Sicherheitsaspekte von Anfang an mit einbeziehen
Ein Produkt in einem späten Entwicklungsstadium nachträglich noch sicher zu machen, ist aufwendig und teuer. Deshalb plädiert Stefan Strasser, Information Security Officer bei Sunrise, im Gespräch mit der Netzwoche dafür, bei Projekten von Anfang an die IT-Sicherheit einzubeziehen.
Im "ISPIN Security Radar 2011" gaben 43 Prozent der Befragten an, die Auswirkungen der sozialen Netzwerke auf das Reputationsmanagement in ihrem Unternehmen ernst zu nehmen und die Entwicklung zu beobachten. Bei 32 Prozent ist das Reputationsrisiko hinsichtlich Social Media sogar schon Teil der unternehmensinternen Risikostrategie. Zudem gaben 63 Prozent der Befragten an, dass in ihrem Unternehmen Richtlinien zur Internetnutzung oder Social-Media-Guidelines existieren.
Für Stefan Strasser, Information Security Officer bei Sunrise, sind diese Befunde keine Überraschung: "Das Thema Social Media war im vergangenen Jahr in den Medien enorm präsent." Auch beim Telko hat man Richtlinien etabliert, die den Mitarbeitern die Nutzung des Internets und von Social Media "in verhältnismässigem Rahmen" erlaubt. Für ihn ist klar, dass man mit Verboten mehr verliere als gewinne.
Zusätzlich sei es wichtig, dass die Mitarbeiter die Risiken von Social Media kennen, so Strasser. Deshalb werden bei Sunrise neue Mitarbeiter von Anfang an dafür sensibilisiert. Und während für die Mitarbeiter regelmässig Schulungen stattfinden, setzt er beim Management verstärkt auf das persönliche Gespräch.
Von Anfang an im Boot
Wie sich bereits andere in dieser Artikel serie befragte Security Manager positionierten, so sieht auch Strasser sich in seiner Funktion eher in der Rolle des Beraters als des Polizisten. Bedingt durch die Grösse des Unternehmens landen bei Sunrise allerdings die wenigsten Vorfälle direkt bei ihm auf dem Schreibtisch.
Strasser plädiert dafür, wenn immer möglich bei Projekten von Anfang an Personen aus der IT-Sicherheit hinzuzuziehen. "Wenn man bei neuen Produkten die Sicherheitsaspekte erst in einem späten Stadium berücksichtigt, kann das sehr aufwendig und teuer werden." So war er zum Beispiel beim zu Beginn des Jahres neu lancierten digitalen Fernsehprodukt Sunrise TV von Anfang an mit im Boot.
Kunde setzt sicheres Produkt voraus
Es gebe allerdings auch Situationen, wo die Time-to-Market wichtiger sei als möglichst hohe Sicherheitsstandards. "Grundsätzlich geht der Kunde davon aus, dass ein Produkt sicher ist. Er bezahlt also nicht extra für eine besonders hohe Sicherheit." Man müsse aber schon unterscheiden zwischen Privat- und Businesskunden. Bei Sunrise hat jede Unternehmenseinheit einen eigenen Security-Koordinator.
Strasser ist bei der Stabstelle "Legal" angesiedelt und leitet die Arbeitsgruppe der Security- Koordinatoren. Bezüglich der Umsetzung von Sicherheitsmassnahmen unterscheidet er zwei grundsätzliche Prinzipien, Bottomup und Top-down: "Bottom-up heisst, wenn ich bei komplexen technischen Risiken eine Fachperson beiziehe, die mich bei der Umsetzung unterstützt. Top-down heisst, wenn ich das Management überzeugen muss, zum Beispiel ein neues E-Learning-Programm unternehmensweit umzusetzen."
Telekommunikation für das Land zentral
Strasser hebt auch hervor, dass ein Telko wie Sunrise in der Volkswirtschaft eine zentrale Stellung innehabe: "Telekommunikation ist in der heutigen Informationsgesellschaft so wichtig wie die Stromversorgung."
Der Telko ist gesetzlich verpflichtet, bestimmte Kommunikationsranddaten über einen Zeitraum von sechs Monaten aufzubewahren. Dort, wo Mitarbeiter in Berührung mit sensitiven Daten kommen, führe Sunrise entsprechende Überprüfungen durch (z. B. Strafregisterauszüge und Referenzenauskünfte). Zugriffe auf sensitive Daten würden protokolliert.
In Krisen Köpfe kennen
Wichtig sei es, dass die Nachvollziehbarkeit gewährleistet sei. "Eine hundertprozentige Sicherheit gibt es nie. Aber man kann sich auf bestimmte Szenarien vorbereiten", so Strasser. Kurze Kommunikations- und Entscheidungswege sind auch deshalb wichtig, weil sich Sicherheitsrisiken zunehmend schwieriger voraussagen lassen. Das KKK-Prinzip (in Krisen Köpfe kennen) sei deshalb zentral, so Strasser.
Insgesamt sieht er die Schweiz bezüglich Cyber-Sicherheit gut aufgestellt. Dies auch wegen der Kleinräumigkeit und des regelmässigen Austauschs mit Sicherheitsspezialisten innerhalb des Telko- Sektors und aus anderen Unternehmen. Sunrise ist auch Mitglied der Melde- und Analysestelle für Informationssicherung Melani.
Anmerkung der Redaktion: Dieser Artikel ist Teil einer Serie über das Sicherheitsbefinden in Unternehmen und erschien in der Netzwoche 9/12. Die Netzwoche hat dafür sechs IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des "SecurityRadar 2011" der Ispin AG konfrontiert und ihnen den Puls gefühlt. Online bringen wir die Artikel in unregelmässigen Abständen.