Archiv des Autors: Thomas Hediger

Über Thomas Hediger

Thomas Hediger, Associate Partner CISA, CRISC Email: hediger@alevo.ch Tel.: +41 56 210 97 22

Spitäler als Erpressungsopfer

In den vergangenen Wochen berichteten die Medien von den Cyberangriffen auf Spitäler in den USA und Deutschland. Dabei wurden durch Öffnen von Mailanhängen Viren freigesetzt, welche im Hintergrund systematisch sämtliche Dateien mit einem geheimen Schlüssel verschlüsselten und damit für den Spital unlesbar machten. Die Herausgabe zum Entschlüsseln wurde gegen ein Lösegeld von mehreren Millionen Dollar versprochen.

NotfallDiese Angriff Methode wird von kriminellen Organisationen seit längere Zeit bereits eingesetzt und ist bei den Sicherheitsexperten wie auch den Behörden bekannt. Neben vielen privaten Rechnern waren auch ganze Stadtverwaltungen in Deutschland durch den Virus lahmgelegt. Spitäler als Opfer der Erpressung haben der Öffentlichkeit aber bewusst gemacht, dass Leib und Leben eines jeden einzelnen Bürgers durch Cyberangriffe bedroht sein kann.

Durch den grossen Kostendruck im Gesundheitswesen wird hier die Digitalisierung und Automatisierung mit Hochdruck durch modernste Technologie vorangetrieben. Dadurch werden die Prozesse effizienter und Kosten eingespart, was schlussendlich dem Patienten zugutekommt.

Was dabei aber vergessen ging oder vielleicht auch aus Kostengründen gestrichen wurde, ist die Implementierung von begleitenden Sicherheitsmassnahmen. Insbesondere fehlt ein Risikomanagement Prozess, welcher mögliche Bedrohungen und deren Auswirkungen evaluiert und für das Management transparent macht, damit Gegenmassnahmen entwickelt werden können.

Einen 100%igen Schutz gegen solche Cyber Attacken gibt es heute nicht – hier kann den Spitälern kein Vorwurf gemacht werden. Wohl aber kann mit vorsorglicher Notfallplanung der Schaden begrenzt werden und eine möglichst schnelle Rückkehr zum Normalbetrieb ermöglicht werden.

Dabei muss der Fokus auf den gespeicherten Daten und deren Bedeutung für den Spital liegen: wie in der Notfallaufnahme muss auch in der IT-Abteilung eine Triage vorgenommen werden, damit die dringendsten Massnahmen zuerst getan werden und das knappe Geld nicht am falschen Ort investiert wird.

Bevor nun also hektisch teure Technologie eingekauft wird, als Pflaster auf die Wunde, müssen die Basics umgesetzt werden mit Business Continuity- und Risk Management Prozessen, welche sich nicht nur auf Einbruch und Feuer als Bedrohung beziehen, sondern stets aktuell sind und eine Anpassung an die stetig ändernden Bedrohungen erlauben – und dies muss jetzt getan werden!

Datenverantwortung bleibt beim Dateneigentümer

Hohe Investitionen in IT Security der eigenen Infrastruktur wiegen viele Firmen in falscher Sicherheit.

Um das Risiko eines Schadens zu minimieren muss konsequent eine ganzheitliche Betrachtung mit Fokus auf den Datenfluss durchgeführt werden. Dabei sind alle Zulieferanten und Cloud Services systemübergreifend miteinzubeziehen. Eine klare Abgrenzung und eindeutige Zuordnung der IT-controls sind unumgänglich. Der Schaden und die Verantwortung bei einem Datendiebstahl bleiben nach wie vor beim Dateneigentümer!

Eine externe Überprüfung ihrer Schutzmassnahmen durch erfahrene Spezialisten lohnt sich in jedem Fall!

alevo ag
Thomas Hediger, CISA, CRISC

EU Datenschutzverordnung – Auswirkung auf die Schweiz

Sowohl in der Schweiz als auch in der Europäischen Union und im Europarat sind Bestrebungen im Gange, das Datenschutzrecht an die technologischen und gesellschaftlichen Entwicklungen anzupassen.

Zum einen überarbeitet der Europarat die „Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Konvention 108 od. K108), die auch von der Schweiz ratifiziert wurde. Die neue Konvention wird voraussichtlich 2015/2016 verabschiedet und den Vertragsstaaten zur Unterzeichnung vorgelegt.

Parallel dazu rollt die Reform des Datenschutzes in Europa auf ihren Abschluss zu. Das Parlament verabschiedete 2014 seine Änderungsvorschläge und am 24. Juni 2015 starteten offiziell die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament, die bis Ende des Jahres abgeschlossen sein sollen.

Worum geht es?

Die Datenschutz-Grundverordnung (DSGVO) wird die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie) ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU- Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten sowie EEA-Staaten (European Economic Area) gelten. Den Mitgliedsstaaten wird es daher nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken

Was heisst das für Schweizer Firmen ?

Die neue Datenschutz Verordnung regelt u.a. den Datenaustausch mit Nicht EU/EEA Staaten wie die Schweiz. Dabei muss die jeweilige Firma mit Sitz in einem Nicht EU/EEA Staat einen adäquaten Schutz der ausgetauschten Daten nachweisen, was faktisch zur 1:1 Übernahme der neuen Verordnung führt. Das schweizerische Datenschutzgesetz (DSG) wird wohl in Kürze entsprechend angepasst werden.

Neben den multinationalen Konzernen und KMU’s geraten auch Kleinstfirmen in den Scope des DSGVO. Als Zulieferant in der Produktionskette, als Provider von IT Dienstleistungen oder als Telecom Unternehmen sind viele Firmen am Datentransfer als Sender bzw. Empfänger beteiligt. Dabei wird zwischen dem „controller“ als Verantwortlicher und dem „processor“ als Auftragsdatenverarbeiter unterschieden.

Teure Folgen bei Verletzung

Die revidierte Konvention 108 wird vorsehen, dass neben gerichtlichen Sanktionen auch Verwaltungssanktionen vorzusehen sind (Art. 10 E-K108). Bislang sind Datenschutzverstösse im Schweizer Recht grundsätzlich nicht mit Bussen geahndet. Es ist davon auszugehen, dass das DSG inskünftig vorsehen wird, dass Bussen in der Höhe von maximal 10 % des Schweizer Umsatzes in den letzten drei Geschäftsjahren ausgesprochen werden können.

Wie kann alevo Sie unterstützen ?

Ein stufenweises Vorgehen hat sich in der Praxis bewährt.

  • In einem 1. Schritt identifizieren wir dringenden Handlungsbedarf mit einem Quick-Assessment
  • Mit einer detaillierten Datenfluss Analyse werden als nächstes Abgrenzungen und mögliche Massnahmen definiert. Dabei führen die Erfahrungen der Berater zu effizienten und pragmatischen Lösungen, welche bestehende Massnahmen integrieren und ergänzen um die Synergien zu nutzen. Ideal ist beispielsweise die Kombination mit einem Management System nach ISO 27001 oder COBIT.
  • Bei der Umsetzung unterstützen wir sie in gewohnt effektiver Weise bei organisatorischen oder technischen Massnahmen. Eine elegante Möglichkeit ist beispielsweise die Pseudonymisierung bzw. Anonymisierung der Daten gemäss Art. 23 der DSGVO.

16.9.2015, Thomas Hediger, CISA, CRISC