Schutz gegen Cyberkriminalität

Ein Beispiel für die organisierte Internetkriminalität kursiert nicht nur unter Insidern unter dem Begriff «Fake President Angriff» respektive CEO-Betrug. Bevollmächtigte Mitarbeitende oder gar CEOs werden wie üblich – über E-Mail oder Fax – von Personen, die sich als führende Manager der eigenen Firma ausgeben, kontaktiert. Der Absender bittet den Mitarbeitenden oder den Kollegen eine angeblich dringende und vertrauliche Finanztransaktion auf ein ausländisches Konto durchzuführen.

Wenn die Angestellten das Geld überwiesen haben, erfolgt keine offizielle Bestätigung. Im Gegenteil, der abgeschöpfte Betrag wird schnell in kleinere Beträge aufgeteilt und auf undurchsichtige Konten transferiert. In der Schweiz verloren laut einem Bericht der Handelszeitung die betroffenen Unternehmen pro Fall bis zu fünfstellige Frankenbeträge.

Bei zwei deutschen Unternehmen wurden kürzlich sogar 40 bis 50 Millionen Euro abgezockt. Nach der Bekanntgabe des Verlustes sanken sofort die Aktienkurse der angegriffenen Unternehmen. Die betroffenen deutschen Firmen waren laut ihren Webseiten-Informationen zum Zeitpunkt der Verluste noch nicht nach der ISO/IEC 2700x-Normenreihe zertifiziert

Sicherheit durch Normen

Eine Zertifizierung bestärkt gezielte Kontrollen, um Schäden – die etwa durch fingierte E-mails entstehen können – zu vermeiden. Europaweite Normen sichern Unternehmen inzwischen auch gegen Betrugsmethoden ab. Bisher gab es die ISO/IEC 2700xNormenreihe nur auf Englisch. Anfang 2014 wurde vom Deutschen Institut für Normung (DIN), dem Austrian Standards Institute (ASI) und der Schweizerischen Normen-Vereinigung (SNV) ein gemeinsamer Übersetzungskreis mit dem Ziel ins Leben gerufen, einheitliche Übersetzungen ausgewählter ISO- und ISO/IEC-Normen für den gesamten deutschen Sprachraum anzufertigen.

Nach mehr als einjähriger intensiver Arbeit gibt es eine deutsche Übersetzung der Norm ISO/IEC 27001:2013. In das Schweizer Normenwerk wurde diese im Mai 2015 übernommen: SN ISO/IEC 27001:2015 (siehe Box am Textende).

Organisieren und kontrollieren

Die ISO/IEC 27000 x-Normenreihe bildet eine Anleitung für Geschäftsverantwortliche. Auf dieser Grundlage können die Verantwortlichen zusammen mit den Informatikern ein Konzept und Richtlinien für das Unternehmen erarbeiten. Dieses erfordert einen ganzheitlichen Ansatz für alle Bereiche. Wichtig ist, dabei den aktuellen Stand der Technik zu berücksichtigen und wenn nötig, Anpassungen zu planen und durchzuführen. Dafür ist eine Risiko- und Schwachstellenanalyse erforderlich, auf jeden Fall bei der Einführung von ISO/IEC 27001 und anderer Normen.

Zuerst wird bei der Zertifizierung das ISMS-Konzept, also die fürdas Risikomanagement notwendigen Ziele, Prozesse und Verfahren, festgelegt.

Um die definierten Ziele zu erreichen, muss man allenfalls die Organisation der betreffenden Vorgänge im Unternehmen ändern. Die Dokumentation der Massnahmen und Abläufe der digitalen Prozesse gehört selbstverständlich zum Sicherheits- und Informationsmanagement. Laufende Kontrolle, ob dieses funktioniert, ist nach Norm ISO/IEC 27003 «Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsmanagementsystem-Einführungsleitlinie» die Aufgabe der sogenannten «Security policy».

Gleichwohl soll diese nicht «Big Brother» spielen, sondern stringent kontrollieren, ob die gesetzten Sicherheitsziele erreicht wurden, ob es noch Schwachstellen gibt und wo Verbesserungen möglich und notwendig sind.

Neue EU-Richtlinie

Für Unternehmen, die im Ausland Geschäfte machen, ist das internationale Recht zu berücksichtigen. In der EU gilt neuerdings die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Massnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NISRichtlinie). Diese enthält EU-weite Vorschriften für Cybersicherheit, die in die nationalen Gesetze eingebaut werden

Die Rolle der Schweizerischen NormenVereinigung (SNV)

Die Schweizerische Normen-Vereinigung (SNV) vertritt die weltweiten Normen der ISO sowie die europäischen Normen (CEN) in der Schweiz und engagiert sich in zahlreichen nationalen und internationalen Normennetzwerken. Das Normenkomitee INB/NK 149/UK 7 der SNV hat in den letzten Jahren wichtige Beiträge zu Struktur und Inhalt von ISO/IEC 27001:2013 und ISO/IEC 27002:2013 erarbeitet. Die SNV beteiligt sich auch mit Engagement an der Neuauflage von ISO/ IEC 27003, ISO/IEC 27004 und ISO/IEC 27005.

Bei der SNV können die Unternehmen oder Vereine je nach Grösse und Tätigkeit Einzel- oder Kollektivmitglieder werden. Mehr als 600 Schweizer Unternehmen und Institutionen nutzen bereits heute die Vorteile einer Mitgliedschaft bei der SNV. Durch die Mitarbeit in einem Normungskomitee profitieren sie frühzeitig vom Wissen über zukünftige Normen. So stellen sie in der Rolle als «early mover» die Weichen für ihr Unternehmen.

Die SNV bietet spannende Weiterbildungsangebote an und verfügt dank der direkten Verbindungen zur Internationalen Organisation für Normung (ISO) und zum Europäischen Komitee für Normung (CEN) über die besten Quellen, mit denen Kunden über Gefahren, aber auch über die aktuellsten Normen und deren praktische Umsetzung informiert werden.