DSGVO/GDPR Penetration Testing

Neu: Datenschutz Pentesting und Social Engineering!

Ab September 2017 können Sie bei uns Ihre DSGVO/GDPR Bereitschaft testen lassen! Analog von Ethical Hackern testen wir Ihre Reaktionsmuster, Organisation und Infrastruktur auf ihre Konformität mit den ab Mai 2018 geltenden DSGVO/GDPR Regeln.

Haben Sie sich schon einmal gefragt, ob ihre Organisation wirklich in der Lage wäre, die Anforderungen der neuen Datenschutz Grundverordnungen (DSGVO) zu bewältigen?
Derzeit wird viel Energie in die Prävention und vor allem  in die vertragliche Absicherung gesteckt. Alle diese Massnahmen sind notwendig, doch schiessen sie oftmals auch über das Ziel hinaus oder sind ineffizient – vor allem: Niemand weiss, wie gut die Datenschutz-Massnahmen wirklich sind! Insbesondere wird vergessen, dass das Kontrollsystem ein Ganzes bildet, welches in seiner Konzeption von Prävention, Überwachung und Wiederherstellung in sich geschlossen und integer sein muss.
Seit vielen Jahren liefert das Ethik Hacking, d.h. das Hacken im Auftrag durch Sicherheitsspezialisten, wichtige Rückschlüsse für die Aufdeckung von Sicherheitslücken. Solche Angriffe im Auftrag des Betroffenen erlauben wesentliche Aufschlüsse darüber, ob er seine Vorbereitungsarbeiten richtig ausgeführt hat. Gleichzeitig wird auch die Reaktion überprüft und die Ergebnisse zeigen schonungslos auf,  wo die Organisation wirklich steht.
Genau dasselbe unternehmen wir, wenn wir Ihre Organisation auf ihre DSGVO-Reife überprüfen. Wir simulieren dabei verschiedene Angriffsmustern, die wir entweder mit Ihnen absprechen, oder diese autonom ausführen. Der Umfang dieser Aktivitäten wird mit Ihnen im Vorfeld abgesprochen und es werden Zeit, Dauer und Intensität der Überprüfung vereinbart. Ebenso werden die Rahmenbedingungen geregelt: Soll auf die rein administrativen und organisatorischen Abläufe geprüft werden? Sollen auch technische Systeme oder der Abruf von Daten geprüft werden? Tritt man als möglicher Vertragspartner auf und lässt sich den Verkauf von Personendaten anbieten? Wie geht die Organisation mit Auftragsdatenverarbeitung um? Findet die Organisation die verlangten Personendaten innerhalb der geforderten Frist? Wie gut ist Ihre Information Governance?
Wir entwickeln vor dem Einsatz verschiedene Szenarien und spielen diese dann mit Ihnen durch.
Sind Sie interessiert? Dann verlangen Sie einen unverbindlichen Informationstermin.

30 Jahre im Kampf für Cyber Security – Gedanken eines Pioniers

Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zurück. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verlässlichkeit fort. Während das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um „Datensicherheit“ eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, später aber zunehmend auch auf Netzwerke.

Parallel entwickelte sich die Kryptologie von einer rein militärisch geprägten Fachrichtung zu einer Wissenschaft, die Hoffnung und Lösungen für die zukünftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsansätze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: „From Obscurity to Security“, also der Verwendung von publizierten Algorithmen und deren Anwendung für die Sicherung von „Transaktionen“ (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet nämlich u.a., dass die Verschlüsselungsverfahren für die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP liefert den Beweis dazu.

In dieser Zeit konzipierten wir bei r3 security engineering bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen für die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der  die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End hätte anbieten können. Also ein System, welches die sicherer Authentifizierung und Verschlüsselung, unabhängig von der E-Banking-Lösung, realisiert hätte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute für jedes Online-Banking eine eigene Sicherheitslösung (sic!).

Ein grosser Dank gilt Bruce Schneier, er hatte erstmals ein Kryptobuch publiziert, welches auch für den Nichtmathematiker lesbar und verständlich war (was natürlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschlüsselungsverfahren schneller ausbreiteten.

1999 wurde das Thema Informationssicherheit erstmals auch für die Chefetage zum Thema: „Mein Sohn hat übers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr“. So oder ähnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase fällt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen für die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.

Die Nullerjahre waren geprägt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Behörden 1997 mit der Strategie gescheitert waren, Verschlüsselungsverfahren zu schwächen (die berühmte 56bit Netscape-Verschlüsselungs-Diskussion), begannen sie, subtiler zu agieren.  Sie habe sich über Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man möge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches für Transparenz nicht wirklich empfänglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivitäten (Echelon) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr für Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).

Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsführung kam). De facto treten wir hier seit Langem an Ort. Ist das für die Praxis von Bedeutung? Nicht wirklich, denn die Grundübel oder politisch korrekter ausgedrückt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erhöht. Mit dem Einsatz von Windows als flächendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch hätte in den achtzigern Jahren darauf gewettet, dass dies eine  Konkurrenz für „ernsthafte“ Betriebssysteme sein würde. Oder anders formuliert: Die Sicherheit der Welt hängt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) für die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch für die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universitären Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften hängen, hätten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise Lücken, die nachträglich gefüllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger wäre es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies hätte es ermöglicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.  Damit hätte man auf einen Schlag  haufenweise Probleme verhindert, z.B. Fake news,  copyright infringements etc.

Kurz und gut, alles was wir in der Cyber Security tun ist „aufgesetzt“. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt serienmässig eingebaut hatten. Vorher war das System „Auto“ brandgefährlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingeführt wurde. Dummerweise hat ein Unfall im Internet wesentlich grössere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.

Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren rückläufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger verfassten Artikel „Biggest misconceptions in information security„):

  1. Die Basisinfrastruktur (HW, SW, Netzwerke) ist nicht geeignet, um sicher zu sein.
  2. Jahrelange wurde versucht, 1. zu negieren. Die Industrie suggeriert, man könne Sicherheit „einbauen“.
  3. Schäden wurden und werden nicht transparent gemacht, die Quantifizierung von erlittenen Schäden ist bis heute nicht etabliert. Die Hemmschwelle, Erfahrungen auszutauschen, hat sich eher erhöht.
  4. Organisationen banalisieren das Problem oder blocken ab, wenn unpopuläre Massnahmen getroffen werden müssten..
  5. Sicherheitssoftware ist teilweise katastrophal kompliziert (versuchen Sie mal, auf Ihrem PC ein Zertifikat zu installieren und damit eine Mali zu verschlüsseln). Zum Vergleich: Das Anlegen des Sicherheitsgurts war zwar am Anfang mit Überzeugungsarbeit verbunden, der Akt selbst war aber einfach.
  6. Die Organe (VR, GL) haben sich jahrzehntelang erfolgreich gewehrt, sich mit diesem „technischen Kram“ herumzuschlagen.
  7. Die Technik kann die Probleme alleine nicht lösen. Trotzdem verspricht sie alles. Die Industrie kreiert immer wieder falsche Versprechung. Der grösste Schabernack der letzten Jahre: „Data Leakage Prevention“, implizierend, man könne das Abfliessen von Information verhindern.  Noch schlimmer ist „Firewall“ = nichts Böses kann da durchdringen, dies ist eine der schlimmsten Wortschöpfungen des Internetzeitalters. Prävention wurde immer in den Vordergrund geschoben, obwohl seit Anfang des Internets klar ist, dass dem Monitoring die mindestens gleich hohe Bedeutung zukommt.
  8. Der Einfluss der nationalen Interessen („Cyberwar“) wurde negiert oder verharmlost. Das wahre Bild zeigt sich jetzt mit den Angriffen auf die Meinungsbildung in den USA, Frankreich und später wohl auch in Deutschland.
  9. Die Rechtsdurchsetzung ist nicht möglich: Die beherrschenden Grossanbieter sowie verschiedenen Nationalstaaten foutieren sich de facto darum, dass es so etwas wie nationales Gesetz gibt. Nur was die grossen Anbieter akzeptieren, kann durchgesetzt werden. Damit wurde ein Recht geschaffen welches nicht auf  demokratischen Prinzipien basiert.
  10. Die Politik hat das Thema mangels Fachwissen und mangelndem Lobbyismus völlig ignoriert.

Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen/Prognosen:

  1. Die erfolgreichen Angriffe werden weiter zunehmen.
  2. Die Internetprotokolle werden kurzfristig nicht abgelöst werden können, weil keine Einigung erzielbar ist.
  3. Der Druck auf die Politik wächst, die allerdings nichts tun kann. Sie wird panisch reagieren und wirkungslose Massnahmen erlassen oder versuchen, das Problem mit Geld zuzudecken.
  4. Die Netzneutralität stirbt, mit ihr die neutrale Internet Governance.
  5. Der Datenschutz wird im Interesse der „Prävention“ weiter ausgehebelt. Die schwachen Versuche der Industrie, sich von den Landesinteressen zu lösen, werden endgültig scheitern.
  6. Als Folge der beschriebenen Entwicklung wird das Internet „balkanisiert“ werden: Auftrennung von kommerziellem vs. staatlichem vs. „verseuchtem“ Internet (mache weitere, einleuchtende Beispiele…).
  7. Die Staaten erlassen zur Beruhigung der Bevölkerung eigene Cybergesetze, die aber nicht durchsetzbar sind.
  8. Schlaue Köpfe werden sichere Parallelsysteme aufbauen. Die Nutzung des Darknets steigt, es bilden sich Parallelstrukturen (vergleichbar mit Pay TV).
  9. Der Anwender steht dieser Entwicklung hilflos gegenüber. Viele werden sich wieder vom Netz entkoppeln.
  10. Die grossen Anbieter übernehmen die umfassende Kontrolle über unsere Daten und auch gleich deren Schutz.

Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken möglichst in den Begriff zu bekommen:

  1. Sensibilisierung: Schaffen Sie persönliche Betroffenheit (leider wird Ihnen das jetzt schon fast durch die aktuelle Entwicklung abgenommen); Kommunikation und Schulung hören nie auf. Setzen Sie Password-Policies durch und sanktionieren Sie knallhart, wenn diese nicht beachtet werden. Letzteres gilt für alle früheren Gentleman-Delikte im Umgang mit Cybersecurity.
  2. Es wird passieren! Deshalb muss Cybersecurity muss auf die Risk-Management Agenda. Ein regelmässige Security-Status (KPI) gehört in die GL/VR Agenda.
  3. Es braucht einen Kümmerer auf GL Ebene. Dieser muss sowohl operativ wie auch strategisch wirken können.
  4. Monitoring ist das A und O, dazu gehört auch ein ausgetestetes Krisen-Management sowie getestete Disaster-Recovery Konzepte. Sind Sie nicht in der Lage, diese Aufgabe selbst zu übernehmen beauftragen Sie Profis mit klaren SLA’s
  5. Information Governance: Das Wissen um die Daten und deren Speicherorte ist der Schlüssel für alle Sicherheitsmassnahmen. Planen Sie neue Anwendungen (Coud) oder Datenhaltungen und überlegen Sie, welche Auswirkungen diese auf die Sicherheit haben.
  6. Tauschen Sie Erfahrungen mit „Peers“ aus. Machen Sie Druck auf Anbieter, welche die notwendigen Sicherheitsmassnahmen nicht umsetzen wollen.
  7. Etablieren Sie Business Continuity Konzepte, welche den Worst Case beinhalten (Nichtverfügbarkeit von Systemen und Netzwerken). Koppeln Sie Kernsystem konsequent vom Netz ab.
  8. Führen Sie umfassende Authentifizierungs- und Verschlüsselungsverfahren ein. Führen Sie Verfahren zum Schlüsselmanagement ein und überwachen Sie diese konsequent. Machen Sie Druck auf die Anbieter, brauchbare Software zu liefern.
  9. Üben Sie Druck auf die Anbieter/Hersteller aus und verlangen Sie nach geprüften Systemen und lassen sich dies vertraglich bestätigen. Verlangen Sie ebenfalls regelmässige Informationen zur Sicherheit der Produkte (z.B. Ergebnisse von Pentests).
  10. Die Zertifizierung von Software führt dazu, dass das darunter liegende OS nicht  geändert werden darf. Diese Praxis ist unhaltbar. Zertifizierer müssen ihre Verantwortung wahrnehmen,  d.h. entweder schwache Betriebssysteme grundsätzlich verbieten oder Schwachstellen darin akzeptieren. Akzeptieren Sie als Anwender keine Systeme, die nicht an die  aktuellen Sicherheitsbedrohungen adaptierbar sind.

Schlussfolgerung: Was für die Digitalisierung gilt, gilt auch für die Cybersecurity. Man hätte vieles schon lange machen können, hat es aber aus verschiedensten Gründen nicht gemacht, Bequemlichkeit ist nur einer davon. Während der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die Hände gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.

 

Sicherheit überprüfen – JETZT!

Die jüngsten Ereignisse mit Cryptolockern und Ransomware habe bewiesen: Es kann jeden treffen. Das ist keine Angstmache sondern schlichte Tatsache. Wir müssen damit leben, dass das Internet und die verwendete Hard- und Software maximal fehlerbehaftet ist. Durch die fehlerhafte Konzeption des Internets werden solche Ereignisse immer wieder vorkommen.

Als Anwender kann man sich vor solchen Angriffen nur bedingt schützen. Die Prävention hat in grossem Masse versagt und ist in vielen Fällen nicht mehr ausreichend.  Ein umfassendes Sicherheitsdispositiv verlangt nach einer ausgewogenen Balance von:

  • Prävention
  • Detektion / Erkennung
  • Korrektur

im Sicherheitsdispositiv.

Wollen Sie wissen, ob Ihre Sicherheitsvorkehrungen ausreichend sind?  Ich führe Überprüfungen / Audits Ihrer Verfahren und Technologien durch und prüfe deren Wirksamkeit.

 

Datenwirtschaft, Datenpolitik und Datenregulierung in der Schweiz

Am 30. Januar 2017 fand in Bern eine Veranstaltung zu den erwähnten Themen statt, Thematisiert wurden v.a. die Rahmenbedingungen und Überlegungen, Strategien und Handlungsoptionen von Bund, Unternehmen und dem Einzelnen. Organisiert wurde die Veranstaltung von SwissHoldings, einer Interessenorganisation grosser Handels- und Industrieunternehmen, unter der Federführung des ehemaligen KRM Mitgründers Jacques Beglinger. Die Veranstaltung war ausgebucht, das Interesse entsprechend gross.

Agenda:

  • Datenbewirtschaftung als ökonomischer Motor – Herausforderung und Praxis in den Unternehmen
  • Wie die Digitalisierung und die Datennutzung international reguliert werden
  • Ansätze zur Digitalierungs- und Datenregulierung in der Schweiz

Anwesend waren sehr viele Juristen und Vertreter des Bundes sowie von Forschung und Lehre.

Vieles während dieser Veranstaltung „in the cloud“ (den Begriff nebulös wollen wir mal hier bei Seite lassen). Tatsächlich bewegten sich vor allem die Vertreter des Bundes auf einer Flughöhe, die man also normaler Schmalspurpilot wohl nie erreichen wird. Immerhin gibt es vom Bund seit 2016 ein Strategiepapier zum Thema Digitale Schweiz, welches durchaus lesenswert ist.

In einem geopolitischen Umfeld, welches primär durch Abschottung geprägt ist (der Economist hatte vor ca. 3 Jahren den Begriff der „Balkanisierung“ des Internets ins Spiel gebracht), wird es zunehmend schwieriger, eine konsistente Handlungsweise zu etablieren. Konsistent – aber womit, dass ist doch die Kernfrage. Jene, welche die Übernahme des Datenschutzrechts der EU massregelten, mussten zur Kenntnis nehmen, dass selbst das Privacy Shield Abkommen durch Hrn. Trump in Frage gestellt wird. Im übrigen wurde durch den Bund soeben die CH-Version des Privacy Shield verabschiedet.

Soll sich die Schweiz hier einfach den Datenschutz-Vorgaben der EU fügen? Hier hätte man sich eine intensivere Diskussion gewünscht. Ebenso zur Grundsatzfrage, ob Datenschutz überhaupt noch eine Menschenrecht sein soll. Fakt ist, dass sich heute vermutlich 80% aller Benutzer über den Datenschutz keine Gedanken machen. Die Europaratskonvention 108, welche eben dieses Recht stipuliert, ist der wesentliche Treiber, doch blockiert hier z.B. Russland seit 2011 die weitere Entwicklung (also doch eher eine „l‘art pour l‘art“ Diskussion?). Ansonsten war Datenschutz Bashing wie immer beliebt. Das hat vor allem damit zu tun, dass die negativen Auswirkungen auf den Einzelnen noch nicht eingetreten sind, auch das wurde leider nicht thematisiert.

Für den normalen Industrievertreter war es ein schwieriger Abend. Die Themen, die wirklich interessant gewesen wären (z.B. die Frage nach Daten im Konkurs) wurden nicht beantwortet, bzw. offenbar nicht einmal thematisiert. Ausserdem fehlt dem Bund tatsächlich eine rechtliche Landkarte, welche Themen für die Wirtschaft wirklich Handlungsbedarf besteht. Immerhin hat der Bund einen Bericht zu den Rahmenbedingungen der digitalen Wirtschaft publiziert, allerdings handelt es sich dabei bisher eher um einen Auftragskatalog. Darin gibt es einen Auftrag an das SECO, die Rahmenbedingungen der Digitalisierung zu prüfen („Digitalisierungstest“). Dazu lässt man sich bis 2018 Zeit! Würde man die Praktiker fragen, hätte man die Antwort in einer Woche. Auch nicht klar wurde die Haltung gegenüber den Monopolanbietern Uber und Co. Hier könnte man erwarten, dass es seitens des Bundes zumindest Überlegungen gibt, wie man eine Monopolisierung dieser Märkte verhindern könnte.

Fazit: Während sich der Bund in einsame Höhen schraubt, bleibt dem dem normalen Industrievertreter oder dem Praktiker nur das Staunen. Es scheint sich zu bewahrheiten, dass die Beamten in Bern je länger je mehr von der Wirtschaft entkoppelt sind. Es wird wohl langsam Zeit, dass hier wieder ein Umdenken stattfindet. Den Lobbyisten im Parlament sei geraten, das Thema einfach und klar zu kommunizieren und sich wieder auf die Grundlagen zurück zu besinnen. Vor allem ein Blick in die Wirtschaft wäre wünschenswert. Es gibt mittlerweile genügend Spezialisten, die sich tagtäglich mit diesen Themen auseinandersetzen.

PS: Die Geschäftsbücherverordnung wurde Ende der neunziger Jahre durch Industrievertreter, d.h. eine Kommission des Swico erarbeitet. Ein Vorgehen, welches heute schlicht undenkbar wäre.

PPS: Politiker waren fast keine da (ausser dem umtriebigen SR Noser, welcher die Begrüssungsrede hielt), auch dies ist keine neue Erfahrung. An der Politik geht die grösste Entwicklung seit der Erfindung des Flugzeugs vorbei. Milchzuschläge können vermutlich noch immer 100x mehr Politiker aus dem Vorruhestand bewegen als die unmittelbare Zukunft der Schweizer Wirtschaft.

Revision des Schweizerischen Datenschutzgesetzes

Worum geht es?

Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf für das neue Datenschutzgesetz der Schweiz präsentiert. Seit längerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag präsentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europäischen Gemeinschaft, die mit der neuen Datenschutz Grundverordnung (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.

Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot für EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.

Was sind die wichtigsten Inhalte und wo gibt es wesentliche Änderungen?

Die Schweiz übernimmt die wesentlichen Änderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es würde zu weit führen, hier sämtliche Änderungen aufzulisten, hierzu wird noch ausführlich Stellung genommen. Eine Arbeitsgruppe des SWICO wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).

Grundprinzipien

Voraus sei gesagt: Vom Grundsatz der „Informationellen Selbstbestimmung“ wird nicht abgewichen. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsmässige Grundrecht, dass jede Person über ihre Daten selbst entscheiden kann, weitergeführt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit persönlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Persönlichkeit noch einem gesellschaftlichen Bedürfnis entspricht,. Diese Diskussion muss zwingend geführt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europäischen Prinzipien international auf starken Widerstand stossen wird (vgl. die Lobbyarbeit der amerikanischen Anbieter im Rahmen der Verhandlungen im EU-Parlament).

Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verständnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europäischen Regelungen an.

Berücksichtigung neuer Techniken

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen).

Rechte der Betroffenen

Die Rechte der Betroffenen wurden massiv verbessert. Es gibt mehr Arbeit für den eidgenössischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen grösseren Ausbau dieser Behörde zur Folge haben wird. Hier dürften die Rückmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.

Pflichten des Verantwortlichen und des Bearbeiters

Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, Daten zu berichtigen und den Datenschutzbeauftragten zu informieren, wenn Manipulationen oder Verluste von Personendaten zu befürchten sind (Art. 17).

Der Betroffene hat ein jederzeitiges Auskunftsrecht über alle Datenbestände und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdrücklich festgehalten. Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.

Neu festgehalten wird ein explizites Recht auf Löschung, welches auch durch die Erben ausgeübt werden kann („Digitaler Tod“, Art. 12). Auch dieses gilt selbstverständlich über alle angelegten Datenbestände. Nach wie vor gilt natürlich auch das Recht auf die Datenberichtigung. Offensichtlich unrichtige Daten müssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden können. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gelöst werden müssen. Der Verantwortliche muss also Verfahren zur Verfügung stellen, die es den Betroffenen ermöglichen, unrichtige Daten so anzupassen, dass sie mit der äusseren Realität in Einklang stehen. Das ist eine Herausforderung für die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.

Neu werden die Pflichten im Rahmen der Auftragsdatenverarbeitung explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende Pflichten zur Meldung verschiedenster Tatbestände rund um den Datenschutz. Im europäischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Auslöser von vertraglichen und technischen Kontrollsystemen und wird damit auch für die Schweiz wesentlich wichtiger.

Neu aufgenommen und von grosser Bedeutung für die Unternehmen ist die Pflicht zur Dokumentation der Verfahren. Art. 19 fordert explizit eine Dokumentation aller Verfahren. Damit bewegt man sich auf einem ähnlichen Terrain, wie bei der Verfahrensdokumentation im Rahmen der Aufbewahrungspflichten der Geschäftsbücherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.

Risikoanalyse, Prüfung und Zertifizierung

Neu verlangt das Gesetz nach einer Vorprüfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gefährdet sein könnten. Diese Prüfung wird Datenschutz-Folgenabschätzung genannt (Art. 16). Auch hier handelt es sich um eine Übernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine Risikoanalyse, welche durchgeführt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabschätzung muss erstellt werden und ist dem eidgenössischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine präventive Massnahme, die aber etwas schwerfälliger ausgestaltet wurde. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabschätzung zu beurteilen. Diese Frist, wird sich höchstwahrscheinlich in der Praxis nicht durchsetzen können. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. Das Instrument der Datenschutz-Folgenabschätzung ist unbedingt zu begrüssen. Es verhindert Implementationen von Lösungen, die später mit viel Aufwand angepasst werden müssen (und unter Umständen zur strafrechtlichen Verantwortlichkeit führen).

Nach wie vor möglich ist die Zertifizierung, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europäischen Vorgaben orientiert, wird es möglich sein, auch europäische Zertifizierungen zu nutzen, die auf Produkte wie auch auf Verfahren ausgestellt wurden.

Strafandrohungen

Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die neue Strafandrohung. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich verschärft. In der EU gilt eine Strafandrohung von 2-4 % des weltweiten Konzernumsatzes bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als Höchstgrenze den absoluten Betrag von Fr. 500’000.- an (Art. 50, allerdings nur bei Vorsatz, bei Fahrlässigkeit gilt die Hälfte). In der Praxis dürfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das dürfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. Die Schweiz hat hier allerdings wenig Spielraum, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten können. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro beträgt ist für Diskussionsstoff gesorgt.

Sie werden wieder scheitern – wieso die Digitale ID (Swiss ID) so nie funktionieren wird

Update 16. Mai 2017: Die Ankündigungen zur #SwissID gehen weiter, das Produkt ist so schlecht wie eh und je. Zum Glück machen jetzt wenigstens die Verbände Druck – das ist erfreulich!

Vollmundige Ankündigungen der UBS der Post und der Swisscom während der letzten Tage lassen aufhorchen. Wieder einmal wird die digitale Signatur erfunden und alles wird einfacher! Ein unbekanntes Startup aus Lettland soll offenbar an der Technologie arbeiten, die uns die Zukunft bringen wird. Dummerweise ist diese Zukunft schon längst Vergangenheit. Das Thema digitale Signatur ist technisch seit 20 Jahren abgehandelt. Wir (r3 security engineering / Entrust / Verisign) haben in den neunziger Jahren als Pioniere in diesem Bereich umfassende Forschungsarbeiten durchgeführt, Konferenzen organisiert und Lösungen implementiert. Seit 1995 gab es Hunderte von Unternehmen in diesem Umfeld, einige konnten sich erfolgreich verkaufen und haben genügend Geld gemacht um Raketenstartprojekte und Elektroautos zu finanzieren (Elon Musk). Keine der hunderten von Initiativen, die zum Thema digitale Identität gestartet wurden, war wirklich erfolgreich. Schon gar keine in der Schweiz: alle PKI Anbieter in der Schweiz kämpfen um ihre Existenz und können ihren Business Case nur retten, indem sie SSL Zertifikate verkaufen (ein sterbendes Business). Sicherlich haben auch schlechte Technologien und kundenunfreundliche Prozesse dazu beigetragen, dass es keine Akzeptanz für Systeme wie die Suisse ID gab. Doch damit lassen sich die vielen Flops der letzten 20 Jahre nicht erklären. Ganz offensichtlich liegt es nicht an Technik, dass digitale Identitäten den Durchbruch nicht geschafft haben. Das ist jetzt keine Vermutung, sondern eine klare Feststellung.

Wir haben mehrfach durchgerechnet, wie der Business Case eines PKI-Betreibers aussehen könnte. Fazit: Es ist offensichtlich, dass mit digitalen Identitäten alleine kein wirtschaftliches Arbeiten möglich ist. Was hat der Jurist und Ökonom gelernt, wenn diese Konstellation gegeben ist? Dann stellt sich die zentrale Frage: handelt es sich hier um eine wichtige Aufgabe im Interesse der Allgemeinheit, die durch eine staatliche Stelle ausgeführt werden sollte? Meines Erachtens kann man diese Frage mit JA beantworten. Tatsache ist, dass wir in der Schweiz über 95 % aller Rechtshandlungen formlos abwickeln können. Dies bedeutet, dass das Bedürfnis nach einer elektronischen Unterschrift an einem so kleinen Ort liegt, dass der Durchschnittsbenutzer schlicht kein Bedürfnis sieht, sich eine Technologie anzuschaffen, die im Umgang Zusatzaufwände erzeugt. Wer schon mal Innovationsbeurteilung gemacht hat, weiss genau, was dies bedeutet. Wir sind im Pain-Gain Quadranten genau in der Mitte, d.h. die Technologie hat einen mittleren Mehrwert, der Aufwand sie zu nutzen ist indes ätzend. Also lässt jeder mal die Finger davon, der nicht dringend ein solches Teil einsetzen muss. Wenn die Gesellschaft der Ansicht ist, dass sie digitale Identitäten wirklich benötigt, dann handelt es sich hier um eine klassische Service Public Aufgabe. In der Fläche kann ein solches System nur dann erfolgreich aufgebaut und eingesetzt werden, wenn jeder Bürger die digitale Identität von Geburt an erhält. Ich meine damit nicht, dass man einen Chip implantiert, aber dass man wenigstens die Identitätskarte mit einem privaten Schlüssel versieht.

Kurz und gut: Digitale Identitäten werden sich nur durchsetzen, wenn sie der Staat bezahlt und aktiv fördert und gleichzeitig die Gesetze so anpasst, dass sie zwingend genutzt werden müssen. Wir sollten endlich dafür sorgen, dass wir unsere Steinzeitprozesse mit elektronischen Prozessen ablösen und das geht für manche (leider) nur mit gesetzlichem Druck. Mögliche Ansatzpunkte gibt es genug, das elektronische Patientendossier wäre so einer. Denn dort ist die fehlerlose Identifikation ein Schlüssel für den Erfolg des Gesamtsystems und kein privater Betreiber kann die Haftungsrisiken tragen, die damit verbunden sind. Hingegen würde ich die Finger von Themen wie E-Voting lassen, hier ist der Aufwand zu hoch und der ökonomische Nutzen viel zu gering. Also liebe UBS, liebe Post, liebe Swisscom, anstelle dass Ihr wieder einen Investitionsflop produziert: Macht Euch auf politischer Ebene stark und sorgt dafür, das die Digitalisierung endlich ernsthaft vorangetrieben wird!

Blockchain – Haftung und Vertrauen

Im Oktober 2016 erschien ein Buch zum Thema Blockchain von Kollege Daniel Burgwinkel mit einem Fachbeitrag von mir zum Thema „Vertrauen und Haftung“. Hier das Management Summary:

Zusammenfassung: Nach der Euphorie über die Blockchain Technologie folgt die Frage nach dem Vertrauen in diese „neue“ Technologie auf dem Fuß. Dabei spielt die technische Sicherheit meist die geringste Rolle. Vielmehr stellt sich die Frage: Was muss getan werden, damit die möglichen Nutzer das System nicht nur spielerisch, sondern im harten Geschäftsleben einsetzen. Eine zentrale Frage spielt dabei die Haftung und die Zuweisung von Verantwortlichkeiten.

MANAGEMENT SUMMARY

Vertrauen entwickelt sich im Kontext der Anwendung, im kulturellen Kontext und ist nicht zuletzt auch eine Generationenfrage. Die Kernelemente des Vertrauens, nämlich Sicherheit, Haftung und Verantwortlichkeit sind nicht technologiebezogen.

Insofern dürfte sich an der Definition von Vertrauen nichts ändern. Darauf hat auch eine noch so gut (gemeinte) Technologie keinen Einfluss. Wir haben das mit digitalen Signaturen und Verschlüsselungsverfahren erlebt, die bis heute nur marginal eingesetzt werden.

Systeme, wie die Blockchains, können unterschiedlich implementiert werden und schlussendlich entscheidet die Implementation über die Frage: Wie vertrauenswürdig ist dieses System? Denn eines ist sicher: es wird zu Fehlern kommen und dann stellt sich die Frage nach den Verantwortlichen.

Die Blockchain ist folglich keine „Trust-Machine“, wie es optimistisch im Economist formuliert wurde [1]. Sie kann zwar helfen, hochwertige Systeme zu schaffen und die Sicherheit zu erhöhen, ein Garant für die kommerzielle Akzeptanz wird sie aber damit nicht. Darum werden die meisten Blockchain-Systeme als geschlossene Systeme, ohne Anonymität und mit den bekannten Sicherheitsmechanismen, implementiert werden. Dies aber wiederum nur, wenn sich der Einsatz rechnet. Aus Erfahrung kann man nicht sehr optimistisch sein. Der Einsatz neuer Absicherungsverfahren wird so lange hinausgezögert, bis es keine Alternative mehr gibt.

Nach wie vor müssen sowohl das Sicherheitsdispositiv wie auch die organisatorischen und rechtlichen Rahmenbedingungen durchdacht und sauber aufgesetzt werden. Wer denkt, er könne ohne weiteres ein Blockchain-System ins Leben rufen, ohne diese Aspekte zu klären, sollte die Finger davon lassen.

Wirklich spannend ist die Frage, ob sich die anonymen Systeme durchsetzen können. So wünschenswert dies auch wäre, ich bin da eher skeptisch. Der Druck der Nationalstaaten auf die Steuerung des Netzes wird einen wesentlichen Einfluss darauf ausüben, wie Blockchain-Systeme betrieben werden können.

Die Mär von den innovativen Schweizer Unternehmen

Jedes Jahr geht ungläubiges Raunen durch die Menge: Die Schweiz ist das innovativste Land der Welt, juhee!! Dummerweise ist diese Aussage aus dem Kontext gerissen, denn Innovation bedeutet noch lange nicht wirtschaftlichen Erfolg! Ich behaupte, die Schweiz ist nach wie vor eine Blut und Boden Gesellschaft und eigentlich knapp nach der Industrialisierung stehen geblieben.Wir bringen die Innovationskraft aber nicht auf den Boden, sprich in die Realwirtschaft.

Ein paar Beweise dazu?

  1. Platz 44 auf der Innovationsrangliste der innovativsten Firmen belegt Nestlé – no comment.
  2. Kein Geld für Start-ups: 90% aller Startups, welche in den letzten Jahren Erfolge feierten, mussten dem Umweg über die USA nehmen.  Es gibt löbliche Ausnahmen: Doodle, Digitec, aber eine echte Start-up Industrie fehlt in der Schweiz. Die Förderungsprogramme sind Tropfen auf einen heissen Stein.
  3. Die Landwirtschaft wird seit ewigen Zeiten durchgefüttert. Bauern sind seit Jahren Staatsangestellte.  Jüngstes Beispiel: 500 Mio., die durch den Bundesrat in die Bauernrachen geschoben werden. Innovation ist bei den Bauern ein Fremdwort, wozu auch, denn da fehlt schlicht der finanzielle Anreiz. Lieber Prämien für das Geranienkistchen am Balkon bezahlen!
  4. Eine ausser Rand und Band geratene Bauindustrie: Die Bauquote in der Schweiz (Anteil am BSP) ist seit Jahrzehnten viel zu hoch. Es wird dauernd über Zersiedelung etc. gejammert, aber die Politik und die Finanz unterstützt die primitivste Form der Investition mit irrwitzigen Beträgen.

Die Gründe:

  • Die Bildungs-Investitionen werden  völlig falsch verteilt. Hochschulen wie die ETH bekommen viel zuviel Geld und bilden damit Studenten aus, die zum grossen Teil ins Ausland abwandern. Die ETH erhält doppelt soviel Geld wie alle anderen Hochschulen zusammen (10 Mia. vs. 5 Mia.). Die Grundlagenforschung ist völlig überbezahlt, der Nationalfonds erhält fast 10x mehr als die KTI Projekte, also diejenigen, Projekte, die ein nutzbares Ergebnis erzielen. Fachhochschulen bieten Studiengänge an, die in der Praxis überhaupt nicht gefragt sind. Solange genügend zahlungskräftige Studenten gefunden werden, ist das ja toll (ob sie dann einen Job bekommen oder nicht ist Nebensache)!
  • Der Bundesrat und die Politiker werden durch die „alten“ Branchen bezahlt und aktiv bei ihren Fehlentscheiden unterstützt. Beispiel: Die Versicherungswirtschaft, gemeinsam mit der Bauindustrie, wollen dafür sorgen, dass Gelder der 2. Säule weiterhin zum Erwerb von Grundeigentum genutzt werden können, nicht aber um ins eigene Unternehmen zu investieren!
  • Die Finanz verweigert seit Jahr und Tag eine Förderung von Start-ups. Für die Banken bedeutet Innovation = Gefahr (ausser als Spekulationsvehikel für ihre Kunden).
  • Falsche Ansiedelungspolitik: Es wird Grossunternehmen wie Google und co. hofiert, welche sich nicht um die schweizerischen Gegebenheiten kümmern (duale Ausbildung) und lieber nach der vollständigen Personenfreizügigkeit schreien. Für Start-ups gibt es keine oder falsche Anreize: Was soll ein Jungunternehmer mit Steuerbefreiung für 3 Jahre, wenn er zuerst auf einen minimalen Umsatz kommen muss?
  • Alte Messgrössen, welche die  Innovation nicht  wiedergeben können.  In der aktuellen Phase des „2nd machine age“  sind die heutigen Messgrösse der Wirtschaftskraft (BSP)  völlig veraltet. Erik Brynjolfsson und Andrew McAfee zeigen exemplarisch, dass wir eine völlig neue Bewertung der Wirtschaftsleistung benötigen.

 

 

Ein IT-Sicherheitsexperte im Verwaltungsrat?

In der letzten Zeit wurde vermehrt über Hackerangriffe in der Schweiz berichtet (März 2016). In diesem Zusammenhang kommt erstmals die Diskussion auf, ob man nicht Sicherheitsexperten in den Verwaltungsrat entsenden sollte. Die Frage ist also: Macht es Sinn, einem Verwaltungsrat eine hochspezialisierte Tätigkeit zu übertragen, die mit dem Kerngeschäft des Unternehmens in der Regel nur wenig zu tun hat?

Meines Erachtens lohnt sich dieses Vorgehen nur, wenn das Unternehmen Informationsbearbeitung als Kerngeschäft versteht. Ein Beispiel, in welchem diese sicher angebracht wäre, wäre bei reinen Online-Händlern. Solche Unternehmen sollten sich durchaus Gedanken machen, ob es nicht sinnvoll wäre, eine Verwaltungsrat mit einem Hintergrund in der Informationssicherheit an Bord zu nehmen. Andererseits muss das Anforderungsprofil des Verwaltungsrates so gestaltet sein, dass Sicherheit nur eine Teilaufgabe ist. Man muss davon ausgehen können, dass der Verwaltungsrat ein aktives Mitglied ist und sich auch um andere. z.B. strategische Fragen kümmern kann. Reine Sicherheitsexperten bringen diese Kompetenz normalerweise nicht mit, ausser sie sind oder waren als Unternehmer aktiv. Sind beide Voraussetzungen nicht gegeben, dann ist es viel sinnvoller, die Sicherheitsaufgaben auf die operative Ebene zu verlagern. Die Vorgaben des Verwaltungsrates zum Thema Risiko können auch anders erfüllt werden. Der Verwaltungsrat kann sich dabei sowohl von aussen wie auch von innen beraten lassen. Im Sinne der Gewaltentrennung bin ich jedoch der Ansicht, dass es sinnvoller wäre, dass sich der Verwaltungsrat einen Beirat bestellt, welcher ihn zu diesen Fragen beraten kann.

Nicht zu vergessen ist auch die Tatsache dass viele Sicherheitsexperten aus dem technischen Umfeld stammen. Einem Verwaltungsrat nützt es wenig, wenn er mit einem ehemaligen Systemprogrammierer diskutiert, welche sich ausschliesslich auf der Ebene der Bits und Bytes bewegt hat. Dies mag dann von Nutzen sein, wenn es darum geht, Aufträge an  hochspezialisierte Sicherheitsfirmen zu vergeben. Der Verwaltungsrat sollte sich um die Risikolandschaft kümmern und beurteilen können, welche Risiken insgesamt mit der Informationsverarbeitung verknüpft sind. Und dabei stellen Hackangriffe nur einen sehr  kleinen Teil der realen Bedrohungen dar. Insofern sind auch ehemalige Militärs als VRs kaum geeignet.

Ein anderes Thema steht für mich jedoch im Vordergrund: DIE BEDEUTUNG VON HACKERANGRIFFEN WIRD MASSIV ÜBERBEWERTET (vgl. den Artikel zu den „Common misconceptions in Infosec„)!  Die meisten Unternehmen haben nämlich ihre IT nicht ausreichend im Griff. Die Mehrzahl der erfolgreichen Angriffe sind nur möglich, weil die IT nicht richtig geführt wird (Stichwort: IT – Governance).  Bevor  jemand einen Verwaltungsrat ausschliesslich für  Schutz und Sicherheit bestellt, müsste man davon ausgehen können, dass das Unternehmen seine IT, bzw. Informationsverarbeitung vollkommenen im Griff hat. Dies trifft jedoch für weniger als 5 % aller Unternehmen zu! In erster Linie gilt also der Grundsatz: Man bekomme zuerst die Informationsbearbeitung  und die IT in den Griff. Dazu gehört auch ein vernünftiges (IT)-Sicherheits- Management.

Als normatives Organ hat der Verwaltungsrat die Aufgabe, nicht nur die Risiken der neuen Technologien im Auge zu halten, sondern auch die Möglichkeiten zu ergründen und aktiv ins Unternehmen zu bringen. Eine Digitalisierungsstrategie sollte heute in fast jedem Unternehmen Teil der Verwaltungsratsagenda sein. Gleichzeitig hat der Verwaltungsrat auch die Pflicht, die Umsetzung dieser Initiativen zu verfolgen und zu kontrollieren. Heute ist es nicht mehr getan, diese Aufgaben an die Informatik zu delegieren oder der Geschäftsleitung zu überlassen. Aufgrund seines vollständigen Verantwortlichkeit tut der Verwaltungsrat gut daran, sich aktiv mit diesen Initiativen auseinanderzusetzen -> Information Governance.

Mit der Zunahme der Digitalisierung und der strategischen Bedeutung dieser Vorhaben kommt  dem Verwaltungsrat eine immer wichtigere Aufgabe zu. Waren früher die Themen der Informatik höchstens am Rand Agenda einer VR-Sitzung, so sind Digitalisierungsinitiativen heute überall präsent. Je nach Bedeutung der Information im Rahmen des Kerngeschäfts oder im Umgang mit regulatorischen Vorgaben muss sich der Verwaltungsrat  aktiv darum kümmern. Dies einerseits als Teil seiner Risikomanagementaktivitäten, andererseits als Aufgabe zur Förderung der strategischen Entwicklung.

Publikumsinformationsabend zu sicheren Nutzung des Internets

Wie nutzt man das Internet sicher?

Die Schweizerische Akademie der Technischen Wissenschaften – SATW organisiert am 3. März 2016 von 18.00 bis 19.30 Uhr, zusammen mit Swiss Cyber Storm, einen Publikums Cyber Security Anlass für die Anwendergemeinde. Einmal NICHT für ein Fachpublikum gedacht, erfaehrt jedermann/frau, wie man sich im Internet ein bisschen sicherer bewegt.