IT-Sicherheit? Die meisten IT-Dienstleister schweigen

23. November 2023 um 12:55
  • security
  • cyberangriff
  • IT-Dienstleister
  • bund
image
Foto: Dendy Darma Satyazi / Unsplash

Welche Lehren haben Schweizer IT-Dienstleister aus dem Xplain-Debakel gezogen? Haben sie sich zertifiziert oder Prozesse angepasst? Konkret geäussert hat sich nur ein einziges Unternehmen.

Rund ein halbes Jahr ist es her, seit Xplain Opfer eines Ransomware-Angriffs geworden ist. Da der Anbieter unter anderem das Bundesamt für Polizei (Fedpol), das Bundesamt für Zoll und Grenzsicherheit oder die Sicherheitsdirektion des Kantons Zürich zu seinen Kunden zählte, waren die gestohlenen Daten besonders heikel.
Doch Xplain ist nicht der einzige IT-Dienstleister, der sich in diesem Umfeld bewegt. Dazu zählen auch Firmen wie Abraxas, Delta Logic, Dycom, Eraneos, Ergon, Glaux Group, Hexagon, Logobject oder Unisys. Auch sie erhalten regelmässig Aufträge aus dem Umfeld von Polizei, Justiz und Grenzschutz – sowohl auf Bundes- als auch auf kantonaler Ebene.
Vor 2 Wochen haben wir diese 9 Unternehmen angeschrieben und ihnen einen ausführlichen Fragenkatalog geschickt. 5 davon haben trotz Nachfassen nicht geantwortet. Das sind: Dycom, Eraneos, Hexagon, Logobject und Unisys. Ergon meldete sich per Telefon mit der Aussage, man äussere sich nicht öffentlich zu sicherheitsrelevanten Themen.
Die gestellten Fragen
  • Welche Learnings haben Sie aus dem Xplain-Hack gezogen?
  • Haben Sie interne Prozesse angepasst?
  • Haben Sie externe Prozesse (mit Kunden) angepasst?
  • Wussten Sie schon immer, welche Daten von wem und mit welcher Klassifizierung bei Ihnen gespeichert sind?
  • Wissen Sie es jetzt?
  • Reagieren Sie seit dem Angriff anders auf Ausschreibungen?
  • Stellen Sie andere Anforderungen an die Zusammenarbeit mit Behörden?
  • Haben Sie im Nachgang gewisse Dienstleistungen oder Unternehmensteile neu zertifizieren lassen?
  • Gibt es in Ihrem Unternehmen einen Notfallplan für einen Cyberangriff? Wie sieht dieser aus?
  • Welche Sicherheitsvorkehrungen haben Sie seit dem Vorfall bei Xplain getroffen?
  • Werden ihre Mitarbeitenden in Sachen Cybersecurity geschult?
  • Bemerken Sie in Ausschreibungen veränderte Anforderungen seitens der Bedarfsstellen?
  • Haben Sie eine veränderte Anforderungshaltung bezüglich Datenschutz in solchen Projekten gesehen/erfahren?
Wie ist das Ignorieren einer solchen Anfrage zu deuten? Sie böte schliesslich die Gelegenheit, sich als vertrauenswürdiger Anbieter zu positionieren. Auf diese Frage gibt es verschiedene Antworten und keine davon ist für die Anbieter besonders positiv.

3 Unternehmen antworteten mal kurz mal ausführlich

Immerhin 2 Unternehmen haben sich kurz mit der Anfrage auseinandergesetzt:
Herbert Dommann, Geschäftsführer von Delta Logic, schreibt: "Wir waren bereits vor dem Xplain-Hack für Sicherheitsthemen sensibilisiert." Zu keinem Zeitpunkt seien sensible Kundendaten auf der eigenen Infrastruktur gespeichert worden und "seit dem Hack achten wir noch mehr darauf, dass wir auch in Projekten niemals Dokumente mit schützenswerten Daten entgegennehmen". Zwar seien die Produkte "noch nicht zertifiziert", würden aber regelmässigen Penetrations-Tests und Codereviews unterzogen, so Dommann.
Abraxas lässt im Namen von Sprecher Gregor Patorski ausrichten, dass "dieser Vorfall uns in unseren Sicherheitsanstrengungen und in unseren Investitionen in die Awareness unserer Mitarbeitenden bestätigt". Die Awareness der Mitarbeitenden würde "in einer jährlich stattfindenden Pflichtausbildung" geschult und auch der Kundschaft würden solche Trainings angeboten. Ausserdem würde Abraxas feststellen, dass das Thema "Cybersicherheit bei unseren Kunden der öffentlichen Hand zusehends an Bedeutung gewonnen hat". Und spätestens seit dem neuen Datenschutzgesetz würden "die vorgängigen regulatorischen Abklärungen zu Daten und deren Klassifizierung bei Cloud-Projekten mittlerweile zum Standard gehören", schreibt Patorski.
image
Beat Kiener, Glaux Group
Zu den gestellten Fragen konkret Stellung bezogen hat als einziger Beat Kiener, CTO der Glaux Group (Foto). Auch er schreibt, dass der Vorfall bei Xplain "unsere bestehenden Sicherheitsbemühungen bestätigt" habe. Darüber hinaus sei klar, dass "Cyberangriffe jederzeit auftreten können und wir bereit sein müssen, angemessen darauf zu reagieren"
Beat Kiener, haben Sie interne Prozesse angepasst? Ja, als Reaktion auf den Xplain-Hack haben wir einige Anpassungen an unseren internen Prozessen vorgenommen, um unsere Sicherheit zu stärken. Dazu zählt die Implementierung eines 24/7-Sicherheitsmonitorings für unsere Infrastruktur sowie der Ausbau der ISMS- und ISO-27001-Prozesse. Zudem haben wir ein Incident-Reponse-Team aufgebaut und einen 10-Punkte-Plan zur Datensicherheit und Cybersecurity entwickelt.
Haben Sie externe Prozesse (mit Kunden) angepasst? Ja, wir weisen unsere Kundinnen und Kunden aktiv darauf hin, uns keine sensiblen Daten zuzustellen, sei es im direkten Kontakt oder auf unserer Webseite. Auch haben wir die internen Prozesse angepasst, wie mit sensiblen Daten umgegangen wird.
Wussten Sie schon immer, welche Daten von wem und mit welcher Klassifizierung bei Ihnen gespeichert sind? Ja, unser Informations­sicherheits­management­system (ISMS) erfordert die Klassifizierung von Daten entsprechend ihrem Sicherheitsrisiko. Aufgrund dieser Klassifizierung behandeln und handhaben wir Daten unterschiedlich. Wir haben zum Beispiel spezielle Ablagen, Compliance-Einstellungen und Verschlüsselungen für sensible Daten.
Reagieren Sie seit dem Angriff anders auf Ausschreibungen? Ja, wir zeigen unsere ISMS-Prozesse auf. Von der sicheren Softwareentwicklung bis hin zum sicheren Deployment beim Kunden.
Stellen Sie andere Anforderungen, was die Zusammenarbeit mit Behörden angeht? Wir weisen Behörden darauf hin, uns keine sensiblen Daten zuzusenden. Darüber hinaus reagieren wir aktiv, wenn uns Daten zugespielt werden, die aus unserer Sicht sicherheitskritisch sein könnten.
Haben Sie im Nachgang gewisse Dienstleistungen oder Unternehmensteile neu zertifizieren lassen? Ja, wir streben für unsere Neuzugänge in der Gruppe eine ISO 27001 Zertifizierung per Ende Jahr an.
Gibt es in Ihrem Unternehmen einen Notfallplan für einen Cyberangriff? Wie sieht dieser aus? Ja, wir haben einen Notfallplan für einen Cyberangriff auf unser Unternehmen. Dieser Plan ist jedem Mitarbeitenden zugänglich, jedoch für den internen Gebrauch bestimmt.
Welche Sicherheitsvorkehrungen haben Sie seit dem Vorfall bei Xplain getroffen? Wir haben die Rolle des CISOs aufgebaut und setzen diese aktiv um. Zudem haben wir eine komplett neue IT-Infrastruktur installiert und veraltete Technologien und Methoden abgeschafft.
Werden Ihre Mitarbeitenden in Sachen Cybersecurity geschult? Ja, wir sensibilisieren unsere Mitarbeitenden durch Kampagnen zu verschiedenen Sicherheitsthemen. Unser CISO schult sowohl neue als auch bestehende Mitarbeitende regelmässig zu Datenschutz und Cybersecurity.
Bemerken Sie in Ausschreibungen veränderte Anforderungen seitens der Bedarfsstelle? Ja, wir haben festgestellt, dass das Thema Informationssicherheit in Ausschreibungen an Bedeutung gewinnt. Es werden vermehrt Zertifizierungen wie ISO 27001 gefordert.
Haben Sie eine veränderte Anforderungshaltung bezüglich Datenschutz in solchen Projekten gesehen/erfahren? Ja, ausschreibenden Stellen verlangen vermehrt Zertifizierungen und stellen konkrete Anforderungen an die Informationssicherheit in Projekten.

Meinung: Das Schweigen ist vielsagend

image
Inside IT-Chefredaktor Reto Vogt
Dass sich von 9 befragten Unternehmen 6 nicht zu den gestellten Fragen äussern, lässt tief blicken. Für mich lässt das Schweigen nur den Schluss zu, dass bei den entsprechenden Unternehmen noch vieles im Argen liegt und sie sich deshalb nicht öffentlich zum Zustand ihrer IT-Sicherheit äussern wollen.
Auch die Ausrede der fehlenden Zeit lasse ich nicht gelten. Insgesamt 2 Wochen sind mehr als genug Zeit, um Antworten auf die gestellten Fragen zu finden. Das hat insbesondere die ausführliche Stellungnahme von Glaux gezeigt.
Es ist gerade im Umfeld von Polizei, Justiz und Grenzschutz eminent wichtig, dass die IT-Dienstleister Sorge zu den Daten tragen und für deren Schutz sorgen. Und es liegt darüber hinaus am Bund, seine Dienstleister zu auditieren und bei der – oft freihändigen – Auftragsvergabe genau hinzuschauen, wem vertraut wird.
Beides wurde in der Vergangenheit viel zu stark vernachlässigt und die Reaktion der befragten IT-Dienstleister stimmt mich sehr pessimistisch, dass sich das in Zukunft verbessert.
Update 27. November 2023: Ergon ändert seine ursprüngliche Aussage nachträglich zu man äussere sich nicht öffentlich zu sicherheitsrelevanten Themen. 29. November 2023: Wir haben die Zahl von 6 Unternehmen, die sich nicht meldeten, auf 5 korrigiert. Sie war falsch.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen


Loading

Mehr zum Thema

image

Beim VBS bleiben Meldungen zu Sicher­heits­ver­letzungen liegen

Ein Bericht deckt Mängel im Information-Security-Management des VBS auf. Schulungen und ein neues zentrales Tool sollen Besserungen bringen.

publiziert am 4.3.2024
image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Vogt am Freitag: "Wir nehmen das ernst"

Cyberangriffe auf Unternehmen zeigen, wie fahrlässig diese mit schützenswerten Daten umgehen. Die meisten nehmen das Thema erst dann ernst, wenn es zu spät ist. Wenn überhaupt.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024