Titelbild zum Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Fernzugriff aus dem Ausland

Anders als im Cloud-Umfeld ist der Fernzugriff auf on premise-Applikationen sehr wenig geregelt. Unternehmen tun gut daran, genau diese Lücke zu schliessen. In der Schweiz denkt man zuerst an Spitäler mit Patientendaten oder an Banken mit Kundendaten. Die Frage geht am Ende aber alle Unternehmen etwas an.

Am Beispiel eines Spitals

Wenn Sie sich als Patient einem Arzt zuwenden, gehen Sie automatisch und zu Recht davon aus, dass er Ihre Krankenakte streng vertraulich behandelt und nicht gegenüber Dritten offenbart. Im Zuge der Digitalisierung hängt die Krankenakte nun nicht mehr physisch bei ihm in einem Aktenschrank, sondern ist digital gespeichert. Der Arzt darf Ihre Geheimnisse an seine Hilfspersonen weitergeben. Hilfsperson ist, wer den Arzt erlaubterweise in seiner Tätigkeit unterstützt. Dieser Vorgang ist rechtlich gesprochen keine Offenbarung. Folglich müssen Sie als Patient nicht über den Beizug der Hilfsperson informiert werden.

In der Praxis ist es aber so, dass ein Klinikinformationssystem, ein Radiologiesystem oder ein Laborsystem nicht allein durch das Spital gewartet werden und sich IT-Dienstleister, möglicherweise sogar aus dem Ausland, via Fernzugriff einloggen. Dabei sind oftmals - insbesondere in der Datenbank - alle Informationen der Patienten offen zugänglich. Die Frage ist nun: Wo "beginnt" das Spital, und wo "hört es auf"? Zur Umschreibung kann man den Begriff "Perimeter" verwenden. Der Begriff bezeichnet die äussere Abgrenzung der Organisationseinheit (hier: des Spitals), die es zu organisieren gilt. Es geht also um die Frage, wo der Perimeter des Spitals endet. 

Abbildung Sachverhalt Outsorurcing - Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Der absolut entscheidende Punkt ist die Kontrolle. Es braucht Kontrolle über die "verlängerte Werkbank". Das Spital muss alle Hilfspersonen so einbinden, als wären sie Mitarbeitende (Bindung an Weisungen, etc.) und nicht Externe. Fehlt es an Kontrolle, führt der unbeschränkte Beizug von Hilfspersonen womöglich zu einer verbotenen Offenbarung.

Am Beispiel einer Bank

In einem Rechtsgutachten (Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art. 47 BankG)* wurde die Frage erläutert, ob eine Bank den personellen und physischen Perimeter soweit erweitern kann, dass Bankkundendaten in der Cloud oder von einem ausländischen IT-Dienstleister eingesehen werden können. Das Fazit des Rechtsgutachtens bejaht dies, denn das seit 1934 geltende Bankengesetz wurde 1970 dahingehend ergänzt, um sich gegen «ausländische Spionage» zu schützen. In letzter Zeit ist einiges gegangen und seit 2017 übermittelt die Schweiz ja auch detaillierte Informationen über Bankkonten regelmässig ins Ausland.

Obwohl die Mitarbeitenden eines ausländischen IT-Dienstleisters strafrechtlich unter Umständen nicht belangt werden können, geht das Rechtsgutachten davon aus, dass die betreffenden Mitarbeitenden in die Risikosphäre der Bank eingebunden werden können, ohne dass eine Offenbarung gegenüber Dritten stattfindet:

Abbildung 2&3 Kontrolle  Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Die Bank erweitert den physischen und personellen Perimeter also dahingehend, dass das Rechencenter und die Mitarbeitenden des IT-Dienstleisters nicht mehr als Dritte angesehen werden können. Der entscheidende Punkt dabei ist, dass die Bank mittels technischer und organisatorischer Massnahmen die Kontrolle darüber behält. Damit darf eine Bank Applikationen in der Cloud verwenden oder auch ausländischen Mitarbeitenden Fernzugriff erlauben.

Alle anderen Branchen

Andere Branchen wie Handel oder Industrie unterliegen in der Schweiz nicht der gleichen Fülle von Gesetzgebungen, wie ein Spital oder eine Bank. Trotzdem gilt es die Daten zu schützen. Dabei muss es sich nicht um personenbezogene Daten handeln. Jedes Unternehmen hat Betriebsgeheimnisse, welche im Falle einer Offenbarung dem Unternehmen einen Schaden zufügen können. Dies kann ein Image-Schaden sein oder auch ein zukünftiger wirtschaftlicher Schaden aufgrund von Wirtschaftsspionage.

Diese Kontrolle der verlängerten Werkbank kann exakt gleich mit technischen und organisatorischen Massnahmen erfolgen, muss aber durch ein griffiges Vertragswerk unterstützt werden. Die in den Prozessen eingebunden Mitarbeitenden müssen über die Unternehmensgrenze von Dritten zu Beteiligten gemacht
werden.

Was heisst nun Kontrolle?

Kontrolle muss ganzheitlich als stetiger Prozess verstanden werden. Zuerst muss man die Materie verstehen und dann müssen durch präventive Massnahmen die Risiken eines Datenverlusts reduziert werden. Weiter empfehlen wir durch Verbesserung der Nachvollziehbarkeit die Möglichkeiten von reaktiven Massnahmen zu erhöhen, um im Fall der Fälle Sanktionsmöglichkeiten ergreifen zu können. Beim Thema Fernzugriff von IT-Dienstleistern, welche mit privilegierten Berechtigungen möglicherweise auf Ihre Daten zugreifen, empfiehlt es sich die folgenden organisatorischen und technischen Massnahmen anzuwenden:

  • Schutzbedarfsanalyse über alle relevanten IT-Systeme durchführen
  • Interne Weisungen für Zugang auf Daten (Access Management) aufsetzen
  • Berechtigungs- und Rollenkonzepte für die exponierten IT-Systeme erstellen
  • Die Verwaltung der Benutzer und Berechtigungen sauber regeln
  • Benutzer von intern wie auch extern zur persönlichen Identifikation zwingen
  • Passwörter privilegierter Accounts nach Gebrauch immer wechseln
  • Die Session der Fernzugriffe und der Datentransfer protokollieren/aufzeichnen

Fernzugriffe, auch aus dem Ausland, auf kritische Daten sind rechtlich erlaubt. Die Risiken müssen allerdings gut kontrollierbar sein. Die Verantwortung liegt beim Unternehmen selbst. Zieht beispielsweise ein Spital Dritte in seine IT-Umgebung ein, behält das Spital die Verantwortung zum Schutz der Daten. Die Kontrolle muss jederzeit durch technische, organisatorische und vertragliche Massnahmen gewährleistet sein.

Claudio Fuchs, Dipl. Ing. FH - Informatikingenieur mit Nachdiplomstudium in Informationssicherheit, beschäftigt sich seit 2004 ausschliesslich mit Identity- und Accessmanagement (IAM). Er ist Mitglied der Geschäftsleitung der IPG Gruppe, welche über 100 Unternehmen zu ihren Kunden zählen darf. Für IPG verantwortet er die Märkte Österreich und Schweiz. Im Nebenamt ist Claudio Fuchs Hochschuldozent für Projekt- und Qualitätsmanagement an der Hochschule Rapperswil sowie Verwaltungsrat einer Schweizer Bank.

Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Blogbeitrag, was bedeutet Zero Trust bedeutet
Blog 30.09.20

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust? Wie funktioniert es und welchen Nutzen hat es? Diese und weitere Fragen beantworten wir in unserem Blogbeitrag!

Passwörter Geschichte
Blog 14.05.21

Kleine Geschichte des Passworts

Passwörter gibt es schon länger als sie vielleicht denken. Im ersten Blogbeitrag der Serie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ nehmen wir Sie mit auf eine Reise zu den Ursprüngen des Passworts.

Passwörter Gegenwart
Blog 19.05.21

Passwörter heute – der Status quo

Was hat sich bei Passwörtern vom Mittelalter bis heute verändert? Erfahren Sie alles zu Status Quo sowie aktuellen Zahlen & Fakten in Teil 2 der Blogserie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ .

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 24.11.20

So verheiraten Sie One Identity Safeguard & -Manager

Sie haben zwei Produkte des gleichen Herstellers bei einem Kunden implementiert, aber die beiden Akteure vertragen sich noch nicht so richtig. In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln.

Blog Spoofing Fishing Teaser
Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat eine neue Ära erreicht: Das Zero Trust-Zeitalter verändert den Blick auf Sicherheitsbedrohungen und stellt neue Anforderungen an den Schutz digitaler Systeme.

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann
Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Bild zum Expertenbericht über PAM Systeme
Blog 27.04.21

PAM Systeme im Vergleich

PAM Systeme dienen grundsätzlich dazu Privilegierte Systeme zu verwalten und berechtigten Nutzern Zugriff zu gewähren. Dafür werden die Zugangsberechtigungen zu diesen Systemen im PAM System selbst vorgehalten und sind dem Benutzer in der Regel nicht bekannt.

Titelbild zum Expertenbericht Securitiy - Cyberkriminalität
Blog 27.03.20

Cyberkriminalität – Schützen Sie Ihre Assets durch PAM.

Mit Privileged Account Management (PAM) schützen Sie Ihr Unternehmen wirksam gegen Wirtschaftsspionage und Cyber-Angriffe.

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen
Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.

Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

PAM Schäden
Blog 15.03.21

Pam beschützt Sie vor kostspieligen Schäden

Laut dem Forrester Wave Report (Q4, 2018) sind bei 80% aller Datenpannen kompromittierte privilegierte Rechte involviert. Entsprechend wichtig ist es, dass diese Accounts geschützt werden.

Teaserbild zur Referenz Spital Thurgau IAM Lösung
Blog 19.10.21

Schneller Zugriff, Sicherheit und hohe Datenqualität mit IAM

In einem großen Gesundheitsunternehmen wie der Spital Thurgau AG zählen Geschwindigkeit bei der Eröffnung neuer Mitarbeiter-Accounts genauso wie Datensicherheit und -qualität.

Teaser Success Story Raffeisen
Blog 14.10.21

Reporting für das Zugriffsmanagement

In der neuen Lösung für IAM soll für Raiffeisen Schweiz die zentrale Benutzerverwaltung so weit ausgebaut werden, dass jedem Mitarbeiter aufgezeigt werden kann, welche Berechtigungen er im Unternehmen hat.

Bild AMAG
Blog 14.10.21

Projektbegleitung für ein wirksames Benutzermanagement

Die AMAG Automobil- und Motoren AG wünschte von der IPG eine Beurteilung des laufenden Projekts „Benutzermanagement“. Die Projektziele war es, eine neue Lösung für das Identity und Access Management sowie für Single Sign On einzuführen.

Titelbild zur Referenz IAM-Lösung, FMI Spitäler
Referenz 27.07.20

Spitäler fmi AG

Die Spitäler fmi AG fand mit der IPG einen Beratungs- und Umsetzungspartner, der das Thema IAM umfassend, spezifisch und mit allen Anforderungen in der Umsetzung begleiten kann.

Titelbild zur Referenz IAM-Lösung, Kantonsspital Winterthur von aussen
Referenz 27.09.17

Schnell-Login für medizinisches Personal via Single Sign-On

Innert zehn Tage, verteilt über sechs Monate, führte das Kantonsspital Winterthur Single Sign-On (SSO) und Fast User Switching (FUS) ein. Dank umfassender Vorinformation des Personals traf das Projekt von Anfang an auf hohe Akzeptanz, der Schnell-Login via Badge-Karte wurde begeistert aufgenommen.

Blogbeitrag zur Referenz zu IAM das Gebäude von W&W
Referenz 04.05.20

W&W Gruppe

Mit der geplanten Etablierung eines anwendungsübergreifenden Rollenkonzepts und der Festlegung der hierfür notwendigen Prozesse, macht die W&W-Gruppe einen wichtigen Schritt zu einem noch wirkungsvolleren Identity- und Access-Management.

Blogbeitrag zur Referenz zu IAM das Gebäude von W&W
Referenz 27.04.20

W&W Gruppe

Zur Sicherstellung der Compliance im Bereich IDM definierten die Prozessverantwortlichen der W&W-Gruppe, zusammen mit der IPG AG und dem Partnerunternehmen eleveneye GmbH, gruppenweit verbindliche IDM-Prozesse.