Schweizer Regierung trifft Massnahmen zum Schutz vor Cyberrisiken: Einführung des IKT-Minimalstandards

David Roman Director, Digital Health Leader, PwC Switzerland 09 Okt 2018

Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat Ende August den Minimalstandard für die Informations- und Telekommunikationsinfrastruktur (IKT) eingeführt. Der Massnahmenkatalog spezifiziert Sicherheitsstandards, die den unbeabsichtigten oder unberechtigten Zugriff auf Daten und Systeme sowie deren Beschädigung oder Zerstörung verhindern sollen.

Der IKT-Minimalstandard richtet sich auftragsgemäss an Betreiber kritischer Infrastrukturen in der Schweiz, zu denen u.a. auch das Gesundheitswesen gehört.

Insbesondere dort stellen wir eine stetig wachsende Bedrohung aus dem Internet fest.

In den vergangenen Monaten kam es bei unseren Kunden im Gesundheitswesen unabhängig von deren Grösse vermehrt zu Attacken im Speziellen mit Ransomware (Kryptoviren wie WannaCry, Defray, CryptoLocker usw.), die Daten verschlüsseln und in der Regel eine Lösegeldforderung schicken, um diese wieder zu entschlüsseln.

Worum geht es?

Cybersicherheit ist im Gesundheitswesen zentral und gewinnt immer mehr an Bedeutung. Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind die Grundvoraussetzung für ein sicheres und effizientes Geschäftsmodell, und Cybersicherheit ist die notwendige Basis für langfristige Geschäftsbeziehungen.

Der Bundesrat hat im April 2018 die nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) für die Jahre 2018 bis 2022 verabschiedet. Im Rahmen dieser Strategie hat das BWL den Minimalstandard zur Cybersicherheit veröffentlicht. Der Standard ist als Richtlinie für die Basissicherheit für Anbieter und Betreiber von kritischer und nicht kritischer Infrastruktur konzipiert. Er hat Empfehlungscharakter und basiert auf international anerkannten Standards, anhand derer die Cybersicherheit eines Unternehmens bewertet werden kann. Der IKT-Minimalstandard liefert Anleitungen für Sicherheitsprogramme und erhöht die Widerstandsfähigkeit gegenüber Cyberbedrohungen im Allgemeinen.

Der IKT-Minimalstandard ist in drei Bereiche gegliedert:

  1. Der Bereich Grundlagen dient als Nachschlagewerk und soll Hintergrundinformationen zur IKT-Sicherheit vermitteln.
  2. Das Framework bietet den Anwendern ein Bündel konkreter Massnahmen zur Umsetzung an und ist in fünf Themenbereiche, «Identifizieren», «Schützen», «Detektieren», «Reagieren» und «Wiederherstellen», unterteilt.
  3. Mit dem Self-Assessment und dem zugehörigen Bewertungstool können die Organisationen und Unternehmen den Umsetzungsstand der Massnahmen innerhalb des Unternehmens beurteilen bzw. auch durch externe Firmen prüfen lassen. Die Ergebnisse können als Grundlage für ein organisationsübergreifendes Benchmarking verwendet werden.


Auf Grundlage dieses Standards können Gesundheitsinstitutionen branchenspezifische Erweiterungen entwickeln. Einige Branchen werden den Standard verbindlich machen.

Gemäss unseren Erfahrungen fokussieren sich diese Attacken nicht nur auf die grossen Institutionen, sondern werden breit gestreut und können jeden treffen.

Weitere Erkenntnisse sind u.a.:

  • veraltete/heterogene IT-Landschaft
  • Verzögerungen bei Updates/Patches von medizinischen Geräten durch die Hersteller
  • unsachgemässe Handhabung von personenbezogenen Daten
  • unvollständige/fehlende Benutzer- und Berechtigungskonzepte (z.B. keine Regelung für den Umgang mit Gruppenaccounts auf der Notfallstation)
  • mangelnde Perimetersicherheit (z.B. fehlende Zutrittskontrollen)
  • unzureichender/kein Prozess zur Sensibilisierung von Mitarbeitern gegenüber Cyberrisiken

Wie kann Sie PwC konkret unterstützen?

Erarbeitung eines Sicherheitsfundaments

  • Bestandsaufnahme des IT-Umfeldes, der medizinischen Gerätschaften und des generellen Security-Stellenwertes (Training, Sensibilisierung usw.)
  • Evaluation der generellen IT-Möglichkeiten und -Maturität
  • Definition einer Security-Strategie, die mit der Spitalstrategie einhergeht und von der Spitalleitung genehmigt wird

Strategische Transformation

  • Identifikation von geschäftskritischen Systemen und Applikationen sowie Evaluation von deren Sicherheit
  • Definition eines Risikorahmenwerkes zum generellen Umgang mit Risiken
  • Entwicklung und Formalisierung eines Incident-Response-Programms und eines Notfallmanagements

Proaktive Sicherheit

  • Evaluation von Netzwerkzonen und -unterteilungen, Überwachungsmechanismen und Zugriffslösungen
  • Evaluation von Verschlüsselungsmodellen für Stamm- und Transaktionsdaten
  • Evaluation des Schutzes personenbezogener und besonders schützenswerter Daten

Vertrauen und Bescheinigung

  • Risikobeurteilungen von Partnern und Dienstleistern
  • Analyse des Vertragsmanagements und der Service-Level-Rapporte von inländischen und ausländischen Dienstleistern
  • Vorbereitung der Attestierung der vorhandenen Kontrollen durch externe Prüfungsgesellschaften

Wieso PwC Schweiz?

Als Mitautorin des Standards verfügt PwC Schweiz über eine langjährige und umfassende Erfahrung in der Beurteilung von Cybersicherheitsrisiken und kann Gesundheitsinstitutionen bei der Umsetzung des Minimalstandards und bei der Wahl der notwendigen Cyberrisiko-Schutzprogramme unterstützen.

PwC Schweiz ist führend in Cybersicherheitsassessments und in der Umsetzung von Massnahmen und Programmen zur Cybersicherheit. Wir haben weitreichende Studien und Beiträge über Cybersicherheit und deren Praxis verfasst und können Unternehmen durch alle notwendigen Schritte führen – von der Strategieentwicklung bis zur Implementierung der notwendigen Prozesse zum Schutz vor Cyberrisiken.

Als Mit-Autorin des Standards verfügt PwC Schweiz über hervorragende Kenntnisse des Minimalstandards. Zudem basieren die neuen Richtlinien auf dem internationalen NIST Cybersecurity Framework Standard, der eine zentrale Komponente der PwC-eigenen Cybersicherheitsstrategie ist. Diese Methodik verwenden wir auch zur Evaluation der Cybersicherheit unserer Kunden und können somit eine zum Regierungsstandard konsistente Beratung sicherstellen und die Widerstandsfähigkeit einer Organisation gegenüber Cyberrisiken deutlich erhöhen.

Erfahren Sie hier, wie Ihnen PwC Schweiz dabei helfen kann, den Minimalstandard und weiterführende Massnahmen umzusetzen.

Hier finden Sie weitere Informationen und Dateien des Bundesamtes für wirtschaftliche Landesversorgung (BWL).

Hier finden Sie weitere Informationen zu PwC im Gesundheitswesen

 


Ihre Kontakte

David Roman

Director, Digital Health Leader, Zurich, PwC Switzerland

+41 58 792 77 90

E-Mail

Urs Küderli

Director Cybersecurity and Privacy, Zurich, PwC Switzerland

+41 58 792 4221

E-Mail

Harry Kunz

Manager, Operational risk & control solutions, Zurich, PwC Switzerland

+41 58 792 5421

E-Mail