fokus: Informationssicherheitskultur fokus: Rechtliche Stolpersteine bei «BYOD» report: Datenschutzaufsicht über Spitäler

Transkript

1 12. Jahrgang, Heft 4, Dezember 2012 Schwerpunkt: Faktor Mensch fokus: Informationssicherheitskultur fokus: Rechtliche Stolpersteine bei «BYOD» report: Datenschutzaufsicht über Spitäler Herausgegeben von Bruno Baeriswyl Beat Rudin Bernhard M. Hämmerli Rainer J. Schweizer Günter Karjoth

2 inhalt fokus Schwerpunkt: Faktor Mensch auftakt Mitmachgesellschaft oder Partizipation? von Otfried Jarren Seite 145 Den Faktor Mensch miteinbeziehen von Bernhard M. Hämmerli Seite 148 Informationssicherheitskultur von Thomas Schlienger Seite 150 Loyalität im «Nomad Age» von Marcus Beyer Seite 154 Rechtliche Stolpersteine bei «BYOD» von Mark A. Reutter / Samuel Klaus Seite 160 Vom Büro zur neuen Arbeitswelt von Monika Josi Seite 166 Der Heilige Gral der Informationssicherheit von Matthew Smith / Marian Harbach / Sascha Fahl Seite 170 Nur befähigte, verantwortungsbewusste und loyale Mitarbeitende sind in der Lage, sich sicher zu verhalten. Mit einem gezielten Prozess kann erfolgreich eine geeignete Informationssicherheitskultur aufgebaut werden, die das ermöglicht. Wie kann eine solche Informationssicherheitskultur gemessen, geplant und gesteuert werden? Bei den Mitarbeitenden ein «Grundrauschen» zum Thema Informationssicherheit zu erreichen, ist keine grosse Herausforderung mehr. Doch welche Rolle kommt dabei den Führungskräften zu? Loyalität wird zum Motor für eine aktive und gelebte Sicherheitskultur. «Bring Your Own Device» wirft verschiedene arbeits- und datenschutzrechtliche Fragen auf. Arbeitgeber, welche die Nutzung privater Geräte wie Laptops oder Smartphones zulassen, sollten vorgängig diese Fragen klar regeln. Informationssicherheitskultur Loyalität im «Nomad Age» Rechtliche Stolpersteine bei «BYOD» IT-Sicherheits- und Privatsphäremechanismen sind nur effektiv, wenn sie vom Menschen verstanden und korrekt angewendet werden. Der Mensch muss deshalb als integraler Teil eines soziotechnischen Systems begriffen und in die Entwicklung von anwenderfreundlichen Sicherheitsmechanismen einbezogen werden. Usable Security impressum digma: Zeitschrift für Datenrecht und Informationssicherheit, ISSN: , Website: Herausgeber: Dr. iur. Bruno Baeriswyl, Dr. iur. Beat Rudin, Prof. Dr. Bernhard M. Hämmerli, Prof. Dr. iur. Rainer J. Schweizer, Dr. Günter Karjoth Redaktion: Dr. iur. Bruno Baeriswyl und Dr. iur. Beat Rudin Rubrikenredaktorin: Dr. iur. Sandra Husi-Stämpfli Zustelladresse: Redaktion digma, c/o Stiftung für Datenschutz und Informationssicherheit, Postfach 205, CH-4010 Basel Tel. +41 (0) , redaktion@digma.info Erscheinungsplan: jeweils im März, Juni, September und Dezember Abonnementspreise: Jahresabo Schweiz: CHF , Jahresabo Ausland: Euro (inkl. Versandspesen), Einzelheft: CHF Anzeigenmarketing: Publicitas Publimag AG, Mürtschenstrasse 39, Postfach, CH-8010 Zürich Tel. +41 (0) , Fax +41 (0) , service.zh@publimag.ch Herstellung: Schulthess Juristische Medien AG, Arbenzstrasse 20, Postfach, CH-8034 Zürich Verlag und Abonnementsverwaltung: Schulthess Juristische Medien AG, Zwingliplatz 2, Postfach, CH-8022 Zürich Tel. +41 (0) , Fax +41 (0) , zs.verlag@schulthess.com 146 digma

3 Seit Januar 2012 erfüllen Spitäler im Bereich der Grundversicherung öffentliche Versorgungsaufgaben im Auftrag der Kantone. Auch die Privatspitäler, die im Rahmen kantonaler Leistungsaufträge tätig sind, unterstehen deshalb dem kantonalen Datenschutzrecht und folglich der Aufsicht durch die kantonalen Datenschutzbeauftragten. Datenschutzaufsicht über Spitäler Erkennung neuer Schadprogramme Computersysteme sehen sich immer neuen Cyber-Bedrohungen ausgesetzt. Bevor Computersysteme jedoch effizient vor solchen Bedrohungen geschützt werden können, müssen diese zunächst erkannt und analysiert werden. Um dies zu erreichen, leisten sogenannte Honeypots einen wertvollen Beitrag. report Neue Spitalfinanzierung Datenschutzaufsicht über Spitäler von Bernhard Rütsche Seite 176 agenda Seite 181 Forschung Erkennung neuer Schadprogramme von Jan Gassen / Elmar Gerhards-Padilla Seite 182 transfer Cloud Computing: Chancen und Risiken von Roland Portmann Seite 186 Aus den Datenschutzbehörden Sicherheitslücke Wer ist neu zur Datenschutzbeauftragten gewählt worden? Welche Themen haben Datenschutzbehörden im letzten Quartal bearbeitet? Die neue Unterrubrik berichtet über Personelles und Aktuelles aus der Datenschutzszene. Sie suchen die Lösung, um die letzte Sicherheitslücke zu beseitigen? Unser Cartoonist stellt sie vor. forum Privatim Aus den Datenschutzbehörden von Sandra Husi-Stämpfli Seite 188 privatim Resolution verabschiedet am Herbstplenum von privatim Seite 191 schlusstakt Man muss Menschen mögen von Beat Rudin Seite 192 cartoon von Reto Fontana digma

4 fokus Informationssicherheitskultur Der Faktor Mensch: wichtiger Sicherheitspartner in einer zunehmend mobilen Welt Thomas Schlienger, Dr., TreeSolution Consulting GmbH, Hünenberg Nur mit einer umfassenden Betrachtung der menschlichen Aspekte kann heutzutage Information effektiv und effizient gesichert werden. Der sichere Umgang mit Informationen und Datenträgern wird immer wichtiger. Die explosionsartige Verbreitung mobiler Geräte sowie das stetig zunehmende mobile Arbeiten und Arbeiten im Home Office führen dazu, dass Unternehmensdaten nicht mehr länger durch die Unternehmensgrenzen geschützt sind, sondern ebenfalls mobil werden. Dieser Nomadismus stellt erhöhte Anforderungen an technische und organisatorische Sicherheitsmassnahmen, aber auch an die Benutzerinnen und Benutzer, die mit den Daten und Geräten sorgfältig umgehen müssen. Aktuelle Studien listen u.a. auch daher das Mitarbeiterrisiko unter den Top-Risiken der Informationssicherheit auf 1. Sie belegen aber auch, dass das Verhalten der Mitarbeitenden ein wichtiges Element für den Schutz der Unternehmensinformationen ist. Die sogenannten «Security Leaders» legen dabei einen stärkeren Fokus auf die Mitarbeitenden als die übrigen Unternehmen 2. Sicheres Benutzerverhalten wird dabei als effektive Massnahme gegen Sicherheitsvorfälle aufgeführt. Soll die Informationssicherheit umfassend gewährleistet werden, muss also der Mensch als Benutzer der Informations- und Kommunikationstechnologie stärker berücksichtigt werden. Diese Regel gilt schon lange, im Zeitalter der mobilen Geräte, von BYOD (bring your own device), Cloud Computing und des mobilen Arbeitens kann man sich aber dagegen nicht mehr verschliessen. Nur mit einer umfassenden Betrachtung der technischen, organisatorischen und menschlichen Aspekte kann heutzutage Information effektiv und effizient gesichert werden. Hierfür ist eine tief gehende Beschäftigung mit den sozialen, kulturellen und ethischen Aspekten notwendig, die im Weiteren unter dem Konzept der Informationssicherheitskultur zusammengefasst werden. Motivation und Definition Die Kombination von Technologie, menschlicher Sensibilisierung und Qualifikation hat das Potenzial, das Sicherheitsniveau einer Organisation stark zu erhöhen. Unter anderem deswegen wird seit Ende der 1990er-Jahre die sogenannte Institutionalisierung der Informationssicherheit vorangetrieben 3. Diese berücksichtigt auch soziokulturelle Aspekte der Informationssicherheit, die sogenannte Sicherheitskultur. Die Informationssicherheitskultur ist ein Bestandteil der Unternehmenskultur und bestimmt die Wahrnehmung, das Denken, Fühlen und Handeln in Bezug auf Informationssicherheit. Sie gehört damit zu den informellen Strukturen einer Organisation und wird hauptsächlich durch das Management der Organisation beeinflusst und im besten Fall sogar entwickelt. Der Kern einer jeden Unternehmenskultur sind grundlegende Annahmen über die Natur der Menschen, ihr Verhalten und ihre Beziehungen. Diese Annahmen manifestieren sich in den kollektiven Normen, Werten und Wissensbeständen einer Organisation, welche dann letztlich in Form von Artefakten und Kreation wie Handbücher, Anekdoten, Vorgehensweisen und Verhalten ausgedrückt werden und dabei einen Einfluss auf den Unternehmenserfolg haben. Die Unternehmenskultur ist ein wachsendes und sich ständig änderndes kollektives Phänomen, welches verschiedene organisatorische und inhaltliche Subkulturen hat. Eine davon ist die Sicherheitskultur; sie unterstützt die täglichen Aktivitäten auf eine Art und Weise, dass Informationssicherheit ein natürlicher Aspekt in den täglichen Aktivitäten eines jeden Organisationsmitgliedes wird. Zudem hilft eine geeignete Sicherheitskultur, das nötige Vertrauen zwischen den verschiedenen Partnern innerhalb einer Organisation aufzubauen, und zielt 150 digma

5 somit auf das «Mein Benutzer ist mein grösster Feind»-Syndrom ab. Zusammenfassend beinhaltet das Konzept der Informationssicherheitskultur folgende charakteristische Eigenschaften: n Die Informationssicherheitskultur beeinflusst den Umgang der Mitarbeitenden mit Informationssicherheit und damit letztlich den Erfolg der Informationssicherheit einer Organisation. n Sie betrifft nicht losgelöst von anderen Bereichen nur den Menschen, sondern findet ihren Ausdruck auch im Bereich der Technik und der Organisation. n Charakteristische Merkmale einer positiven Informationssicherheitskultur sind auf gegenseitigem Vertrauen beruhende Kommunikation, gemeinsames Verständnis der Wichtigkeit von Informationssicherheitsfragen und Vertrauen in die umgesetzten Informationssicherheitsmassnahmen. Aktueller Stand Die grundsätzliche Notwendigkeit soziokultureller Massnahmen in der Informationssicherheit wird heute in der Forschung und Praxis nicht mehr bestritten. Der positive Effekt einer Informationssicherheitskultur auf die Informationssicherheit wird auch von den Sicherheitsverantwortlichen nicht bestritten. Jedoch kommen 50% der Befragten der CSI- Studie 4 zum Schluss, dass in ihren Unternehmen zu wenig dafür getan wird. Auf die Frage, welche Faktoren trotz dieser Erkenntnis für die geringe ganzheitliche Förderung der Informationssicherheitskultur verantwortlich sind, werden meist folgende Hauptgründe genannt: das Budget und die Beweisbarkeit des Nutzens. Beide Punkte sind für die Informationssicherheit symptomatisch. Da der monetäre Nutzen der Informationssicherheit im Allgemeinen nicht leicht zu beweisen ist, werden häufig nicht genügend Finanzen zur Verfügung gestellt, wie eigentlich nötig wären. Zur Bewilligung von Neuinvestitionen ist es deshalb notwendig, den Mehrwert so klar als nur möglich aufzeigen zu können. Wie wir aus unseren Projekten wissen, kann die Informationssicherheitskultur bei knappen Budgets dazu beitragen, dass bestehende Sicherheitsmassnahmen besser genutzt werden und effektiv und effizient in den Arbeitsalltag integriert werden können. Doch auch Investitionen in Informationssicherheitskultur müssen sich rechnen. Den grössten Anteil der bis jetzt verwendeten Mess-Methoden haben 5 : n Resultate von (internen oder externen) Audits basierend auf Standards (ISO 27002, BSI- Grundschutz, Cobit usw.); n Vorfallstatistiken (Hotline-Anrufe, verlorene IT-Geräte, Malware usw.); n Auswertungen über das Lernverhalten (Anzahl Mitarbeitende, die einen Sensibilisierungskurs abgeschlossen haben; Resultate der Lernkontrolltests nach Schulungen usw.). Die grundsätzliche Notwendigkeit soziokultureller Massnahmen in der Informationssicherheit wird heute in der Forschung und der Praxis nicht mehr bestritten. Diese Verfahren haben jedoch entweder einen stark eingeschränkten oder zu technischen Fokus und sind daher für die ganzheitliche Analyse der Informationssicherheitskultur ungenügend geeignet. Management der Sicherheitskultur Informationssicherheitskultur ist kein einmaliges Projekt, sondern muss ständig analy- Verbessern Evaluation Kurz&bündig Kommunizieren Lernen Überwachung 4. Act 3. Check Abbildung 1: Prozess zum Management der Informationssicherheitskultur Messung 1. Plan 2. Do SOLL-Kultur Betrieb Massnahmenplanung Umsetzung Unternehmensdaten sind nicht mehr länger durch die Unternehmensgrenzen geschützt, sondern sind mobil geworden. Der sichere Umgang mit Informationen und Datenträgern wird daher immer wichtiger. Nur befähigte, verantwortungsbewusste und loyale Mitarbeitende sind in der Lage, sich sicher zu verhalten. Mit einem gezielten Prozess kann erfolgreich eine geeignete Informationssicherheitskultur aufgebaut werden, die das ermöglicht. Charakteristische Merkmale einer positiven Informationssicherheitskultur sind auf gegenseitigem Vertrauen beruhende Kommunikation, gemeinsames Verständnis der Wichtigkeit von Informationssicherheitsfrage und Vertrauen in die umgesetzten Informationssicherheitsmassnahmen. Wir zeigen auf, was genau eine solche Informationssicherheitskultur ist, wie sie gemessen, geplant und gesteuert werden kann. digma

6 fokus Literatur Kommunikation Vorbildfunktion Problemmanagement Einstellung Firmenstruktur Motivation Abbildung 2: Sicherheitskulturradar siert, gefördert und an neue Gegebenheiten und Risiken angepasst werden. Man kann daher diese Aufgabe als einen Zyklus, wie er in Abbildung 1 dargestellt ist, betrachten. Das Modell orientiert sich am Information Security Management System (ISMS) des ISO/IEC Standards. Informationssicherheitskultur ist kein einmaliges Projekt, sondern muss ständig analysiert, gefördert und an neue Gegebenheiten und Risiken angepasst werden. Planung Nach der Messung kommt die Planung der Massnahmen, welche die Informationssicherheitskultur verbessern sollen. Zuerst muss entschieden werden, wie die Soll-Informationssicherheitskultur aussehen soll, und davon abgeleitet, welche Aspekte der Ist-Informationssicherheitskultur belassen, verbessert oder umfassend verändert werden müssen (Gap-Analyse). Je nach Entwicklungsstufe der Informationssicherheitskultur genügen Anpassungen oder aber die Kultur muss radikal verändert werden. Ein Benchmarking mit dem Klassenbesten kann den Handlungsbedarf auch losgelöst eigener Vorgaben aufzeigen. Danach werden die Zielgruppen definiert und entsprechende Instrumente und Massnahmen ausgesucht und priorisiert. Folgende fünf grundlegende Massnahmenkategorien wurden in unseren Projekten identifiziert 7 : n Aufbau eines Dokumentensystems, n Einbezug des Managements, n Sensibilisierung, n Schulung und Ausbildung, n Verpflichtung und Überwachung. Abhängig von der gewählten Strategie zur Entwicklung oder zum Wandel der Informationssicherheitskultur eignet sich die eine oder andere Massnahme besser bzw. werden die Massnahmen unterschiedlich ausgestaltet. Während beispielsweise die Verpflichtung und Überwachung eher einen aggressiven Charakter haben, gehört die Ausbildung eher zur pädagogischen Strategie. Wichtiger als die strategieabhängige Wahl der Massnahmen erscheint jedoch deren Ausn CSI (2011): 2010/2011 CSI Computer Crime and Security Survey. New York: CSI (Computer Security Institute). n Deloitte (2011): Raising the Bar: 2011 TMT Global Security Study Key Findings. Deloitte Global Services Limited. n ENISA (2007): Information security awareness initiatives: Current practice and the measurement of success. Heraklion: European Network and Security Agency. n PwC (2011): Eye of the storm: Key findings from the 2012 Global State of Information Security Survey. PricewaterhouseCoopers. n Schein Edgar H. (1985): Organizational Culture and Leadership: A Dynamic View. San Francisco: Jossey-Bass. n Schlienger Thomas (2006): Informationssicherheitskultur in Theorie und Praxis: Analyse und Förderung sozio-kultureller Faktoren der Informationssicherheit in Organisationen. Fribourg: iimt University Press. n von Solms Basie (2000): Information Security The Third Wave. Computers & Security, 19(7), Firmenkultur Wahrnehmung Personalmanagement Arbeits- und Technologiegestaltung Wissen und Sensibilisierung Wertesystem Assessment Am Anfang eines gezielten Informationssicherheitskultur-Managements steht das Assessment bzw. die Messung der Ausgangslage durch Aufzeigen der aktuellen Stärken und Schwächen. Für das Assessment der Informationssicherheitskultur werden idealerweise verschiedene Methoden der Soziologie und der Unternehmenskulturforschung verwendet, wie Mitarbeiterumfragen, Dokumentenanalysen, Interviews und Beobachtungen. Sie liefern alle nachweislich bessere Resultate 6 als die weiter oben beschriebenen gebräuchlichen Methoden, erfordern jedoch auch Spezialwissen, welches nicht immer vorhanden ist. Am einfachsten zu instrumentalisieren und zu vermitteln ist der Fragebogen. Der Aufwand zur Ausarbeitung eines validen und reliablen Fragebogens für die Messung der Sicherheitskultur darf dennoch nicht unterschätzt werden. Ein standardisierter Fragebogen weist dann aber erhebliche Vorteile gegenüber anderen Verfahren auf, da er quantitative statistische Auswertungen (vgl. das Beispiel in Abbildung 2) und Vergleiche mit anderen oder der eigenen Organisation erlaubt. Interviews, Beobachtungen oder bereits vorhandene Statistiken können punktuell ergänzende und verifizierende Information liefern. 152 digma

7 gestaltung. Denn jedes Instrument kann entsprechend der Strategie unterschiedlich ausgestaltet werden und vermittelt so einen anderen Führungsstil und dadurch eine andere Kultur. Durchführung In der Durchführungsphase werden die geplanten Massnahmen in Projekten umgesetzt. Wichtig ist dabei vor allem eine durchgehende Unterstützung durch das Management und das Hinzuziehen von Fachspezialisten wie beispielsweise von Kommunikationsexperten aus der eigenen Kommunikationsabteilung. Wiederkehrende Massnahmen, wie etwa die Einführung neuer Mitarbeitender, werden in den operationellen Betrieb überführt. Evaluation In der Kontrolle wird die Durchführung der einzelnen Massnahmen überwacht und die erreichten Ziele durch Vergleichen des Zustandes vor und nach dem Informationssicherheitskultur-Programm evaluiert (s. Abbildung 3). Die Evaluation soll die Frage beantworten, ob das Sicherheitskulturprogramm das ihm gesetzte Ziel, nämlich die Informationssicherheitskultur positiv in die geplante Richtung zu verändern, erreicht hat oder nicht. Sie gibt also Auskunft über die Effektivität der Massnahmen und deren Umsetzung. Verbesserung Die letzte Phase, die Verbesserung, dient dazu, aus den gemachten Erfahrungen zu lernen, kurzfristig korrektive Massnahmen zu ergreifen und die eingesetzten Methoden und Instrumente zu verbessern. Ebenso sollten die erreichten Ziele und die Erfahrungen kommuniziert werden. Die Erkenntnisse aus dieser Phase fliessen dann in den nächsten Zyklus ein. Das Managementmodell stellt also an sich einen Lernprozess dar, der eine ständige und kontinuierliche Verbesserung der Informationssicherheitskultur ermöglicht. Fazit Die Mitarbeitenden sollten zu Partnern in Fragen der Informationssicherheit werden und nicht nur als Sicherheitsrisiko betrachtet werden. Um das zu erreichen, müssen die Mitarbeitenden befähigt werden, Sicherheitsrisiken zu identifizieren und sich somit sicher zu verhalten. Informationssicherheit sollte zum Bestandteil unseres täglichen Lebens werden, sie sollte so natürlich wie Verkehrs- oder Gebäudesicherheit werden. Um dieses Ziel zu erreichen, braucht es eine Informationssicherheitskultur, welche auch die soziokulturellen Aspekte abdeckt. Kommunikation Vorbildfunktion Problemmanagement Einstellung Die Mitarbeitenden sollten zu Partnern in Fragen der Informationssicherheit werden und nicht nur als Sicherheitsrisiko betrachtet werden. Dies ist insofern wichtig, als die aktuelle Entwicklung unweigerlich dazu führt, dass den einzelnen Mitarbeitenden mehr Verantwortung übergeben werden muss. Nur befähigte, verantwortungsbewusste und loyale Mitar beitende sind in der Lage, die Unternehmensdaten sicher zu verwalten. Mit einem gezielten Prozess kann erfolgreich eine geeignete Informationssicherheitskultur aufgebaut werden, die das ermöglicht. n Fussnoten Firmenstruktur Motivation 1 CSI, 2011; Deloitte, PwC, von Solms, CSI, ENISA, 2007; CSI, Schlienger, Schlienger, Firmenkultur Abbildung 3: Vergleich Vorher Nachher Wahrnehmung Personalmanagement 8 0 Arbeits- und Technologiegestaltung Wissen und Sensibilisierung Wertesystem digma

8 digma Zeitschrift für Datenrecht und Informationssicherheit erscheint vierteljährlich Meine Bestellung 1 Jahresabonnement digma (4 Hefte des laufenden Jahrgangs) à CHF bzw. bei Zustellung ins Ausland EUR (inkl. Versandkosten) Name Vorname Firma Strasse PLZ Ort Land Datum Unterschrift Bitte senden Sie Ihre Bestellung an: Schulthess Juristische Medien AG, Zwingliplatz 2, CH-8022 Zürich Telefon Telefax zs.verlag@schulthess.com Homepage: