Informationssicherheit

Meldungen über Angriffe aus dem Internet (sogenannte Cyberattacken) nehmen in letzter Zeit rasant zu. MELANI, die Melde- und Analysestelle Informationssicherung des Bundes, warnt in ihrem Halbjahresbericht insbesondere vor einer starken Zunahme und Professionalisierung von Erpressungsversuchen mit Verschlüsselungstrojanern (Ransomware), welche schon verschiedene kleinere und grössere Organisationen – auch in der Schweiz – für Tage bis Wochen komplett lahmgelegt haben und bei welchen auch schon grössere Summen an Lösegeld bezahlt wurden. Auffällig dabei ist, dass vermehrt auch Öffentliche Verwaltungen und Gesundheitseinrichtungen von dieser Art von Angriff betroffen sind. Das organisierte Verbrechen hat längst erkannt, dass dies ein äusserst lukratives Geschäft für sie ist.

Bei ARI nehmen wir das Thema Informationssicherheit deshalb sehr ernst. Per Anfang Juni 2019 wurde die neue Stelle des Chief Information Security Officers (CISO) geschaffen und in der Person von Christoph Schwalm besetzt. Mit der neuen Stelle des CISO soll der zunehmenden Bedeutung von Datensicherheit, Datenschutz und Compliance Rechnung getragen werden. Der CISO ist als Gesamtverantwortlicher für Informationssicherheit direkt dem CEO der ARI unterstellt und ist verantwortlich für die Sicherung und das Risikomanagement aller Informationswerte (elektronisch und physisch) des Unternehmens.

Ein besonderes Anliegen unseres CISOs ist die Sensibilisierung aller Mitarbeitenden auf die vielfältigen Gefahren, welche im Internet, aber auch im Arbeitsalltag und im Privatleben lauern. Neben Informationsveranstaltungen wurden 2019 aus diesem Grund simulierte Phishing-Attacken und Live- Hacking-Demos veranstaltet, welche sehr realistisch aufzeigten, wie einfach man mit etwas krimineller Energie an vertrauliche Informationen kommen könnte und wie man sich dank korrektem Verhalten am besten vor solchen Gefahren schützt.

Einen weiteren wichtigen Beitrag zur Erhöhung der Sicherheit möchten wir mit der Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 leisten. Unser Ziel ist es, die gesamte ARI bis Ende 2020 so vorbereitet zu haben, dass die Zertifizierung spätestens anfangs 2021 erfolgen kann. Die Vorbereitungen dafür laufen schon seit Mitte 2019 auf Hochtouren und wir sind zuversichtlich, das uns gesetzte Ziel zu erreichen.

Ein wichtiger Schritt zu dieser Zertifizierung ist auch der Aufbau eines wirkungsvollen Katastrophen- und Krisenmanagements, welches neben der Sicherstellung einer hohen Verfügbarkeit der Informatikmittel auch den Umgang mit und die Bewältigung von nichtalltäglichen Situationen bis zur Wiederherstellung des Normalbetriebs regelt.

Neben diesen organisatorischen Massnahmen wurden im 2019 wiederum auch viele technische Massnahmen zur Verbesserung der Sicherheit bei ARI und bei unseren Kunden durchgeführt:

  • Inhaltsfilter für gefährliche WebDienste
  • Einsatz von State- of-the-Art-Technologien im Netzbereich
  • Konsequentes Aktualisieren der Arbeitsplätze
  • Simulierter Cyberangriff durch Sicherheitsfirma

Weitere von ARI geplante Massnahmen:

  • Inbetriebnahme eines zweiten Rechen- zentrums 2020
  •  zweiten Rechen- zentrums 2020 Anpassung der Passwortrichtlinien
  • Sicherung der USBPorts
  • Kontrollierter Fernzugriff auf Arbeitsplätze

Alle diese Massnahmen (organisatorisch und technisch) kommen natürlich auch unseren Kunden zu- gute, können sie sich doch darauf verlassen, dass ARI alles Erdenkliche unternimmt, um die ihr aus dem Gesetz über eGovernment und Informatik (eGovG) vorgegebenen Aufgaben zur Gewährleistung der Netzwerk-, Daten- und Betriebssicherheit zu erfüllen.

Gerne möchten wir das Thema Informationssicherheit auch mit unseren Kunden aufnehmen, um die verschiedenartigen Bedürfnisse besser verstehen zu können und gemeinsam die beste und möglichst sicherste Lösung zu finden. Unser CISO wird dazu in den nächsten Monaten bei verschiedenen Kundengremien Referate halten und dabei gerne aufzeigen, welche Möglichkeiten zur Unterstützung des wichtigen Themas für die ARI-Kunden bereits bestehen oder zusammen realisiert werden können.