News

Sind Sie sicher?

Was haben die «Cloud Computing Policy AR», eine Cyber-Angriffsübung, eine Cyber-Versicherung und ein Awareness-Training gemeinsam? Ja, es sind Begriffe aus dem Englischen. Aber noch viel wichtiger: Es geht bei allen ums Thema Informationssicherheit!

 

Wir sind mit unserem CISO immer am Ball und haben einiges zu berichten…

Cloud Computing Policy AR

Das sind viele englische Begriffe auf einmal. Wenn man sie auseinandernimmt, sind sie aber gar nicht mehr so kompliziert:

  • Cloud Computing bedeutet, dass IT-Infrastrukturen und IT-Dienstleistungen nicht mehr vor Ort auf lokalen Rechnern betrieben werden. Stattdessen mietet man sie als Dienst und greift über ein Netzwerk (z. B. das Internet) darauf zu. Der Begriff «IT-Dienstleistungen» umfasst ein breites Spektrum: Das können Server sein, Datenspeicher (z. B. Microsoft OneDrive) oder bestimmte Anwendungen (z. B. infoma newsystem). Für Benutzer ist nicht unbedingt ersichtlich, ob das Programm auf dem Endgerät installiert ist oder per Internet-Anwendung ausgeführt wird.
  • Policy bedeutet Regeln / Regelwerk.
  • AR ist im Kanton Appenzell Ausserrhoden eindeutig besetzt. :-)
  • ISK ist für einmal nicht Englisch, sondern bedeutet Informatikstrategie-Kommission

Zusammenfassend geht es also um Regeln der ISK, wie der Kanton Appenzell Ausserrhoden künftig mit IT-Dienstleistungen umgeht, die über eine Cloud genutzt werden. Ein allseits bekanntes und aktuelles Beispiel dafür ist Microsoft Teams aus der Microsoft 365 Familie. 

 

Die Regeln dienen auch als Grundlage, damit ARI in Zukunft Cloud-Services im Grundbedarf anbieten kann. Sie als ARI Kunden profitieren auch davon – Sie finden darin Empfehlungen und Richtlinien zur sicheren Nutzung von Cloud-Diensten. 


Cyber-Angriff in Trogen – täuschend echte Simulation

Am 31. März und 1. April 2022  wurden bei einemCyber-Angriff auf das Strassenverkehrsamt Trogen wichtige Daten verschlüsselt – als Simulation.

Bei dieser Cyber-Angriffsübung  durften wir das Amt für Militär und Bevölkerungsschutz unterstützen. In der Übung wurde geprüft, wie das Führungsteam des Strassenverkehrsamts und verschiedene involvierte Stellen der kantonalen Verwaltung reagieren. Wir wollten ausserdem herausfinden, ob ein Notfallplan für solche Vorfälle existiert und ob er auch in der Praxis umgesetzt wird.

Erste Erkenntnisse und Lösungsansätze haben wir mit allen Beteiligten und dem Regierungsrat direkt im Anschluss besprochen. Die konkreten Massnahmen dazu werden noch ausgearbeitet. Eins ist aber jetzt schon sicher: Die Mitarbeitenden des Strassenverkehrsamts werden künftig risikobewusster mit Daten umgehen. Und die Sicherheitsmassnahmen der ARI haben sich als Grundschutz bewährt. Darauf lässt sich aufbauen!


Cyber-Versicherung

Bei einem Hackerangriff entstehen neben Reputationsschäden häufig auch sehr hohe Kosten, da Spezialisten herangezogen werden müssen oder Haftpflichtansprüche gestellt werden können.

Gemäss unserem Auftrag aus dem eGovG ist ARI für die Daten-, Betriebs- und Netzwerksicherheit verantwortlich: Wir schützen die gesamte IT-Infrastruktur nach aussen hin und wehren Hackerangriffe so gut wie dies technisch möglich ist ab.

Für den Schutz von innen sind Sie als Kundinnen und Kunden selbst verantwortlich. Sie handhaben im Geschäftsalltag Daten mit den unterschiedlichsten Vertraulichkeitsstufen. Die Verantwortung für den Datenschutz und den Informationsschutz können Sie nicht abgeben. Aber Sie können sich gegen die Kostenfolgen bei einem Cyber-Sicherheitsvorfall absichern.

Einige Massnahmen können Sie selbst und mit wenig Aufwand treffen – beispielsweise eine Cyber-Versicherung abschliessen. Zur Klärung der Anforderungen an eine solche Versicherung beraten wir Sie gerne – ebenso wie zu den unterschiedlichen Verantwortlichkeiten im Bereich Informationssicherheit. 


Awareness-Training

Beim Awareness-Training dreht sich alles um das Bewusstsein (= «Awareness» auf Englisch). In unserem Fall richtet sich das Bewusstsein auf die richtigen Verhaltensweisen gegenüber Sicherheitsrisiken – getreu dem Motto:

«Amateure hacken Systeme, Profis hacken Menschen»
(Bruce Schneier, Experte für Kryptografie und Computersicherheit, Harvard University) 

Ein sensibler Umgang mit Informationen im Arbeitsumfeld ergänzt und unterstützt die technischen Schutzmassnahmen für die IT-Infrastruktur.

Mehrere Phishing-Simulationen im ARI Netzwerk haben deutlich gemacht: Zu oft werden Hyperlinks einfach angeklickt, persönliche Login-Daten in einem externen Formular eingegeben oder E-Mail-Anhänge geöffnet und Makros aktiviert, ohne dass vorher gewisse Sicherheitsfaktoren geprüft wurden. Im schlimmsten Fall öffnet dies einen Zugang für böswillige Akteure in unsere IT-Infrastruktur.

Cyberangriffe und gesperrte Systeme betreffen heutzutage alle Geschäftsbereiche. Die Verwaltungen von Kanton und Gemeinden von Appenzell Ausserrhoden sowie die weiteren ARI Kunden sind also gut beraten, sich entsprechend zu wappnen: Über eine Online-Plattform bieten wir diverse Kurse zur Schulung und Sensibilisierung für Ihre «Awareness» an. Kontaktieren Sie unseren CISO Christoph Schwalm für ein detailliertes Angebot.