Datum
19.06.2024
Die Bedag registriert täglich Hunderte von Angriffsversuchen und wehrt diese erfolgreich ab. Hier erfahren Sie mehr über unser Sicherheitsdispositiv.
Was haben das Internationale Rote Kreuz (IKRK), der Autohändler Emil Frey, die Ruag, die SBB, Comparis, die Zurich Versicherungen, die Bundesverwaltung und die Neue Zürcher Zeitung NZZ gemeinsam? Sie alle und viele mehr wurden in den letzten zwei Jahren Opfer von Cyberangriffen. Die kriminellen Aktivitäten der hochprofessionellen Hacker haben in den letzten Jahren massiv zugenommen, sodass sich unterdessen nicht mehr die Frage stellt, ob ein Unternehmen angegriffen wird, sondern nur noch, wann und wie.
Bisher war keine Cyberattacke auf die Bedag erfolgreich, obwohl sie täglich Hunderte von kleineren und grösseren Angriffsversuchen registriert und abwehren muss. Um das bestehende Sicherheitsdispositiv der Bedag aufzuzeigen und weitere künftige Massnahmen zu besprechen, hat sich die Bedag in den letzten Wochen mehrmals mit Führungspersonen der Finanzdirektion, des Amtes für Informatik und Organisation (KAIO), der Konferenz Digitale Verwaltung und ICT (KDI) und der Fachgruppe Sicherheit des Kantons Bern getroffen.
Was tut die Bedag in Sachen Sicherheit?
Unsere Kunden erhielten Einblick in das umfassende Sicherheitsdispositiv der Bedag. Mit einem Grundschutz durch 2-Faktor-Authentifizierung, einer stringenten Sicherheitsarchitektur mit mehreren Firewalls und vielen weiteren Sicherheitsmassnahmen wird der Angriffsaufwand maximal erhöht, sodass sich ein Cyberangriff für Kriminelle «nicht mehr lohnt». Die über alle Ebenen implementierte Sicherheitskultur ist fester Bestandteil des Managementsystems. Technische Fragmentierung und Zonenkonzepte erhöhen zusätzlich die Resilienz. Im Ernstfall können das Security Operation Center (SOC) und, falls nötig, der Krisenstab rasch und angemessen reagieren. Dabei profitiert die Bedag von einer Zusammenarbeit mit dem Bundesamt für Cybersicherheit (BACS). Mit ihrer systemrelevanten Infrastruktur gehört die Bedag seit 2017 dem geschlossenen Informationskreis an und erhält so zusätzliche Informationen zum Schutz ihrer Infrastruktur.
Identifizieren – Schützen – Erkennen – Reagieren – Wiederherstellen
Für die Bedag ist Informationssicherheit Teil ihrer Identität und Unternehmenskultur. Der Formalisierungsgrad ist hier entsprechend hoch. Notwendige Dokumente, wie das Informationssicherheitsmanagementsystem (ISMS), die Strategien, Konzepte, Richtlinien und Weisungen sind in hohem Detaillierungsgrad für alle Mitarbeitenden zugänglich und werden permanent weiterentwickelt, geschult und auditiert. Das gesamte Sicherheitskonzept der Bedag orientiert sich am «NIST-Framework»: «Identifizieren – Schützen – Erkennen – Reagieren – Wiederherstellen». Mehr zum NIST Framework lesen Sie hier.
Angriffsfläche verringern – Eintrittsschwelle erhöhen
Bereits mit dem Perimeterschutz (Grundschutz) der Bedag werden 80 % des eingehenden Verkehrs (ca. 8000 Verbindungsversuche pro Sekunde) blockiert, da dieser bösartiger Natur ist. In den restlichen 20 % des eingehenden Verkehrs werden immer noch viele Scans (SSH, SNMP, Datenbanken, Remote-Desktop-Protokolle, SMTP), Exploits (Router, Web-Server, Virtualisierungssoftware), Spam/Phishing und Web-Angriffe erfasst und abgewehrt. Die einzelnen Workplaces werden zusätzlich durch technische Massnahmen geschützt und auftretende Schwachstellen in den Servern detektiert und konsequent eliminiert. Wenn die Bedag die Entwicklung resp. Weiterentwicklung oder adaptive Wartung einer Kundensoftware verantwortet, wird diese einem automatisierten Schwachstellenscan durch «Black Duck» unterstellt. Mehr dazu lesen Sie hier: Wie eine «Schwarze Ente» für mehr Sicherheit sorgt.
Für Sicherheit sind alle verantwortlich
Für die Cybersicherheit ist es entscheidend, die Angriffsfläche zu verringern. Neben technischen Massnahmen wie dem Abbau von Schwachstellen und der permanenten Überwachung ist insbesondere der Faktor Mensch von grosser Bedeutung. Sicherheit ist zwar explizit «Chefsache», aber eben nicht nur. Alle Mitarbeitenden stehen in der Verantwortung, mögliche Sicherheitsrisiken rechtzeitig zu erkennen und angemessen darauf zu reagieren, weil die meisten Cyberangriffe erst durch die Schwachstelle «Mensch» möglich werden. Darum ist jeder einzelne Mitarbeitende – nicht nur bei der Bedag, sondern auch bei Kunden – in der Pflicht, die Cybersecurity permanent hochzuhalten.
Schaden minimieren, wenn doch etwas passiert
Die Frage ist nicht, ob ein Unternehmen angegriffen wird, sondern wann und wie. Die Bedag verfügt darum über ein internes Security Operations Center (SOC), welches mithilfe von geeigneten Tools, Prozessen und Expertenwissen Sicherheitsrisiken rechtzeitig erkennt und auf Cyberangriffe effizient reagiert. Im Ereignisfall – also wenn trotz aller Vorkehrungen ein Cyberangriff erfolgreich ist – gilt es, den Schaden möglichst zu minimieren. Ein allfälliger Datenverlust kann dank georedundanter Datenhaltung und regelmässiger Back-ups innert stundenfrist kompensiert werden.
Seit März 2024 ist die Bedag zudem nach ISO 22301 Business Continuity Management zertifiziert, also in der «Aufrechterhaltung der eigenen Geschäftstätigkeit». Mit dieser Zertifizierung stellen wir als Unternehmen die «Überlebensfähigkeit» unserer eigenen Prozesse und Services sicher, um rasch wieder für unsere Kunden arbeiten zu können. Das Informationssicherheits-Management-System ist seit über 20 Jahren nach ISO 27001 zertifiziert. Es ist im gesamten Unternehmen fest verankert und wird von den Mitarbeitenden und dem Management gelebt. Sicherheit ist ein wesentlicher Teil unserer Aufgabe.