Wenn die Wartung zur Spionagefalle wird
Der Beizug von Dritten für die Erbringung von IT-Dienstleistungen wird jedes Jahr wichtiger und ist kaum mehr wegzudenken. Im Zeitalter der hybriden IT-Infrastrukturen sind, oft ergänzend zur nach wie vor grossen Zahl von internen IT-Applikationen («on premise»), nun zunehmend die Cloud-Applikationen auf dem Vormarsch.
Anders als im Cloud-Umfeld ist der Fernzugriff auf «on premise»-Applikationen sehr wenig geregelt. Unternehmen tun gut daran, genau diese Lücke zu schliessen. In der Schweiz denkt man zuerst an Spitäler mit Patientendaten oder an Banken mit Kundendaten. Die Frage geht am Ende aber alle Unternehmen etwas an.
Beispiel 1: ein Spital
Wenn Sie sich als Patient einem Arzt zuwenden, gehen Sie automatisch und zu Recht davon aus, dass er Ihre Krankenakte streng vertraulich behandelt und nicht gegenüber Dritten offenbart. Im Zuge der Digitalisierung hängt die Krankenakte nun nicht mehr physisch bei ihm in einem Aktenschrank, sondern ist digital gespeichert. Der Arzt darf Ihre Geheimnisse an seine Hilfspersonen weitergeben. Hilfsperson ist, wer den Arzt erlaubterweise in seiner Tätigkeit unterstützt. Dieser Vorgang ist rechtlich gesprochen keine Offenbarung. Folglich müssen Sie als Patient nicht über den Beizug der Hilfsperson informiert werden.
In der Praxis ist es aber so, dass ein Klinikinformationssystem, ein Radiologiesystem oder ein Laborsystem nicht allein durch das Spital gewartet werden und sich ITDienstleister, möglicherweise sogar aus dem Ausland, via Fernzugriff einloggen. Dabei sind oftmals – insbesondere in der Datenbank – alle Informationen der Patienten offen zugänglich. Die Frage ist nun: Wo «beginnt» das Spital, und wo «hört es auf»? Zur Umschreibung kann man den Begriff «Perimeter» verwenden. Der Begriff bezeichnet die äussere Abgrenzung der Organisationseinheit (hier: des Spitals), die es zu organisieren gilt. Es geht also um die Frage, wo der Perimeter des Spitals endet (Abb. 1).
Das Schweizer Strafgesetzbuch, Datenschutzgesetz oder Medizinalberufgesetz verbieten per se nicht, dass Hilfspersonen beigezogen werden. Der Beizug von Hilfspersonen resultiert somit nicht in einer Offenbarung gegenüber Dritten, auch wenn sie Klartextzugriff auf geschützte Informationen erhalten. Konsequent weitergedacht würde dies bedeuten, dass der Arzt den Kreis der Hilfspersonen theoretisch unbegrenzt ausdehnen könnte.
Der absolut entscheidende Punkt ist die Kontrolle. Es braucht Kontrolle über die «verlängerte Werkbank». Das Spital muss alle Hilfspersonen so einbinden, als wären sie Mitarbeitende (Bindung an Weisungen etc.) und nicht Externe. Fehlt es an Kontrolle, führt der unbeschränkte Beizug von Hilfspersonen womöglich zu einer verbotenen Offenbarung.
Beispiel 2: eine Bank
In einem Rechtsgutachten (Nutzung von Cloud-Angeboten durch Banken: zur Zulässigkeit nach Art. 47 BankG)* wurde die Frage erläutert, ob eine Bank den personellen und physischen Perimeter so weit erweitern kann, dass Bankkundendaten in der Cloud oder von einem ausländischen IT-Dienstleister eingesehen werden können. Das Fazit des Rechtsgutachtens bejaht dies, denn das seit 1934 geltende Bankengesetz wurde 1970 dahingehend ergänzt, um sich gegen «ausländische Spionage» zu schützen. In letzter Zeit ist einiges gegangen und seit 2017 übermittelt die Schweiz ja auch detaillierte Informationen über Bankkonten regelmässig ins Ausland.
Obwohl die Mitarbeitenden eines ausländischen IT-Dienstleisters strafrechtlich unter Umständen nicht belangt werden können, geht das Rechtsgutachten davon aus, dass die betreffenden Mitarbeitenden in die Risikosphäre der Bank eingebunden werden können, ohne dass eine Offenbarung gegenüber Dritten stattfindet (Abb. 2).
Die Bank erweitert den physischen und personellen Perimeter also dahingehend, dass das Rechencenter und die Mitarbeitenden des IT-Dienstleisters nicht mehr als Dritte angesehen werden können. Der entscheidende Punkt dabei ist, dass die Bank mittels technischer und organisatorischer Massnahmen die Kontrolle darüber behält. Damit darf eine Bank Applikationen in der Cloud verwenden oder auch ausländischen Mitarbeitenden Fernzugriff erlauben.
Alle anderen Branchen
Andere Branchen wie Handel oder Industrie unterliegen in der Schweiz nicht der gleichen Fülle von Gesetzgebungen, wie ein Spital oder eine Bank. Trotzdem gilt es die Daten zu schützen. Dabei muss es sich nicht um personenbezogene Daten handeln. Jedes Unternehmen hat Betriebsgeheimnisse, welche im Falle einer Offenbarung dem Unternehmen einen Schaden zufügen können. Dies kann ein Imageschaden sein oder auch ein zukünftiger wirtschaftlicher Schaden aufgrund von Wirtschaftsspionage.
Diese Kontrolle der verlängerten Werkbank kann exakt gleich mit technischen und organisatorischen Massnahmen erfolgen, muss aber durch ein griffiges Vertragswerk unterstützt werden. Die in den Prozessen eingebundenen Mitarbeitenden müssen über die Unternehmensgrenze von Dritten zu Beteiligten gemacht werden.
Was heisst nun Kontrolle?
Kontrolle muss ganzheitlich als stetiger Prozess verstanden werden. Zuerst muss man die Materie verstehen und dann müssen durch präventive Massnahmen die Risiken eines Datenverlusts reduziert werden. Weiter empfehlen wir, durch Verbesserung der Nachvollziehbarkeit die Möglichkeiten von reaktiven Massnahmen zu erhöhen, um im Fall der Fälle Sanktionsmöglichkeiten ergreifen zu können. Beim Thema Fernzugriff von IT-Dienstleistern, welche mit privilegierten Berechtigungen möglicherweise auf Ihre Daten zugreifen, empfiehlt es sich, die folgenden organisatorischen und technischen Massnahmen anzuwenden:
- Schutzbedarfsanalyse über alle relevanten IT-Systeme durchführen
- Interne Weisungen für Zugang auf Daten (Access Management) aufsetzen
- Berechtigungs- und Rollenkonzepte für die exponierten IT-Systeme erstellen
- Die Verwaltung der Benutzer und Berechtigungen sauber regeln
- Benutzer von intern wie auch extern zur persönlichen Identifikation zwingen
- Passwörter privilegierter Accounts nach Gebrauch immer wechseln
- Die Session der Fernzugriffe und der Datentransfer protokollieren/aufzeichnen
Fernzugriffe, auch aus dem Ausland, auf kritische Daten sind rechtlich erlaubt. Die Risiken müssen allerdings gut kontrollierbar sein. Die Verantwortung liegt beim Unternehmen selbst. Zieht beispielsweise ein Spital Dritte in seine IT-Umgebung ein, behält das Spital die Verantwortung zum Schutz der Daten. Die Kontrolle muss jederzeit durch technische, organisatorische und vertragliche Massnahmen gewährleistet sein.