informationen, also vornehmlich Kunden- und Personaldaten firmenbezogene Daten wie geistiges Eigentum Daten aus dem regulierten Bereich, unter die beispielsweise die Daten und Informationen zur Rechnungslegung fallen Die Daten, die es besonders zu schützen gilt, die «Kronjuwelen» unter den Informationen sozusagen, variieren von Branche zu Branche und von Unternehmen zu Unternehmen. Die rechtlichen Vorschriften zu nennen sind das Datenschutzgesetz und die Regulierung der FINMA für Banken, speziell das revidierte Rundschreiben zu den operationellen Risiken (vgl. RS 2008/21) zielen vor allem auf die Kundendaten. Es liegt im ureigenen Interesse der Firma und ihrer Wettbewerbsfähigkeit, auch unternehmensinterne Informationen etwa zu Forschungsergebnissen oder strategischen Projekten vor Angriffen zu schützen. Dies gilt im Übrigen nicht nur für Grossunternehmen. Untersuchungen verschiedener Beobachter der Datensicherheitslage weisen nach, dass auch mittelständische Unternehmen ins Visier von Angreifern geraten sind. So zeigt eine Analyse des Informatiksteuerungsorgans des Bundes (ISB), dass in den letzten drei Jahren die Attacken auf Betriebe mit 11 bis 100 Mitarbeitern massiv angestiegen sind. Die deutliche Zunahme hat zwei Gründe: KMU verfügen über einen grossen Schatz an intellektuellem Kapital, und ihre Sicherheitsbarrieren sind zumindest heute noch leichter zu überwinden als bei Grossunternehmen. Dezember 2013 Disclose 5

6 Neue Trends, neue Bedrohungen Datensicherheit an sich ist nichts Neues. Seit je bemühen sich Organisationen, ihre Daten vor dem Zugriff Unberechtigter zu sichern. In früheren Zeiten ging es um schriftliche Dokumente. Seit alle Arbeitsprozesse mit digitalen Daten verarbeitet werden, zeichnen sich neue Methoden ab, wie die elektronischen Unterlagen nachhaltig geschützt werden können. Nach wie vor müssen die Grundelemente der Informationssicherheit berücksichtigt werden: «Confidentiality, Integrity, Availability» (CIA), also Vertraulichkeit, Integrität und Verfügbarkeit. Das Neue heutzutage sind jedoch die enorme Geschwindigkeit und die Dynamik des technologischen Wandels. Die daraus resultierenden Bedrohungen beruhen im Wesentlichen auf vier Trends: 1 Die heute eingesetzte Informationstechnologie bietet mehr Angriffsflächen, und die Palette potenzieller Angreifer wird grösser. Die Stichworte hierzu sind: Cloud, BYOD (bring your own device, zu Deutsch: bring dein eigenes Gerät mit), Social Media. 2 Es geht nicht mehr nur um die Sicherung von Daten, die in IT-Systemen abgebildet sind, sondern um den Schutz von Informationen im gesamten Unternehmen. 3 Die Bedrohungen aus dem Internet werden stärker, und die Angreifer sind ihren Zielobjekten meist einen Schritt voraus. Angriffen von aussen schützen, so kamen sie vor einigen Jahren zu der Einsicht, dass sie sich auch gegen Bedrohungen aus dem Unternehmen selbst sowie gegen Attacken aus den Netzwerken mit Partnern, Lieferanten und Kunden besser wappnen müssen. Heute scheinen die Unternehmen die Gefahren von allen Seiten her etwa gleich hoch einzuschätzen. Dabei ist eine eindeutige Zuordnung der Bedrohungsursache nicht immer möglich. Wird beispielsweise ein Partnerunternehmen angegriffen, sind auch die eigenen Informationen in Gefahr. In diesem Fall sind es jedoch nicht Mitarbeiter des Partnerunternehmens, die den Angriff verursacht haben, vielmehr ist das eigene Unternehmen Opfer einer Attacke auf die gesamte Wertschöpfungskette geworden, nachdem zuerst das schwächste Glied in der Kette gebrochen worden war. Für ein Unternehmen ist es nicht nur wichtig, herauszufinden, ob es bereits unterlaufen beziehungsweise attackiert wurde und wenn ja von wem, welche Daten betroffen sind und wie der Schaden zu bemessen ist, sondern auch, wie lange die Systeme bereits korrumpiert sind. Denn je länger sich ein Angreifer unbemerkt eingenistet hat, desto mehr Gelegenheit hatte er, sensible Daten auszuspionieren und zu entwenden. 4 Mitarbeiter erhalten teilweise mit wenigen Klicks den Zugang zu einer Fülle von Geschäftsinformationen, die missbräuchlich genutzt werden können. Mehr Angriffsflächen, vielfältigere Angreifer Angesichts der Fülle an Informationen ist es offensichtlich realitätsfremd, sämtliche Daten von einem unberechtigten Zugriff fernhalten zu wollen. Bei der Konzeption einer Sicherheitsstrategie müssen die Unternehmen daher die Daten analysieren und kategorisieren; sie müssen festlegen, welche Informationen besonders sensibel und somit auf hohem Niveau schützenswert sind. Problematisch ist aber nicht nur die Quantität der Daten, sondern auch die Vernetzung der verschiedenen Technologien: Cloud-Computing, Smartphones und Tablets, Social Media sowie die Nutzung privater Geräte durch Mitarbeiter hängen eng zusammen. Sie erfordern neue Denkansätze und eine neue Qualität der Sicherheitsvorkehrungen. Jede dieser heutigen digitalen Nutzungsmöglichkeiten eröffnet an sich neue Angriffsflächen, erst recht gilt dies für ihre Vernetzung. Gleichzeitig wird es schwieriger, auszumachen, von wem eine direkte Bedrohung ausgeht. Dachten die Firmen früher, sie müssten sich hauptsächlich vor einfachen Jürgen Müller Partner, Wirtschaftsprüfung juergen.t.mueller@ch.pwc.com 6 Disclose Dezember 2013

7 Schutz von Informationen, individuelle Sicherheitskonzepte Der finanzielle Schaden eines Datenverlustes kann beträchtlich sein. Laut der GSISS-Studie stieg 2012 die Anzahl der Befragten, die einen Verlust von über zehn Millionen USD erlitten, gegenüber dem Vorjahr um 51%. Hinzu kommen die kaum bezifferbaren Reputationseinbussen. Dennoch machen die Vorkehrungen zur Datensicherheit nach wie vor nur einen geringen Anteil am gesamten Risikomanagement aus. Lange Zeit ging es den Unternehmen vor allem um die Verfügbarkeit und die Verlässlichkeit ihrer Systeme. Im Laufe der letzten zehn Jahre haben viele Organisationen Vorkehrungen gegen unberechtigte Zugriffe auf ihre Daten und Informationen in die Sicherheitsüberlegungen einbezogen, und diese Bemühungen werden laufend ergänzt und ausgebaut. Es gibt heute intelligente Überwachungsprogramme, die vor verdächtigen Aktivitäten wie wiederholt untauglichen Versuchen zur Passworteingabe warnen und die im internen und im externen Datenverkehr Anomalien zu den üblichen Prozessmustern erkennen und analysieren. Basierend auf diesen Analysen können durch Verknüpfung aller vorliegenden Daten und durch deren Interpretation neue Informationen generiert werden, die rechtzeitig vor Angriffen auf die «Kronjuwelen» warnen. übersetzt «fortgeschrittene andauernde Bedrohungen», bezeichnen besonders ausgeklügelte und perfide Angriffe. Sie gefährden mehr als die Informationstechnologie; sie können die gesamte Geschäftstätigkeit zur Disposition stellen. Um Cyberattacken abzuwehren, reichen die traditionellen Sicherheitsvorkehrungen innerhalb der Firma nicht aus. Bei ihrer Bekämpfung geht es um das Aufspüren von Gefahren, die dieser Firma durch das weltweite Netz drohen könnten. Ziel ist es, bestehende oder neue Angriffsmöglichkeiten aus dem Internet frühzeitig zu erkennen. Auf der Basis der gewonnenen Erkenntnisse können die Kontrollbereiche des Unternehmens untersucht und fortlaufend verbessert werden. Trotz der Risiken, die mit der rasanten technologischen Entwicklung und der digitalen Transformation einhergehen, haben die meisten Unternehmen immer noch das Gefühl, genügend geschützt zu sein. Viele ergreifen erst durchschlagende Schutzmassnahmen, nachdem sie einen Schaden erlitten haben. Ein Grund für unzureichende Prävention liegt darin, dass Sicherheitskonzepte einen individuellen Ansatz benötigen, und gerade damit tun sich viele Unternehmen schwer. Cyberattacken, Cloud-Computing Dies gilt umso mehr, je abstrakter die Gefahren werden. War das Risiko von Datenkopien auf CDs und des Diebstahls von Datenträgern noch für jedermann vorstellbar, so sind die Gefahren, die im Internet lauern, für Laien kaum fassbar. Cyberattacken haben in den letzten vier Jahren beträchtlich zugenommen. Die Angreifer verfügen über Ressourcen, sind gut organisiert und reagieren schnell auf jede technische Möglichkeit; meist sind sie ihren Zielobjekten einen Schritt voraus. Gelingt es ihnen, unbemerkt in ein Unternehmen einzudringen, können sie in aller Ruhe sensible Daten ausspähen und extrahieren. Die «Advanced Persistent Threats», wörtlich Thomas Koch Director, Wirtschaftsberatung Dezember 2013 Disclose 7

8 Ein zentrales Risiko ist mit dem Anbieter des Cloud Service verbunden: In welchem Rechtsraum ist dieser ansässig, und wie sichert er die Daten seiner Kunden? Das Internet macht auch die Unternehmenswelt flexibler und mobiler. Cloud-Computing beispielsweise ist ein Trend, auf den mehr und mehr Unternehmen setzen. Sie beziehen Rechnerkapazität, Speicherplatz und Software über das Internet. Auf diese Weise bezahlen sie nur die Kapazitäten, die sie auch nutzen. Die Nutzer einer «virtuellen Wolke» können ihre IT schnell und flexibel anpassen, und dies zu relativ geringen Kosten. Die Aufbewahrung grosser Datenmengen in einer «Wolke» etwa ist verhältnismässig preisgünstig, ermöglicht jederzeitigen Zugriff, auch von mobilen Geräten aus, und bindet kaum interne Ressourcen. Cloud-Computing birgt aber auch neue Risiken für die Informationssicherheit, den Datenschutz oder die Compliance. Die Firmen überlegen oft zu spät, wie das Auslagern von Informationen den Datenschutz beeinträchtigen könnte und ob die Nutzung von Clouds Verstösse gegen das geltende Recht beinhaltet. Ein zentrales Risiko ist mit dem Anbieter des Cloud Service verbunden: In welchem Rechtsraum ist dieser ansässig, und wie sichert er die Daten seiner Kunden? Der Sitz des Anbieters kann beispielsweise die Auslagerung der Daten limitieren. So schreibt die FINMA vor, dass eine externe Revision möglich sein muss, und dies bedingt, dass der Anbieter Einsicht in die Daten gewährt was bei Anbietern mit Sitz im Ausland nicht immer der Fall ist. Eine weitere Gefahr liegt darin, dass die IT- Abteilung gerade nicht involviert sein muss, wenn Daten in Wolken überführt werden. Dies kann dazu führen, dass innerhalb eines Unternehmens diverse Cloud Services nebeneinander genutzt werden. Vor allem grössere Firmen sollten daher die Nutzung von Clouds reglementieren und einer strikten Governance unterwerfen. Die Unternehmen sollten auch den Umgang mit den sozialen Medien und mobilen Geräten regeln. So nützlich sie für die Unternehmenskommunikation sind, so viele Angriffsflächen bieten sie auch. Naheliegend erscheint die Politik, geschäftseigene Smartphones und Tablets nur geschäftlich zu nutzen und dem Trend «bring your own device» nicht zu folgen. Die Kommunikationsrisiken auf sozialen Plattformen lassen sich mit klaren und einfachen Nutzungsregeln begrenzen. Als Sicherheitsvorkehrung sollten die einschlägigen sozialen Medien systematisch auf bestimmte Stichwörter hin untersucht werden, um Missbrauch zu verhindern oder zumindest aufzudecken. Fazit Wie für alle wichtigen Unternehmensbereiche gilt auch für die Informationssicherheit: Das Unternehmen muss eine Strategie ausarbeiten, die in die Unternehmensstrategie integriert und gut verankert ist. Diese Sicherheitsstrategie darf sich nicht auf technische Massnahmen beschränken. Vielmehr muss sie auch Aspekte des Rechts, der Compliance und der Kommunikation einschliessen; sie muss die Kultur und das Personalwesen durchdringen. Denn die Unternehmenskultur und das Bewusstsein der Mitarbeiter tragen schätzungsweise zu einem Drittel zur Informationssicherheit bei. Entscheidend aber ist: Informationssicherheit ist nicht nur ein IT-Thema, sondern gehört in den heutigen Zeiten auf die Agenda der Verwaltungsräte und Geschäftsleitungen. 8 Disclose Dezember 2013

9 Wichtige Begriffe Informationssicherheit Unter dem Begriff Informationssicherheit wird der Schutz von Informationen jeglicher Art und Herkunft verstanden. Dabei können Informationen sowohl auf Papier, in Rechnersystemen wie auch in den Köpfen der Nutzer gespeichert sein. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender beziehen weitere Grundwerte in ihre Betrachtungen ein wie Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit. Datenschutz Der Begriff stammt aus der Gesetzgebung. Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1, Bundesgesetz über den Datenschutz [DSG]). IT-Sicherheit / IT Security Um zu einem ausreichenden IT-Sicherheitsniveau zu kommen, braucht es ein funktionierendes und in die Institution integriertes Sicherheitsmanagement. Das blosse Anschaffen von Antivirensoftware, Firewalls oder Datensicherungssystemen genügt nicht. Data Loss Prevention / Data Leakage Prevention (DLP) Die beiden Begriffe werden in der Regel synonym gebraucht und bezeichnen sowohl organisatorische als auch technische Vorkehrungen gegen den Verlust beziehungsweise unautorisierten Abfluss von Daten. Cybersicherheit / Cyberattacken Grob gesagt handelt es sich um den Schutz gegen Angriffe aus dem Internet, einen Trend, der sich in den letzten vier Jahren verstärkt hat. Während IT-Sicherheit in erster Linie eine technische Angelegenheit ist, sind Angriffe aus dem weltweiten Netz (Cyberattacken) nur mit einer integrierten Strategie abzuwehren, denn sie stellen eine Bedrohung für die gesamte Geschäftstätigkeit dar. Der Wandel hat vor allem auf der Täterseite stattgefunden: Angreifer haben mehr Ressourcen, reagieren schneller und sind besser organisiert. Advanced Persistent Threat (APT) Eine «fortgeschrittene, andauernde Bedrohung» ist eine Cyberattacke auf besonders hohem Niveau. Sie bezeichnet ein gezieltes und ausgeklügeltes Eindringen in die Infrastruktur und die Daten einer Organisation, das in der Regel Geheimdiensten oder Regierungen zugeschrieben wird. Die Angreifer bleiben lange unentdeckt und verschaffen sich Zugang zu sensiblen Informationen. Cloud-Computing Dabei geht es um die Nutzung «virtueller Wolken», die von spezialisierten Dienstleistern (Cloud Services) angeboten werden. Es zeichnet sich ein Trend ab, Rechenkapazität, Speicherplatz und Software über das Internet zu beziehen. Cloud-Computing erlaubt den Unternehmen ein hohes Mass an Flexibilität und bringt Kostenersparnis, birgt aber zugleich Risiken in den Bereichen Informationssicherheit, Datenschutz und Compliance. Dezember 2013 Disclose 9

10 Ist Vertrauen in die Datensicherheit gerechtfertigt? Robert Metcalf Senior Manager, Wirtschaftsprüfung Im vergangenen September veröffentlichte PwC ihren jährlichen «Global State of Information Security Survey» (GSISS). Wie in den vorangegangenen Berichten überrascht auch dieses Jahr, dass fast drei Viertel der obersten Führungskräfte darauf vertrauen, dass die Informationssicherheit in ihren Organisationen wirksam ist. Das höchste Vertrauen haben die CEOs mit 84%, derweil die CFOs vielleicht bezeichnenderweise mit 76% das geringste Vertrauen haben. Das Vertrauen der Unternehmen in die Wirksamkeit ihrer laufenden Vorkehrungen zur Datensicherheit spiegelt sich auch in Antworten zu anderen Fragen der Erhebung über die Angemessenheit von Budget und Strategie in der Informationssicherheit. Die meisten der mehr als 9600 Befragten gaben an, Budget und Strategie für die Informationssicherheit stünden in Einklang mit ihren Geschäftsbedürfnissen. Diese Ergebnisse mögen einen natürlichen menschlichen Hang zum Selbstvertrauen offenbaren, doch die Erfahrung lehrt, dass Vertrauen fehl am Platz sein kann. Das beweisen die vielen in Umfragen genannten Sicherheitszwischenfälle sowie die unabhängigen Informationssicherheitskontrollen, die von aussenstehenden Experten wie jenen von PwC durchgeführt wurden. Die GSISS-Studie liefert weitere Hinweise auf das unangebrachte Vertrauen. Bei der Frage, welches die grössten Hindernisse seien, die Anstrengungen zu einer Gesamtstrategie für die Sicherheitsaufgaben der Organisation zu erhöhen, nannten die Verantwortlichen für die Informationssicherheit überwiegend zwei Gründe: «Die Kapitalausstattung genügt nicht» (24%); «Es fehlt eine umsetzbare Vision oder das Verständnis dafür, welche Sicherheitsvorkehrungen künftige Geschäftsbedürfnisse erfordern» (24%). Hier liegt ein gewisser Widerspruch vor, der schon in den früheren PwC-Studien offensichtlich geworden ist. Das Vertrauen in die eigene Sicherheit kann leicht in die Irre führen. Bemerkenswert ist, dass die Gesamtzahl der gemeldeten Zwischenfälle innerhalb eines Jahres um 25% gestiegen ist. Gleichzeitig erhöhte sich die Zahl jener Befragten, die nicht wussten, wie viele Zwischenfälle sich in ihrem Bereich ereignet haben, kontinuierlich von 9% im Jahr 2011 über 14% im vergangenen auf 18% in diesem Jahr. Teilweise dürfte die Zunahme der gemeldeten Zwischenfälle auf mehr Angriffe zurückzuführen sein. Zu einem anderen Teil aber geht sie schlicht auf die höhere Aufdeckungsquote zurück. Oder anders ausgedrückt: In jüngster Zeit sind mehr Zwischenfälle entdeckt worden als früher. Der Anstieg der Aufdeckungsquote resultiert aus einem grösseren Medieninteresse und aus einem wachsenden allgemeinen Bewusstsein für die vielfältigen Möglichkeiten der Verwundbarkeit von Technologien. Auch wenn mehr Angriffe entdeckt wurden, so muss doch betont werden: Die Zeitspanne zwischen dem Zwischenfall als solchem und seiner Entdeckung ist nach wie vor lang. Zwei kürzlich erschienene Studien beziffern sie mit 180 beziehungsweise 210 Tagen. Ein weiteres bemerkenswertes Ergebnis liegt darin, dass sich 50% der Befragten als Vorreiter sehen. Sie gehen davon aus, dass sie über eine wirksame Sicherheitsstrategie verfügen und diese umsetzen. Diese Verzerrung der Wahrnehmung wird offensichtlich, wenn die Führungsrolle in der Informationssicherheit an den von PwC definierten Kriterien gemessen wird: 1 Eine umfassende Informationssicherheitsstrategie liegt vor. 2 Das Unternehmen beschäftigt einen Chief Information Security Officer (CISO), der direkt an den CEO, CFO, COO, Chief Risk Officer oder den Leiter des Rechtsdienstes Bericht erstattet. 3 Die Effektivität der Sicherheit wurde innerhalb des letzten Jahres gemessen und überprüft. 4 Die Organisation weiss, welche Arten von Sicherheitsvorfällen sich im vergangenen Jahr ereignet haben. 10 Disclose Dezember 2013

11 Daran gemessen können nur 17% der Organisationen, die an der Umfrage teilgenommen haben, als tatsächliche «Leader» identifiziert werden. Während eine grosse Zahl der Umfrageteilnehmer die ersten beiden Kriterien erfüllt, qualifizieren sich bei den beiden letzteren Merkmalen nur 17%. Im Allgemeinen überschätzt eine signifikante Anzahl von Organisationen ihre Fähigkeit, sich zu schützen. Einer der Gründe dafür mag darin liegen, dass die Befragten noch nicht genügend Erfahrungen mit grösseren Zwischenfällen gemacht haben. Ein weiterer Grund dürfte in den Ergebnissen liegen, die die derzeitigen Diagnosetests hervorbringen. Die Resultate der Antivirenscans beispielsweise können in die Irre führen. Nur weil der Antivirencheck den Systemen des Unternehmens ein «Gesundheitszeugnis» ausstellt, heisst das noch lange nicht, dass es keine Infektionen mit Viren oder Schadprogrammen («Malware») gibt. Es heisst zunächst nur, dass nichts entdeckt wurde, was zu einem falschen Sicherheitsgefühl und unangebrachtem Vertrauen führt. Perfide Bedrohung Die Angriffe auf einzelne Unternehmen werden raffinierter und sind im Hinblick auf ihre Ziele sehr viel ausgeklügelter. Bevor Hacker ihre Angriffe starten, erledigen sie ihre Hausaufgaben, indem sie sorgfältig analysieren, worin die Verletzlichkeit der ins Visier genommenen Organisation liegt. Sie erkundigen sich beispielsweise, welche Mitarbeiter jene Zugangsberechtigungen haben, die sie sich selbst gerne aneignen würden, um gezielt die kritischen Systeme zu knacken. Diese Art der Bedrohung hat in letzter Zeit enorm zugenommen. Derweil die Informationssicherheitsbeauftragten sich dessen sehr bewusst sind, müssen sie grosse Anstrengungen unternehmen, um dieses Bewusstsein auch unter ihren Kollegen zu fördern, und vor allem auch bei jenen erfahrenen Managern und Direktoren, die Zugang auf vertrauliche Geschäftsinformationen oder die IT-Infrastruktur haben. PwC verwendet immer mehr Arbeit darauf, die Bewusstseinsbildung bei ihren Kunden zu unterstützen, etwa indem sie aufzeigt, wie verwundbar das System der Organisation tatsächlich sein kann. Oder es werden intelligente Programme eingesetzt, die erkennen lassen, welches Bild die Organisation bei den Angreifern abgibt und auf welche Bedrohung sie sich gefasst machen muss. Zusammenarbeit Die Intensität der Zusammenarbeit zwischen Fachleuten der Informationssicherheit steigt. In der Schweiz werden sie seit 2004 durch die Melde- und Analysestelle (MELANI) des Bundes unterstützt. Die Zusammenarbeit innerhalb von Branchen ist sehr sinnvoll, denn die Angriffe werden oft mehr oder weniger gleichzeitig gegen mehrere Firmen im selben Wirtschaftszweig lanciert. Wenn ein Unternehmen weiss, dass es bereits einen Angriff auf eine andere Firma gab, kann es sich besser darauf einstellen. Unter Schweizer Geschäftsleuten mag bislang noch eine gewisse Zurückhaltung gegenüber solchen Initiativen geherrscht haben, doch inzwischen ist die Akzeptanz breiter als noch vor einigen Jahren, überwiegen doch die Vorteile einer Zusammenarbeit deren Nachteile. Der Antrieb zur Zusammenarbeit kommt eher von der Technologie her und weniger durch die Branchenzugehörigkeit. Es ergibt deshalb durchaus Sinn, wenn Organisationen aus verschiedenen Sektoren zusammenarbeiten, sofern sie die gleichen Technologien einsetzen und deshalb auf gleiche Weise verwundbar sind. Und wie in der Schweiz üblich, findet die Zusammenarbeit aus sprachlichen Gründen eher auf regionaler denn auf nationaler Ebene statt. Stellenwert der Informationssicherheitsstrategie Immer mehr Firmen öffnen ihre Computerplattformen für Dritte. Auf diese Weise können sie von den Effizienzvorteilen, die die Vernetzung bietet, profitieren, vor allem mit Blick auf die Auslagerung bestimmter Prozesse. Cloud-Computing verleiht diesem Trend eine neue Dimension. Die ziemlich raschen Veränderungen der vergangenen Jahre führten dazu, dass die damit einhergehenden Risiken nicht sauber klassifiziert und angegangen wurden. Die Informationssicherheitsstrategie muss solche Risiken berücksichtigen, und aufgrund von deren Dynamik kommt ein Unternehmen nicht umhin, mindestens einmal jährlich seine Strategie vollständig einer Überprüfung zu unterziehen. Dabei müssen Geschäftsstrategie, Informatikstrategie und Informationssicherheitsstrategie miteinander in Einklang gebracht werden. Eine Geschäftsstrategie ist typischerweise für einen Zyklus von drei bis fünf Jahren konzipiert. Die unterstützende Informatikstrategie dürfte für einen ähnlichen Zeitraum Gültigkeit beanspruchen. Sobald diese beiden Strategien definiert sind, muss eine geeignete Informationssicherheitsstrategie entwickelt werden, die zwar auf die beiden anderen Strategien abgestimmt ist, jedoch wie erwähnt im Jahresintervall zu überprüfen ist. Im Rahmen der Strategieüberprüfung wird das unternehmenseigene System einem rigorosen Testverfahren unterworfen, um dessen Verwundbarkeit zu eruieren. Die Zusammenarbeit innerhalb von Branchen ist sehr sinnvoll, denn die Angriffe werden oft mehr oder weniger gleichzeitig gegen mehrere Firmen im selben Wirtschaftszweig lanciert. Dezember 2013 Disclose 11

12 Die grössten Hindernisse auf dem Weg zu einer wirksamen Informationssicherheitsstrategie Die Kapitalausstattung genügt nicht. Es fehlt eine umsetzbare Vision oder das Verständnis dafür, welche Sicherheitsvorkehrungen künftige Geschäftsbedürfnisse erfordern. Die oberste Führungsebene (z.b. CEO, Board) setzt sich nicht genügend dafür ein. Es mangelt an einer wirksamen Informationssicherheitsstrategie Die betrieblichen Mittel reichen nicht aus. Dem Unternehmen fehlt die technische Expertise Die Informations- und IT-Systeme sind schlecht integriert oder zu komplex. Die Sicherheitsverantwortlichen (z.b. Chief Information Security Officer, Chief Security Officer) setzen sich nicht genügend dafür ein Die technische Leitung (z.b. Chief Information Officer) setzt sich nicht genügend dafür ein. 16 0% 5% 10% 15% 20% 25% Investitionen in die Informationssicherheitsstrategie Es gibt keine einfachen oder gar erhärteten Regeln, wie viel eine Firma vom Total ihrer Informatikausgaben für die Informationssicherheit aufwenden sollte. Viel wichtiger ist es, dass das ausgegebene Geld dort eingesetzt wird, wo es auch gebraucht wird. Investitionen in die Informationssicherheit stehen im Wettstreit mit anderen Bedürfnissen, wenn es darum geht, interne Prozesse zu verbessern, andere oder verbesserte Technologien einzusetzen oder die Mitarbeiter für Risiken zu sensibilisieren. Ein Weg, um zu bestimmen, wo investiert werden soll, besteht darin, die Daten der Firma zu analysieren und zu klassifizieren. Danach muss entschieden werden, welche Daten zu schützen sind. Darauf folgt eine umfassende Evaluation der Bedrohungen, denen die kritischen Daten die «Kronjuwelen» der Firma ausgesetzt sind. Eine Kombination von externer Aufklärung der Bedrohungen und internen Kontrollen kann dies ermöglichen. Viele Firmen geben viel Geld aus, um die falschen Daten zu schützen. Es mag zwar verständlich sein, dass die Informationssicherheitsbeauftragten gerne mehr Geld zur Verfügung hätten, aber in diesem Feld ist es ganz besonders wichtig, dass die verfügbaren Ressourcen so effizient wie möglich eingesetzt werden. In der Praxis hat sich erwiesen, dass bisweilen weniger als 5% der Firmendaten tatsächlich geschützt werden müssen. 95% der Daten können als öffentlich oder intern klassifiziert werden, und zu deren Schutz braucht es weit weniger Ressourcen. Die wirkliche Herausforderung besteht also darin, die «Kronjuwelen» zu identifizieren, ihre Bedrohungsrisiken zu erkennen und geeignete Schutzmassnahmen zu entwickeln. 12 Disclose Dezember 2013

13 Quintessenz: Die Sicherheitsrisiken in der heutigen Geschäftswelt verlangen von den Unternehmen, dass sie die Bedrohungen der Informationssicherheit als Teil des unternehmensweiten Risikomanagements wahrnehmen und steuern. Denn diese Bedrohungen können die Geschäftsziele ernsthaft gefährden. Alle Daten auf dem höchstmöglichen Niveau zu sichern, ist gar nicht mehr möglich. Schwache Position von Europa und der Schweiz Die GSISS-Umfrage zeigt auch, dass Europa hinter den anderen Weltregionen hinterherhinkt, wenn es um Datensicherheit und die Effektivität der örtlichen Überwachungsmassnahmen geht. Das ist zunächst eine Folge der ökonomischen Realität. Die Firmen in Europa stehen unter starkem finanziellem Druck; für alle Arten von Investitionen steht wenig Geld zur Verfügung, einschliesslich der Informationssicherheit. Schon allein aus diesem Grund ist es für europäische Firmen umso wichtiger, ihre Daten intelligent zu klassifizieren und die Bedrohungen genau zu analysieren. Für einen Informationssicherheitsbeauftragten ist das der beste Weg, jenes Budget zu erhalten, das er braucht. Die Umfrageresultate für die Schweiz zeigen, dass das durchschnittliche Budget für Datensicherheit in der Höhe von 2,5 Millionen US-Dollar kleiner ist als jenes in den USA mit 4,3 Millionen US-Dollar. Zum Teil kommt hier zum Ausdruck, dass die Bedrohungslage in der Schweiz als geringer wahrgenommen wird als anderswo. In Wirklichkeit dürfte sie angesichts der internationalen Vernetzung genauso hoch sein wie im Rest der Welt. Und Cyberrisiken für sich genommen sind selbstverständlich nicht geringer als in anderen Ländern. Innerhalb der Schweiz ist die Sicherheitsbedrohung auf den Finanzplätzen Zürich und Genf vermutlich höher als in den anderen Teilen des Landes. Die Rhonestadt ist zudem wegen ihrer Bedeutung als Sitz internationaler Organisationen ein Ziel für Cyberangriffe. Für einen Blick in die Zukunft spielen sicherlich die Enthüllungen um die US-amerikanische «National Security Agency» (NSA) eine Rolle. Diese haben Auswirkungen auf die Vertraulichkeit von Daten, die in einer Cloud gelagert werden. Denn es ist zu erwarten, dass die Unternehmen kurzfristig mehr Vorsicht bei der Nutzung von Clouds an den Tag legen werden, zumal es sich bei den grossen Anbietern um amerikanische Unternehmen handelt, die dem «US Patriot Act» unterliegen. Diese Provider sind nicht nur angehalten, auf Anfrage Daten gegenüber den amerikanischen Behörden offenzulegen, es ist ihnen auch verboten, ihre Kunden über die erteilten Auskünfte zu informieren. Angesichts der hohen Kosteneinsparpotenziale, die die Clouds ermöglichen, wird die Zurückhaltung eher vorübergehender Natur sein. Aber die Firmen sollten entscheiden, welche Daten sie bedenkenlos in einer Cloud lagern können und welche nicht. Alle sensitiven Informationen wie Kundendaten, Preiskalkulationen, Dokumente zum Know-how und zum geistigen Eigentum sollten nicht in einer Cloud abgelegt werden. Auf der anderen Seite eröffnet gerade diese Situation neue Geschäftschancen für die Schweiz. Sie könnte hoch sichere und verschlüsselte Lagermöglichkeiten für Unternehmensdaten zur Verfügung stellen, die international nachgefragt würden, weil sie frei von behördlicher Einmischung wären. Es lässt sich beobachten, dass bereits neue Cloud-Dienstleistungen entwickelt werden, um damit in genau diese Marktlücke vorzustossen. Anreiz hierfür bieten die internationale Position der Schweiz und deren Datenschutzgesetz. Die vollständige Studie «Defending yesterday. Key findings from The Global State of Information Security Survey 2014» lässt sich herunterladen unter: Dezember 2013 Disclose 13

14 Yaron Blachman, Technology and Forensic Leader von PwC, über organisierte Kriminalität im Internet, die Möglichkeiten des «Dark Internet», das steigende Risikobewusstsein der Unternehmen und neue Formen zur Bekämpfung von Angriffen aus dem Cyberspace «Cyberangriffe werden von Gruppen, dem organisierten Verbrechen und von Staaten geführt.» Herr Blachman, wo liegt der Unterschied zwischen Informationssicherheit und Cybersicherheit? Informationssicherheit ist nichts Neues. Sie wird üblicherweise als eine technische Angelegenheit betrachtet, als eine Aufgabe der IT-Abteilung, die das Ziel hat, ein Unternehmen vor dem unberechtigten Zugriff auf seine Computer und Daten zu schützen. Cybersicherheit ist ein weiter gefasster Begriff. Cyberangriffe können einem Unternehmen auf unterschiedliche Art und Weise Schaden zufügen. Nehmen wir die Pharmabranche: Das wertvollste Gut eines Pharmaunternehmens ist sein geistiges Eigentum. Darin stecken Jahre der Forschung. Wenn dieses Gut entwendet wird, geht eine grosse Menge an Geld gänzlich verloren. Mit Cyberangriffen beschäftigen sich heutzutage auch Verwaltungsräte, CEOs und CFOs. Auch wenn sie das Ausmass des Problems nicht ganz erfassen, ist ihnen bewusst, dass es für ihr Geschäft von Bedeutung ist. Hat die Datensicherheit somit eine neue Qualität erhalten? In den letzten vier Jahren hat sich die Art der Bedrohungen sehr stark verändert. Natürlich gab es schon immer Personen, die einem Unternehmen schaden wollen indem sie Geld, Informationen oder geistiges Eigentum stehlen oder dem Unternehmen einen anderen Schaden zufügen. In jüngster Zeit aber sind diese Personen technisch versierter und schneller geworden, und vor allem haben sie sich besser organisiert. Natürlich waren die Informationssysteme auch früher bedroht, aber diese Bedrohung ging in der Regel von einzelnen Personen aus, nicht von grossen und finanzkräftigen organisierten Gruppen. Heute werden die Cyberangriffe von Gruppen, dem organisierten Verbrechen und von Staaten geführt. Da die Informationssysteme für die meisten Unternehmen von zentraler Bedeutung sind, ist die Bedrohung dieser Systeme zu einer Bedrohung für das Unternehmen selbst geworden. Sie ist ein strategisches Problem. Der «Global State of Information Security Survey 2014» von PwC zeigt auf, dass die Anzahl der Unternehmen, die einen Schaden von mehr als zehn Millionen Dollar erlitten haben, im letzten Jahr um mehr als die Hälfte gestiegen ist. Das ist beachtlich. Ja, die Angriffe nehmen zu. Neben Datendiebstahl findet auch Datenmanipulation statt: Es wird beispielsweise auf das Hauptbuch einer Bank zugegriffen und der Kontensaldo oder die Höhe eines Kredits verändert, oder es werden Scheinkonten mit grossen Beträgen angelegt, die dann abgehoben werden. Ein Cyberangriff kann auch darauf abzielen, einem Unternehmen zu schaden, indem dessen Systeme und damit die Produktion für einige Stunden oder sogar Tage lahmgelegt werden. Wie sieht Ihrer Meinung nach die Zukunft aus? Die Auswirkungen der Cyberangriffe werden wohl gleich bleiben; da sich aber die Technologie schnell weiterentwickelt, werden sich auch die Angriffstechniken weiter verfeinern. Es ist schwierig, alle Szenarien vorauszusagen, aber es wird sicher noch ausgeklügeltere Methoden geben. Zudem entwickeln sich Smartphones zu einem der wichtigsten Ziele für Cyberangriffe. Sie sind verwundbar, weil die Sicherheit nicht die höchste Priorität hatte, als sie entworfen wurden. In weiterer Zukunft werden Smartcards mit biometrischen Daten wie Fingerabdrücken zum Angriffsziel werden. Diese Karten sollen eigentlich Sicherheitsprobleme lösen, aber sie schaffen auch neue. Wenn man eine gefälschte Smartcard herstellen kann, kann man eine Identität stehlen. Und dann wird die Identität für den Einzelnen zu einem grösseren Problem. Aber für Unternehmen bleiben Datendiebstahl und Datenabfluss das Hauptproblem. Auch das Ausmass der Bedrohung verändert sich. Der erwähnte «Global State of Information Security Survey 2014» zeigt, dass Sicherheitsvorfälle bei Banken zwischen 2012 und 2013 um 170% zugenommen haben. Es gibt in dieser Branche mehr Daten, die gestohlen werden können, und die Angriffe werden immer raffinierter. 14 Disclose Dezember 2013

15 Gibt es Unterschiede zwischen grossen und kleinen Unternehmen oder zwischen den Branchen? Sind bestimmte Branchen weniger attraktiv für Hacker? Computer bieten den Hackern unzählige Möglichkeiten. Das liegt vor allem daran, dass alles automatisiert ist, auch die Tools, die die Hacker verwenden. Kleinere Firmen sind heute für Hacker attraktiver, weil diese bei grösseren Unternehmen höhere Sicherheitsstandards vermuten. Der Schaden, der bei jedem dieser Angriffe entsteht, ist zwar geringer, aber es gibt mehr davon. Kleinen Unternehmen fehlen zudem die Mittel, um sich so gut zu schützen wie die grossen. Das andere ist die Privatsphäre. Um die Gesetze und Regulierungen zum Datenschutz einzuhalten, muss ein Unternehmen wissen, wo genau in seinem System diese Daten abgelegt sind. Dann muss es beurteilen, ob und unter welchen Bedingungen Daten in einer Cloud gespeichert werden können. Die meisten Unternehmen wissen aber nicht einmal, über welche Daten sie verfügen und wo diese abgelegt sind. Sie wissen zwar, dass sie Daten haben, die nur beschränkt zugänglich sind, aber sie wissen nicht immer, wo sich diese befinden. Aus diesem Grund überdenken viele unsere Kunden ihren Datenschutz aus einer strategischen Perspektive heraus: Sie stufen die Daten gemäss ihrer Sensitivität ein und speichern sie entsprechend. Sind sich die Unternehmen im Allgemeinen des Problems bewusst? Das Bewusstsein wächst eindeutig, aber es gibt Unterschiede: Einige Unternehmen sehen durch ihr Monitoring, dass sie angegriffen werden, andere werden angegriffen, verfügen aber nicht über die Sicherheitsmassnahmen, um den Angriff aufzudecken, und wägen sich gar in falscher Sicherheit. Für einen adäquaten Schutz zu sorgen, wird für die Unternehmen komplexer und damit kostenaufwendiger. Das gilt im Übrigen nicht nur für KMU, sondern auch für grosse Unternehmen. Daraus ist ein neuer Trend entstanden: Sehr grosse Unternehmen haben eine Zusammenarbeit im Umgang mit Cyberbedrohungen begonnen. Zum ersten Mal überhaupt tauschen sogar Banken Informationen zu Angriffstechniken und zu Sicherheitsvorfällen aus, die wirklich stattgefunden haben. Die meisten grossen Schweizer Banken tun dies heute. In der Vergangenheit wäre eine solcher Austausch undenkbar gewesen, aber er ergibt Sinn. Denn wenn ein Hacker eine Bank erfolgreich angegriffen hat, nimmt er sich die nächste vor. Durch den Informationsaustausch können die Banken die Wiederholung eines Angriffes erschweren. Unsere neue Studie zeigt, dass 55% unserer Kunden aus der Finanzbranche weltweit Daten untereinander austauschen. Noch vor ein paar Jahren lag der Prozentsatz nahe bei null. Wie sicher ist Cloud-Computing? Welche rechtlichen Herausforderungen existieren? Seit dem Beginn von Cloud-Computing entstehen jeden Monat neue Vorgehensweisen für diese Art der Datenspeicherung. Der Fokus richtet sich dabei nicht immer auf die Sicherheit, sondern meist auf Kostenreduktion und operative Flexibilität. Hier liegt das eine Problem: Die Behebung von Lücken findet in aller Eile statt. Dafür braucht es wohl Expertise auf vielen Gebieten. Und gute Kenntnisse über das Unternehmen. Richtig, und das ist sehr, sehr schwierig. PwC hat sich schon immer mit Fragen des Datenschutzes beschäftigt. Neuerdings geschieht dies auch konzentriert im Cyber Security Centre of Excellence (vgl. Kasten auf Seite 16). Yaron Blachman ist bei PwC Israel für Technologie und Forensik verantwortlich und leitet das Cyber Security Centre of Excellence von PwC in Tel Aviv. Er hat Informatik und Ingenieurwissenschaften studiert. Vor seiner nunmehr 13-jährigen Tätigkeit für PwC arbeitete er für eine kleine Beratungsfirma als Beauftragter für Regierungssicherheitsfragen. Davor war er sechs Jahre lang bei der israelischen Luftwaffe und dort als Offizier für Aufklärungstätigkeiten verantwortlich. Die meiste Zeit seiner PwC-Tätigkeit verbrachte Blachman in Israel, drei Jahre arbeitete er in Silicon Valley. Dezember 2013 Disclose 15

16 Sie haben auch Zugang zum sogenannten «Dark Internet»: Wie finden Sie heraus, was die «Bösewichte» wissen? Das «Dark Internet» umfasst die Websites, die keine Suchmaschine finden kann. Man muss genau wissen, wo man suchen muss. Manche nutzen das «Dark Internet» aus Datenschutzgründen und verfolgen keine kriminelle Absicht; die meisten jedoch nutzen es, um illegale Dienstleistungen, gestohlene Informationen, Hackertools oder illegale Zugänge auf Server zu verkaufen. Es gibt auch Anbieter, die überwachen, was die «Bösewichte» über bestimmte Ziele wissen. Aber die vertrauenswürdigen Anbieter auszumachen, ist ein sehr mühsamer Prozess. Wir beobachten die «Bösewichte» auch selbst. Indem wir unsere Abwehrtätigkeit mit jenen Informationen kombinieren, die wir von zuverlässigen Quellen kaufen, können wir uns ein recht gutes Bild über das Wissen verschaffen, das die Übeltäter von einem Kunden haben. Nicht selten überrascht dieses Wissen die grossen Unternehmen, die meinen, dass sie gut geschützt seien und jeden Angriff, der durch die Maschen ihrer Abwehr dringt, feststellen würden. Grosse Unternehmen sind oft verwundbar, weil sie ja nicht aus einer einzigen Einheit bestehen. Es gibt Akquisitionen, Integrationsprojekte, verschiedene Kulturen, verschiedene Sicherheitsniveaus. Schaut man von aussen in ein solches Gebilde, eröffnet sich oft ein Zugang. Ausserdem ist dafür häufig gar kein Hacken notwendig, denn oft stehen Original-Nutzer-IDs und -Passwörter im «Dark Internet» zum Verkauf. Das verblüfft manche Führungskräfte, aber wenn wir ihnen unseren Bericht zeigen, wird ihnen rasch bewusst, dass Handlungsbedarf besteht. Cybersicherheit einfach als Geschäftsrisiko betrachten und als solches erfassen und behandeln. Wenn ein Unternehmen das Risiko richtig einschätzt und in angemessene Vorkehrungen zur Risikominderung investiert, kann es dieses auf einem akzeptablen Niveau halten. Wer sind die «Bösewichte»? Ganz verschiedene Personen. Man muss auch Staaten dazuzählen die Lieblinge der Medien. Die NSA, die Chinesen Zur NSA gibt es ja viele verschiedene Ansichten... Dazu habe ich eine ganz klare Meinung: Jeder, der Informationen stiehlt, der sich ohne Erlaubnis Zugang verschafft, ist ein «Bösewicht», auch wenn es sich dabei um einen Nationalstaat handelt. Die Staaten sind sehr aktiv, haben viele Ressourcen und sind erfolgreich. Aber die aktivsten Übeltäter sind im organisierten Verbrechen zu suchen. Ist Geld ihre Motivation? Ja, das kann aber auch bedeuten, dass sich jemand bezahlen lässt, um sich in die Systeme eines Unternehmens zu hacken. Die Fälle von Unternehmen, die dies ihren Konkurrenten antun, haben im letzten Jahr zugenommen. Muss es denn nicht zuerst zu einem Vorfall kommen? Es wird Sie wohl kein Unternehmen, das annimmt, es sei sicher, mit einer Überprüfung beauftragen? Bis vor anderthalb Jahren kamen die Unternehmen in der Regel zu uns, nachdem etwas vorgefallen war. Nun wollen sie mehr und mehr ihre Cybersicherheit generell überprüfen lassen. Ich gebe Ihnen ein Beispiel, das dies gut illustriert: In Grossbritannien organisiert PwC jeden Monat Treffen für nicht exekutive Führungskräfte, um die Cybersicherheit zu diskutieren. Vor zwei Jahren kamen jeweils fünf oder sechs Personen zu diesen Treffen. Dieses Jahr sind es im Durchschnitt 200. Natürlich ist das Thema nun auch in den Medien stark präsent. Wegen des Medienhypes reagieren einige Kunden übertrieben, während andere die Risiken nach wie vor unterschätzen. Meines Erachtens müssen die Kunden die Das Cyber Security Centre of Excellence von PwC in Tel Aviv, das von Yaron Blachman geführt wird, besteht seit knapp drei Jahren. Dort arbeiten rund 20 langjährige PwC-Mitarbeiter, die über Expertise in Informationssicherheit, Cyber Intelligence, Datenanalyse und Privatrecht verfügen. Das Zentrum betreibt Forschung zu neuen Tools und Methodologien und zu deren Entwicklung; diese werden von PwC weltweit angewendet. 75% der gesamten Tätigkeit bestehen aus Dienstleistungen für Kunden auf der ganzen Welt. Dabei ist es wichtig, die Geschäftsstrategie der Kunden zu kennen, die Daten sowie deren Verwendung, Übermittlung und Speicherung zu analysieren und zu verstehen. Unabdingbar sind zudem umfassende Kenntnisse über relevante Regulierungen. Das Zentrum ist in Israel angesiedelt, weil dieses Land über eine weltweit anerkannte Expertise in der Informationssicherheit verfügt, die zum grössten Teil in Zusammenarbeit mit der israelischen Armee gewonnen wurde. Die israelische Branche der Software zur Informationssicherheit ist hoch entwickelt. 16 Disclose Dezember 2013

17 Das bezieht sich auf China, nicht wahr? Nicht nur. Es gibt auch Fälle in der Schweiz und in Europa. Hacking ist eine einfache Möglichkeit, um ein Unternehmen auszuspionieren etwa alle Marketingunterlagen vor der Publikation zu sehen. Es kommt auf die Branche an, aber solche Fälle kommen immer öfters vor. Es ist auch üblich, dass Terroristen Cybermethoden nutzen, um Geld aufzubringen und Informationen über ihre Zielfirmen zu sammeln. Dann gibt es die «Hackerfamilie»: Das sind sehr qualifizierte Einzelpersonen oder zwei- bis dreiköpfige Teams. Sie entwenden überall dort Geld, wo es möglich ist üblicherweise kleine Mengen für die Zielfirmen, aber grosse Summen für sie selbst. Dann gibt es den Informationsdiebstahl. Er erfolgt durch die Verbreitung von Malware. Dabei werden keine spezifischen Ziele angesteuert, aber sobald eine Malware einen Computer infiziert hat, werden alle Vorgänge und alle Informationen auf diesem Computer auf den Servern der Hacker gespeichert. Die gespeicherten Daten können verkauft werden. Vielleicht will jemand Benutzer-IDs oder -Passwörter für eine bestimmte Bank von diesen Hackern kaufen. Kürzlich wurde eine «Dark Internet»-Website in Russland aufgebaut, auf der rund 300 der Fortune-500-Unternehmen aufgelistet sind. Für ein paar Dollar pro Tag kann man sich Zugang zu den Computern dieser Netzwerkorganisation verschaffen. Das sind die «Bösewichte», mit denen es die Unternehmen zu tun haben, und ihre Motivation ist üblicherweise das Geld. Sind Sie mehrheitlich für Unternehmen tätig? Unsere Kunden stammen aus allen Branchen, aber die meisten davon sind private und öffentliche Unternehmen. Sie haben einiges zu verlieren, und sie wollen sich wirklich schützen. Wir arbeiten auch für Behörden, Militärbehörden, NGO eigentlich für fast alle. Wir sind auch für ein paar wenige Regierungen tätig. Dabei geht es beinahe immer um einen sehr begrenzten Bereich, in dem wir die Expertise haben, die sie benötigen. Alles, was sehr sensitiv ist, versuchen die Regierungen selbst zu erledigen. kombinieren wir die Audits mit einer «Cyber Intelligence»-Dienstleistung, mit der wir herausfinden, welches Wissen über den Kunden im «Dark Internet» vorhanden ist. Die meisten unserer hoch entwickelten Dienstleistungen sind keine Sicherheitsprüfungen mehr, sondern zielen darauf ab, unsere Kunden zu schützen und ihnen strategischen Rat zu erteilen. Wie steht es um die sozialen Medien? Die sozialen Netzwerke sind ausserhalb der Kontrolle eines Unternehmens. Jeder kann ins Netz stellen, was er will. Das kann einem Unternehmen schaden, auch wenn die Nachricht nicht wahr ist. Anders als bei Sicherheitsvorfällen braucht es in diesen Fällen eine PR-Reaktion. Das Unternehmen muss öffentlich reagieren. Aber sobald ein Gerücht in Umlauf ist, ist es sehr schwierig, seine Verbreitung zu stoppen auch wenn es nicht stimmt. Wie sicher können die Daten eines Unternehmens sein? Bis zu einem sehr hohen Grad, aber nie zu 100%. Der einzige Weg, ein Computersystem vollkommen zu schützen, ist, es abzustellen und alle Kabel herauszuziehen. Dann ist der Schutz zwar komplett, aber das System ist nutzlos. Es geht darum, die Risiken zu kennen und sie auf ein vernünftiges Mass zu beschränken. Nicht alle Daten sind gleichermassen wichtig. Es ist also die Sensitivität der Daten, die das Niveau des Datenschutzes bestimmt? Ja, das ist das Entscheidende. Ein Unternehmen muss seine Daten einstufen und sie entsprechend schützen. Viele Unternehmen sichern all ihre Systeme in gleichem Ausmass; das ist nicht sehr effizient. Ich kenne den Fall eines Unternehmens, das Tausende von Dollars pro Monat ausgab, um ein System zu sichern, das lediglich Essensgutscheine für das Personal druckte. Wenden Sie in Ihrer Arbeit einen Standardansatz an? Für die Erbringung der Dienstleistung selbst, ja. Aber zuerst geht es darum, festzulegen, welche Dienstleistungen der Kunde braucht. PwC führt seit Jahren Sicherheitsprüfungen durch. Diese Prüfungen haben wir nun zu Cybersicherheitsaudits ausgebaut. In der Schweiz Welches sind Ihre Kernbotschaften zur Cybersicherheit? Erstens: keine Panik beim Wort «Cyber». Zweitens: Man muss die Bedrohung erfassen, man muss wissen, vor wem man sich schützt. Erst dann kann man die richtige Abwehr aufbauen und die richtigen Prozesse einrichten, um sicherzugehen, dass man geschützt ist. Dezember 2013 Disclose 17

18 Datenschutz betrifft jeden Die Europäische Union erarbeitet eine Reform ihres Datenschutzrahmens, die unter anderem den Vorschlag für eine «Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr» beinhaltet. Auch in der Schweiz ist eine Revision des Datenschutzgesetzes geplant, die die Entwicklungen in der EU berücksichtigen wird. Das eidgenössische Datenschutzgesetz schützt die Grundrechte von natürlichen und juristischen Personen, über die Daten bearbeitet werden. Das Wort «Bearbeitung» ist umfassend zu verstehen: Gemeint sind alle Bearbeitungsstufen von der Erhebung über die Speicherung bis zur Weitergabe von Daten. Je nach Art der Bearbeitung stellen sich andere Probleme. Zudem spiegeln sich in den rechtlichen Anforderungen länderspezifische Wertvorstellungen und Rechtssysteme wider. Unterschiede zeigen sich etwa, wenn es darum geht, Daten als besonders schützenswert zu qualifizieren, oder wenn eine Erhebung von Daten in bestimmten Bereichen des gesellschaftlichen Lebens wie im Arbeitsbereich erfolgen soll. Die nationalen Gesetze des Arbeitsrechts und der unterschiedlich ausgestaltete Schutz des Arbeitnehmers führen dazu, dass die Mitarbeiterdaten ein von Land zu Land abweichendes Schutzniveau geniessen. Besondere Herausforderungen bestehen bei der grenzüberschreitenden Weitergabe von Personendaten, und wenn zwischen Sender- und Empfängerland ein unterschiedliches Datenschutzniveau besteht. Allerdings verlangen die fortschreitende Internationalisierung und die globale Vernetzung einen immer umfangreicheren Datenaustausch. Der technologische Fortschritt trägt dazu bei, dass sich quasi «per Klick» immense Datenvolumen von einem zum anderen Ort verschieben lassen. Nicht immer ist gewährleistet, dass die Rechte des Einzelnen, dessen Daten vom Transfer betroffen sind, beachtet und geschützt werden. Mit der technologischen Entwicklung in unserer Informationsgesellschaft wird es für jeden Betroffenen auch immer schwieriger, zu erkennen, wo und durch wen die Datenbearbeitung erfolgt. Eine in den letzten Jahren neu entstandene Herausforderung ist Big Data. Dabei handelt es sich um riesige Datenmengen aus vielfältigen Quellen, die mit hoher Geschwindigkeit verarbeitet werden. Diese Entwicklung wird durch die zunehmende «maschinelle» Erzeugung von Daten zusätzlich beschleunigt. Verarbeitet werden Protokolle von Telekommunikationsverbindungen, erfasste Zugriffe auf das Web, Ergebnisse von Lesegeräten, die die automatische Identifizierung und Lokalisierung von Gegenständen und Lebewesen ermöglichen, sowie Aktivitäten von Kameras, Mikrofonen und sonstigen Sensoren. Big Data können in vielen Bereichen, zum Beispiel im Energiesektor (Verbrauchsdaten) oder im Gesundheitswesen, verwendet werden. Bei der Anlegung von Big Data eröffnen sich neue Horizonte zur Art und Weise der Datenbearbeitung. Denn durch den riesigen Datenberg werden neue Erkenntnisse in einem Ausmass gewonnen, das bisher unmöglich war. Detailhändler beispielsweise erhoffen sich, mithilfe von Big Data ein vollständigeres Bild von den Bedürfnissen ihrer Kunden zu erhalten. Versicherungen versuchen, durch Big Data das Versicherungsrisiko besser zu kalkulieren und so rentablere und passendere Produkte anzubieten. Wie überall, wo die gesellschaftlichen und technologischen Entwicklungen stürmisch verlaufen, hinkt die Gesetzgebung auch beim Datenschutz den neuen Herausforderungen hinterher. Prägnanter ausgedrückt: Die technologische Entwicklung ist seit je die Treiberin der gesetzlichen Bestrebungen im Bereich des Schutzes von personenbezogenen Daten. Zurzeit finden sowohl in der Europäischen Union als auch in der Schweiz Revisionsbemühungen in der Datenschutzgesetzgebung statt. 18 Disclose Dezember 2013

19 Umfassende Reform in der EU EU-Kommissarin Viviane Reding legte im Januar 2012 ein Reformpaket vor, das die geltende Datenschutzrichtlinie aus dem Jahr 1995 ersetzen soll. Der Vorschlag enthält unter anderem eine für alle Mitgliedsstaaten direkt anzuwendende Verordnung, in deren Zentrum der Schutz der Privatsphäre im Internet steht. Alle Bürger sollen das «Recht auf Vergessen» erhalten, das heisst, sie sollen ihre Daten beim jeweiligen Internetanbieter löschen lassen können, sofern es keinen triftigen Grund für einen Fortbestand gibt. Ferner sollen alle Bürger das «Recht auf Datenportabilität» beanspruchen dürfen und ihre Daten bei einem Wechsel zu einem anderen Anbieter leichter als heute transferieren können. Im Gegenzug beabsichtigen die Reformvorschläge der EU-Kommission, den Verwaltungsaufwand der Unternehmen für Datenschutz zu senken. Bislang mussten Unternehmen in jedem Land, in dem sie tätig waren, die nationalen Regelungen befolgen; sie unterstanden damit verschiedenen Datenschutzbehörden. Zur Erhöhung der Rechtssicherheit sollen Unternehmen künftig nur noch eine zentrale behördliche Anlaufstelle im Land ihres Hauptsitzes haben (sogenanntes «One Stop Shop»-Prinzip). Für grenzüberschreitende Sachverhalte schlägt die EU-Kommission ein «Kohärenzverfahren» vor, um eine effiziente und schnelle Abstimmung beziehungsweise Zusammenarbeit mehrerer Datenschutzbehörden zu gewährleisten. Extraterritoriale Wirkung Der Reformvorschlag der EU-Kommission sieht vor, dass die geplanten Vorschriften von allen Unternehmen eingehalten werden müssen, die in der EU tätig sind. Dadurch entstünde eine extraterritoriale Wirkung, die auch Nicht-EU- Unternehmen in den Anwendungsbereich des EU-Rechts brächte. Die Verordnung soll auch dann Anwendung finden, wenn Unternehmen in der EU aktiv werden, ohne dort eine eigene Niederlassung zu haben. Es reicht bereits, wenn eine ausserhalb der EU domizilierte Firma Personen in der EU Waren oder Dienstleistungen anbietet oder diese Personen und deren Aktivitäten beispielsweise durch sogenanntes Online- Tracking beobachtet. Dahinter steckt die Absicht, den Schutz der personenbezogenen Daten in der gesamten EU sicherzustellen und von Nicht-EU-Unternehmen, die einen Bezug zur EU haben, die Beachtung des EU-Datenschutzrechts zu verlangen. Die extraterritoriale Wirkung und die direkte Anwendbarkeit einer Verordnung in allen EU- Staaten hätten noch weitere Folgen. Der heutige scharfe Standortwettbewerb in der Datenschutzgesetzgebung fiele weg. Nicht-europäische Internetkonzerne, die sich Vorteile von einem möglichen «Europasitz» in Ländern mit weniger strikten Datenschutzbestimmungen (zum Beispiel in Irland) erhoffen, würden ein solches «Privileg» verlieren. Deshalb ist es auch nicht verwunderlich, dass ein intensiver Lobbyismus gegen das Reformvorhaben betrieben wird. Rauno Hoffmann Senior Manager, Steuer- und Rechtsberatung Auch Mitgliedsländer wie Grossbritannien fordern eine weniger zentralistische Lösung. Sie möchten, dass die EU wie bisher nur eine Richtlinie erlässt, bei der die einzelnen Mitgliedsstaaten die Regelungen flexibel umsetzen Dezember 2013 Disclose 19

20 können, statt einer Verordnung, die für alle Mitglieder direkt anzuwendende Vorschriften enthält. Bis zum vergangenen Sommer wurden im EU-Parlament rund 4000 Abänderungsanträge eingereicht. Es ist deshalb fraglich, ob das Reformpaket in der vorliegenden Form und noch vor den europäischen Parlamentswahlen im kommenden Frühjahr verabschiedet wird. Zumindest hat der Verordnungsvorschlag Ende Oktober dieses Jahres eine wichtige gesetzgeberische Hürde genommen, indem der Innenausschuss des EU-Parlaments ein Mandat für die Verhandlungen des EU-Parlaments mit dem Ministerrat erteilte. Höhere Bussen in der Schweiz Sobald die Reform des Datenschutzrahmens in der EU abgeschlossen ist, möchte der Bundesrat mit der Revision des schweizerischen Datenschutzgesetzes (DSG) beginnen. Eine im Jahr 2010 durchgeführte Evaluation stellte fest, dass das DSG an sich über genügend Instrumente verfüge, diese jedoch zu wenig genutzt würden. Dem Datenschutzgesetz fehlten die Zähne. Die Datenschutzbestimmungen würden besonders gegenüber privaten Datenbearbeitern kaum gerichtlich durchgesetzt. Falls Unternehmen dennoch wegen der Verletzung der Persönlichkeitsrechte im Zusammenhang mit der Datenbearbeitung belangt würden, so seien die ausgesprochenen Bussen zu gering, um präventiv zu wirken. In anderen Bereichen beispielsweise im Kartellrecht oder im Korruptionsstrafrecht werden schärfere Sanktionen verhängt. Die dort vorgesehenen hohen Bussen führen dazu, dass die Unternehmen die Regeln besser beachten. Der Bundesrat kündigte denn auch an, die angedrohten Strafzahlungen bei Verstössen gegen den Datenschutz zu erhöhen. Daneben will er die Stellung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) stärken und ihn mit mehr Kompetenzen ausstatten. Datenschutzkonformität ist keine unüberwindbare Hürde Bei allen Firmen werden Personendaten bearbeitet, allein schon im Rahmen der Personaladministration. Zwar ist die Datenschutzgesetzgebung für die Kommunikations- und Internetbranche wie auch für Finanzdienstleister von höherer Relevanz, aber das DSG findet gleichwohl für alle Unternehmen Anwendung. Datenschutzkonformität ist dabei keine unüberwindbare Hürde, sondern kann mit einer sorgfältigen Bestandsaufnahme der eigenen Datenbearbeitung und bei Beachtung der datenschutzrechtlichen Grundsätze effektiv und effizient erreicht werden. Gute Hilfestellungen und Informationen finden sich auf der Homepage des EDÖB. Zunächst sollte eine Bestandsaufnahme aller bestehenden Datensammlungen im Unternehmen erfolgen. Die so ermittelten Datenbestände und -bearbeitungen sind datenschutzrechtlich zu analysieren, und es ist zu klären, ob dem EDÖB Meldung gemacht werden muss. Der Datenschutzverantwortliche muss in alle datenschutzrechtlich relevanten Geschäftsentscheidungen einbezogen werden. Im Rahmen dieser Beurteilung ist auch zu berücksichtigen, ob Daten an Dritte (dazu gehören auch andere Gesellschaften des Konzerns) weitergegeben oder in andere Länder transferiert werden. Bevor Personendaten ins Ausland übermittelt werden, ist der Inhaber der Datensammlung verpflichtet, sich über die Angemessenheit des Datenschutzniveaus im Empfängerland zu vergewissern. Falls der EDÖB eine entsprechende Beurteilung bereits vorgenommen hat, kann man sich auf dessen Prüfung stützen. Der EDÖB hat eine Liste mit Staaten veröffentlicht, die seiner Ansicht nach über einen angemessenen Datenschutz verfügen. Fehlt es dem Zielland an einem ausreichenden Niveau, ist eine Übermittlung nur zulässig, wenn vertragliche Garantien einen angemessenen Schutz gewährleisten oder wenn die Einwilligungen der betroffenen Personen vorliegen. Über die vertraglichen Garantien ist der EDÖB zu informieren. Danach gilt es, die langfristige Entwicklung im Auge zu behalten und einen effektiven Datenschutz sicherzustellen. Dabei empfiehlt es sich, eine Person mit der Sicherstellung der Einhaltung des Datenschutzes zu betrauen oder bei grösseren Firmen einen unternehmensinternen oder -externen Datenschutzverantwortlichen zu benennen. Dieser sollte Zugang zu allen Datensammlungen und -bearbeitungen sowie zu allen Informationen haben und in alle datenschutzrechtlich relevanten Geschäftsentscheidungen einbezogen werden. Nur so kann er seine Aufgaben sachgerecht erfüllen. 20 Disclose Dezember 2013