Eraneos, Unisys und Hexagon äussern sich doch noch zu unseren Fragen nach der Learnings der IT-Dienstleister aus dem Xplain-Hack. Sie sehen sich gut aufgestellt.
Unser Beitrag mit dem Titel "IT-Sicherheit? Die meisten IT-Dienstleister schweigen" hat für Gesprächsstoff gesorgt. Nach der Publikation war kurz von Anwälten die Rede und von der Aufmerksamkeit der Verantwortlichen, die wir damit erzielt hätten.
Schliesslich meldeten sich in der Folgewoche 3 der 5 angefragten und bis dato schweigenden Firmen, die sich dann doch noch zu den gestellten Fragen äussern wollten. Unsere E-Mail-Anfragen seien in den jeweiligen Konzernen untergegangen beziehungsweise nicht am richtigen Ort angekommen, begründeten sie ihr erstes Nichtbeachten der "spannenden Fragen" unisono.
Eraneos: "Third Party Risk Management ist entscheidend"
Adrian Marti, Eraneos
Im Gespräch ist Adrian Marti, Head of Cybersecurity und Privacy bei Eraneos, offen und transparent. Der Vorfall bei Xplain habe gezeigt, dass, "wenn man Security nur bis an die Unternehmensgrenzen denkt", man ein Problem habe. Er plädiere für die "End-zu-end-Betrachtung", die bei den Kundinnen und Kunden anfange und bei ihnen als Lieferant aufhöre. "Third Party Risk Management ist von allen Beteiligten zwingend notwendig."
Obwohl "Xplain in der ganzen Branche Wellen geschlagen" habe, seien intern bei Eraneos keine "Sofortmassnahmen nötig gewesen". Schon vorher seien "produktive und sensitive Kundendaten" grundsätzlich nicht auf eigenen Systemen gespeichert worden. Auch würden alle Kundendaten "vertraulich behandelt, ganz egal wie sie der Kunde einstuft".
Marti sagt, dass der Fall Xplain dazu geführt habe, dass Security einen höheren Stellenwert habe. Als Beispiel nennt er, dass seine Kundinnen und Kunden nun oft "eine Meldepflicht bei Cyberangriffen einführen". Je nach Auftrag muss Eraneos jetzt also die Kundschaft nach 8 bis 72 Stunden informieren, falls sich ein Angriff auf das Unternehmen ereignet. "Cybersicherheit erfordert eine Zusammenarbeit entlang der gesamten Wertschöpfungskette. Wir verstehen uns als Teil der Wertschöpfungsketten unserer Kunden und bieten ihnen Hand, diese aktiv mitzugestalten".
Unisys: "Wir lehnen produktive Daten von Kunden ab"
Daniel Schnyder, Unisys
Ähnlich klingt es von Daniel Schnyder, der seit 3 Jahren Geschäftsführer von Unisys Schweiz ist. Man habe weder "im Bundes- noch Polizeiumfeld produktive Daten bei sich gespeichert". Und wenn eine Supportanfrage solche Daten enthalte, "löschen wir die Anfrage und informieren den Auftraggeber umgehend".
Gleicher Meinung wie Marti ist Schnyder auch bei den Auswirkungen des Hacks auf Xplain: Dieser habe sicher für eine Sensibilisierung gesorgt. Eine Änderung in den öffentlichen Ausschreibungen hat er aber bisher nicht festgestellt und auch die von Marti erwähnte Meldepflicht haben seine Kunden noch nicht eingeführt. Aber "sie sind auf mich zugekommen". Konkret nennt er die Kantonspolizei Zürich, welche ein Assessment bei Unisys durchgeführt habe.
So glaubt Schnyder, dass der Fall Xplain "auch auf Kundenseite zu Mehraufwand" geführt habe. Eine Herausforderung sei, dass sich Kunden und Lieferanten seit Jahren kennen würden und Sicherheitsprozesse zu wenig aktiv gelebt worden seien. Es sei deshalb nicht auszuschliessen, dass "mehr passiert ist, als wir heute wissen".
Schnyder stört, dass regelmässig "die Akzeptanz des Vertragsentwurfs als Eignungskriterium" in Ausschreibungen eingebaut werde. "Das bedeutet, dass nur Dienstleister, die den Vertrag so akzeptieren, überhaupt zugelassen werden." Fairer wäre es, den Vertrag als "Zuschlagskriterium" beizuziehen. So könnten die Unternehmen "mehr Punkte erhalten, die weniger Veränderungen vornehmen oder zusätzliche Punkte zur Erhöhung der Sicherheit einbringen".
Hexagon: "Wir überwachten Informationssicherheit in unseren Systemen ständig"
Hexagon-Sprecher Matthias Alisch lässt per E-Mail ausrichten, dass "Cybersicherheit schon immer Priorität hatte". Und dass man "die Informationssicherheit und den Datenschutz in unseren Systemen ständig überwacht". Ausserdem würden "unsere strengen Cybersicherheitsanforderungen sowohl für Kunden als auch für unsere eigenen internen Prozesse gelten", so Alisch.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!