Fernzugriff aus dem Ausland

Anders als im Cloud-Umfeld ist der Fernzugriff auf on premise-Applikationen sehr wenig geregelt. Unternehmen tun gut daran, genau diese Lücke zu schliessen. In der Schweiz denkt man zuerst an Spitäler mit Patientendaten oder an Banken mit Kundendaten. Die Frage geht am Ende aber alle Unternehmen etwas an.

Am Beispiel eines Spitals

Wenn Sie sich als Patient einem Arzt zuwenden, gehen Sie automatisch und zu Recht davon aus, dass er Ihre Krankenakte streng vertraulich behandelt und nicht gegenüber Dritten offenbart. Im Zuge der Digitalisierung hängt die Krankenakte nun nicht mehr physisch bei ihm in einem Aktenschrank, sondern ist digital gespeichert. Der Arzt darf Ihre Geheimnisse an seine Hilfspersonen weitergeben. Hilfsperson ist, wer den Arzt erlaubterweise in seiner Tätigkeit unterstützt. Dieser Vorgang ist rechtlich gesprochen keine Offenbarung. Folglich müssen Sie als Patient nicht über den Beizug der Hilfsperson informiert werden.

In der Praxis ist es aber so, dass ein Klinikinformationssystem, ein Radiologiesystem oder ein Laborsystem nicht allein durch das Spital gewartet werden und sich IT-Dienstleister, möglicherweise sogar aus dem Ausland, via Fernzugriff einloggen. Dabei sind oftmals - insbesondere in der Datenbank - alle Informationen der Patienten offen zugänglich. Die Frage ist nun: Wo "beginnt" das Spital, und wo "hört es auf"? Zur Umschreibung kann man den Begriff "Perimeter" verwenden. Der Begriff bezeichnet die äussere Abgrenzung der Organisationseinheit (hier: des Spitals), die es zu organisieren gilt. Es geht also um die Frage, wo der Perimeter des Spitals endet.

Abbildung Sachverhalt Outsorurcing - Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Der absolut entscheidende Punkt ist die Kontrolle. Es braucht Kontrolle über die "verlängerte Werkbank". Das Spital muss alle Hilfspersonen so einbinden, als wären sie Mitarbeitende (Bindung an Weisungen, etc.) und nicht Externe. Fehlt es an Kontrolle, führt der unbeschränkte Beizug von Hilfspersonen womöglich zu einer verbotenen Offenbarung.

Am Beispiel einer Bank

In einem Rechtsgutachten (Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art. 47 BankG)* wurde die Frage erläutert, ob eine Bank den personellen und physischen Perimeter soweit erweitern kann, dass Bankkundendaten in der Cloud oder von einem ausländischen IT-Dienstleister eingesehen werden können. Das Fazit des Rechtsgutachtens bejaht dies, denn das seit 1934 geltende Bankengesetz wurde 1970 dahingehend ergänzt, um sich gegen «ausländische Spionage» zu schützen. In letzter Zeit ist einiges gegangen und seit 2017 übermittelt die Schweiz ja auch detaillierte Informationen über Bankkonten regelmässig ins Ausland.

Obwohl die Mitarbeitenden eines ausländischen IT-Dienstleisters strafrechtlich unter Umständen nicht belangt werden können, geht das Rechtsgutachten davon aus, dass die betreffenden Mitarbeitenden in die Risikosphäre der Bank eingebunden werden können, ohne dass eine Offenbarung gegenüber Dritten stattfindet:

Abbildung 2&3 Kontrolle Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Die Bank erweitert den physischen und personellen Perimeter also dahingehend, dass das Rechencenter und die Mitarbeitenden des IT-Dienstleisters nicht mehr als Dritte angesehen werden können. Der entscheidende Punkt dabei ist, dass die Bank mittels technischer und organisatorischer Massnahmen die Kontrolle darüber behält. Damit darf eine Bank Applikationen in der Cloud verwenden oder auch ausländischen Mitarbeitenden Fernzugriff erlauben.

Alle anderen Branchen

Andere Branchen wie Handel oder Industrie unterliegen in der Schweiz nicht der gleichen Fülle von Gesetzgebungen, wie ein Spital oder eine Bank. Trotzdem gilt es die Daten zu schützen. Dabei muss es sich nicht um personenbezogene Daten handeln. Jedes Unternehmen hat Betriebsgeheimnisse, welche im Falle einer Offenbarung dem Unternehmen einen Schaden zufügen können. Dies kann ein Image-Schaden sein oder auch ein zukünftiger wirtschaftlicher Schaden aufgrund von Wirtschaftsspionage.

Diese Kontrolle der verlängerten Werkbank kann exakt gleich mit technischen und organisatorischen Massnahmen erfolgen, muss aber durch ein griffiges Vertragswerk unterstützt werden. Die in den Prozessen eingebunden Mitarbeitenden müssen über die Unternehmensgrenze von Dritten zu Beteiligten gemacht
werden.

Was heisst nun Kontrolle?

Kontrolle muss ganzheitlich als stetiger Prozess verstanden werden. Zuerst muss man die Materie verstehen und dann müssen durch präventive Massnahmen die Risiken eines Datenverlusts reduziert werden. Weiter empfehlen wir durch Verbesserung der Nachvollziehbarkeit die Möglichkeiten von reaktiven Massnahmen zu erhöhen, um im Fall der Fälle Sanktionsmöglichkeiten ergreifen zu können. Beim Thema Fernzugriff von IT-Dienstleistern, welche mit privilegierten Berechtigungen möglicherweise auf Ihre Daten zugreifen, empfiehlt es sich die folgenden organisatorischen und technischen Massnahmen anzuwenden:

Schutzbedarfsanalyse über alle relevanten IT-Systeme durchführen
Interne Weisungen für Zugang auf Daten (Access Management) aufsetzen
Berechtigungs- und Rollenkonzepte für die exponierten IT-Systeme erstellen
Die Verwaltung der Benutzer und Berechtigungen sauber regeln
Benutzer von intern wie auch extern zur persönlichen Identifikation zwingen
Passwörter privilegierter Accounts nach Gebrauch immer wechseln
Die Session der Fernzugriffe und der Datentransfer protokollieren/aufzeichnen

Fernzugriffe, auch aus dem Ausland, auf kritische Daten sind rechtlich erlaubt. Die Risiken müssen allerdings gut kontrollierbar sein. Die Verantwortung liegt beim Unternehmen selbst. Zieht beispielsweise ein Spital Dritte in seine IT-Umgebung ein, behält das Spital die Verantwortung zum Schutz der Daten. Die Kontrolle muss jederzeit durch technische, organisatorische und vertragliche Massnahmen gewährleistet sein.

Claudio Fuchs, Dipl. Ing. FH - Informatikingenieur mit Nachdiplomstudium in Informationssicherheit, beschäftigt sich seit 2004 ausschliesslich mit Identity- und Accessmanagement (IAM). Er ist Mitglied der Geschäftsleitung der IPG Gruppe, welche über 100 Unternehmen zu ihren Kunden zählen darf. Für IPG verantwortet er die Märkte Österreich und Schweiz. Im Nebenamt ist Claudio Fuchs Hochschuldozent für Projekt- und Qualitätsmanagement an der Hochschule Rapperswil sowie Verwaltungsrat einer Schweizer Bank.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen

Blog 15.02.21

IAM und moderne Apps im Spital

Mithilfe eines IAMs in Kombination mit einer KIS App werden Behandlungsprozesse verbessert, der Zugriff auf Patientendaten erfolgt schnell und sicher.

Titelbild zum Expertenbericht Securitity - Remote arbeiten im Homeoffice

Blog 01.06.20

Corona Lessons Learnt für IAM?

Für die «virtuelle Weiterführung» von IAM Projekten war die IPG in den meisten Fällen in der Lage remote weiterzuarbeiten. Das sind unsere Learnings aus dieser Zeit.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben

Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Blog 12.04.23

OVHcloud: Schutz vertraulicher Infos für Unternehmen

Die digitale Transformation hat in den letzten Jahren zu einem rasanten Anstieg der Datenmengen geführt, die Unternehmen und Organisationen auf der ganzen Welt verarbeiten und speichern müssen. In diesem Zusammenhang wird die Datensouveränität zu einem immer wichtigeren Thema, insbesondere wenn es darum geht, vertrauliche Informationen sicher und geschützt zu halten. Hier kommt die OVHcloud ins Spiel - ein europäischer Cloud-Service-Anbieter, der sich dem Schutz der Datensouveränität verschrieben hat.

Blog 02.02.21

Wie können die Funktionsweisen gewährleistet werden?

Mit dem Ziel des Schutzes der Bankkunden sowie der verstärkten Sicherheit und Stabilität des Finanzsystems werden allgemeingültige Regeln festgelegt und kontrolliert durchgesetzt.

Referenz 10.11.22

Helaba – Transformation im Enterprise Umfeld

Erfahren Sie, wie die Helaba ihr Kernbankensystem transformiert hat.

Partner

OVHcloud – die datensouveräne Cloud in Europa.

Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.

Blog 21.03.22

Good and bad profits – der Fokus auf Gewinne ist nicht alles

Was sind Good and bad profits? Gewinne sind zwar auf den ersten Blick per se etwas Postives, die Art und Weise, wie sie zustande kommen, kann mittel- und langfristig für ein Unternehmen aber entscheidend sein. Hier ein konkretes Beispielen, was für mich den Unterschied zwischen „guten“ und „schlechten“ Gewinnen darstellt.

Blog 13.05.24

99% der Cyberangriffe abwehren: Mit den richtigen Maßnahmen

IT-Sicherheit ist ein zentrales Anliegen für Unternehmen und Organisationen, erfahren Sie in diesem Blogbeitrag, welche 5 Maßnahmen gegen Angriffe schützen.

Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.

Leistung

Managed Cloud Hosting

Managed Cloud Hosting bringt dich ins moderne Zeitalter. Du willst die Vorteile einer Cloud-Infrastruktur nutzen, aber hast nicht die Expertise, diese selbst zu betreiben? Dann bist du bei uns in der Managed Cloud genau richtig.

Referenz 24.08.23

Weniger Risiken und Kosten für HDI mit ISO/IEC 19770-1

Als weltweit erste Endanwenderorganisation wurde die HDI AG im Februar 2023 nach ISO/IEC 19770-1 zertifiziert. Die TIMETOACT GROUP begleitete HDI mit ITAM-Reifegradanalysen, Identifizierung und Umsetzung von Optimierungsmaßnahmen sowie bei der Erlangung der Zertifizierung.

Blog 05.11.24

Strategische Bedeutung von APIs in digitaler Transformation

Erfahren Sie, wie APIs Unternehmen Wettbewerbsvorteile verschaffen und die digitale Transformation beschleunigen. Mit praxisnahen Beispielen und Tipps zur Umsetzung.

Blog 01.08.24

MarTech Boom, KI, Echtzeit-Datenvernetzung – Buzzword Bingo?

In dieser insights!-Folge bringt dir Till Paschke von HCLSoftware die cloud-native Software-Stacks und den innovativen Ansatz „Integrated Composable Commerce“ nahe. Getrieben von HCLs beeindruckenden Kunden Ferrari, HP oder auch DHL spiegeln ihre digitalen Lösungen die Innovationskraft wider. Der aktuelle Martech-Boom sowie der clevere Einsatz von KI zur Echtzeit-Datenvernetzung sind Fokusthemen der Folge.

Blog 11.12.23

Digitalisierung beginnt mit veränderter Denkweise

In dieser insights!-Folge gibt Karl-Heinz Land Einblicke in Themen wie die Vorstellung seines Buches “Erde 5.0”, die Angst der Menschen vor Neuem, die Unterschiede zwischen den Deutschen und den Amerikanern in Bezug auf Technologie sowie die positiven Veränderungen durch KI.

Referenz

HCL Connections und ICEC vereinen sich zu einem globalen, cl

SikaWorld 2.0 in der Schweiz – Connections und das Connections Engagement Center vereinen sich zu einem globalen, cloud-basierten Social Intranet für 15.000 User.