Titelbild zum Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Fernzugriff aus dem Ausland

Anders als im Cloud-Umfeld ist der Fernzugriff auf on premise-Applikationen sehr wenig geregelt. Unternehmen tun gut daran, genau diese Lücke zu schliessen. In der Schweiz denkt man zuerst an Spitäler mit Patientendaten oder an Banken mit Kundendaten. Die Frage geht am Ende aber alle Unternehmen etwas an.

Am Beispiel eines Spitals

Wenn Sie sich als Patient einem Arzt zuwenden, gehen Sie automatisch und zu Recht davon aus, dass er Ihre Krankenakte streng vertraulich behandelt und nicht gegenüber Dritten offenbart. Im Zuge der Digitalisierung hängt die Krankenakte nun nicht mehr physisch bei ihm in einem Aktenschrank, sondern ist digital gespeichert. Der Arzt darf Ihre Geheimnisse an seine Hilfspersonen weitergeben. Hilfsperson ist, wer den Arzt erlaubterweise in seiner Tätigkeit unterstützt. Dieser Vorgang ist rechtlich gesprochen keine Offenbarung. Folglich müssen Sie als Patient nicht über den Beizug der Hilfsperson informiert werden.

In der Praxis ist es aber so, dass ein Klinikinformationssystem, ein Radiologiesystem oder ein Laborsystem nicht allein durch das Spital gewartet werden und sich IT-Dienstleister, möglicherweise sogar aus dem Ausland, via Fernzugriff einloggen. Dabei sind oftmals - insbesondere in der Datenbank - alle Informationen der Patienten offen zugänglich. Die Frage ist nun: Wo "beginnt" das Spital, und wo "hört es auf"? Zur Umschreibung kann man den Begriff "Perimeter" verwenden. Der Begriff bezeichnet die äussere Abgrenzung der Organisationseinheit (hier: des Spitals), die es zu organisieren gilt. Es geht also um die Frage, wo der Perimeter des Spitals endet. 

Abbildung Sachverhalt Outsorurcing - Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Der absolut entscheidende Punkt ist die Kontrolle. Es braucht Kontrolle über die "verlängerte Werkbank". Das Spital muss alle Hilfspersonen so einbinden, als wären sie Mitarbeitende (Bindung an Weisungen, etc.) und nicht Externe. Fehlt es an Kontrolle, führt der unbeschränkte Beizug von Hilfspersonen womöglich zu einer verbotenen Offenbarung.

Am Beispiel einer Bank

In einem Rechtsgutachten (Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art. 47 BankG)* wurde die Frage erläutert, ob eine Bank den personellen und physischen Perimeter soweit erweitern kann, dass Bankkundendaten in der Cloud oder von einem ausländischen IT-Dienstleister eingesehen werden können. Das Fazit des Rechtsgutachtens bejaht dies, denn das seit 1934 geltende Bankengesetz wurde 1970 dahingehend ergänzt, um sich gegen «ausländische Spionage» zu schützen. In letzter Zeit ist einiges gegangen und seit 2017 übermittelt die Schweiz ja auch detaillierte Informationen über Bankkonten regelmässig ins Ausland.

Obwohl die Mitarbeitenden eines ausländischen IT-Dienstleisters strafrechtlich unter Umständen nicht belangt werden können, geht das Rechtsgutachten davon aus, dass die betreffenden Mitarbeitenden in die Risikosphäre der Bank eingebunden werden können, ohne dass eine Offenbarung gegenüber Dritten stattfindet:

Abbildung 2&3 Kontrolle  Expertenbericht Securitiy - Fernzugriff aus dem Ausland

Die Bank erweitert den physischen und personellen Perimeter also dahingehend, dass das Rechencenter und die Mitarbeitenden des IT-Dienstleisters nicht mehr als Dritte angesehen werden können. Der entscheidende Punkt dabei ist, dass die Bank mittels technischer und organisatorischer Massnahmen die Kontrolle darüber behält. Damit darf eine Bank Applikationen in der Cloud verwenden oder auch ausländischen Mitarbeitenden Fernzugriff erlauben.

Alle anderen Branchen

Andere Branchen wie Handel oder Industrie unterliegen in der Schweiz nicht der gleichen Fülle von Gesetzgebungen, wie ein Spital oder eine Bank. Trotzdem gilt es die Daten zu schützen. Dabei muss es sich nicht um personenbezogene Daten handeln. Jedes Unternehmen hat Betriebsgeheimnisse, welche im Falle einer Offenbarung dem Unternehmen einen Schaden zufügen können. Dies kann ein Image-Schaden sein oder auch ein zukünftiger wirtschaftlicher Schaden aufgrund von Wirtschaftsspionage.

Diese Kontrolle der verlängerten Werkbank kann exakt gleich mit technischen und organisatorischen Massnahmen erfolgen, muss aber durch ein griffiges Vertragswerk unterstützt werden. Die in den Prozessen eingebunden Mitarbeitenden müssen über die Unternehmensgrenze von Dritten zu Beteiligten gemacht
werden.

Was heisst nun Kontrolle?

Kontrolle muss ganzheitlich als stetiger Prozess verstanden werden. Zuerst muss man die Materie verstehen und dann müssen durch präventive Massnahmen die Risiken eines Datenverlusts reduziert werden. Weiter empfehlen wir durch Verbesserung der Nachvollziehbarkeit die Möglichkeiten von reaktiven Massnahmen zu erhöhen, um im Fall der Fälle Sanktionsmöglichkeiten ergreifen zu können. Beim Thema Fernzugriff von IT-Dienstleistern, welche mit privilegierten Berechtigungen möglicherweise auf Ihre Daten zugreifen, empfiehlt es sich die folgenden organisatorischen und technischen Massnahmen anzuwenden:

  • Schutzbedarfsanalyse über alle relevanten IT-Systeme durchführen
  • Interne Weisungen für Zugang auf Daten (Access Management) aufsetzen
  • Berechtigungs- und Rollenkonzepte für die exponierten IT-Systeme erstellen
  • Die Verwaltung der Benutzer und Berechtigungen sauber regeln
  • Benutzer von intern wie auch extern zur persönlichen Identifikation zwingen
  • Passwörter privilegierter Accounts nach Gebrauch immer wechseln
  • Die Session der Fernzugriffe und der Datentransfer protokollieren/aufzeichnen

Fernzugriffe, auch aus dem Ausland, auf kritische Daten sind rechtlich erlaubt. Die Risiken müssen allerdings gut kontrollierbar sein. Die Verantwortung liegt beim Unternehmen selbst. Zieht beispielsweise ein Spital Dritte in seine IT-Umgebung ein, behält das Spital die Verantwortung zum Schutz der Daten. Die Kontrolle muss jederzeit durch technische, organisatorische und vertragliche Massnahmen gewährleistet sein.

Claudio Fuchs, Dipl. Ing. FH - Informatikingenieur mit Nachdiplomstudium in Informationssicherheit, beschäftigt sich seit 2004 ausschliesslich mit Identity- und Accessmanagement (IAM). Er ist Mitglied der Geschäftsleitung der IPG Gruppe, welche über 100 Unternehmen zu ihren Kunden zählen darf. Für IPG verantwortet er die Märkte Österreich und Schweiz. Im Nebenamt ist Claudio Fuchs Hochschuldozent für Projekt- und Qualitätsmanagement an der Hochschule Rapperswil sowie Verwaltungsrat einer Schweizer Bank.

News

IBM übergibt “Trusted AI” Projekte an Linux Foundation AI

Wir begrüßen es sehr, dass die Linux Foundation drei besonders leistungsfähige SW-Komponenten der IBM (z.T. bereits Open Source) in ihren Linux Foundation AI Canon aufgenommen hat.

News

ARS Event: KI meets Finance & Insurance

Am 20.11.2019 versammeln sich CxOs, Innovation Manager und Risk Manager zum ARS Event: KI meets Finance & Insurance 2019 in Nürnberg, um über die Zukunft der Finanzbranche zu diskutieren.

Logo von IPG - Experts in IAM
Unternehmen 26.01.21

IPG Information Process Group Holding AG

Die IPG-Gruppe ist auf die Konzeption, Integration, den Betrieb und die Ausbildung von IAM-Lösungen spezialisiert.

Standort

Winterthur

Finden Sie u.a. catworkx AG und IPG Information Process Group AG in Winterthur: Theaterstrasse 17, 8400 Winterthur

Standort

Dresden

Finden Sie u.a. IPG Information Process Group GmbH Deutschland in Dresden: Gertrud-Caspari-Str. 13; 01109 Dresden; +49 7531 957 3020; info@ipg-group.com

Standort

Berlin

Finden Sie u.a. IPG Information Process Group AG GmbH Deutschland und CLOUDPILOTS Software & Consulting GmbH in Berlin

News 06.08.21

Intelligent Document Processing ab sofort noch effizienter!

Wir verbessern unsere Leistung aus diesen Gründen im Gebiet Intelligent Document Processing stetig und haben nun mit den Experten der PLANET artificial intelligence GmbH aus Rostock einen starken Partner an unserer Seite.

Headerbild zu Intelligente Dokumentenverarbeitung / Intelligent Document Processing
Service 11.08.21

Intelligent Document Processing (IDP)

Intelligent Document Processing (IDP) umfasst die Erfassung, Erkennung und Klassifikation von Geschäftsdokumenten und Daten aus unstrukturierten und halbstrukturierten Texten.

Branche

Digitaler Wandel in der Öffentliche Verwaltung

Die digitale Transformation wird die Arbeitswelt gerade in der öffentlichen Verwaltung massiv verändern. Wir unterstützen die Behörden von Bund, Ländern und Kommunen bei der strategischen und technischen Umsetzung ihrer Projekte in der Verwaltungsmodernisierung.

Headerbild zu Digitale Transformation bei Versicherern
Leistung

Digitale Transformation bei Versicherungen meistern

Digitale Transformation ist der Wandel der Unternehmenswelt durch neue Technologien und das Internet Erfahren Sie, wie Versicherer das meistern können

Event

Data Fabric: Basis für Analytics und KI der nächsten Stufe

Im Webinar erfahren Sie, warum das Thema Data Fabric für Versicherer so wichtig ist. Wir erklären Ihnen, was die Data Fabric genau ist und welche Funktionalität sie für Data Science sowie den IT-Betrieb aufweist. In einer praktischen Demo zeigen wir Ihnen konkret Anwendungsfälle aus der Versicherungsbranche. Darüber hinaus erfahren Sie, in welchen Schritten Sie Ihre eigene Data Fabric einführen können.

Referenz

Kavalierstart für Red Hat OpenShift

TIMETOACT GROUP führte gemeinsam mit der NÜRNBERGER Versicherung die neue Container-Technologie Red Hat OpenShift ein, um die Produktivität der Entwickler zu steigern.

Branche

Gesundheitswesen

IT und Digitalisierung wird in Deutschland zu häufig als reiner Kostentreiber gesehen, ohne die Ertragschancen und Potenziale zu berücksichtigen. Wir kennen die Herausforderungen im Gesundheitswesen und helfen Ihnen, die besten IT Lösungen zu finden.

Referenz

Digitalisierung der Leistungsabrechnung

Nach dem Motto „Innovation first“ wurde bei der Liechtenstein Life AG (LLA) die Leistungsprüfung komplett digitalisiert. Hierfür werden sämtliche Workflows in die geschützte Cloud gebracht.

Logo Deutsche Rentenversicherung
Referenz

Modernisierung der Kernprüfung

TIMETOACT GROUP unterstützte die Deutsche Rentenversicherung Bund bei der Umsetzung der Kernprüfung in Java mittels OSGi und CICS auf IBM System z.

Referenz

Modularisierung und Migration des Point of Service

TIMETOACT GROUP unterstützte die delvin GmbH (Tochter von die Bayerische) bei der Modularisierung und Migration der bestehenden Point of Service Applikation.

Event

KI basierte Kundenbetreuung für Versicherer

Im Webinar erfahren Sie, wie moderne Kundenbetreuung in der digitalisierten Welt aussieht. Watson Assistent hilft bei der Optimierung bestehender Lösungen. Dieser virtuelle KI-Assistent liefert Kunden schnelle, konsistente und akkurate Antworten über alle Kommunikations-Kanäle, -Plattformen, -Applikationen und Geräte hinweg.

Referenz

Strategieberatung & Proof of Concept zu IBM Cloud

ARS als Teil der TIMETOACT GROUP unterstützte den Kunden bei der Strategieberatung hinsichtlich der Entscheidung Cloud Foundry vs. Docker/Kubeneretes

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!