«IT-Sicherheitsprobleme 
gehören zur täglichen Arbeit»

Gab es bei Ihnen im Hause bereits einmal IT-Sicherheitsprobleme? Hatten diese möglicherweise oder gar eindeutig mit einer Unachtsamkeit von Mitarbeitenden zu tun?

Michael Meli: Nur in seltenen Fällen liegt die Ursache von Sicherheitsproblemen, welche die Endgeräte betreffen, in einem bewussten Verstoss gegen die Swisscom-Nutzungsdirektiven für Informatiksysteme. Viel wahrscheinlicher ist die unbeabsichtigte Infektion: Leider reicht häufig bereits der Besuch einer infizierten Internetseite aus, um die eigene Arbeitsstation mit Schadsoftware zu verseuchen. Wir sprechen dann von einer so genannten Drive-by-Infektion. Oft genug wissen die Betreiber der infizierten Webseite gar nicht, dass sie Schadsoftware verbreitet. Daher ist ein entsprechender Schutz der Endgeräte unabdingbar.

Marcus Griesser: Es gibt, wie in jeder Firma, immer wieder mal kleinere IT-Sicherheitsprobleme, welche durch Unachtsamkeit von Mitarbeitenden verursacht werden. Bis heute ist es aber noch zu keinem gravierenden Vorfall gekommen, der unsere Geschäftstätigkeit beeinträchtigt hätte. Wir setzen konsequent auf einen Mix aus technischen, organisatorischen und prozessualen Sicherheitsmechanismen zum Schutz unserer Informationen und ICT-Systeme.

Andreas Zajc: Dazu können wir keine Stellung nehmen.

Claudio Frigerio: Bei einer Organisation unserer Grösse gehören IT-Sicherheitsprobleme zur täglichen Arbeit. Unachtsamkeiten von Mitarbeitenden können nie ganz ausgeschlossen werden und kommen immer wieder vor. Aus diesem Grund werden immer mehrstufige Schutzmechanismen eingesetzt, so dass ein Fehler nur sehr beschränkte Wirkung entfalten kann.

Marc Schneider: Ja, auch wir hatten mal ein Problem. Ein Mitarbeiter handelte unachtsam und mit unzureichendem Wissen. Er steckte in seinem Büro einen WLAN-Accesspoint ein. Dieser war aber nicht gesichert und öffnete so das firmeninterne Netz. Mit einem Penetrationstest haben wir diese Lücke gefunden und sofort geschlossen. Das heute eingesetzte NAC (Network Access Control) verhindert solche Aktionen, da es nur noch «bekannte» Geräte ins Netz lässt.

Erhalten die Mitarbeitenden Ihrer Unternehmung Schulungen, die bezüglich der Risiken eines leichtsinnigen Umgangs mit digitalen Medien sensibilisieren sollen und die impliziten Gefahren von Sicherheitslücken vergegenwärtigen?

Michael Meli: Swisscom führt regelmässig Kampagnen durch, um die Mitarbeitenden für die Risiken in der digitalen Welt zu sensibilisieren. Diese Kampagnen können sowohl einen übergreifenden Charakter haben als auch auf eine bestimmte Zielgruppe zugeschnitten sein. Speziell zum Thema Social Media hat Swisscom einen Leitfaden entwickelt, welcher Verhaltensrichtlinien im Umgang mit digitalen Medien vorgibt.

Marcus Griesser: Neu eintretende Mitarbeitende werden anlässlich der internen Willkommenstage auf die Vorgaben der ICT-Security hingewiesen. Die Mitarbeitenden der Informatik werden bei ihrem Eintritt in Belangen der Informationssicherheit geschult. Zudem werden unregelmässig Awareness-Aktionen mittels Flyern etc. oder Aktionen am jährlichen Swiss Security Day durchgeführt.

Andreas Zajc: Alle Mitarbeitenden der IBM weltweit zertifizieren sich jedes Jahr im Rahmen unserer Business Conduct Guidelines bezüglich Datensicherheit und des Umgangs mit sensiblen Daten und werden in diesem Rahmen auch geschult. Zusätzlich gibt es spezielle Sicherheitsrichtlinien für mobile Geräte. Die Mitarbeitenden werden darüber detailliert informiert, 
bevor sie Smartphones oder Tablet-PCs 
einsetzen.

Claudio Frigerio: Die Mitarbeitenden werden beim Eintritt in die Organisation geschult und es werden regelmässig Awareness-Kampagnen durchgeführt, um das Wissen und die Aufmerksamkeit der Mitarbeitenden aktuell zu halten. Weiter werden regelmässig und mehrfach pro Jahr über verschiedene Kanäle Informationen zum sicheren Umgang mit IT verteilt.

Marc Schneider: Die Mitarbeitenden erhalten eine Einführung inklusive eines IT-Richtlinien-Dokuments, welches deutlich formuliert, was erlaubt und was nicht zugelassen ist. Dieses Schriftstück ist zu unterzeichnen und wird im HR-Dossier jedes Einzelnen abgelegt. Verstösse gegen das Reglement können mit Mahnungen, Verwarnungen etc. geahndet werden.

Sind Ihre IT-Systeme einzig durch Passworteingabe gesichert oder schon durch eine komplexere, starke Benutzerauthentifizierung? Sind mobile Kommunikationsgeräte (Smartphones, iPads etc.) im IT-
Sicherheitskonzept des Unternehmens integriert?

Michael Meli: Wir arbeiten mit verschiedenen Güteklassen. Eine Anmeldung am Arbeitsplatz findet mit einer komplexen Passworteingabe statt. Eine Verbindung von aussen mit dem Firmennetzwerk oder der Zugriff auf produktive Server erfordern dagegen eine starke Authentisierung mittels Zertifikat oder Token. Mobile Kommunikationsgeräte sind dabei in diese Überlegungen integriert. In einem Pilotprojekt verwenden wir Mobilgeräte, um Mitarbeitende anhand eines Zertifikates, welches sich auf der SIM-Karte befindet, stark zu authentisieren. Das Smartphone ist somit nicht nur Informationsträger, sondern auch Sicherheitsmerkmal.

Marcus Griesser: Unsere IT-Systeme sind aufgrund ihrer Klassifikation und des daraus abgeleiteten Schutzbedarfs geschützt. Das heisst, dass in einigen Fällen (meistens im internen Netz) Benutzername/Passwort ausreicht. Bei Zugriff via unsichere Wege (zum Beispiel über das Internet) wird eine 3-Faktor-Authentifikation durchgeführt. Auch mobile Geräte sind in diese Klassifikationssicherheitskonzepte integriert. Die Sicherheitsmechanismen basieren auf der heutigen technischen Machbarkeit.

Andreas Zajc: Für die Sicherheit unserer IT-Systeme sind verschiedene Verfahren im Einsatz. Dazu gehört auch das klassische Passwort. Es ist aber nur ein Element eines umfassenden Sicherheitskonzeptes. Dieses Konzept umfasst auch den Einsatz von Smartphones und Tablet-PCs.

Claudio Frigerio: Der Schutz der IT-Systeme ist unterschiedlich. Zurzeit wird ein grosses Programm umgesetzt, das den Schutz der IT-Systeme weiter erhöht. Smartphones sind in die Sicherheitskonzepte integriert.

Marc Schneider: Das Windows Active Directory ist das Hauptbenutzerverzeichnis für die Domainanmeldung. Hier erfolgt das Login via Benutzername und Passwort. Für die externe Anmeldung braucht es 
einen zusätzlich generierten Sicherheitscode (SMS). Viele Applikationen verfügen nochmals über ein separates Login mit Benutzernamen und Passwort. iPads gelten als externe Geräte. Mobile Windows-Rechner werden gemäss dem Standard der Klinik via Softwareverteilung aufgesetzt und sind somit im Sicherheitskonzept integriert. User von Smartphones können passwortgeschützt auf ihre E-Mails zugreifen.

Sind Mitarbeitern Ihres Unternehmens die Benutzung privater Mobilgeräte und/oder das Nutzen (eventuell sicherheitskritischer) Social-Media-Anwendungen erlaubt? Welche Policies sind hier, kurz gesagt, vereinbart worden? Oder werden auch private Mobilgeräte von der IT-Security-Abteilung gemanagt?

Michael Meli: Swisscom stellt jedem Mitarbeiter ein Smartphone als Dienstgerät zur Verfügung. Die Nutzung von Social-Media-Plattformen ist gestattet, sie sollte sich jedoch in einem akzeptablen Rahmen bewegen – was sie auch tut.

Marcus Griesser: Die Benutzung von privaten Smartphones ist bei den SBB nicht verboten. Der Zugriff auf Firmendaten, wie beispielsweise E-Mail, erfolgt über eine gesicherte Umgebung. Der Gebrauch von Social Media wird im Rahmen der beschränkten privaten Internetnutzung am Arbeitsplatz akzeptiert. Sperrungen von solchen Seiten erfolgen in den meisten Fällen aufgrund betrieblicher Aspekte (bei über 16 000 IT-Nutzern zum Beispiel durch übermässigen Bandbreitenbedarf von nicht geschäftsrelevanten Internetnutzungen).

Andreas Zajc: Den Mitarbeitenden der IBM steht die Nutzung privater Mobilgeräte frei, wenn sie die Sicherheitsbestimmungen der IBM erfüllen. Die Nutzung von Social-Media-Anwendungen ist Mitarbeitenden ebenfalls erlaubt – unabhängig davon, ob sie dafür PCs, das Smartphone oder andere Geräte benützen. Die IBM war nebenbei bemerkt eines der ersten Unternehmen weltweit, welche den Mitarbeitenden schon 2005 die Nutzung von Social Media wie Blogs und Wikis nicht nur erlaubt, sondern empfohlen haben. Die Richtlinien im Umgang mit Social Computing haben die IBM-Mitarbeitenden übrigens selbst entwickelt – ein wesentlicher Aspekt für ihren Erfolg.1

Claudio Frigerio: Der Einsatz privater Geräte zu dienstlichen Zwecken ist nicht erlaubt. Die Nutzung einiger Social-Media-Anwendungen ist technisch verhindert, jedoch nicht aus Sicherheitsüberlegungen.

Marc Schneider: Social-Media-Anwendungen sind bei uns nicht erlaubt. Bei den privaten Mobilgeräten sieht die Policy vor, dass es nur via einen von uns gemanagten Zugang über einen VPN-Tunnel (Virtual Private Network) Zugriff auf interne Ressourcen gibt, welche individuell für jeden User freigegeben werden. Der Zugang zum VPN erfolgt immer über unseren Public-WLAN-Access, der nicht mit unserem internen Netz verbunden ist.

Werden bei Ihnen im Hause gemanagte Mobilgeräte bereits vor Malware geschützt? Und wenn ja, wie?

Michael Meli: Um sich konsequent und wirtschaftlich vor Schadsoftware auf Mobilgeräten zu schützen, musste man sich in der Vergangenheit auf wenige Gerätetypen beschränken. Es gab keine geeignete Software auf dem Markt, die die gängigs-ten Technologien abdeckte. Dies hat sich nun geändert: Zurzeit prüfen wir verschiedene Lösungen, um eine sichere und wirtschaftliche zu finden. Swisscom verfügt aber bereits über einen aktiven Schutz vor Schadprogrammen im mobilen Netz. So ist es zum Beispiel möglich, infizierte MMS bereits vor dem Erreichen des Endgerätes unschädlich zu machen.

Marcus Griesser: Wir unterscheiden einerseits zwischen Business-Geräten und andererseits Consumer-Geräten wie beispielsweise iPads oder Android-Smartphones. Die Business-Geräte, wie sie beispielsweise die Zugbegleiter verwenden, werden durch die Informatik unterhalten. Consumer-Geräte werden durch die Benutzer selber verwaltet. Die Informatik stellt sicher, dass der Zugriff auf kritische Informationen geregelt und nachvollziehbar erfolgt.

Andreas Zajc: Im Hause verwaltete Mobilgeräte werden mit einem Antivirus-Produkt vor Malware geschützt. Wie das genau geschieht, können wir aus verständlichen Gründen nicht detailliert erklären.

Claudio Frigerio: Mobile Geräte werden gemäss ihrem vorgesehenen Einsatzzweck geschützt. Über die Ausgestaltung des Schutzes geben wir aus naheliegenden Gründen keine Auskunft.

Marc Schneider: Ja, dies geschieht mittels Firewall und Proxy-Servern. Sowohl Betriebssystem- als auch Anwendungssoftware für individuelle User werden ausschliesslich zentral durch die Verwendung der lizenzierten Originalsoftware verteilt. User können auf ihren Geräten keine Programme selbst installieren und ausführen.

Nutzt Ihre Unternehmung bereits Cloud-Computing-Services im HR-IT respektive im allgemeinen Unternehmens-IT-Bereich? Wenn ja, welche: Private, Public, Hybrid Cloud, SaaS etc.? Wenn nein, warum nicht? Geschieht dies aufgrund von Sicherheitsbedenken?

Michael Meli: Swisscom ist selbst Anbieter von Cloud-Computing-Services und nutzt sie natürlich auch selbst. Wir haben heute schon Kunden, welche sensitive HR-Informationen in einem Swisscom-Rechenzentrum in einer «Private Cloud» verarbeiten. Das ist sehr sicher, weil Swisscom ihre Rechenzentren auf Schweizer Boden gemäss den hierzulande gültigen Rechtsvorschriften betreibt und alle Daten garantiert im Inland bleiben.

Marcus Griesser: Die SBB setzen seit einigen Jahren auf Outsourcing der Informatik. Unsere Anwendungen werden durch externe Provider betrieben. Man kann hier von einer Art «Private Cloud» sprechen. Wir stellen über Verträge und regelmässige Audits sicher, dass unsere Betriebs- und Sicherheitsanforderungen sowie die in der Schweiz geltenden Gesetze eingehalten werden. So dürfen beispielsweise kritische Daten im Sinne des Datenschutzgesetzes nur in Länder ausgelagert werden, welche mindestens den Schweizer Sicherheits- und Datenschutzstandards entsprechen.

Andreas Zajc: Die IBM nutzt Cloud-Computing-Modelle in vielen Unternehmensbereichen. Dazu gehört auch der Personalbereich. Beispiele sind die Administration von Kursen und Anmeldedaten oder auch im Bereich Rekrutierung das Verwalten der internen und externen Bewerbungen. Da Personaldaten sehr sensitive Daten sind, setzt die Firma hier auf «Private Clouds» und stellt sicher, dass sowohl die strengen weltweiten Datenschutzrichtlinien der IBM als auch jene der jeweiligen Länder erfüllt sind.

Claudio Frigerio: Public Clouds werden nicht produktiv eingesetzt. Aufgrund der Grösse der IT werden mehrfach Services angeboten, die Entsprechendes leisten, wie dies auch Clouds tun. Es handelt sich dabei ausschliesslich um private Software-Service-Leistungen (SaaS – beispielsweise Administrationsservices für Systeme), teilweise auch PaaS (Platform-as-a-Service, wie etwa Windows-Server-Plattformen, die 
virtualisiert sind).

Marc Schneider: Nein, diese Technologie steht bei uns noch nicht im Einsatz. Da wir besonders schützenswerte Daten in Form von Patienteninformationen führen, sind die Bedenken zum heutigen Zeitpunkt für uns einfach noch zu gross.

1 Die IBM Social Computing Guidelines sind 
veröffentlicht unter 
www.ibm.com/blogs/zz/en/guidelines.html