Die Sicherheitsindustrie bestätigt trotz Corona-Krise die Drei-Viertel-Milliarde. Wie eine vom Verband SES (Schweizerische Errichter von Sicherheitsanlagen) erhobene
Branchenstatistik für das Jahr 2020 aufzeigt, hält der Aufschwung trotz Covid-19-bedingten Einflüssen an. Gegenüber 2019 konnte die Branche um weitere 13 Millionen zulegen. Diese knapp zwei Prozent Wachstum lassen sich insbesondere in aktuell schwierigem Marktumfeld sehen.

Trotzdem gibt es auch 2020 wieder ein paar Wermutstropfen. So falle auf, dass die Sektion Security (EMA, VS, AC) in allen Bereichen wieder mit negativen Vorzeichen abschliesse. Preiserosionen einerseits und die Zentralisierung und Konsolidierung von beispielsweise Bankfilialen tragen ihren Teil zum erneuten Rückgang bei. Erfreulicherweise vermag die Sektion Fire (BMA, NLA, TLA, GWA, SAA) dem seit 2017 währenden Aufwärtstrend zu folgen und verzeichnet insgesamt ein Plus von über vier Prozent.

Quelle: SES

Es brennt. Alle müssen raus, aber keiner darf rein. Bloss die Feuerwehr, die muss rein. Wer rausgeht, soll keine Daten und Waren entwenden können. Und sogar beim Löschen ist Vorsicht geboten – was, wenn man dadurch einen jahrhundertealten Schatz zerstört? Es gibt in der Sicherheit einige solcher Zielkonflikte. Deshalb müssen Sicherheitsbeauftragte auch immer pragmatisch denken und vorgehen.

Einbruchschutz vs. Fluchtwege und Notausgänge

Ein klassisches Beispiel für solche Zielkonflikte sind die Bereiche Einbruchschutz und Fluchtwege. Ein Fluchtweg soll stets ungehindert in einen sicheren Bereich führen und den Menschen im Notfall das Leben retten. Solche Notfälle gibt es glücklicherweise eher selten. In sehr vielen Betrieben werden Fluchtwege deshalb als Zwischenlager für Brandlasten missbraucht und sind versperrt, wenn sie gebraucht würden. Die Notausgänge, die von innen nach aussen und für die Feuerwehr als Rettungsweg auch umgekehrt frei begehbar sein müssen, sind durch geparkte Fahrzeuge blockiert oder werden häufig sogar verschlossen.

Denn die Gefahr von und die Angst vor einem Einbruch ist allgegenwärtig. Wer bereits einmal von einem Einbruch betroffen war, nimmt es dann noch genauer. In detailgetreuer Aufarbeitung des Ereignisses werden unter anderem auch die Fenster mit massiven Eisengittern versehen. Dadurch ändert sich jedoch das Gesamtkonzept. Denn wenn flüchtende Menschen versperrte oder durch starke Rauchentwicklung abgeschnittene Fluchtwege vorfinden, versuchen sie, über die Fenster aus dem Gebäude zu gelangen – in diesen Fällen leider erfolglos.

Zutrittskontrolle vs. Intervention

Selbstverständlich braucht es für sensible Firmenbereiche eine Zutrittskontrolle. Unwillkommene Besucherinnen und Besucher haben hier keinen Zutritt. Die Feuerwehr oder der Rettungsdienst sind in einem Notfall jedoch sehr willkommen. Also müssen auch diese Firmenbereiche für eine Intervention zugänglich sein. Doch ist die Sicherheit dann noch immer gegeben? Gut gesicherte Haustüren, Fenstergitter oder Sicherheitsglas können gefährlich sein, vor allem in Kombination mit einem nicht mit Fachleuten abgesprochenen Konzept. Ein schneller ­Zutritt ohne Schlüssel wird erheblich ­erschwert. Deshalb sollten auch Schlüsselrohre für die Interventionskräfte installiert werden, damit der Zugang gewährleistet werden kann. Und natürlich müssen die Interventionskräfte diese Schlüsselrohre kennen, sie müssen also instruiert werden.

Evakuation vs. Diebstahlschutz

Fragen ergeben sich auch zu einer Evakuierung des Gebäudes: Wer darf und soll diese auslösen? Die betroffenen Menschen in Sicherheit zu bringen, hat natürlich absolute Priorität. Also wäre es sinnvoll, wenn jedermann den Evakuationsalarm auslösen kann, der einen Vorfall erkennt. Ist es aber immer zwingend, das Gebäude zu evakuieren, oder könnte dies gar missbräuchlich geschehen, um mit gestohlenen Daten oder Waren ungehindert und unerkannt aus dem Gebäude zu gelangen? Was hat nun also mehr Gewicht, die ­Sicherheit der Mitarbeitenden und der Gäste oder der Diebstahlschutz?

Arbeitssicherheit vs. Investitionen

Besonders in der Arbeitssicherheit sind die finanziellen Mittel häufig ein Thema. Das Fehlen von solchen oder ganz einfach die Unverhältnismässigkeiten, welche sich unweigerlich hie und da ergeben, dürfen dennoch nicht umgangen werden. Selbstverständlich ist es unverhältnis­mässig, eine Hubarbeitsbühne anzuschaffen, um zweimal im Jahr die Birne der einen Lampe auswechseln zu können. Natürlich ist es nicht verhältnismässig, einen Stapler zu kaufen, um jedes zweite Jahr eine Prospektlieferung annehmen zu können.

In vielen Fällen bietet sich aber nach einer genauen Betrachtung der Prozesse und einer konkreten Planung sogar die Möglichkeit, viele finanzielle Mittel einzusparen und damit für andere Dinge bereitzustellen. Oft kann eine höhere ­Effizienz erreicht werden, auch mit konkreter Kommunikation. Der Lieferant der Prospekte kann nämlich darüber informiert werden, welche Ausrüstung vorhanden ist oder wie die Prospekte anzuliefern sind, damit ihr Entladen keine Gefahr darstellt. Und es gibt Arbeitsbühnen übrigens auch zur Miete. Selbst wenn die Organisation solcher Dinge unter Zeitdruck oft untergeht, ist sie sehr sinnvoll. Natürlich braucht es im Umgang mit Arbeitsbühnen auch eine explizite Schulung und Einweisung, was die Problem­lösung weiter in die Länge ziehen kann.

Ergonomie vs. Brandschutz

In manchen Unternehmen verändern sich die Konzepte und dadurch die Personenflüsse und die Arbeitsorganisation bei ­einem Besitzerwechsel. Häufig geschieht dies schon mit dem Einzug des ersten Nutzers in einen Neubau. Das Gebäude ist schlicht nicht für die Nutzung gebaut, für die es dann gebraucht wird. Notausgänge und Fluchtwege entsprechen nicht mehr dem ursprünglichen Gedanken, Brandschutztüren werden mit Holzkeilen offen gehalten, damit die Mitarbeitenden ungehindert passieren können.

Doch im Brandfall muss eine Brandschutztüre geschlossen sein. Es gibt Rückhaltemagnete für Brandschutztüren, die das ermög­lichen und die Tür tagsüber zwar offen halten, bei einem Feuer aber automatisch schliessen. Diese Rückhaltemagnete müssen jedoch an die Brandmeldean­lage angeschlossen werden, damit das klappt – und diese Brandmeldeanlage muss wiederum gemäss Herstellerangaben regelmässig kontrolliert werden, meistens jährlich.

Brandschutz vs. Denkmalschutz

Bricht beispielsweise in einem Museum ein Feuer aus, kann man nicht per se ­massiv mit Löschflüssigkeiten hantieren. Nehmen wir die Stiftsbibliothek des Klosters St. Gallen: In einem Brandfall ist es dort ganz wichtig, die gelagerten Werte zu schützen. Mit einer Sprinkleranlage kann man Feuer erfolgreich löschen, doch sind die Bücher am Ende vielleicht genauso zerstört, wie wenn sie verbrannt wären. Was ist nun zu priorisieren?

Innovation vs. Sicherheits- und Rettungskonzept

Nehmen wir einmal das Beispiel Gastronomie: Immer häufiger müssen sich Gastbetriebe ganz besondere Angebote ausdenken, um Gäste anzulocken. Gastbetriebe mit einer besonderen Klientel aus bestimmten Regionen der Welt setzen – innovativ, wie sie sind – oft auch in der Küche auf Köche, Hilfskräfte und Menüs aus diesen Regionen. Das bedeutet häufig ganz andere Kulturen und auch ein völlig anderes Sicherheitsdenken. Eine einfache Schulung bringt dann noch längst nicht den gewünschten Effekt. Man muss also noch mehr kontrollieren und nachbessern, was viel Zeit und auch Geld kostet.

Eine andere innovative Idee ist die Erlebnisgastronomie. Es gibt heute Übernachtungsmöglichkeiten in Iglus, im Stroh oder auf dem Berg, häufig weit weg von Infrastrukturen, nur zu Fuss oder per Seilbahn erreichbar. Das macht ein Rettungskonzept ziemlich schwierig. Erleidet dort jemand einen Herzinfarkt und läuft die Seilbahn nicht, weil ein Sturm aufzog, dauert es sehr lange, bis der Rettungsdienst vor Ort ist – viel zu lange. Es bräuchte also Rettungssani­täter oder zumindest ausgebildete Ersthelfer vor Ort.

Fazit

Sicherheit kennt eigentlich keine Kompromisse. Wenn man die Sicherheit an ­einer Stelle vernachlässigt, um Kompromisse einzugehen, ist man grundsätzlich bereit, Menschenleben zu gefährden oder einen monetären Schaden für das Unternehmen in Kauf zu nehmen. Dennoch sind aufgrund der formulierten Zielkonflikte nur pragmatische Lösungen richtig erfolgreich. An erster Stelle muss immer die Unversehrtheit des Menschen stehen. Einrichtungen, die besondere Aufmerksamkeit erfordern, dürfen nicht nur von einem Fachmann aus einem Gebiet beurteilt werden.

Sie erfordern Gesamtkonzepte, die von Fachleuten aus den Bereichen Arbeitssicherheit, Brandschutz, Notfallmanagement, Einbruchschutz, Zutrittskontrolle und Intervention erarbeitet werden. Die Gefährdungen müssen erkannt und analysiert werden. Zudem müssen zielführende Massnahmen, zum Beispiel nach dem Prinzip STOP (Substitution, technische, organisatorische und persönliche Massnahmen) umgesetzt werden. Aber wie? Der Schulterschluss mit den Be­hörden ist oft und ganz besonders bei ­grösseren Infrastrukturen unerlässlich. Und es gilt die Erkenntnis: Mit einer professionellen Planung lassen sich (Folge-)Kosten von Ereignissen, Unfällen oder gar Todesfällen verhindern. Sicherheit heisst Leben retten, Tragödien verhindern und den wirtschaftlichen Erfolg ­sichern.

Frau Eger, die erste Pandemiewelle hat Unternehmen weltweit vor enorme Herausforderungen gestellt. Seither haben sich in vielen Betrieben personelle Ressourcen stark verändert. Konnte überhaupt eine Lernkurve genutzt werden? Verschnaufpausen gab es praktisch keine.

Almut Eger, Notfall- und Krisenmanagement, Geschäftsleitung 4m2s: Ja, ich stelle in vielen Betrieben eine sehr steile Lernkurve fest: Aus dem anfänglichen Unverständnis gegenüber einer völlig neuen Situation ist vielfach ein gutes Selbstvertrauen entstanden, wie das eigene Unternehmen gesteuert werden kann. Die Abläufe sind bekannt, die ge­änderten Arbeitsbedingungen eingespielt. Das heisst nicht, dass nicht ganz viele an der Grenze zur Überlast kratzen oder diese überschritten haben. Gerade Entscheidungsträger und Personen, die in der Steuerung der ausserordentlichen Aktivitäten sitzen, haben Unglaubliches geleistet und ich wünsche allen, dass die Feiertage des Jahres 2020 auch für das Aufladen der Batterien genutzt werden konnten. Denn diese ausserordentliche Situation wird uns noch eine Weile begleiten und uns weiterhin viel abverlangen …

Wurde nun deutlich, wer ein funktionierendes BCM implementiert hat und wer nicht?

Ja, das war sehr signifikant – in allen Branchen und Unternehmensgrössen. Es geht hier vor allem um die Sicht auf die wirklich prioritären Dinge, damit ein Unternehmen auch eine lange Durststrecke durchstehen kann. Und dazu gehört auch das Wissen, wie diese Prioritäten beeinflusst werden können, von intern und extern. Und es stellen sich Fragen: Wie beispielsweise wird erkannt, ob und warum nun andere Themen prioritär sind – anders, als bislang angedacht? Wie kann rasch erkannt werden, wenn externe Einflüsse Prioritäten verschieben – und soll darauf reagiert werden, ja oder nein? Und wenn ja: wie? Ein kleines, aber wichtiges Alltagsbeispiel dazu ist der neu sehr hohe Anteil der digitalen Kommunikation: Diese Art der Kommunikation erfordert viel mehr Zeit, um sich zu verstehen und zu koordinieren. Das führte zu Beginn zu viel Reibungsverlust, «Sand im Getriebe». Es mussten Prozesse und Abläufe geändert werden, um diesen Zeitverlust zu kompensieren.

Wann und bei welchen Branchen wurden BCM-Strategien zuletzt überarbeitet?

All das, was vorher «eh da» war, musste nun spezifisch organisiert werden. Wer sich dessen bewusst war, erlitt viel weniger Reibungsverluste. Bei allen personalintensiven Unternehmen respektive in den «Bürojobs» wurde sehr zielgenau reflektiert, unter welchen Arbeitsbedingungen eine möglichst positive Leistung erbracht werden kann. Beispielsweise wurde erkannt, dass Homeoffice nicht nur vom Arbeitsplatz abhängt, sondern auch von der Erreichbarkeit der ICT, angefangen bei der Bandbreite über konforme Übermittlungen bis hin zum Datenschutz. Nehmen wir zum Beispiel die digitale Unterschrift: Welche Infrastruktur brauche ich, um diese Unterschrift zu leisten? Der ganze Dokumentenfluss musste sich dadurch ändern, und zwar schnell. Denn die fehlenden Unterschriften haben vielerorts zu Compliance-Problemen geführt. Ausserdem: Für etwas, wozu man vorher wenige Minuten gebraucht hat, braucht man nun ein Vielfaches davon. Beispielsweise auch bei Besprechungen in Bauphasen im Projektmanagement war nun auf einmal ein unglaublicher Mehraufwand an Koordination gefragt.

Wie haben sich die Unternehmensprozesse allgemein im Krisenmanagement seit dem ersten Lockdown verändert? Sie erwähnten vor einem Jahr ein erforderliches Teamsplitting und eine klare Prioritätenliste.

Teamsplitting galt vor einem Jahr zu Beginn der Pandemie noch als Schimpfwort. Heute ist es ein allseits anerkanntes Codewort für das Aufrechterhalten einer Leistung. Bei der Arbeit bleiben, auch wenn man leicht erkrankt ist und wo möglich die Dinge von zu Hause aus erledigt, war ebenso ein heiss umstrittener Punkt. Heute ist dies wieder eine Selbstverständlichkeit, wie sie es die Jahre zuvor auch war.

Schon nur den Gedanken zu fassen, dass Mitarbeitende in Quarantäne weiterarbeiten können und «wollen» und dass dies ein Vorteil ist: Dieser Gedanke war im März noch völlig abstrus. Den meisten Unternehmern ist das inzwischen jedoch klar geworden und sie müssen darauf zurückgreifen. Viele Mitarbeitende wollen lieber in die Quarantäne und effizienter weiterarbeiten, statt im Office zu bleiben.

Mit solchen Prozessen musste man aber dennoch erst lernen, umzugehen. Hat sich Homeoffice nun derart gut eingespielt?

Homeoffice und Videokonferenzen ersetzen die direkte Zusammenarbeit face to face nicht auf die Dauer. Aber sie können gezielt eingesetzt werden. Ein Kunde meinte: «Das ist wie ein langes Trainingslager – wir haben’s nun kapiert und können es anwenden. Können wir das Training nun bitte beenden und wieder zur Tagesordnung übergehen?» Nein, können wir natürlich nicht. Denn wir leben nun in der neuen Tagesordnung. Das heisst: Wir müssen die Errungenschaften der letzten Monate nun gezielt einbauen in die neuen Arbeitsformen und die neuen Wege zur gegenseitigen Unterstützung und Belieferung. Insofern haben sich die Prioritäten teils verschoben, zum Teil auch einfach ergänzt. Die aktuelle Krise erfordert bei einer Krisenmanagement-Situation viel Durchhaltewillen.

Das ausführliche Interview lesen Sie in der Print-Ausgabe SicherheitsForum vom 3. März 2021.

Ein Gesetzesentwurf des Bundes soll die Sicherheit von Transplantationen mittels eines sogenannten Vigilanzsystems erhöhen. Mit der Gesetzesrevision müssen zusätzlich schwerwiegende Zwischenfälle und unerwünschte Reaktionen bei speziell bezeichneten Vigilanzstellen gemeldet werden. Der Bundesrat möchte damit eine Lücke schliessen und ein Beobachtungssystem aufbauen, das den Systemen anderer Bereiche, wie Arzneimittel oder Medizinprodukte, gleichwertig ist.

Darüber hinaus werden elektronische Systeme, die besonders schützenswerte personenbezogene Daten enthalten, neu im Gesetz und nicht mehr auf Verordnungsebene geregelt, wie es das Datenschutzgesetz verlangt. Davon betroffen sind beispielsweise die Wartelisten der Organempfängerinnen und Organempfänger sowie die Register der Personen, die zu einer Blutstammzellspende bereit sind.

Quelle: der Bundesrat

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Schwachstelle in allen öffentlichen WLAN-Routern publiziert. Die Rede ist von der Sicherheitslücke «Frag Attacks» («fragmentation and aggregation attacks»). Betroffen sind auch Smartphones, Tablets und Smart-Home-Geräte.

Die Lücke sei allerdings nur lokal und in der Nähe eines Access Points ausnutzbar. Betroffene sollen für jedes vorhandene WLAN-Gerät auf den Herstellerseiten nach Updates suchen. Sofern keine Updates zur Verfügung stehen, könne die Gefahr der Ausnutzung einiger Sicherheitslücken durch die Verwendung von HTTPS reduziert werden. Für den Privatanwender dürfte die Lücke somit weniger tragisch sein. Jedoch sensibilisiert das BSI insbesondere die Geschäftsbetriebe, da sich aus der Fragattacks-Lücke mit Leichtigkeit gewisse Umgebungen erschnüffeln liessen.

Die ganze Sicherheitswarnung lässt sich beim BSI als PDF einsehen.

Ein entsprechendes Hilfe-Tool vom BSI, um betroffene Geräte aufzuspüren, lässt sich hier herunterladen.

Quelle: BSI

Die Digitalisierung schreitet auch im Gesundheitswesen unaufhaltsam voran. Globalisierte Lieferketten, computergesteuerte Logistik oder elektronische Patientendossiers bestätigen dies. Doch die zunehmende Digitalisierung bietet auch potentielle Angriffsflächen für Cyberkriminelle. Erfolgreiche Angriffe im Gesundheitswesen haben weitreichende Konsequenzen. Ein Datenabfluss kann besonders schützenswerte Personendaten betreffen. Ausserdem können Funktionsausfälle von IT-Systemen oder eine auch nur temporäre Nichtverfügbarkeit von Daten die Gesundheit oder sogar das Leben von Menschen gefährden. Im Halbjahresbericht werden aktuelle Fälle sowie die erforderlichen Schutzmassnahmen beleuchtet.

Ransomware birgt grösstes Schadenspotenzial

Vorfälle mit Verschlüsselungstrojanern (Ransomware) zählen zu den Ereignissen mit dem grössten Schadenspotential, denn Betriebsausfälle und Wiederherstellung verursachen grosse Kosten und führen im schlimmsten Fall zu einem kompletten Datenverlust. Für die in Aussicht gestellte Entschlüsselung der Daten werden von den Angreifern hohe Lösegelder gefordert. In der zweiten Jahreshälfte 2020 sind beim NCSC 34 Meldungen dazu aus verschiedenen Wirtschaftssektoren in der Schweiz eingegangen. Rund 80 Prozent der Meldungen betrafen kleine und mittlere Unternehmen (KMU).

Eine weitere Schadsoftware sorgte im letzten Jahr weltweit für Schlagzeilen. Nach mehrmonatigem Unterbruch beobachtete das NCSC seit Juli 2020 erneut verschiedene Spam-Wellen der «Emotet»-Schadsoftware. Ursprünglich als E-Banking-Trojaner bekannt, wurde «Emotet» zuletzt vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware verwendet, bis dann am 27. Januar 2021 Europol bekannt gab, dass das «Emotet-Botnet» durch eine koordinierte Aktion internationaler Strafverfolgungs- und Justizbehörden deaktiviert worden war. Der Halbjahresbericht gibt Einblick in die Funktionsweise von «Emotet».

Zum Halbjahresbericht

Quelle: Bund

Die Dauer der rollenden Begutachtung hängt von der Vollständigkeit der eingereichten Daten und den Resultaten der klinischen Versuche ab. Swissmedic wird nach Abschluss der Expertise den Entscheid über die Zulassung treffen können. Pfizer/BioNTech haben letzte Woche auch bei der EMA (Europäische Arzneimittelbehörde) und der FDA (US-Behörde für Lebens- und Arzneimittel) entsprechende Gesuche eingereicht.

Swissmedic erteilt Novartis-Betriebsbewilligung zur Abfüllung des Impfstoffs Comirnaty

Firmen, die in der Schweiz Arzneimittel oder Transplantatprodukte herstellen oder vermitteln, benötigen eine Betriebsbewilligung. Swissmedic erteilt diese Bewilligungen unter anderem gestützt auf eine erfolgreiche Inspektion. Eine Betriebsbewilligung weist nach, dass die Firma über erforderliche Ressourcen und Prozesse verfügt, um die Qualität der Produkte sicherzustellen und diese zu laufend überwachen. Ende April hat Swissmedic Novartis die Betriebsbewilligung für den Produktionsstandort Stein (Kanton Aargau) für die Abfüllung und Verpackung des Impfstoffs «Comirnaty» im Auftrag der Zulassungsinhaberin erteilt.

Quelle: Swissmedic, Schweizerisches Heilmittelinstitut

Die Bundesverwaltung will laut einer Mitteilung die Möglichkeiten von Bug Bounty-Programmen nutzen und dabei abklären, inwiefern diese einen strategischen Beitrag zur Sicherheit von Infrastrukturen bei Verwaltungen und Unternehmen leisten können.

Dazu führt das Nationale Zentrum für Cybersicherheit (NCSC) gemeinsam mit Bug Bounty Switzerland GmbH (BBS) erstmals ein entsprechendes Pilotprojekt in der Bundesverwaltung durch. Der Test begann am 10. Mai 2021 und dauert zwei Wochen. Im Rahmen von Bug Bounty-Programmen werden «ethische Hacker» – Hacker, welche in einem definierten Rahmen legal nach Schwachstellen suchen – dazu aufgerufen, Schwachstellen in den IT-Systemen einer Organisation aufzuspüren. Für jede gefundene und bestätigte Schwachstelle (Bug) erhält der erfolgreiche Hacker eine Belohnung (Bounty), abgestuft nach Schweregrad der gefundenen Schwachstelle.

Das Pilotprojekt des Bundes ist in seinem Umfang klar eingegrenzt. Als Ziele wurden zwei IT-Systeme des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sowie eines der Parlamentsdienste ausgewählt. Zudem ist der Kreis der Bug Bounty-Jäger in diesem ersten Test auf ethische Hacker eingeschränkt, welche BBS oder dem NSCS bekannt sind und sich bereits in anderen Projekten bewährt haben.

Da die Bundesverwaltung – wie auch andere regulierte Branchen – strenge Anforderungen an den Datenschutz stellen und einen Datenstandort in der Schweiz fordern, hat BBS in den letzten Monaten mit technischer Hilfe von Microsoft Schweiz eine eigene Bug Bounty-Plattform entwickelt, die vollständig in der Schweiz betrieben wird. Diese Plattform basiert auf modernsten Cloud-Technologien und erfüllt die Bedürfnisse von Bund und anderen regulierten Branchen wie beispielsweise von kritischen Infrastrukturen.

Die Durchführung des Bug Bounty-Programms obliegt BBS, wird aber durch das NCSC sowie Vertreter des EDA und der Parlamentsdienste eng begleitet. Mit dem Test soll die Grundlage für eine Diskussion zum weiteren Vorgehen zur Nutzung von Bug Bounty-Programmen geschaffen werden.

Quelle: Eidgenössisches Finanzdepartement

Ende Juni soll nun vom Bundesamt für Informatik ein fälschungssichereres Covid-Zertifikat für geimpfte, genesene und negativ getestete Personen zur Verfügung gestellt werden. Veranlasst hat das Prozedere das Bundesamt für Gesundheit (BAG). Die Lösung soll EU-kompatibel und auf das technische Minimum beschränkt sein, heisst es in einer Mitteilung des BAG. Der Quellcode werde offengelegt.

Eingebunden in des Projekt werden der Berufsverband der Schweizer Ärtzinnen und Ärzte (FMH) sowie der Schweizerische Apothekerverband Pharmasuisse.

Zu den Anforderrungen schreibt das BAG:

Das Zertifikat muss benutzerfreundlich sein und sowohl in Papierform wie auch auf dem Smartphone einfach ausgestellt und rasch überprüft werden können. Die Datensicherheit muss sichergestellt sein. Die Personendaten werden nicht zentral gespeichert. Die Kompatibilität mit dem «Digital Green Certificate» der EU wird sichergestellt werden. Die Schweiz arbeitet zudem mit im Projekt der Weltgesundheitsorganisation WHO für ein international anerkanntes Zertifikat («Smart Vaccination Certificate»).

Für die technische Umsetzung habe das BAG in den letzten zwei Wochen technische Lösungen geprüft. In einer ersten Phase sind 52 Proejkte eingereicht worden.

Quelle: BAG

Laut dem Online-Magazin «Bleeping Computer» häuften sich in den letzten Tagen Meldungen verzweifelter Windows-10-Nutzer, die sich über einen lästigen Bug beklagen. Dieser soll in Windows Defender Tausende von Dateien generieren und den Systemspeicher regelrecht überhäufen. Microsoft hat sich bislang nicht zu dem Problem geäussert, verspricht jedoch schnelle Abhilfe.

In einem Reddit-Thread wurde ein Nutzer schon von Microsoft informiert, dass Redmond das Problem kenne und derweil an einem Hotfix arbeite. Das Update wurde seit dem 6. Mai in normalen Release-Zyklen verteilt und sollte nun den meisten Nutzern zur Verfügung stehen.

Die Lösung soll darin bestehen, Windows Defender zu aktualisieren oder den Echtzeit-Schutz vorübergehend zu deaktivieren, bis ein Update möglich ist. Betroffen sind Systeme mit der Engine-Version 18100.5.

Quelle: Winfuture.de

Viele KMU gehen davon aus, kein attraktives Ziel für Cyberattacken zu sein. Nur elf Prozent der Schweizer KMU sehen sich selbst als potenzielles Opfer eines Angriffs, der ihr Geschäft für mindestens einen Tag lang ausser Kraft setzt (gfs-zürich, 2020).

Veraltete Betriebssysteme

Es gibt zahlreiche Sicherheitslücken, die ein Angreifer nutzen kann, um sich Zugriff zu einem Unternehmensnetzwerk zu verschaffen. Ein Beispiel sind Ransomware-Attacken – eine bestimmte Art Malware – die besonders bei veralteter Software und Hardware erfolgreich sind. Hersteller von Soft- und Hardware schliessen mit Patches und Updates nachträglich erkannte Schwachstellen, die für einen Angriff ausgenutzt werden können. Im Fall veralteter Produkte sind solche Updates und Patches nicht mehr verfügbar, sodass sich Lücken nicht mehr schliessen lassen. Bei einer Ransomware-Attacke nutzen Angreifer bestehende Sicherheitslücken in den Betriebssystemen ihres Opfers aus und verschlüsseln die Daten oder entwenden ­diese, um eine Lösegeldzahlung für die Entschlüsselung der Daten oder für die Nicht-Veröffentlichung der zuvor gestohlenen Daten zu fordern. Gerade in Zeiten von Homeoffice wird die Vermischung von privatem und beruflichem Netzwerk zum Problem, wenn Sicherheitslücken bestehen. Denn viele Angestellte benutzen die häufig weniger sicheren privaten Netzwerke, wenn sie von zu Hause aus arbeiten. Angreifer könnten sich so Zugang zu den Firmensystemen verschaffen und sich Daten aneignen.

Supply Chain Security

Eine weitere Sicherheitslücke, die bei KMU heute noch zu wenig Beachtung findet, ist die Rolle der Lieferkette im Unternehmen. Viele KMU sind für die Aufrechterhaltung ihres Geschäftes auf eine Reihe von Zulieferern und Dienstleistern angewiesen. Einerseits besteht die Möglichkeit, dass die eingekauften Produkte bereits Schwachstellen – zum Beispiel sogenannte Backdoors – enthalten. Andererseits kann sich ein Angreifer über einen wenig geschützten Zulieferer Zugang in das Firmennetzwerk der Abnehmerfirma verschaffen und dieses beeinträchtigen. Eine Datenschutzverletzung, die bei einem Zulieferer auftritt, betrifft denn auch die Abnehmerfirma. Das WLAN kann eine Sicherheitslücke in ­einem Unternehmen darstellen und als Einfallstor für Schadsoftware oder Hackerattacken genutzt werden. Es ist daher fundamental, dass Unternehmen ihr WLAN mit einem sicheren Standard verschlüsseln und für Gäste ein separates WLAN verwenden. Mitarbeitende sollten kein öffentliches WLAN nutzen, da dieses anfällig für Angriffe ist und schlimmstenfalls Firmendaten abgezogen werden.

Der Mensch als Risikofaktor

Oft sind nicht fehlende technische Massnahmen das Problem eines erfolgreichen Angriffes oder von Datenverlust. Das Eindringen in die Systeme wird häufig erst durch Mitarbeitende möglich. Der Mensch ist für Cyberangriffe somit noch immer das Eintrittstor Nummer eins. Bei Phishing-E-Mails – einer der häufigsten Arten des Social Engineering – versuchen Kriminelle, mit professionell gestalteten E-Mails an Logindaten oder Kreditkarteninformationen ihrer Opfer zu gelangen. Oftmals nutzen die Angreifer öffentlich zugängliche Informationen dieser Personen, sodass die E-Mails persönlich und seriös wirken. Beim Phishing wird das Opfer mittels eines Klicks auf eine gefälschte Website weitergeleitet, auf der sensitive Informationen abgefragt werden. Manchmal werden die Daten auch direkt über das vertrauenswürdig wirkende E-Mail des Angreifers eingeholt. Ebenso ist es möglich, dass die Mailempfängerin oder der -empfänger durch das Öffnen einer Datei eine Schadsoftware installiert.

So können sich KMU schützen

Der erste Schritt zu einer verbesserten Cybersicherheit ist für jedes Unternehmen das Risikobewusstsein für Cyber­angriffe. Cybersicherheit muss auf Geschäftsleitungsebene thematisiert werden. Die Mitarbeitenden sollen mit regelmässigen internen Schulungen auf die Gefahren im Netz hingewiesen und so für das Thema sensibilisiert werden. Um ihre Cybersicherheit zu erhöhen, arbeitet heute bereits etwa die Hälfte der KMU mit einem externen Dienstleister zusammen.

Je kleiner das KMU, desto eher werden die Massnahmen ohne externe Unterstützung umgesetzt (gfs-zürich, 2020). Gemeinsam mit Bund und Verbänden haben Digitalswitzerland und die SATW als Teil der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) einen Schnelltest sowie einen Leitfaden entwickelt. Diese Hilfsmittel richten sich in erster Linie an KMU mit wenig Wissen im Bereich Cybersicherheit und erlauben ­ihnen sowie externen Dienstleistern eine Standortbestimmung. Zudem zeigen sie auf, welches die wichtigsten Massnahmen für einen minimalen Cybersecurity-Grundschutz sind. Die nachfolgende Zusammenstellung zeigt eine Auswahl der wichtigsten Schutzmassnahmen.

Auf einen Notfall vorbereitet sein

Bei einem Cybervorfall ist die richtige Vorbereitung zentral und entscheidet darüber, ob und wie schnell ein KMU den Betrieb wieder aufnehmen kann. Eine rasche und adäquate Reaktion kann Schäden entscheidend verringern oder sogar vermeiden. Dazu ist es wichtig, dass KMU ihre Organisation auf diese Bedrohungen ausrichten und entsprechende Prozesse definieren: Beispiele hierfür sind ein regelmässiges Backup der Firmendaten durchzuführen, dieses physisch getrennt von den Systemen abzulegen sowie das Zurückspielen und die Lesbarkeit der Daten zu prüfen.

Ebenso empfiehlt sich die Erstellung eines Notfallplans und eine ­selektive Vergabe der Zugriffsrechte. Da dem Faktor Mensch bei Cyberangriffen eine derart grosse Bedeutung zukommt, ist es wichtig, dass Mitarbeitende die aktuellen Gefahren kennen, mit den technischen Mitteln umgehen können und die wichtigsten Regeln einhalten. KMU sollten daher die Sensibilisierung der Angestellten im Unternehmensalltag verankern.

Ebenso empfiehlt sich, für einen bestmöglichen Schutz die Verwendung sicherer und verschiedener Passwörter für unterschiedliche Anwendungen, die Nutzung eines Passwortmanagers und eine Zwei-Faktor-Authentisierung für kritische Dienstleistungen. Auf technischer Seite hilft eine aktuelle Firewall, um den Computer vor unerlaubten Zugriffen zu schützen. Eine aktualisierte Antiviren­software hält Viren, Würmer und Trojaner vom System fern. Alte Geräte, für die keine Software-Updates mehr verfügbar sind, sollten nicht mit dem Internet verbunden werden. Bei der Zusammenarbeit mit Lieferanten oder Dienstleistern ist es wichtig, darauf zu achten, dass die Partner die ­minimalen Cybersicherheitsmassnahmen einhalten. Nur so kann ein KMU das Risiko, durch einen Angriff auf einen Partner mitbetroffen zu sein, minimieren.

Quelle: SATW

Das elektronische Patientendossier (EPD) nimmt langsam Fahrt auf. Bei dem EPD handelt es sich um eine elektronische Krankenakte. Darin können zum Beispiel Austrittsberichte von Spitälern, die Medikamentenliste, Röntgenbilder oder der Impfausweis abgelegt werden. Welche Ärztinnen und Ärzte Zugriff auf die Informationen im Dossier haben, kann jede Person selber entscheiden. Aargauerinnen und Aargauer, die das wollen, können nun ihr eigenes Patientendossier eröffnen. Möglich ist die Eröffnung in der Postfiliale Aarau.

Für die Eröffnung und der dafür notwendigen elektronischen Identität (trustID) seien die Filialmitarbeitenden sorgfältig geschult und eigens dafür zertifiziert. Während der Validierung und der Eröffnung sollen die strengen Vorgaben des Bundesgesetzes über das elektronische Patientendossier (EPDG) zum Datenschutz und zur Datensicherheit eingehalten werden. Mit Baden ist bereits die nächste Filiale im Versorgungsgebiet der Stammgemeinschaft eHealth geplant: Im Juni 2021 wird sie den Betrieb als zweite EPD-Eröffnungsstelle aufnehmen. Im Jahr 2021 folgen als weitere Eröffnungsstellen die Filialen Rheinfelden und Muri (AG).

«Die Einführung ist ein Meilenstein fürs Schweizer Gesundheitswesen», freut sich Nicolai Lütschg, Geschäftsführer der Stammgemeinschaft eHealth Aargau.

Quelle: eHealth