DE N NE U M IT R HE N DE BE RE IC SE M ES N
UND IN E LTEC IT. HE S IC H E R
OB BAUHERR ODER KÜCHENBAUER:
Medienpartner:
Themenpartner:
Leading Partner Swissbau Focus:
Main Partner Swissbau Innovation Lab:
Besuchen Sie die führende Fachmesse der Bau- und Immobilienwirtschaft.
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
U M PA R T N
EI
11
MARKTFÜHRER FÜR DIE VERNICHTUNG VERTRAULICHER DATEN
T
TE
W
ER
I EM
ER
SICHERHEIT
PR
NOV 19
EI EI :S NF N O R M AT I O N E
Interview Präventionschef der Stadtpolizei Zürich
ROLF NÄGELI «Angst darf man haben, das ist gut, aber man muss die Angst beherrschen. Es darf nicht umgekehrt sein.»
Lesen Sie mehr auf www.fokus.swiss «
anlagen Alarmanlagen Alarmanlagen überwachungen Videoüberwachungen Videoüberwachungen Zutrittssysteme tssysteme Zutrittssysteme www.absalarm.ch
salarm.ch
Mit einem Sicherheitskonzept von ABS Alarm können Sie Ihr Unternehmen, Ihr Zuhause, Ihre Miet- oder Ferienwohnung mit gutem Gewissen allein lassen. Unsere verlässlichen Sicherheitssysteme halten für Sie die Augen offen.
Mit einem Sicherheitskonzept einem Sicherheitskonzept von ABS Mit Alarm können Sie Ihr Alarmanlagen Mit einem Sicherheitskonzept von ABSIhr Alarm könnenIhre Sie Ihr Unternehmen, Zuhause, von ABS Alarm können Sie Ihr Videoüberwachungen Unternehmen, Ihr Zuhause, Ihre Miet- oder Ferienwohnung Unternehmen, Ihrmit Zuhause, Mietoder Ferienwohnung mit Ihre Zutrittssysteme Mietoder gutem Gewissen alleinFerienwohnung lassen. gutem Gewissen allein lassen. mit gutem Gewissen allein lassen. Unsere verlässlichen Unsere verlässlichen Unsere verlässlichen Sicherheitssysteme Sicherheitssysteme haltenhalten für für Sicherheitssysteme halten für Sie die Augen offen. Sie die Augen offen. www.absalarm.ch Meilen-Frauenfeld-St. Gallen Sie die Augen offen.
Meilen-Frauenfeld-St. Gallen
Meilen-Frauenfeld-St. Gallen
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
02
EDITORIAL
WWW.FOKUS.SWISS
04
08
12
14
LESEN SIE MEHR... 04 Cybersecurity 08 Aus- und Weiterbildung 10
Wo liegen die Grenzen unserer Spezies?
Interview: Rolf Nägeli
12 Heimsicherheit 14
Arbeitssicherheit
FOKUS SICHERHEIT. PROJEKTLEITER: Simon Chromec COUNTRY MANAGER:
S
dem hochdynamischen Thema «Cybersecurity» nur teilweise. Lückenhafte Gesetze, mangelhafter Schutz durch die staatlichen Organe, sowie ein erschreckend hoher Mangel an Cybersecurity-Spezialisten, sind nur einzelne der Ursachen.
icherheit ist eines der wichtigsten Bedürfnisse der Menschen. In der Schweiz haben sich der Staat und Teile der Wirtschaft dem Thema angenommen und stellen in Form von Gesetzen, Personal, sowie Produkten und Dienstleistungen sicher, dass Sicherheit – in all ihren Facetten – für die Gesellschaft und die Wirtschaft gelebt wird. Die in dieser Beilage behandelten Themen Arbeitssicherheit, Gebäudesicherheit und Cybersicherheit liegen in Bezug auf ihre Bezeichnung nahe beieinander. Dennoch sind sie sehr unterschiedlich, wenn es um die Wahrnehmung und die Minimierung der Risiken geht. Inzwischen ist jedem klar, dass Sicherheitsgurte Leben retten. Unbestritten ist auch, dass ein proaktiver Brandund Diebstahlschutz, entsprechende Gefahren und Auswirkungen massiv reduziert. Dieses Sicherheitsdenken stammt jedoch aus der analogen Welt. Unternehmungen fühlen sich sicher, da man nur die besten am Markt verfügbaren Security-Komponenten «verbaut». Doch die Denkweise «Nutze ich den besten Zaun, dann haben Einbrecher keine Chance», funktioniert in der virtuellen Welt nicht.
Viele Menschen sind im Umgang mit virtuellen Gefahren nicht geübt und erkennen diese schlichtweg nicht.
Das Hauptproblem hierbei ist, dass viele Menschen im Umgang mit virtuellen Gefahren nicht geübt sind und diese schlichtweg nicht erkennen!
- UWE KISSMANN
Das mangelnde Verständnis für Cybergefahren und die mehrheitlich sehr verdeckte Vorgehensweise von Cyberkriminellen sind wesentliche Ursachen dafür, dass Menschen auf nicht sichtbare Gefahren – wie digitale Angriffe – sehr verhalten reagieren.
persönliche Daten preis, nur um Dank einer «coolen» App «dazuzugehören».
So lässt sich auch erklären, warum wir jeden Tag von Unternehmungen lesen, die aufgrund von Cyberattacken beinahe oder tatsächlich Konkurs anmelden mussten. Wegen dieser falschen Denkweise geben Millionen von Menschen ausserdem gedankenlos
Es ist leider Fakt, dass eine Mehrheit der Bürger, sowie viele der mittelgrossen und kleinen Unternehmungen in unserem Land, ihre IT und ihre Daten nach wie vor nicht angemessen vor Cyberangriffen schützen. Während der Staat bei traditionellen, physischen Bedrohungen durchaus griffige Gesetze und auch Gegenmassnahmen zur Verfügung stellt, funktioniert dies bei
Der Staat unternimmt zwar erste Schritte: vom Schaffen einer «Cyber-RS», über spezialisierte Fachdiplome, bis hin zur Verschärfung von Gesetzen und der Sensibilisierung der Bevölkerung für Cyber-Themen. Doch der aktuelle Rückstand ist gross, die Reaktionsfähigkeit unterentwickelt und die Anzahl der Spezialisten reicht bei Weitem nicht aus. Auch in naher Zukunft wird es unabdingbar sein, dass sich Bürger und Unternehmungen dem Thema selbst annehmen. Der Staat schützt hier nur sehr beschränkt! Wie wird man dem Problem in der Zwischenzeit Herr? Zuallererst gilt beim Thema Sicherheit über alle Bereiche hinweg: Paranoia ist ebenso falsch, wie Ignoranz. Es gilt, sich risikobewusst und angepasst zu verhalten.
Pascal Buck PRODUKTIONSLEITUNG: Miriam Dibsdale TEXT: Fatima Di Pane, Mohan Mani, Alessandro Poletti TITELBILD: zVg LAYOUT: Anja Cavelti DISTRIBUTIONSKANAL: Tages-Anzeiger DRUCKEREI: DZZ Druckzentrum AG
SMART MEDIA AGENCY AG Gerbergasse 5, 8001 Zürich, Schweiz Tel +41 44 258 86 00 info@smartmediaagency.ch
Unternehmungen und Privatpersonen müssen aktiv handeln, sich stets über die neuesten Sicherheitsvorkehrungen informieren und technologisch am Ball bleiben. Eine wichtige Rolle muss bei Unternehmungen auch durch deren Verbände wahrgenommen werden. Diese sollten – wie im Ausland schon häufig vorgelebt – ihren Mitgliedern branchenspezifische Informationen und Ausbildungen zum Thema «Cybersecurity» anbieten. Ich wünsche Ihnen viel Spass beim Lesen von «Fokus Sicherheit»!
TEXT UWE KISSMANN, PRÄSIDENT DER KOMMISSION CYBERSECURITY VON ICTSWITZERLAND
Viel Spass beim Lesen! Simon Chromec Project Manager
BRANDREPORT ALG SYSTEMS AG
Sicher ist sicher
I
m Bereich der Alarmanlage bietet die ALG Systems AG mehrere Produktelinien an. Durch die Kombination von Zuverlässigkeit, Leistung, Design und einem fortschrittlichen Funktionsumfang befinden sich ihre Alarmsysteme an der Spitze des Sicherheitsmarktes, sowohl bei den BUS-Systemen (drahtgebunden), wie auch den Funk-Alarmanlagen oder als Kombination beider Technologien, den Hybrid-Anlagen. Die unzähligen Sensoren wie Magnetkontakte, Bewegungs-, Glasbruch-, Erschütterungsmelder, Sirenen und
Gefahrenmelder für Rauch, Hitze, Wasser oder Temperatur, runden die Produktefamilien ab. Smart-Home-Lösung Mit ihrer Produkte-Palette NG-TRX von EL-MO haben die Kunden die Möglichkeit, ihr Zuhause weltweit bequem und einfach zu überwachen und zu steuern. Die Anlagen werden den umfassenden Bedürfnissen von Privat- und Geschäftskunden gleichermassen gerecht.
Video-Überwachungssysteme In der Sparte der Video-Überwachungssysteme offeriert die ALG Systems AG eine umfassende Kamera- und Rekorderauswahl verschiedener namhafter Hersteller. Ob in HD, Full HD oder auch 4K (Ultra HD), bietet sie In- & Outdoor-Kameras für alle Einsatzbereiche. Die Video-Signale können als HDTVI, HD-IP übertragen und empfangen werden. Für die drahtlose Übertragung stehen Wi-Fi Systeme zur Auswahl. Das entsprechende Zubehörsortiment wie Montagelösungen, Kabel, Stecker, Kupplungen usw. gehören ebenso zum vielfältigen Sortiment. Zusammen mit ihren Partnern bieten das Unternehmen eine umfassende, ganzheitliche und auf die jeweiligen Kundenbedürfnisse zugeschnittene Lösung an. TEXT ROMANO GRÜTER VERKAUF/MARKETING
Über die ALG Systems AG Die ALG Systems AG, Regensdorf ist seit zwei Jahrzehnten als Grosshändler für professionelle Alarmanlagen, Einbruchschutz und Videoüberwachung tätig. Im Wissen der wachsenden Bedürfnisse und Anforderungen trägt sie mit dem ständigen Ausbau ihres Produkte-Portfolios Rechnung. Zu ihrer Kundschaft zählen namhafte Fachfirmen und Errichter der ganzen Schweiz, mit welchen sie eine jahrelange, partnerschaftliche Zusammenarbeit pflegt. In den Räumlichkeiten in Regensdorf können die Kunden Produkte besichtigen und direkt ab Lager beziehen. Das aufgeschlossene, motivierte Team berät telefonisch oder vor Ort mit seinem Fachwissen und seiner Erfahrung zielgenau und lösungsorientiert. Die Kundenzufriedenheit steht bei der ALG Systems an oberster Stelle. Nach einer telefonischen Voranmeldung beraten wir Sie gerne in aller Ruhe bei uns in Regensdorf bei einem Kaffee oder Tee. www.alg-systems.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
AIG BRANDREPORT
03
Cyber-Bedrohungen in der Schweiz und wie sich Unternehmen absichern können Die Digitalisierung verhilft vielen Unternehmen zu einem entscheidenden Wettbewerbsvorteil und vereinfacht den Zugriff auf Systeme und Daten. Neben Effizienzsteigerungen führt dies allerdings auch zu einer erheblichen Abhängigkeit der Wertschöpfung von IT-Systemen. Dies machen sich Kriminelle vermehrt zu Nutzen.
E
Daniel Rüegg Practice Leader Cyber – Schweiz bei der Versicherung AIG
sein können, sind diese häufiger bereit, das Lösegeld an die Erpresser zu bezahlen – das macht sie zu einem attraktiven Angriffsziel. Cyber-Kriminalität boomt Während anfängliche Erpressungsforderungen von Ransomware-Angreifern zwischen 300 und 600 US-Dollar lagen, werden heute wesentlich höhere Beträge gefordert. Cyber-Kriminelle verlangen heute Zehntausende von Dollar, Euro oder Bitcoin von angegriffenen Unternehmen – womit sich Cyber-Kriminalität in den letzten Jahren zu einem lukrativen Geschäft entwickelt hat. Neben der Erpressungsforderung kommen für Unternehmen noch Kosten für die Wiederherstellung der Systeme hinzu – diese ist sehr aufwändig und kann einen Betriebsunterbruch weiter in die Länge ziehen. Laut der Meldeund Analysestelle Informationssicherung (Melani) belief sich die durchschnittliche Höhe eines Schadens einer Cyber-Attacke im letzten Jahr auf 4.7 Millionen USDollar pro betroffener Gesellschaft. Diese Zahl beruht
in der Versicherungslösung Zugang zu Krisen-Sofortmassnahmen an. Ein Team aus Massnahmen-Koordinatoren, Rechts- und IT-Spezialisten sowie - im Falle einer Lösegeldforderung – Erpressungsberatern steht dem Versicherungsnehmer während eines CyberVorfalls beratend zur Seite. Speziell, in der hektischen Phase einer Cyberattacke, sind routinierte Spezialisten Da die Erpresser sich laufend neu erfinden und immer zur Lösung einer Attacke und Steuerung der Kommuwieder auf neue Technologien zurückgreifen, ist es für Un- nikation essenziell. Das Produkt «CyberEdge» bietet ternehmen - insbesondere für KMU, mit begrenzten Res- neben Krisenmanagement auch Deckung für Datensourcen für IT-Sicherheit – schwierig, Schritt zu halten. schutzpflichten und Haftung. Diese Themen können Sollte es da trotz umfangreichen technischen Vorkehrun- für Unternehmen zu weiterführenden und substanzielgen (z.B. bewährte Prozesse für die Datensicherung durch len finanziellen Verpflichtungen führen, insbesondere Backups zur Vorsorge) zu einem Vorfall kommen, kann für die Abwehr und Abwicklung entsprechender Hafteine passende Versicherung als Ergänzung®zur Risiko- pflichtansprüche. Weiter unterstützt AIG mit seinen Partnern das Unternehmen, bis die betroffenen Systesteuerung eine wichtige Unterstützung im Ernstfall sein. CyberEdge gewährleistet unmittelbare Unterstützung me wieder funktionsfähig sind. Eine Cyber-Deckung bei einer Cyber-Attacke. Sofortige Ereignisanalyse hilft-kontrolle, Unternehmen wachsenden Risiken besser Entdeckt einer unserer Versicherungsnehmer einen An- und wie auch die forensische IT-Expertise, Erweitern Sie Ihre Expertise mit kontrollieren und steuern zu können. griff auf sein System, bietet die AIG als Erstreaktion helfen Ihnen, schnell zur Normalität zurückzukehren.
CyberEdge unserer
Zusammenfassung eines Schadenfalls und CyberEdge-Reaktion SCHADENKOMPONENTE
Neben Grossunternehmen sind immer mehr auch kleinere und mittlere Unternehmen (KMU) im Visier von Cyber-Erpressern; Schadenmeldungen in diesem Segment nehmen von Jahr zu Jahr zu, treten jedoch häufig nicht in gleicher Weise medienwirksam zu Tage. So war Ransomware in den letzten Jahren laut Schadenstatistiken des amerikanischen Versicherungskonzerns AIG stets eine der Hauptursachen für Cyber-Schäden – wobei ein Betriebsunterbruch in den meisten Fällen die schwerwiegendste Konsequenz darstellte. Da für KMU ein längerer Betriebsunterbruch und die damit verbundenen Einnahmeeinbussen existenzbedrohend
auf einer Umfrage von ESI ThoughtLab, welche unter Opfern von Cyber-Angriffen durchgeführt wurde. Mehr als zehn Prozent der Firmen sollen demnach durch einen Cyber-Vorfall (dazu gehören neben Ransomware auch DDoS-Angriffe, Spionage, Phishing und Datenabfluss) über zehn Millionen Dollar verloren haben.
CYBEREDGEREAKTION
iner der weltweit grössten globalen Aluminiumproduzenten bemerkte an einem Montag, Anfang dieses Jahres, gegen Mitternacht Unregelmässigkeiten in seinen Systemen. Wenig später wurde klar, dass das Unternehmen Opfer eines Ransomware-Angriffes geworden ist. Dabei handelt es sich um eine Art von Malware, die das gesamte, oder Teile des Betriebssystems respektive Dateien und Dokumente, blockiert, bis das Opfer ein Lösegeld bezahlt. Die Quellen für Ransomware-Infektionen sind die gleichen wie bei herkömmlichen Computerviren – die Verbreitung erfolgt meist durch E-Mail-Anhänge und infizierte Dateien, die von bösartigen Websites heruntergeladen werden. Der Angriff hatte für den Aluminiumproduzenten Produktionsausfälle in Europa und den USA zur Folge – das Unternehmen war sogar zwischenzeitlich gezwungen, auf manuellen Betrieb umzusteigen. Der Angriff resultierte in weitreichenden Betriebsunterbrechungen und Verlusten in zweistelliger Millionenhöhe.
SCHADEN Unmittelbare Reaktion des Beraters für Schadenfälle und Datenschutzverletzungen innerhalb einer Stunde oder nach Eingang der Schadenmeldung.
SONDIERUNG/ ANALYSE
RECHT & PR
INFORMATION
Kostenübernahme für die Unterstützung durch forensische IT-Experten: was ist betroffen, wie kann weiterer Schaden vermieden, und was kann wiederhergestellt werden.
Kostenübernahme für die Einordnung der rechtlichen und regulatorischen Implikationen des Vorfalls.
Kostenübernahme der Benachrichtigung von betroffenen Personen und KreditManagement zur Vermeidung von weiteren Verlusten.
UNTERSUCHUNGEN Professionelle Vorbereitung auf behördliche Untersuchungen. Kostenübernahme für Meldung an Aufsichtsbehörden im In- und Ausland.
HAFTUNG Verteidigungskosten und Folgekosten für: • alle Schäden an Firmendaten und an persönlichen Daten • Kontaminierung von externen Daten durch einen Computervirus • Diebstahl von Systemzugangscodes • fahrlässige Handlungen oder Fehler von Mitarbeitern
Diverse Versicherungsmodule für massgeschneiderte Policen: Kulanzgutscheine
Proaktive Massnahmen
Netzwerkunterbrechung
Digitale Medien
Krisenmanagement
Externe Dienstleister
Cyber-Diebstahl
TelefonHacking
Datenschutz und Cyber-Haftpflicht
Systemausfall
CyberErpressung
Criminal Reward Fund
SITASYS BRANDREPORT (“Goodwill-Coupon”)
Alarm-Management so einfach wie noch nie
AIG übernimmt im Rahmen des Versicherungsschutzes die Kosten für Experten der IT-Forensik und Rechtsberatung. KPMG Cyber Response Team
Norton Rose Fulbright
Dank der Digitalisierung kann die Sicherheitskette undEffiziente deren Reaktion Überwachung von der Aufschaltung bedingt interdisziplinäres Norton Rose Fulbright steht Vorgehen und koordiniertes Handeln. Daswerden. weltweit für rechtliche Expertise im bis hin zur Intervention über den gesamten Lebenszyklus vollständig abgedeckt Cyber Response Team von KPMG setzt Persönlichkeits- und Datenschutz
S
itasys ist ein Schweizer Unternehmen, das sich auf sicheres Alarmmanagement, Kommunikation und Identifikation spezialisiert hat. Die besonderen Stärken liegen im umfassenden Marktverständnis der Sicherheitsindustrie sowie einem profunden technologischen Know-how in Verbindung mit bester Schweizer Qualität. Sicherheit dank Digitalisierung Mit evalink bietet das Unternehmen die effizienteste und fortschrittlichste Alarm-Management-Plattform an. Kunden und Partner können diese dank eines flexiblen PaaS-Modells (Platform as a Service) von heute auf morgen nutzen. Ohne Anfangsinvestition und zu erheblich geringeren Kosten. Basis dabei ist, dass die Sicherungskette digitalisiert in die Cloud verlagert wird. Die hohen Sicherheitsstandards ermöglichen einen sichereren Betrieb als je zuvor. Insbesondere im Bereich Cybersecurity bieten die professionellen Dienstleister der Rechenzentren eine Server-Infrastruktur an, die nicht nur sicherer, sondern auch wesentlich stabiler ist als eine normale KMU-Infrastruktur. Die sogenannte Sicherheitskette schliesst alle an der Alarmbearbeitung involvierten Prozesse wie Alarmauslösung, Alarmübertragung, Alarmabarbeitung, Eskalation, Intervention und Personen mit ein und sorgt für eine lückenlose Dokumentation. Das ermöglicht nicht nur mehr Transparenz, sondern ist auch ein wichtiges Instrument zur Optimierung der Fallbearbeitung für einen optimalen Schutz von Personen und Werten. Schutz von Waren und Menschen Luxuskonzerne, die Waren im Wert von vielen Millionen lagern und verkaufen, sind eine begehrte Zielscheibe von organisierter Kriminalität. Schutz davor bietet nur ein durchgängiges Sicherheitskonzept, das alle Prozesse, Dienstleistungen und Anlagen umfasst. Dafür müssen Einbruchmeldeanlagen installiert und gewartet,
die Verbindung zwischen Einbruchmeldeanlage und Leitstelle sichergestellt werden. Ein Sicherheitsdienst stellt Alarmbearbeitung und Intervention zur Verfügung. Sämtliche Daten in diesem Prozess müssen jederzeit aktuell abgerufen werden können. Dazu kommen noch alle Wartungsarbeiten und Reparaturen, die koordiniert werden müssen. Dieses Beispiel zeigt, dass die Governance der Gesamtsicherheit schnell eine Form annimmt, die von den Sicherheitsverantwortlichen nur noch mit grossem Aufwand bewältigt werden kann. Überwacht den gesamten Lebenszyklus evalink deckt diese Prozesse und deren Überwachung von der Aufschaltung bis hin zur Intervention über den gesamten Lebenszyklus vollständig ab. Mit einem hohen Automatisierungs- und Integrationsgrad werden die Prozesse schnell ausgeführt – dadurch kann in einem Schadenfall auch die Instandstellung effizient organisiert und ein Umsatzausfall verhindert werden. Zudem
CMS
Das internationale Team von CMS bietet rechtliche Beratung in allen Bereichen des Datenschutzes. sich aus Technologie-Experten, erfahrenen und bietet eine globale Strategie zur Mit ihrer langjährigen Erfahrung Krisen-Managern, forensischen ITBewältigung von widersprüchlichen in vielen Branchen erstellt CMS Spezialisten und Rechtsanwälten zusammen. und oft schwer berechenbaren praktikable Lösungen, die rechtliche Internet of Things zu verbinden. Damit wird diederSicherkönnen sich Sicherheitsverantwortliche auf die VersiDatenschutzanforderungen. Vorgaben unter Berücksichtigung • Zielgerichtetes und adäquates Dokumentation verlassen. heitsplattform zur Unternehmensprioritäten Drehscheibe für diemiteinbeziehen. automatisierte cherungsund normgerechte Management bei Cybervorfällen, die • Analyse und Definition der Abwicklung von Ereignissen durch die richtigen innerhalb eines Unternehmens entdeckt regulatorischen Vorgaben bei • Datenschutzanalyse, AGB-AnalysePersoVerlust oder Diebstahl von Daten und Entwicklung von Datenschutzwerden. Praxisnahe Unterstützung nen und Teams. Die Sicherheit ist damit während dem Brandmeldeanlangen direkt und Beratung zur Schadenbegrenzung und Richtlinien gesamten Lebenszyklus durchgängig gelöst. zur Feuerwehr aufschalten • Anwendungen für große Mengen Minderung sowie für Fortführung oder personenbezogener Daten, Cloud • Lösung der Datenschutzproblematik Wiederaufnahme des Geschäftsbetriebs Mit modernen Sicherheitsplattformen wie evalink und E-Commerce bei internen oder ausgegliederten Ausfälle verhindern werden also traditionelle Alarmaufschaltungen, wie die • Unabhängige Analyse Ihrer aktuellen Projekten technologischen Möglichkeiten und gesetzlich vorgeschriebene Anbindung von Brandmel- Industrieanlagen sind bereits heute äusserst gut überProzessabläufe zur vorbeugenden deanlagen an Polizei und Feuerwehr, kosteneffizienter wacht, da bei Ausfällen schnell sehr hohe Schäden Identifikation von Cyberrisiken
und noch sicherer. Damit entsteht eine attraktive Alter• Internationales Netzwerk in über 140 nativeLändern zu bestehenden bietet weltweitAnbietern. verlässliche Bereits heute werden Reaktion bei einem Cybervorfall die gesetzlich gefordert die hohen Sicherheitsstandards, werden, mit der Sicherungskette in der Cloud erfüllt und von den Behörden akzeptiert.
Eröffnung von neuen Geschäftsmodellen evalink geht aber über die reine Übertragung von Alarmen hinaus. Im digitalen Prozess ist es möglich, sich mit Industrie 4.0, Gebäudeinformationssystemen sowie
entstehen können. Meist beschränkt sich allerdings die Überwachung auf die lokale Alarmierung. evalink bietet die Möglichkeit, basierend auf der bereits bestehenden Überwachung, automatisierte Prozesse anzustossen, die bei einer Warnung beispielsweise sofort ein Wartungsunternehmen informieren, damit ein Ausfall durch ein frühzeitiges Eingreifen verhindert werden kann. Die Verantwortlichen haben dadurch einen stetigen Überblick über alle Ereignisse und können übergeordnet lenken und reagieren. Die hohe Komplexität von gesamtheitlicher Sicherheit braucht Transparenz um überschaubar zu bleiben. Nur so können Verantwortliche sicherstellen, dass Abläufe im Sicherheitskonzept reibungslos funktionieren, Daten aktuell bleiben, sicherheitsrelevante Anlagen in einwandfreiem Zustand sind und gesetzliche Normen sowie Anforderungen von Versicherern eingehalten werden. evalink erfüllt alle diese Anforderungen, um mit Sicherheit sicher zu sein. www.sitasys.com, www.evalink.io
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
04
FACHARTIKEL CYBERSECURITY
WWW.FOKUS.SWISS
Recht und Ordnung für den digitalen Wilden Westen Ist der Cyberspace ein rechtsfreier Raum? Eigentlich nicht, aber irgendwie schon. Ein Appell für eine verbindliche Sicherheitsnorm für die digitale Welt. TEXT LEVENTE J. DOBSZAY, CYBERSECURITY SPECIALIST BEI ELECTROSUISSE
Levente J. Dobszay Cybersecurity Specialist bei Electrosuisse, Verband für Elektro-, Energie- und Informationstechnik
W
ährend in vielen Bereichen der Technik und ihrer Anwendung die Sicherheit durch entsprechende Gesetze und Normen sowie deren Durchsetzung gewährleistet wird, hinkt die digitale Welt weit hinterher. Beim Automobil und in der Elektrotechnik sorgten bereits innert weniger als 20 Jahren nach deren Einführung erste Gesetze und Normen für Sicherheit. Das World Wide Web feierte dieses Jahr seinen 30. Geburtstag und Computer gibt es schon viel länger. Wo stehen wir hier in Sachen Sicherheit?
Strassenverkehr und Elektrotechnik 1886 meldete Carl Friedrich Benz das Auto zum Patent an. In der Folge wurde dieses revolutionäre Gefährt mehrfach kopiert und weiterentwickelt. Die ersten Automobile hatten noch erhebliche Sicherheitsmängel und machten Fussgängern, Pferden und Kutschen den Raum streitig. Immer wieder kam es zu mitunter auch tödlichen Unfällen, weil die Sicherheit der Fahrzeuge im Ermessen ihrer Erbauer lag und auch weil sich niemand für die Fahrkünste der enthusiastischen Lenker interessierte. ANZEIGE
Bereits 1899 wurde deshalb in Frankreich zusammen mit der ersten Strassenverkehrsordnung der Welt die Führerscheinpflicht eingeführt. Die Schweiz folgte ab 1904 mit interkantonalen Konkordaten, die mit den Bundesgesetzen von 1932 und 1959 vereinheitlicht wurden. Seither hat sich sowohl die Sicherheit der Fahrzeuge als auch des Verkehrs laufend verbessert. Heute bildet sie einen wichtigen Aspekt in der Mobilität, die durch gesetzlich verankerte Sicherheitsvorschriften reglementiert und durch technische Normen standardisiert ist. Ähnlich schnell wurde auch die elektrische Sicherheit reguliert. Der Schweizerische Elektrotechnische Verein (SEV ), die heutige Electrosuisse, hat 1896 die ersten Sicherheitsvorschriften für den Bau und Betrieb von Starkstromanlagen vorgelegt. Seit dem Bundesgesetz betreffend elektrischer Schwach- und Starkstromanlagen von 1902 wurde viel für die Verbesserung der Sicherheit getan. Heute verweist die Niederspannungs-Installationsverordnung (NIV ) zur Umsetzung des Elektrizitätsgesetzes (EleG) auf «anerkannte Regeln der Technik». Solche harmonisierte Sicherheitsstandards bestehen mit den Normen der internationalen elektrotechnischen Kommission (IEC) auf globaler und des Europäischen Komitees für elektrotechnische Normung (CENELEC) auf europäischer Ebene, die durch die Schweizer Niederspannungs-Installationsnorm (NIN) als anwendungsorientierte Umsetzungsnorm ergänzt werden. Der digitale Wilde Westen Mit seiner Z1, einem frei programmierbaren mechanischen Rechner, legte Konrad Zuse 1938 den Grundstein für das Zeitalter der Digitalisierung. Die ersten
elektromechanischen Rechenmaschinen wurden zu miniaturisierten und leistungsfähigen Computern weiterentwickelt und 1981 mit dem Personal Computer massentauglich gemacht. Die globale Vernetzung über das Internet und die mobile Kommunikation haben die Nutzenpotentiale ermöglicht, die wir heute mit der digitalen Transformation erschliessen. Doch noch immer sind digitale Lösungen und der Datenverkehr weitgehend nicht reguliert. Die bisherige Duldung von Sicherheitsmängeln und sicherheitsfeindlichen Verhaltensweisen hat es ermöglicht, dass sich CyberKriminalität zu einem lukrativen Geschäftsmodell entwickeln konnte. Das Vertrauen in die Sicherheit von digitalen Lösungen sinkt, während die Kosten für Cyber-Risiken explodieren. Aktuelle Cybersecurity-Standards sind weder hinreichend noch einfach verständlich. Sie sind auch nicht einfach auf konkrete Rahmenbedingungen skalierbar und schon gar nicht verpflichtend. Etliche Organisationen veröffentlichen unzählige Empfehlungen für Anwender. Trotzdem erreichen diese die breite Masse nicht. Hersteller und Anbieter als eigentliche Gefahrenverursacher werden dabei vernachlässigt. Es wird viel Energie in die Symptombekämpfung investiert, während Cyber-Risiken zu immer mehr Schäden führen. Gleichzeitig fehlt es in der Schweiz an einer Regulierung für digitale Sicherheit. Während die Europäische Union 2016 mit der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zur Netz- und Informationssicherheit (NIS) sowie 2019 mit dem EU Cybersecurity Act den Grundstein dafür gelegt hat, wird in der Schweiz erst das Datenschutzgesetz angepasst.
Sicherheit dank Normen Beim Auto standen zu Beginn schienen- und zugtierunabhängige Mobilität, höhere Geschwindigkeit und Komfort sowie die pure Lust am Fahren im Vordergrund, während Sicherheitsaspekte schon bald danach durch die zunehmenden Probleme an Bedeutung gewannen. Heute ist die Sicherheit im Strassenverkehr klar reglementiert und nicht verhandelbar. Normenbasierte Sicherheitsvorschriften für Hersteller, Strassenverkehrsgesetze, regelmässige Fahrzeug- und Verkehrskontrollen sowie obligatorische Fahrprüfungen machen den Strassenverkehr sicher. Wer gegen die Regeln verstösst, wird gebüsst. Praktisch alle neuen Technologien haben neben ihrem Nutzen auch Risiken mit sich gebracht. Diese sind insbesondere für technische Laien, die den grössten Anteil der Anwender ausmachen, zu komplex und nur schwer abschätzbar. Um eine möglichst gefahrenlose Nutzung zu gewährleisten, sind sowohl Verhaltensnormen in Form von Gesetzen als auch technische Normen erforderlich. Diese sollen zweckmässig, verhältnismässig und zumutbar sein. Die digitale Welt steht an einem vergleichbaren Punkt wie damals, als der Umgang mit Elektrizität noch viel lebensgefährlicher als heute war und jeder nach eigenem Gutdünken ein motorisiertes Gefährt bauen und fahren konnte. Es ist Zeit, auch die digitale Welt sicher zu machen. Dazu brauchen die Schweiz und auch der Rest der Welt eine klare Regulierung für digitale Sicherheit und verpflichtende Cybersecurity-Normen, wie dies bei anderen Technologien eine Selbstverständlichkeit ist.
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
BRANDREPORT BW DIGITRONIK AG
SCRT BRANDREPORT
Erkennen Sie den Hacker?
E
s ist nicht immer leicht, den Hacker zu erkennen. Manchmal sieht ein Angriff harmlos oder gar süss aus. Er versteckt sich hinter einem Bild, Link, Attachment in einer normalen E-Mail oder einer Werbeanzeige auf einer gewöhnlichen Website. Doch meist ist der Benutzer nur einen Klick davon entfernt in die Falle zu tappen. Und schon ist man dem Hacker auf den Leim gekrochen Der aktuelle Bericht der Melde- und Analysestelle Informationssicherung (MELANI) berichtet über die Cyberangriffe, von welchen Schweizer Unternehmen betroffen waren. Verschlüsselungstrojaner gehören noch immer zu den gefährlichsten Cyberbedrohungen. Die Folgen eines erfolgreichen Angriffs sind Ärger, Kosten und Aufwand zur Bereinigung der Systeme und Wiederherstellung verlorener Daten. Da die Angreifer nicht schlafen, sollten auch die Unternehmen rund um die Uhr wachsam sein, um Attacken erfolgreich abwehren zu können. Dazu sind IT-SecurityExpertise, ein grosser Erfahrungsschatz, automatisierte Werkzeuge, eingespielte Prozesse und ein 7x24 verfügbares SWAT-Team sehr nützlich. Die IT-Security-Spezialisten aus einem Security Operation Center (SOC) sind für solche Einsätze trainiert und qualifiziert. Sie analysieren die allgemeine Bedrohungslage und überwachen die
Erreichen eines hohen Sicherheitsniveaus in einer Unternehmensinfrastruktur
I aktuelle Situation der jeweiligen Unternehmen. Proaktiv wird nach potentiellen Bedrohungen, Angriffsmustern und möglichen Gefahren Ausschau gehalten. SystemAlarme werden untersucht und Angriffe abgewehrt. Kunden werden vorbeugend über mögliche Szenarien informiert, um allfällige Lücken in den Systemen frühzeitig zu schliessen. So erfährt die IT-Sicherheit eine kontinuierliche Optimierung und Angriffe lassen sich in Echtzeit abwehren. bw digitronik bietet seit über 30 Jahren IT-Security-Lösungen und Dienstleistungen an. Das Team von 350 Cyber-Security-Experten innerhalb der Cybertech Group unterstützt Schweizer Unternehmen im Kampf gegen die Hacker-Attacken. Aus der globalen SOC-Infrastruktur mit Standort in der Schweiz wacht bw digitronik aufmerksam über die IT-Welten ihrer Kunden. Weitere Informationen: www.bwdigitronik.ch
05
n einer Zeit, in der Eindringlinge, sensible Datenlecks und andere Vorfälle der Cybersicherheit häufig in den Medien auftauchen, werden sich Unternehmen allmählich des Ausmasses dieser Angriffe und oft auch ihrer Schwachstellen bewusst. Dieses Bewusstsein führt bisweilen zur Einführung verschiedener Technologien, ohne einen umfassenden und strukturierten Ansatz in Betracht zu ziehen. Es ist jedoch wichtig, die Bedürfnisse und Prioritäten sorgfältig zu bedenken, um eine globale und kohärente Antwort auf das Problem der Sicherung eines Informationssystems zu geben. Die Erreichung und Aufrechterhaltung eines hohen Sicherheitsniveaus in einer Geschäftsinfrastruktur beeinhaltet drei wesentliche Punkte. Gesicherte Stellung Eine gute Sicherheitshaltung wird im Allgemeinen erreicht durch die Anwendung bewährter Verfahren wie der Segmentierung des internen Netzwerks, der ordnungsgemässen Verwaltung von Benutzerkonten und besonders privilegierten Konten oder der sorgfältigen Verwaltung und Überwachung von Aktualisierungen im gesamten Informationssystem. Diese gute Haltung kann oft, zumindest teilweise, durch den richtigen Einsatz von Technologien erreicht werden, die bereits im Unternehmen
vorhanden oder verfügbar sind (z. B. durch die verschärfte Konfiguration einer Domäne oder Windows-Arbeitsplätze). Regelmässige Überwachung dieses Sicherheitsniveaus Mit dem täglichen Auftreten neuer Sicherheitsschwachstellen und neuer Angriffstechniken ist es unerlässlich, das aktuelle Sicherheitsniveau des Informationssystems regelmässig zu überwachen. Ein möglicher Ansatz ist die regelmässige Durchführung von Intrusionstests, die unter realistischen Bedingungen durchgeführt werden, d.h. ohne in die Gefahr zu laufen, sie auf rein technische Angriffe zu beschränken. Eine hohe Erkennungskapazität Dabei ist zu berücksichtigen, dass trotz der unternommenen Anstrengungen zu ihrer Verhinderung, Sicherheitsvorfälle auftreten können. Und in diesem Fall geht es darum, sie so schnell wie möglich erkennen und eindämmen zu können. Dazu ist es unerlässlich, eine Erkennungsinfrastruktur (z. B. ein SIEM) einzurichten und die ausgelösten Warnmeldungen fortlaufend zu überwachen. Da diese Aufgabe für das Unternehmen oft zu ressourcenintensiv ist, wird sie oft ganz oder teilweise an ein externes Unternehmen in Form eines SOC-Service vergeben. Weitere Informationen: www.scrt.ch
Martin Viselka CEO bw digitronik ag
SEPPMAIL BRANDREPORT
Gesicherte E-Mail-Kommunikation – einfacher und komfortabler denn je Dank der Secure-E-Mail-Lösung SEPPmail steht der sicheren, DSGVO-konformen E-Mail-Kommunikation nichts mehr im Wege. Sie beinhaltet sämtliche Funktionen, um den Versand vertraulicher Daten via E-Mail zu schützen, die Authentizität des Senders zu garantieren und die Vertraulichkeit und Integrität der Botschaft zu sichern.
S
EPPmail ermöglicht sämtlichen Marktteilnehmern – vom KMU über Grossfirmen, Finanzinstitute und Notariatsbüros bis hin zu Behörden und Institutionen des Gesundheitswesens – dank Verschlüsselung einen sicheren Nachrichtenaustausch mit allen gewünschten Empfängern. Um sowohl die Integrität (Unverfälschtheit) der Nachricht als auch die Echtheit des Absenders zu bestätigen, ermöglicht SEPPmail zudem das digitale Signieren ausgehender E-Mails. Dazu unterstützt die Secure E-Mail Appliance die nahtlose Einbindung ausgewählter CAs (Certification Authorities) und somit eine automatische Erstellung digitaler Signaturen.
Secure E-Mail – jetzt auch für Office 365 SEPPmail hat auch gute Nachrichten für Unternehmen, die für die E-Mail-Kommunikation auf Office 365 Exchange Online setzen: So lässt sich das SEPPmail Secure E-Mail Gateway auch in diesem Umfeld für die sichere und trotzdem bequeme E-Mail-Kommunikation einsetzen. Dabei übernimmt SEPPmail die Signierung und Verschlüsselung aller Nachrichten. Die bestehenden Sicherheitsfunktionen von Exchange Online (z. B. Anti-Virus und Anti-Spam) kommen weiterhin zum Tragen und für die User ändert sich nichts. Diese empfangen und senden ihre E-Mails in der gewohnten Umgebung und müssen sich nicht um die Details der Verschlüsselung kümmern.
Auch technisch integriert sich die Lösung von SEPPmail optimal in die Office-365-Mail-Infrastruktur. Dabei spielt es keine Rolle, ob die Lösung lokal oder bei einem Co-Location-Anbieter in Form von Hardware, als virtuelle Appliance oder als Cloud-Service betrieben wird. Der Dienst lässt sich sogar in Microsoft Azure bequem über den Marketplace beziehen. Es braucht einzig eine verschlüsselte Verbindung zwischen der SEPPmail-Appliance und den ExchangeOnline-Hosts sowie einige Weiterleitungsregeln, die sich in wenigen Schritten konfigurieren lassen. Ebenso bleibt die Exchange-Online-Umgebung als Ganzes unangetastet und fungiert weiterhin als zentrale Empfangs- und Versandstelle für sämtliche E-Mails. Die ein- und ausgehenden Nachrichten werden lediglich für die Verschlüsselungs- und Entschlüsselungsvorgänge sowie für die Signierung zwischen Exchange Online und der SEPPmail-Appliance übertragen. Mit der Integration des seit Jahren bewährten, mehrfach ausgezeichneten Secure E-Mail Gateways in die Office365-Mail-Infrastruktur. trägt SEPPmail der digitalen Transformation Rechnung und ermöglicht eine sichere, DSGVO-konforme E-Mail-Kommunikation.
Kontakt SEPPmail AG Industriestrasse 7, CH-5432 Neuenhof Tel: +41 56 648 28 38, info@seppmail.ch www.seppmail.ch
SEPPmail Secure E-Mail Gateway: die Highlights (ein Auszug) E-Mail-Verschlüsselung und digitale Signatur • GINA-Verschlüsselung: ermöglicht die verschlüsselte E-Mail-Übertragung an Empfänger ohne Verschlüsselungssoftware • Domain-Verschlüsselung: sichert den gesamten E-Mail-Verkehr zwischen Unternehmen bzw. zwischen sämtlichen SEPPmail-Appliances vollautomatisch • Unterstützt alle gängigen Verschlüsselungsstandards wie S/MIME, TLS und openPGP • Automatische Erstellung von Zertifikaten (SwissSign, QuoVadis): Managed PKI ermöglicht ein automatisches Generieren von Signatur-Zertifikaten für bestimmte oder alle Benutzer Optionen • Large File Transfer (LFT) für den sicheren Versand beliebig grosser Anhänge • Central Disclaimer Management sorgt für ein einheitliches Erscheinungsbild aller ausgehenden E-Mails und stellt sicher, dass die rechtlichen Policies (Disclaimer) in der E-Mail-Signatur abgedeckt sind
Retail. Business. Education.
Schützen Sie sich nicht nur vor Grippeviren: DQ TotalProtect. Zu den neusten Apple Produkten bieten wir mit DQ TotalProtect wirksame Massnahmen, um die Sicherheit in Ihrem Unternehmen zu erhöhen: Mail Security mit Anti-Virus / Anti-Spam, verschlüsseltes, externes Mail Archiving oder Endpoint Security, der vollumfängliche Schutz des gesamten Netzwerks. Kommen Sie auf die sichere Seite.
dq-solutions.ch/business
Inserat_IT-Sicherheit_Tagesanzeiger_296x440mm.indd 1
19.11.19 11:21
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
SWISSPOWER BRANDREPORT
07
Stadtwerke schliessen sich zum Schutz vor Cyberkriminalität zusammen Stromausfall infolge eines Hackerangriffs – eine Gefahr, die real ist. Damit es nicht so weit kommt, bilden Schweizer Stadtwerke gemeinsam mit der Stadtwerke-Allianz Swisspower und der Stiftung SWITCH eine Kooperation für Cybersicherheit.
Adrian Märklin
S
Je vernetzter die Systeme, desto grösser die Gefahr Die Digitalisierung im Infrastrukturbereich erhöht das Risiko eines Ausfalls substanziell. Denn die Leitsysteme, welche die Strom-, Gas- und Wasserversorgung steuern, werden zunehmend mit Sensoren ausgestattet, um Netze und Anlagen zentral zu steuern und zu überwachen – interessante Ziele für Hacker. Die grösste Schwachstelle im System ist dabei nach wie vor der Mensch. 80 Prozent aller Cyberattacken in Unternehmen werden über die Handlung eines Mitarbeitenden ausgelöst, sei dies durch importierte Malware (bösartige Soft-
tromnetze, Gas- und Wasserversorgung zählen zu den kritischen Infrastrukturen – fallen sie aus, hat dies rasch gravierende Folgen für unser Gemeinwesen. Ein grossflächiger Stromausfall etwa wirkt sich auf zahlreiche andere Bereiche aus: Verkehrsleitsysteme brechen ebenso zusammen wie der elektronische Zahlungsverkehr, die Lebensmittel- und Trinkwasserversorgung sowie die Abfallentsorgung. Die Infrastrukturbetreiber in der Schweiz treffen deshalb umfangreiche Vorkehrungen, um Unterbrüche zu verhindern. Im internationalen Vergleich nimmt die Schweiz punkto Versorgungssicherheit eine Spitzenposition ein.
Energieversorger müssen sich daran gewöhnen, dass Cyberkriminalität ein ebenso grosses Risiko ist wie Naturgefahren.
Cyberkriminalität: Ein ebenso grosses Risiko wie Unwetter oder Brände Eine besondere Gefahr hat sich jedoch in den vergangenen Jahren akzentuiert: Energieversorger müssen sich daran gewöhnen, dass Cyberkriminalität mittlerweile ein ebenso grosses Risiko für sie darstellt wie Stürme, Überschwemmungen oder Brände; mit dem Unterschied, dass Cyberattacken kein einmaliges Ereignis sind, sondern dauernd und zum Teil automatisiert ausgeführt werden.
ware), den Besuch infizierter Webseiten oder unsichere Speicherorte von vertraulichen Daten und Passwörtern. Zusätzlich integrieren wir nun unter dem Stichwort «Smart City» eine Unmenge von kleinen Intelligenzen (Internet of Things) in unsere Netze: Untereinander vernetzte Sensoren, die in Echtzeit Daten analysieren und Aktionen auslösen – vom intelligenten Stromzähler im Haushalt (Smart Meter) bis hin zu Parkplatz-Sensoren. Je mehr solch smarte Elemente im Energiesystem
miteinander kommunizieren, desto wichtiger wird ein verlässliches Sicherheitsdispositiv. Prävention fordert Infrastrukturbetreiber heraus Wie real die Gefahr von Cyberattacken ist, zeigte sich, als mehrere Schweizer Wasserversorgungen vor einiger Zeit bekanntgaben, dass Hacker ihre Systeme angegriffen hatten. Die Attacken konnten abgewehrt werden, doch die Prävention fordert Infrastrukturbetreiber zunehmend heraus. Die Eidgenössische Elektrizitätskommission führte 2019 eine Umfrage zur Cybersicherheit unter den 92 grössten Netzbetreibern durch, die zusammen für 90 Prozent des schweizerischen Stromumsatzes zuständig sind. Erst ein Viertel gab an, über eine spezifische Organisationseinheit zu verfügen, die Cyberattacken aktiv überwacht und Abwehrmassnahmen ergreift, ein sogenanntes Computer Emergency Response Team (CERT) oder ein Security Operations Center (SOC). Kooperationen liegen auf der Hand Der Aufbau und Betrieb einer solchen Organisation benötigt Ressourcen. Firmen- und branchenübergreifende Kooperationen liegen deshalb auf der Hand, insbesondere für kleinere und mittlere Energieversorgungsunternehmen. So können die einzelnen Unternehmen ihre Kräfte bündeln, Erfahrungen teilen und mit den immer professioneller werdenden Angreifern Schritt halten. Swisspower, die Allianz der Schweizer Stadtwerke, hat darum gemeinsam mit der Stiftung SWITCH eine Plattform lanciert, in der Stadtwerke im Bereich Cybersecurity firmenübergreifend zusammenarbeiten. SWITCH betreibt seit über 20 Jahren ein CERT von nationaler Bedeutung und hat 2018 begonnen, zusammen mit grossen Elektrizitätsunternehmen ein
Energie-CERT aufzubauen. Innerhalb dieses EnergieCERT hat Swisspower einen neuen Kundenkreis für Stadtwerke und ihre spezifischen Bedrohungen etabliert. Denn viele Stadtwerke beliefern ihre Kunden nicht nur mit Strom, sondern auch mit Gas, Wärme, Wasser und Telekommunikation. Massgeschneiderte Angebote für grössere und kleinere Energieversorger Das Swisspower-CERT umfasst derzeit fünf schweizerische Stadtwerke und soll sukzessive erweitert werden. Ein erklärtes Ziel der Initiative ist es, auch kleinere Energieversorgungsunternehmen, die über einen weniger umfangreichen IT-Sicherheits-Betrieb verfügen, auf pragmatische Weise zu unterstützen. Hierzu bietet Swisspower die Möglichkeit zur Teilnahme an einem «Outer Circle» des CERT. Dessen Mitglieder erhalten relevante Informationen zur Cybersecurity und Unterstützung im IT-Security-Betrieb zur Erreichung der IKT-Minimalstandards des Bundes. Weitere Informationen: www.swisspower.ch/cybersecurity Adrian Märklin ist Senior Consultant bei Swisspower und beschäftigt sich seit zehn Jahren mit dem Thema IT- und Netzwerksicherheit. TEXT ADRIAN MÄRKLIN
ENSEC BRANDREPORT
Aktuelle Ransomware Attacken offenbaren Schwachstellen Dieses Jahr wurden gleich mehrere Fälle von Unternehmen publik, welche mit den Folgen einer Cyberattacke zu kämpfen hatten. Die Antwort darauf, wie sich Firmen vor solchen Bedrohungen am besten schützen können, gibt es in diesem Artikel.
E
in Handelsunternehmen, ein Softwareproduzent, ein Haustechnikkonzern und ein Storen-Hersteller – sie alle waren in den letzten Monaten in der Presse, weil sie Opfer einer Cyberattacke wurden. Und dies sind bloss diejenigen Fälle, über welche öffentlich berichtet wurde. Dass solche Angriffe nach wie vor Erfolg haben, liegt meist auch an den betroffenen Unternehmen selbst, die ungenügend vorbereitet sind und daher vergleichsweise einfache Ziele darstellen. Über die üblichen Angriffsabläufe bei solchen Ransomware-Attacken berichtete die Melde- und Analysestelle Informationssicherung des Bundes (Melani). Wer sich mit den verschiedenen Szenarien auseinandersetzt, erkennt schnell die üblichen Angriffspunkte: Nicht aktualisierte Software, unzureichender Virenschutz, mangelhafte Zugriffskontrollen, eine eher bescheidene Netzwerksicherheit und unachtsame Mitarbeiter. Risikoanalyse Der erste Schritt bildet stets die Analyse der aktuellen Situation. Es gilt zu klären, welchen Risiken das Unternehmen effektiv ausgesetzt ist. Hierzu bedarf es der Untersuchung der Bedrohungslage und der bereits umgesetzten Massnahmen im Betrieb. Die Resultate werden anschliessend dazu verwendet, sinnvolle Massnahmen zu identifizieren und zu priorisieren. Oft zeigt sich, dass mit wenigen erschwinglichen Massnahmen bereits ein grosser Effekt erzielt werden kann. Softwareaktualisierungen Sowohl Hacker als auch Schadsoftware versuchen in den meisten Fällen Softwarelücken auszunutzen. Unternehmen, die das Patch-Management vernachlässigen, sehen sich heutzutage innerhalb weniger Wochen mit der Situation konfrontiert, dass die verwendeten PCs und Server über eine Vielzahl an Sicherheitslücken angreifbar sind.
Einen Virenscanner zu installieren ist nicht ausreichend. Es kommt in der Praxis relativ oft vor, dass auf PCs und Servern zwar eine Antivirensoftware installiert wurde, diese aber teilweise veraltet oder falsch konfiguriert ist. In solchen Fällen können sich Viren und Verschlüsselungs-Trojaner nahezu ungehindert ausbreiten. Gute Zugriffskontrollen verhindern nicht nur Angriffe von aussen. Sensible Informationen, wie z.B. Lohnlisten oder Arbeitsverträge, werden stets vor unberechtigten Zugriffen geschützt. Nur selten werden jedoch die effektiven Zugriffsberechtigungen analysiert und korrigiert. Angreifer und Schadsoftware nutzen Benutzerkonten mit umfangreichen Rechten aus, um sich innert kurzer Zeit auf so vielen Systemen wie möglich auszubreiten. Die Implementierung sinnvoller Kontrollen erschwert Angriffe von aussen und hilft auch dabei die Risiken im Zusammenhang mit unnötigen
und unberechtigten Zugriffsmöglichkeiten der eigenen Mitarbeitenden zu limitieren. Netzwerksicherheit Unternehmen sind gut beraten, Firewalls und Web-Proxies zu verwenden, um das Unternehmensnetzwerk gegenüber dem Internet vor Angriffen zu schützen und es intern in mehrere Sub-Netzwerke zu unterteilen. Dies reduziert die Angriffsfläche und erschwert die Ausbreitung im internen Netz. Jedoch gilt auch hier, dass die Installation solcher Komponenten nicht ausreicht. Effektive Sicherheit bedingt ein aktives Management dieser Technologien. Denn sie wissen nicht, was sie tun Geschulte und sensibilisierte Mitarbeitende wählen starke Passwörter und klicken wesentlich seltener auf verdächtige E-Mail-Anhänge oder Links. Leider wird
das Thema in der Praxis noch immer sehr zurückhaltend angegangen. Wer die Mitarbeitenden einmal pro Jahr ein Trainingsvideo schauen und ein paar Fragen beantworten lässt, macht oft bereits weit mehr als der Branchendurchschnitt – die Effekte solcher Übungen verpuffen jedoch nachweislich relativ rasch. Effektive Awareness Trainings sind zielgruppengerecht in Form, Inhalt und Periodizität. Tipps dazu lassen sich auf etlichen Websites finden, z.B. unter be-aware.swiss. Backup Wer ein solides Backup-Konzept hat, wird sich kaum erpressen lassen müssen, wenn sich ein Verschlüsselungstrojaner eingenistet hat. Dies gilt allerdings nur dann, wenn die Backups auch entsprechend vor unberechtigten Zugriffen geschützt werden. Denn teilweise wird mit der Verschlüsselung so lange zugewartet, bis die Angreifer sichergestellt haben, dass sich auch die Backups verschlüsseln lassen. Schlaue Mail- und Webfilter können dafür sorgen, dass der Trojaner gar nicht erst ins Unternehmen gelangt. Von einfachen Filterlisten, welche den Download von ausführbaren Dateien und Office-Dateien mit Makros verhindern, bis zu modernen Web-Isolation-Lösungen bietet sich hier vielfältige Möglichkeiten. Daneben existiert eine Vielzahl weiterer Massnahmen organisatorischer und technischer Natur, die helfen können Cyberattacken abzuwehren und deren Folgen einzudämmen. Ob es sich lohnt diese umzusetzen, zeigt die Risikoanalyse. www.ensec.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
08
AUS- UND WEITERBILDUNG
WWW.FOKUS.SWISS
Kompetenzbildung im Auftrag der Cybersicherheit Die fortschreitende Digitalisierung stellt ganz neue Forderungen an die Sicherheit von Informations- und Kommunikationssystemen. Eine effiziente Prävention und Kriminalitätsbekämpfung verlangen neues Wissen und entsprechende Kompetenzen. Ein neu entwickelter eidgenössischer Fachausweis stellt die Verfügbarkeit von qualifizierten Cyberfachkräften sicher. TEXT ROLF BÖHM, SCHULLEITER SIW MIT UNTERSTÜTZUNG VON ICT-BERUFSBILDUNG SCHWEIZ
M
it der rasanten technischen Entwicklung und der digitalen Vernetzung sind neue Herausforderungen für die Sicherstellung der Cybersicherheit verbunden. Angriffe aus dem Internet mit erheblichem Schadenspotenzial bedrohen sowohl die digitalisierte Wirtschaft und Verwaltung der Schweiz als auch Individuen. Gemäss einer Studie des Markt- und Sozialforschungsinstitut GFS-Zürich hat jede siebte Person in der Schweiz bereits einen Cyberangriff erlebt. Mehr als ein Drittel der Schweizer KMU war bereits von Malware oder Erpressung betroffen. Dies kann verheerende Folgen haben, sind doch viele Schweizer KMU vor den akuten Bedrohungen aus dem Cyberspace nicht ausreichend geschützt, ohne sich dessen bewusst zu sein, wie eine weitere Studie der GFS-Zürich im Auftrag von ICTswitzerland, ISSS, SATW, SISA, swiss ICT, SWITCH und ISB – MELANI belegt. Störungen, Manipulationen, Sabotagen und gezielte Angriffe über elektronische Netzwerke betreffen jedoch öffentliche Institutionen und Unternehmen jeglicher Grössenordnung. Konkrete Schutzmassnahmen, die von qualifizierten Spezialisten umgesetzt werden, sind notwendig. Der Bedarf an Spezialisten im Cyber-Security-Bereich nimmt derzeit allerdings deutlich schneller zu als deren Verfügbarkeit. Neuer eidg. Fachausweis entwickelt Um der steigenden Nachfrage nach qualifizierten Fachkräften gerecht zu werden, welche über die praktischen ANZEIGE
Cyber-Security-Spezialisten müssen für ihre Organisationen aktuelle Bedrohungslagen im Cyberraum analysieren und relevante Bedrohungen antizipieren können. Fähigkeiten zur Bewältigung von Cyberrisiken verfügen, wurde in einer breit abgestützten Public Private Partnership die eidgenössische Prüfung für Cyber Security Specialists mit eidgenössischem Fachausweis entwickelt. Der Fachausweis richtet sich an Berufspraktiker/-innen mit Erfahrung auf dem Gebiet der Informations- oder Cybersicherheit. Verschiedene Anbieter der höheren Berufsbildung starten in diesem Jahr die ersten Lehrgänge. Dieses Angebot zeigt ebenfalls, dass auf dem Arbeitsmarkt eine grosse Nachfrage nach ICT-Fachkräften besteht, welche über die praktischen Fähigkeiten verfügen, die notwendigen technischen Massnahmen in der Bewältigung von Cyberrisiken durchzuführen. Im Herbst 2020 wird die erste eidgenössische Berufsprüfung Cyber Security Specialist EFA unter der Leitung des nationalen Verbandes ICT-Berufsbildung Schweiz durchgeführt. Eine unabhängige Prüfungsinstanz ist von zentraler Wichtigkeit und stellt sicher, dass Absolventinnen und Absolventen über standardisierte Handlungskompetenzen verfügen.
Vom Rekrut zum Cyber Security Specialist EFA Der Bundesrat hat die Notwendigkeit der Kompetenzbildung ebenfalls erkannt und die nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) gutgeheissen. Die Armee nimmt bezüglich Cyber-Defence in der Schweiz eine wichtige Rolle ein. Eine Zielsetzung des eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport VBS ist unter anderem, die Ausbildung im Bereich Cyber-Defence in der Schweiz auszubauen und Cyberakteure in der Schweiz zu vernetzen. Zu den getroffenen Massnahmen gehört ein Cyberlehrgang, welcher im Rahmen der Rekrutenschule absolviert werden kann und die Zulassung zur eidgenössischen Berufsprüfung ermöglicht. Soeben haben die ersten 18 Rekruten den Pilotlehrgang abgeschlossen. Gefragte Kompetenzen Cyber-Security-Spezialisten müssen für ihre Organisationen aktuelle Bedrohungslagen im Cyberraum analysieren und relevante Bedrohungen antizipieren können.
Sie untersuchen die Sicherheit von Systemen, decken Schwachstellen auf und schliessen diese durch präventive Schutzmassnahmen. Wenn sich Sicherheitsvorfälle ergeben, muss mit reaktiven Schutzmassnahmen reagiert und anschliessend die Ursachen und Auswirkungen analysiert werden. Zu den präventiven Massnahmen gehören auch die Beratung, die Sensibilisierung und das Training von Mitarbeiterinnen und Mitarbeitern, Kundinnen und Kunden oder anderen relevanten Anspruchsgruppen. Cyber Security Specialist mit eidg. Fachausweis Cyber Security Specialists EFA sind spezialisierte Fachkräfte im Bereich der Cybersicherheit, einem spezifischen Aufgabengebiet im Rahmen des ICTManagements. Ihre Hauptaufgaben sind der präventive Schutz der Informations- und Kommunikationssysteme einer Organisation gegen Angriffe aus dem Cyberraum und die reaktive Bewältigung von Sicherheits-vorfällen. Der eidg. Fachausweis richtet sich an Berufspraktiker/-innen mit Erfahrung auf dem Gebiet der IT-Netzwerke und ermöglicht Absolvent/-innen die Zulassung zum eidg. Diplom ICT Security Expert oder zum Fachhochschulstudium. Die ersten Ausbildungskurse starten im November 2019, die erste eidgenössische Berufsprüfung wird im Herbst 2020 von ICT-Berufsbildung Schweiz durchgeführt. www.ict-weiterbildung.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
SWISSMEM PUBLIREPORTAGE
09
Wie das neue Kampfflugzeug Sicherheit und Arbeitsplätze für die Schweiz schafft Entscheidet sich die Schweiz, ein neues Kampfflugzeug zu beschaffen, spielen Gegengeschäfte – auch «Offset» genannt – eine wichtige Rolle. Sie erhöhen die Sicherheit und schaffen Arbeitsplätze in allen Landesteilen, insbesondere bei KMU.
Z
um Schutz der Schweizer Bevölkerung, der Wirtschaft sowie der Armee verfügt die Schweiz über eine Luftwaffe. Sie ist verantwortlich für den Luftpolizeidienst und Lufttransport in Zeiten des Friedens ebenso wie für die Aufklärung bis hin zur Luftverteidigung sowie Unterstützung der Bodentruppen in Krisenzeiten. Da die heutigen Kampfflugzeuge veraltet und ab 2030 nicht mehr einsetzbar sind, berät das Parlament die Beschaffung neuer Flugzeuge und damit verbunden die Gegengeschäfte.
Ist der Nutzen von Gegengeschäften wissenschaftlich erwiesen? Bereits 2008 bestätigte das Institut für Technologiemanagement (ITEM-PM) der Universität St. Gallen den Nutzen der Gegengeschäfte für die Schweiz. Im Hinblick auf die bevorstehenden Beschaffungen der Schweizer Armee wiederholte das ITEM-PM im Jahr 2018 die Studie. Dabei legte es den Fokus auf die Höhe der Mehrkosten, die Haltung der Schweizer Industrie sowie den Vergleich des Schweizer Ansatzes mit dem Vorgehen anderer Länder.
Gegengeschäfte sind gängige Praxis, wenn die Schweizer Armee neues Material im Ausland beschafft. Diese sind international üblich und konform mit den Regeln der Welthandelsorganisation (WTO). Deshalb unterstütze stets auch der Bundesrat in den letzten Jahrzehnten Gegengeschäfte mit vollständiger Kompensation. Bei der aktuellen Debatte um die Beschaffung des neuen Kampfflugzeuges schlug der Bundesrat jedoch überraschend und in Abkehr der bisherigen Praxis eine Kehrtwende vor. Er wollte keine vollständige Kompensation mehr, sondern nur noch eine von 60 Prozent. Daraufhin gab der Ständerat Gegensteuer und beschloss die Beibehaltung der vollständigen Kompensation (100 Prozent Gegengeschäfte). Nun ist der Nationalrat am Zug. Dabei ist klar: Für die Sicherheit der Schweiz braucht es sowohl ein neues Kampfflugzeug, als auch eine Kompensation über Gegengeschäfte. Wie funktionieren Gegengeschäfte?
Die Ergebnisse der Studie zeigen, dass in der Schweizer Industrie ein Konsens über die positiven Auswirkungen von Gegengeschäften besteht. Der Zugang zu international tätigen Grosskonzernen und die Chance auf eine nachhaltige Geschäftsbeziehung bilden die wichtigsten Vorteile. Damit einher geht der Transfer, respektive der Erhalt von technologischem Know-how sowie die Förderung der sicherheitsrelevanten Technologie- und Industriebasis in der Schweiz. ©Markus Senn
Wettbewerb vieler verschiedener Anbieter vergeben. Die Mehrkosten liegen somit nur zwischen null und zwei Prozent und sind damit verschwindend klein. Das vom Bund eingesetzte Offsetbüro Bern sorgt dafür, dass alles korrekt umgesetzt und abgerechnet wird. So ist gewährleistet, dass tatsächlich nur Unternehmen und Geschäfte berücksichtigt werden, welche die strengen Bedingungen von Bundesrat und der Verwaltung erfüllen.
kann die von der Armee eingesetzte Hard- und Software auch in schwierigen politischen Situationen selbständig unterhalten und weiterentwickelt werden. Das gilt auch für das neue Kampfflugzeug. So wird die Schweiz nicht nur zur Kundin und simplen Anwenderin, sondern zur Partnerin der ausländischen Lieferanten. Gegengeschäfte sichern genau jene Kompetenzen und sind deshalb im sicherheitspolitischen Interesse des Landes. Warum schaffen Gegengeschäfte Arbeitsplätze?
Die Mehrkosten von Gegengeschäften bei Rüstungsbeschaffungen im Ausland sind direkt abhängig von der industriellen Reife des beschaffenden Landes. Entsprechend ist der prozentuale Aufschlag in Ländern mit einer hochentwickelten Industriebasis und Infrastruktur aufgrund der bestehenden Wettbewerbssituation wesentlich geringer als in Schwellen- oder Entwicklungsländern. Gemäss der Studie des ITEM-PM liegen diese Mehrkosten in der Schweiz lediglich bei zwei bis fünf Prozent, was wiederum durch die höheren Steuereinnahmen weitgehend kompensiert wird. Welche Bedeutung haben Gegengeschäfte bei der Beschaffung der neuen Kampfflugzeuge?
Warum nützen Gegengeschäfte der Sicherheit?
Bei Gegengeschäften wird mit dem ausländischen Lieferanten vereinbart, dass der Kaufpreis eines Rüstungsgutes durch Beschaffungen in der Schweiz im gleichen Umfang aufgewogen wird. Das heisst, der ausländische Anbieter muss im Gegenzug Güter und Dienstleistungen in der Schweiz einkaufen, damit er das neue Kampfflugzeug in die Schweiz liefern darf. 20 Prozent der Gegengeschäfte müssen direkt mit dem Rüstungsgut, zum Beispiel einem neuen Kampfflugzeug, in Verbindung stehen. Der ausländische Anbieter muss also beispielsweise Komponenten für das Flugzeug im selben Umfang in der Schweiz fertigen oder die Endmontage in der Schweiz durchführen. Dabei gewinnen Schweizer Unternehmen Wissen und Fähigkeiten im Umgang mit dem neuen System. Dies ist eine «Versicherungspolice» für unser Land mit einem PreisLeistungsverhältnis, das die Mehrkosten von zwei bis fünf Prozent rechtfertigt. Weitere 40 Prozent der Gegengeschäfte sollen mit Schweizer Firmen erfolgen, die Güter im Bereich der Sicherheitstechnologie herstellen. So gewonnenes Wissen ist nicht nur für die Einsatzfähigkeit der Armee von entscheidender Bedeutung, sondern baut künftig benötigte Kompetenzen und Technologien in unserem Land auf. Schliesslich sind die restlichen 40 Prozent für indirekte Gegengeschäfte ohne Sicherheitsbezug vorgesehen. Auch hier handelt es sich um Industrieprodukte und keinesfalls wie behauptet um Cervelats oder Schnürsenkel. Diese 40 Prozent sind wichtig: In den immer mehr von Grossunternehmen dominierten globalen Produktionsketten kann die Schweiz so unseren KMU eine Tür aufstossen. Sie erhalten damit eine Chance, ihre innovativen und zuverlässigen Produkte zu verkaufen. Viele Schweizer KMU konnten so erfolgreiche Geschäftspartnerschaften aufbauen. Diese Aufträge werden im
Indem sich Schweizer Firmen an der Herstellung des Kampfflugzeuges beteiligen, wird der Transfer von technologischem Wissen sichergestellt. Das heisst, dass einzelne Teile und Komponenten in der Schweiz hergestellt werden. Ebenso werden weitere sicherheitstechnologische Produkte aus der Schweiz eingekauft. Dazu gehören Sensoren, Elektronik, Maschinenteile oder Präzisionsinstrumente. Dafür braucht es die richtigen Kompetenzen und geschulte Fachkräfte. Dieses Wissen geht nach Abschluss des Auftrages nicht verloren. Es kann für Innovationen und damit neue Produkte sowie Dienstleistungen eingesetzt werden, welche wiederum Wertschöpfung und Arbeitsplätze generieren. Im Gesetz ist festgehalten, dass die Schweiz über relevante Fähigkeiten und eine angemessene Industriebasis im Bereich der Rüstung verfügen muss. Dabei ist klar, dass heute nicht jedes Rüstungsgut in der Schweiz hergestellt werden kann. Jedoch macht es einen grossen Unterschied, ob Wissen und Kompetenzen, um komplizierte Systeme zu beherrschen, noch im Land vorhanden sind oder nicht. Als Vergleich dient ein modernes Smartphone. Nicht jede Benutzerin muss eine App auf Ebene der Programmierung verstehen. Wer jedoch selbst etwas entwickeln oder das Smartphone verbessern will, sollte die relevanten Kenntnisse im Bereich der technischen Architektur und der Software mitbringen. Nur so kann man selbst eine App programmieren, welche zum Beispiel die Fotokamera des Smartphone ansteuert, auch wenn man selbst kein Smartphone herstellen kann. Dank dem Wissen und den Fähigkeiten, welche die Schweiz im Rahmen von Gegengeschäften aufbaut,
Zahlreiche kleine und mittlere Unternehmen (KMU) in der Schweiz sind Spitzenreiter in ihrem Bereich. Oft konnten sie dank Innovationskraft, Wettbewerbsorientierung und kompetenten Fach- sowie Führungskräften in einer technologischen Nische eine weltweit führende Position aufbauen. Heute besteht jedoch die Herausforderung, dass diese KMUs in immer komplexeren Wertschöpfungsketten von grossen Unternehmen als Zulieferer anerkannt und eingebunden werden. Weltweite Konzerne sind immer weniger bereit, Schweizer KMUs zu berücksichtigen, auch wenn sie eigentlich die besseren Lösungen hätten. Gerade in solchen Situationen sind Gegengeschäfte ein Türöffner für Schweizer Firmen und generieren zusätzliche Aufträge. Diese Aufträge sind alles andere als staatlich gestützte Industriesubventionen. Die Firmen müssen sich auch hier im Wettbewerb bewähren. Jedoch erhalten sie Zugang zu Aufträgen, welche sonst nicht zu erlangen gewesen wären. Insbesondere in der Romandie und im Tessin wird die lokale Industrie aufgrund der vom Bund vorgesehenen Verteilung gestärkt. Längerfristig werden so neue Arbeitsplätze geschaffen und bestehende Arbeitsplätze gesichert. Daraus resultieren höhere Steuererträge für den Staat, die wiederum in Schulen, Spitäler und Infrastruktur investiert werden können. Nicht vergessen werden sollte dabei, dass auch die Sicherheit selbst ein massgeblicher Standortfaktor für die Schweizer Wirtschaft ist. Stabile, sichere Rahmenbedingungen gehören zu den Faktoren, welche ausländische Unternehmen in die Schweiz zieht. Die Erhaltung der Sicherheit ist deshalb auch im gesamtwirtschaftlichen Interesse des Landes.
Gegengeschäfte sind ein wichtiger Bestandteil bei der Beschaffung der neuen Kampfflugzeuge. Der Nutzen der neuen Flugzeuge wird ohne Gegengeschäfte gemindert. Die Armee wäre nicht in der Lage, das Material selbst zu unterhalten, weil sie dafür nicht über die nötigen Kompetenzen verfügt oder nicht auf diese in den Schweizer Betrieben zurückgreifen kann. Deshalb ist eine volle Kompensation über Gegengeschäfte im Interesse der Schweiz. Die Mehrkosten werden über den Gewinn an Sicherheit und die Steuererträge aufgewogen. Es wäre deshalb falsch, die Gegengeschäfte ohne Not und aus rein politischen Gründen zu beschränken. Ein Ja zu einer sicheren Schweiz muss deshalb ein Ja zum neuen Kampfflugzeug und zugleich ein Ja zu 100 Prozent Gegengeschäften sein.
Kurz erklärt Hier finden Sie einen Erklärfilm zu den Gegengeschäften und deren Nutzen für die Schweiz und die Schweizer KMUs: www.swissmem.ch/de/themen/ gegengeschaefte
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
010
INTERVIEW ROLF NÄGELI
WWW.FOKUS.SWISS
«Der Mensch ist die grösste Schwachstelle» Ein Blick in die Medien liesse vermuten, dass die heutige Welt ein sehr gefährlicher Ort ist. Rolf Nägeli, Präventionschef der Stadtpolizei Zürich, erklärt, welche Risiken am grössten sind und wie man sich schützen kann.
INTERVIEW FATIMA DI PANE
ist, hat man schon eine andere Wirkung. Wenn niemand in der Nähe ist, denkt man vielleicht, man könne nichts tun, aber ein Handy hat heutzutage jeder dabei. Die 117 ist schnell gewählt. Dafür sind wir da. Die Polizei in der Stadt Zürich ist in der Lage, innert weniger Minuten vor Ort zu sein. Das entschärft sofort die Situation.
Rolf Nägeli, in der Schweiz wird alle 13 Minuten ein Einbruch verübt. Kontrollieren Sie vor dem Schlafen nochmals das Türschloss? Das mache ich immer, aber nicht erst, seit ich bei der Polizei bin. Ich habe mir das angewöhnt. Viele vergessen das oder halten es nicht für nötig. Einbrüche geschehen häufig tagsüber. Manchmal sitzen die Leute auf dem Balkon, sind im Keller oder in der Waschküche und bemerken nicht, dass bei ihnen gerade eingebrochen wird.
Gibt es Situationen, in welchen ich mich als Helfender rechtlich in Schwierigkeiten bringen kann? Grundsätzlich nicht. Auch wenn Sie mal etwas falsch machen: Die Tatsache, dass Sie helfen, ist bereits gut. Bei der Herzmassage zum Beispiel kann es vorkommen, dass Rippen oder das Brustbein gebrochen werden. Der Patient überlebt aber dank der Hilfe. Da wird niemand versuchen, Sie wegen Körperverletzung zu belangen. Handeln ist grundsätzlich das Richtige. Noch besser ist es, wenn man andere Leute in der Situation anspricht und ihnen Aufgaben zuweist, wie zum Beispiel die Ambulanz zu rufen oder den Verkehr umzuleiten. Aber es braucht den Initialzünder. Jemand muss anfangen, dann beginnen alle zu helfen.
Abgesehen vom simplen Türe abschliessen: Wie schützt man sich am effektivsten? Immer die Tür und die Fenster abzuschliessen ist wirklich das Beste. Ansonsten unterscheiden sich die Bedürfnisse stark. Es gibt eine Vielzahl von baulichen Massnahmen, die man zum Schutz vor Einbrüchen treffen kann. Schlussendlich muss das aber immer aufs Objekt bezogen angeschaut und umgesetzt werden Welche Schwachstellen werden bei der Einbruchsprävention oft übersehen? Aus unserer Sicht ist der Mensch die grösste Schwachstelle. Man würde zwar viele Präventionsmassnahmen kennen, aber aus Bequemlichkeit wendet man sie nicht an. Ansonsten sind es die Türen und Fenster. Wenn Türen und Fenster keinen entsprechenden Schutz bieten, kann ein Einbrecher mit der entsprechenden Erfahrung diese schnell öffnen.
Ein Blick in die Medien liesse vermuten, die Welt sei gefährlicher denn je. Die Kriminalitätsrate in der Schweiz ist jedoch gesunken. Was ist Ihre Meinung zur allgemeinen Sicherheitslage in der Schweiz? Meiner Meinung nach haben wir in der Schweiz eine komfortable Lage in Bezug auf Sicherheit. Zürich ist eine sehr sichere Stadt, das zeigen auch die regelmässigen Bevölkerungsumfragen, die wir dazu machen.
Jemand behauptet, sowieso nichts zu haben, was für einen Einbrecher von Interesse wäre. Ist das schlichtweg naiv, oder unterschätzt man, was alles gestohlen wird? Die Umstände und das Gefühl der Unsicherheit nach einem Einbruch wiegen oft schwerer als man denkt und sind nicht zu unterschätzen. Oft stellen wir fest, dass fehlende Sachen das kleinere Übel darstellen, als das Gefühl, dass jemand in die Privatsphäre eingedrungen ist und sich die Betroffenen in den eigenen vier Wänden dadurch nicht mehr sicher fühlen. Es gibt zahlreiche Tools zur Einbruchsprävention zu kaufen, unter anderem Fensterschutz und Sensoren. Taugen diese Geräte etwas? Wenn sie aus seriöser Quelle stammen und fachmännisch eingebaut werden, können sie durchaus etwas bewirken. Beispielsweise gibt es viele Tools, welche simulieren, dass jemand zu Hause ist. Das ist grundsätzlich nichts Schlechtes, jedoch darf man sich nicht in falscher Sicherheit wägen. Profi-Einbrecher kennen diese Geräte auch. Aber wenn man sich durch ein solches Tool sicherer fühlt, ist eine Anschaffung völlig legitim. Die Stadtpolizei Zürich bietet Beratungsgespräche zur Einbruchsprävention an. Für wen sind diese Gespräche geeignet? Alle Bewohner der Stadt Zürich haben ein Anrecht auf ein Beratungsgespräch. Die Beratungsgespräche sind kostenlos, uns geht es um die Sicherheit. Wenn Sie eine Beratung möchten für einen geplanten Neubau oder nach dem Sie Opfer eines Einbruchs wurden, können Sie sich an uns wenden. Unsere Spezialisten vereinbaren dann einen Termin mit Ihnen, um sich vor Ort ein genaues Bild zu machen. Anschliessend erstellen sie einen Sicherheitsbericht, in dem aufgezeigt wird, was bezüglich der Sicherheit verbessert werden und welche Massnahmen getroffen werden könnten. Mit diesem Bericht können Sie sich anschliessend an einen Handwerker Ihrer Wahl wenden. Technologien entwickeln sich ständig weiter, mit neuen Smart-Home-Gadgets wird selbst das Wohnen immer digitaler. Welche neuen Gefahren bringt dies mit sich? Bei vielen neuen Technologien und Gadgets wissen wir noch nicht, wie sicher sie wirklich sind. Mit dem Handy von der Arbeit aus dem Handwerker mit einer App die Tür zu öffnen, ist zwar praktisch, ich wäre aber sehr vorsichtig, jemandem über eine App meine Tür zu öffnen, wenn ich
Wovor haben Sie Angst? Grundsätzlich vor nichts. Angst darf man haben, das ist gut, aber man muss die Angst beherrschen. Es darf nicht umgekehrt sein.
nicht zu Hause bin. Bei Geräten, die mit dem Internet verbunden sind, besteht die Möglichkeit, dass sie gehackt werden. Wenn eine Tür beschädigt ist, ist rasch klar, dass hier jemand eingebrochen ist. Bei Delikten im digitalen Bereich, ist dies unter Umständen nicht sofort sichtbar, und ein Delikt nachzuweisen wird sicher schwieriger. Mit den neuen Geräten entstehen auch neue Gefahren. Heutzutage haben der Fernseher, das Handy und der Laptop eine Kamera und ein Mikrofon. Dadurch ist es möglich, dass ich über diese Geräte überwacht werde. Demnach gehören sie zu den Menschen, die ihre Laptop-Kamera abkleben? Definitiv. Ich habe einen Schieber auf der Kamera. Wenn ich sie nicht brauche, decke ich sie ab. So ist die Benutzung einfach sicherer. Der Winter steht vor der Tür, Eis und Schnee bringen ein erhöhtes Unfallrisiko mit sich. Worin sehen Sie die grössten Unfallgefahren im Winter? Die grössten Risiken sind erst mal die Sommerpneus. Es ist wichtig, sich frühzeitig um den Wechsel zu kümmern. Hinzu kommt, dass man sich vielleicht nicht mehr daran gewohnt ist, wie das Fahrzeug bei schneebedeckten Fahrbahnen reagiert. Ebenfalls ist es wichtig, die Scheiben und Seitenfenster sowie das Dach komplett von Schnee und Eis zu befreien. Vom Autodach herunterfallende Schneemassen oder Eisstücke können andere Verkehrsteilnehmer gefährden. Zuwenig enteiste Scheiben, so dass nur ein Guckloch vorhanden ist, schränken die Sicht stark ein. Dies stellt eine so grosse Gefahr dar, dass sogar der Führerausweis entzogen werden kann. Nicht von Schnee und Eis befreite Scheinwerfer sind für andere nur sehr schwer oder gar nicht sichtbar und spenden kein Licht.
Was raten Sie Fussgängern und Velofahrern? Im Winter ist es morgens und abends dunkel, da ist es wichtig, für andere Verkehrsteilnehmende sichtbar zu sein. Fussgänger oder Velofahrende tragen am besten helle Kleidung, damit sie im Dunkeln gesehen werden. Weiter sorgen Reflektoren dafür, dass man gesehen wird. Dabei sollte es einem egal sein, wenn es vielleicht nicht so modisch aussieht. Wie ist die Situation mit den E-Trottinetten? E-Trottinette sind eine neue Herausforderung. Oftmals ist den E-Trotinett Fahrenden nicht bekannt, was erlaubt ist und was nicht. Kinder unter 14 Jahren dürfen auf öffentlichen Strassen und Plätzen beispielsweise gar nicht mit E-Trottinetten herumfahren, zwischen 14 und 16 Jahren benötigt man den Mofaausweis. Auf dem Trottoir zu fahren oder zu zweit zu fahren ist ebenfalls verboten. Detaillierte Informationen zum Thema E-Trottinett haben wir auf unserer Internetseite aufgeschaltet. Die Stadtpolizei betreibt eine Präventionskampagne, welche zur Zivilcourage aufruft. In der Theorie findet Zivilcourage jeder wichtig, wenn man jedoch eine brenzlige Situation beobachtet und Angst hat, sieht die Realität ganz anders aus. Wie kann man helfen, ohne sich selbst in Gefahr zu bringen? Genau das ist der Punkt der Kampagne HEH: Hinschauen, Einschätzen, Handeln. Am Anfang kommt das Hinschauen. Bereits das ist Zivilcourage. Zivilcourage heisst nicht, bei einer Schlägerei dazwischen zugehen, das kommt in der Regel nicht gut. Aber auch den «Bystander-Effekt», dass die Leute einfach schauen und nichts tun, muss man vermeiden. Man kann Leute ganz einfach ansprechen, indem man sie fragt: «Haben Sie das auch gerade gesehen?». Wenn man dann zu zweit oder zu dritt
Die MeToo-Bewegung hat ein ganz neues Bewusstsein für sexuelle Gewalt geschaffen. Spüren Sie Veränderungen in Ihrem Berufsalltag? Das Thema ist omnipräsent; es beschäftigt die Politik, es beschäftigt auch uns. In der HEH-Kampagne geht es um sexuelle Belästigung. Die Stadtpolizei Zürich hat sexuelle Belästigung schon immer ernst genommen. Vorkommnisse wie die Silvesternacht 15/16 in Köln haben auch bei uns dazu geführt, dass wir, insbesondere bei Grossanlässen, unser Augenmerk noch mehr auf solche Delikte richten. Wir versuchen, die Besuchenden auch mit Verhaltenstipps für das Thema zu sensibilisieren Wie können sich Männer vor sexueller Belästigung schützen? Wir raten den Männern dasselbe, wie den Frauen. Wir haben aber festgestellt, dass vielen Männern der Mut zur Anzeige fehlt. Viele Männer empfinden es als peinlich, und fürchten, nicht ernst genommen zu werden. Wenn ein Mann jedoch Opfer sexueller Gewalt wird, darf er sich ohne Bedenken an die Polizei wenden. Sie haben erwähnt, dass Sie potenzielle Opfer schützen und ihnen Verhaltenstipps geben. Aber wie sieht es dabei aus, potenzielle Täter zu informieren? Natürlich sind das zwei Seiten: Einerseits der Opferschutz, andererseits muss man sich mit den Tätern auseinandersetzen. Beispielsweise haben wir die Fachstelle Brückenbauer. Sie ist zuständig für interkulturelle Kompetenz. Zu den Aufgaben gehören beispielsweise Schulungen mit Migranten, die aufzeigen, was in der Schweiz erlaubt ist, und was nicht. Dort wird auch erklärt, dass eine Frau in der Schweiz dieselben Rechte und Pflichten hat wie ein Mann. Bevor ich zur Prävention kam, war ich elf Jahre im Kinderschutz tätig. Dort versucht man in erster Linie, die Opfer zu stärken. Das ist auch gut so. Grundsätzlich ist es aber ebenso wichtig, auf Täter oder mögliche Täter zuzugehen, und ihnen aufzuzeigen, was erlaubt ist, und was nicht, und dass unerlaubtes Verhalten Konsequenzen hat.
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
DATAREC AG BRANDREPORT
011
Wo Sicherheit auf Nachhaltigkeit trifft Die Digitalisierung erhöht die Datenflut im Geschäftsalltag massiv. Dementsprechend werden die Bestimmungen zur Datensicherheit kontinuierlich verschärft. Das stellt viele Unternehmen vor grosse Herausforderungen – auch darum, weil sich Datensicherheit keineswegs nur auf den digitalen Bereich beschränkt. Warum viele Firmen auch heute noch Unmengen an vertraulichen Papieren vernichten und weshalb es nicht genügt, sensible Daten nur zu löschen, wollten wir von den Profis der Datarec AG wissen. TEXT SMA
«S
icherheit» ist Teil der UnternehmensDNA von Datarec. Das merken wir von «Fokus Sicherheit» bei unserem Besuch am Firmenstandort in Spreitenbach: Jeder Besucher wird detailliert erfasst und seine Anwesenheit visiert. Niemand betritt oder verlässt die Räumlichkeiten, ohne dass dies festgehalten würde. «Für uns ist das selbstverständlich», erklärt Markus Scheck, CEO der Datarec AG. «Schliesslich ist Sicherheit nicht nur unsere zentrale Dienstleistung, sondern ein wichtiger Aspekt unserer Firmenkultur.» Von dieser Kultur profitieren die Kundinnen und Kunden der Datarec AG seit mittlerweile 26 Jahren: 1993 wurde das Unternehmen von den Firmen Alpabern und Securitas ins Leben gerufen. Seither sorgen die Expertinnen und Experten der Datarec AG dafür, dass Kundenbetriebe aller Art und Branchen vertrauliche Daten und Unterlagen, welche sie nicht mehr benötigen, professionell entsorgen können. «In den Anfängen bedeutete das vornehmlich das Vernichten von Papierakten sowie damals üblichen Datenträgern wie etwa Mikrofilmen», erinnert sich Markus Scheck. Und obschon auch heute noch sehr viele Firmen vertrauliche Informationen in Papierform ablegen und versenden, hat sich mit dem fortschreitenden technischen Wandel auch das Aufgabenspektrum der Datarec AG erweitert. «Daher müssen wir unseren Betrieb sowie unser Angebot stets agil an die aktuellen Anforderungen anpassen, die sich im Zusammenhang mit der Vernichtung sensibler Daten ergeben.» So entsorgt die Datarec AG heute zusätzlich zum Papier auch alle Arten von digitalen Datenträgern – und davon gibt es weit mehr, als den meisten Unternehmen bewusst ist. Die «unsichtbaren» Datenspeicher Denn Informationen werden heute von fast allen Geräten in irgendeiner Form gespeichert. Das kann besonders in Branchen kritisch werden, in denen grosse Mengen sensibler Daten anfallen, wie etwa dem Pharmabereich, der Medizin oder dem Finanzwesen: Nicht nur verfügt heute jeder Büroscanner und Drucker über einen internen Speicher, sondern auch spezialisierte Geräte wie MRI-Maschinen, welche in jedem grösseren Krankenhaus im Einsatz sind. Und auf diesen Speichern werden Daten, zumindest provisorisch, abgelegt. «Wenn dann beispielsweise. Bankinformationen oder Patientendaten wegkommen würden, wäre das sehr schlimm», betont Markus Scheck. Darum beginne der erste und entscheidende Schritt zu mehr Datensicherheit in Unternehmen in den Köpfen der Mitarbeitenden: «Erst wenn ihnen bewusst ist, wie wichtig die korrekte und sichere Entsorgung sensibler Daten ist, kann man griffige Massnahmen umsetzen.» Doch wie sieht eine sichere Entsorgung sensibler Daten in der Praxis aus? «Der genau Bedarf sowie die
Kundenunternehmen geschehen (mit einem speziellen Fahrzeug, das «Mobile Schredding, ermöglicht), oder an einem der fünf Standorte der Datarec AG. «Dank unseres engmaschigen Filialnetzes decken wir die ganze Schweiz ab, was es uns ermöglicht, sensible Daten innert 24 Stunden physisch vernichten zu können.»
Markus Scheck CEO der Datarec AG
Anforderungen unterscheiden sich natürlich von Unternehmen zu Unternehmen», weiss Scheck. Obschon die Datarec AG traditionellerweise viele Banken zu ihren Klienten zählt, sind über die Jahre auch immer mehr KMU-Kunden hinzugekommen. «Das ist nur logisch, denn auch kleine und mittlere Betriebe müssen heute hohen Erwartungen von Kunden, Behörden und Partnern in Sachen Datensicherheit erfüllen.» In vielen Fällen machten sich die Experten der Datarec AG beim Kunden vor Ort ein Bild über die Sachlage. Darauf basierend wird dann eine individueller Serviceleistung erstellt. Dabei kann das Dienstleistungsspektrum vom Ausräumen von Archiven inkl. Vernichtung der Akten über die Zerstörung von digitalen Datenträgern bis hin zum sicheren Transport von Gütern reichen. Die Vernichtung von vertraulichen Daten kann sogar auf Wunsch vor Ort beim
Die Basis heisst Vertrauen Die Datarec AG arbeitet sehr eng mit ihren Kunden zusammen, um sicherzustellen, dass ihr Angebot deren Bedürfnisse exakt abdeckt. Und natürlich setzt eine solch enge Zusammenarbeit ein grosses Vertrauen der Kunden voraus. «Dieses verdienen wir uns immer wieder aufs Neue, indem wir auch kleinste Sicherheitsdetails penibel abdecken», so der Datarec CEO. Die Grundlage dafür bilden topausgebildete Mitarbeiterinnen und Mitarbeiter sowie eine erstklassige Infrastruktur. «Technisch sind wir auf dem höchsten Niveau, ob es nun um unsere sicheren Fahrzeuge oder um unsere Entsorgungsbehälter geht», erläutert Scheck. Ein strenges Selektionsverfahren sowie regelmässige Tests (wie etwa verdeckte Begleitfahrten von Sicherheitstransporten) stellen sicher, dass sich alle Mitarbeitenden ihrer grossen Verantwortung bewusst sind und erstklassige Leistungen erbringen. Auch im Recycling stark Wie bereits ausgeführt, entsorgt die Datarec AG auch in der heutigen «digitalen Zeit» noch immer Unmengen an
vertraulichen Papierunterlagen – pro Jahr sind es rund 10 000 Tonnen. «Darum gerate ich stets ein wenig ins Schmunzeln, wenn ich den Begriff ‹papierloses Office› höre», sagt Markus Scheck. Denn noch immer würden enorm viele Informationen ausgedruckt, abgelegt und in Papierform von Hand zu Hand weitergereicht. Und wie ebenfalls bereits ausgeführt, kann die Datarec AG derartige Papiere schnell und sicher vernichten. Doch es werden auch immer wieder Unterlagen zur Zerstörung eingesammelt, die keine direkt-sensiblen Daten umfassen. «Und hier ist uns der Umweltgedanke ein wichtiges Anliegen», führt Markus Scheck aus. Darum ist das Unternehmen auch nach ISO 14001-zertifiziert: Das bedeutet, dass die Datarec AG über ein kontrolliertes Umweltmanagement verfügt. «Wir recyclen die nicht mehr rekonstruierbaren Papierschnitzel zu 100 Prozent und machen sie so wieder zu wertvollem Rohstoff für die Papierindustrie, vorwiegend für die Herstellung von Hygienepapieren.» Ohne diese Wiederverwertung müssten für die daraus entstehende Papiermenge 19 000 Tonnen Holz oder rund 7600 Bäume genutzt werden. Auch das Abfallgut, welches durch das Schreddern der Datenträger entsteht, wird einem sinnvollen Recycling zugeführt. «Aber», betont Markus Scheck: «Bei der Sicherheit gehen wir natürlich keinerlei Kompromisse ein.» So wird anfallendes Papier nicht aufbewahrt und speziell sortiert (was das Recycling vom Ablauf her vereinfachen würde), sondern direkt tagesfertig vernichtet.
Erst wenn den Mitarbeitern bewusst ist, wie wichtig die korrekte und sichere Entsorgung sensibler Daten ist, kann man griffige Massnahmen umsetzen.
Über die Datarec AG Das Unternehmen wurde 1993 von Alpabern (einer Tochter Groupe Barec) sowie der Securitas gegründet. Die Datarec AG gehört zur Groupe Barec, der Mehrheitsaktionärin, und erbringt in enger Kooperation mit Securitas eine breite Palette an Sicherheitsdienstleistungen. Zu den Kernkompetenzen der Datarec AG gehören die Akten- und Datenträgervernichtung, Archivräumungen und Mobile Shredding sowie Sicherheitsberatungen und Transporte. Mit fünf Standorten (in Bern, Spreitenbach, Genf, Lugano und Lausanne) kann das Unternehmen Firmen in der ganzen Schweiz schnelle und sichere Datenvernichtung anbieten. Weitere Informationen unter www.datarec.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
012
HEIMSICHERHEIT
WWW.FOKUS.SWISS
Effektiv gegen Einbrecher Es gibt heute immer mehr Möglichkeiten, um eine Wohnung oder ein Haus vor unerwünschten Eindringlingen zu schützen. TEXT MOHAN MANI
A
ls «Bodyguard» von Whitney Houston sicherte Kevin Costner im Jahre 1992 im gleichnamigen Kinohit die Villa der Musikdiva noch mit Zäunen und Überwachungskameras ab, um sie vor einem Psychopathen zu beschützen. Heutzutage hat viel Hightech im Sicherheitsbereich Einzug gehalten. Die Vernetzung wird immer wichtiger. Aber wie sichert man eine Wohnung oder ein Haus bestmöglich ab? – «Normalerweise definiert der Kunde in einem ersten Schritt sein persönliches Schutzziel», erklärt Markus Stauffer, Geschäftsstellenleiter von sicheres-wohnen-schweiz.ch. «Er weiss am besten, wann, wo und welche Massnahmen umgesetzt werden müssen. Er ist sich aber auch der Risiken bewusst, wenn bloss punktuelle Einbruchschutzmassnahme umgesetzt werden. In einem zweiten Schritt veranlasst der Kunde eine umfassende Beurteilung seines Objektes. Hier kommen etwa Sicherheitsberater der Polizei oder unseres Vereins zum Einsatz. Diese professionellen Sicherheitsberatungen richten sich immer nach dem Sicherheitsdreieck – eine Art 3-Säulen-Prinzip. So wird ein optimaler Einbruchschutz durch die drei Säulen ‹mechanische Sicherheit›, ‹elektrotechnische Sicherheit› und ‹organisatorische Sicherheit› erzielt.» Schutzbedürfnis des Kunden Man hört immer wieder vom Internet der Dinge und wie verschiedenste Geräte automatisch miteinander kommunizieren. Hier kommt es auf das Schutzbedürfnis des Kunden an. Will er zwingend verhindern, dass eine mutmassliche Täterschaft in das Objekt eindringen kann, ist in jedem Fall das Sicherheitsdreieck zu berücksichtigen. «Wichtig zu wissen: Rein elektrotechnische Massnahmen wie etwa Einbruchmeldeanlagen (EMA), können einen Einbruch nicht verhindern», mahnt Herr Stauffer. «Sie zeigen lediglich eine Zustandsveränderung
an. In der Praxis heisst das, dass im Alarmfall die Täterschaft bereits aktiv ist oder bereits ins Objekt eingedrungen ist.» Wie reagiere ich? Herr und Frau Schweizer sind von Natur aus meist sehr sicherheitsbewusst und wollen immer und überall die totale Kontrolle. Doch selbst eine einhundertprozentige Information verhindert noch keinen Einbruch. Solche Mittel stellen bloss zusätzliche Massnahmen zum Einbruchschutz dar: «Via App- und Softwaresteuerungen kann der Kunde unter Umständen die aktuelle Einbruchtätigkeit mitverfolgen … aber wie reagiere ich dann? Gehe ich vor Ort und laufe Gefahr, mit der Täterschaft konfrontiert zu werden? Infomiere ich Drittpersonen, welche sich wiederum selber in Gefahr bringen könnten? Orientiere ich professionelle Einsatzkräfte wie die Polizei, damit eine Intervention vor Ort erfolgt? Alles Fragen, die in den organisatorischen Massnahmen diskutiert werden müssen.» Zertifizierte Einbruchmeldeanlage (EMA) Die Informationstechnologie wandelt sich rapide und damit auch die Sicherheitsinfrastruktur. So gesehen ist es selbst für einen Experten wie Markus Stauffer nicht leicht zu sagen, wohin die Reise genau geht: «Mit der IT kann eine Rundum-Überwachung inklusive Meldemechanismus erfolgen. Sicherheitslücken und Fragestellungen bleiben aber noch immer vorhanden. Ein leistungsfähiges Sicherheitssystem kann eine geprüfte und zertifizierte Einbruchmeldeanlage (EMA) sein. Da sie einen Einbruch nicht verhindert und ‹lediglich› eine Zustandsveränderung anzeigt, ist die EMA in Kombination mit der mechanischen Sicherheit einzusetzen. Die EMA ist auf eine 24 Stunden besetzte Empfangszentrale zu schalten, damit eine Intervention gewährleistet ist.» Eine solche
Aussage entspricht auch ganz der Philosophie der Schweizerischen Errichter von Sicherheitsanlagen (SES). So kann es durchaus sein, dass ein Kunde seine Sicherheit bloss mit einer EMA gewährleisten will.
Er sollte sich jedoch bewusst sein, dass das Risiko eines Einbruchs bestehen bleibt. Im Rahmen einer professionellen Sicherheitsberatung wird auf diesen Umstand hingewiesen.
Häufige Irrtümer zum Thema Einbrüche «Einbruchschutz? Brauche ich nicht, meine Fenster sind dicht.» Solche Aussagen hört man sehr oft. Doch auch heute noch werden Fenster und Türen in Wohnungen und Häusern eingebaut, die zwar gegen Wind und Wetter schützen, aber keinen echten Einbruchschutz bieten. In vielen Fällen genügt dem Einbrecher ein einfaches Hebelwerkzeug wie etwa ein Schraubenzieher: Damit hebelt er in wenigen Sekunden ein ungenügend gesichertes Fenster oder eine Tür auf. «Bei mir wird schon nicht eingebrochen, denn bei mir ist nichts zu holen.» Auch wenn «nichts zu holen» ist, kann der Einbrecher das nicht wissen und schaut lieber selber nach. Und meistens gibt es schon irgendetwas in jedem Haushalt: Bargeld, Schmuck, technische Geräte. Mehr erwartet der Einbrecher gar nicht. Das Risiko wird deshalb vielfach unterschätzt. Aus statistischer Sicht ist in der Schweiz alle 15 Minuten mit einem Einbruch oder Einbruchsversuch zu rechnen. «Wer wirklich will, kommt doch hinein.» Die polizeiliche Erfahrung zeigt ein anderes Bild: Meist sind Einbrecher «Gelegenheitstäter» und mit einfachem Werkzeug ausgerüstet, die nur dann einen Einbruch «durchziehen», wenn das ohne grösseren Lärm und Zeitaufwand möglich ist. Wird aber durch einbruchhemmende Massnahmen der Widerstand zu gross, brechen sie ab, um nicht entdeckt zu werden. «Mit einer Alarmanlage bin ich geschützt.» Eine Alarmanlage kann eine sehr gute Ergänzung zu baulich-mechanischen Schutzmassnahmen sein. Aber nicht vergessen: Eine Alarmanlage (EMA) allein kann einen Einbruch nicht verhindern. Sie meldet lediglich eine Zustandsveränderung, weil der Einbruch oder Einbruchsversuch bereits erfolgt ist. «Ungeprüfte Sicherheitstechnik ist auch nicht schlecht.» Nicht geprüfte Sicherheitstechnik kann eine gute Qualität aufweisen. Es sind jedoch keine Vorschriften zur Einhaltung der Qualitätseigenschaften vorgegeben. Geprüfte Exponate haben den Vorteil, dass sie nach europäischen Normen getestet wurden und Prüfnachweise vorliegen. Detaillierte Montagevorgaben runden den Qualitätsprozess ab. Quelle: sicheres-wohnen-schweiz.ch
BRANDREPORT SYMPATRON SECURITY TECHNOLOGIES AG
Die flexible Sicherheitslösung für höchste Anforderungen Sicherheitsbedürfnisse unterscheiden sich je nach Anwendungsbereich deutlich. Sympatron hat darum mit der «Patronum Security Suite» ein Softwarepaket entwickelt, welches sich flexibel anpassen und erweitern lässt.
«W
ir wollen unseren Kunden eine Sicherheitslösung anbieten, die ihre individuellen Anforderungen tatsächlich abdeckt», erklärt Karsten Grosse, Geschäftsführer der Sympatron Security Technologies AG. Das in Menzingen ansässige Unternehmen ist der Entwickler und Vertreiber der «Patronum Security Suite». «Und mit diesem herstellerübergreifenden Softwarepaket sind wir in der Lage, unseren Klienten dank vielfältiger Funktionen und Schnittstellen genau diejenigen Sicherheitsdienstleistungen anzubieten, die sie benötigen.» Ob nun zum Schutz von Personen und Gütern, für RFID-Lösungen, Alarmmanagement oder die Ausweiserstellung mit Kartenmanagement für Mitarbeiter und Besucher – die «Patronum Security Suite» eignet sich für alle diese Aufgaben ideal.
einzigartig – und das nicht nur an der Oberfläche, sondern auch unter der Haut. Genau das macht sich der PalmID für die biometrische Sicherung zunutze: Denn unter der Haut jeder Handfläche befindet sich eine komplexe Venenstruktur, die bei jedem Menschen anders ausfällt. Das durch die Venen fliessende Blut absorbiert Infrarotlicht. Der Palm-ID erfasst mittels eines Infrarotsensors das Venenmuster, ermittelt die einzigartigen Merkmale des Musters – und vergleicht diese mit den zugelassenen Handflächen in der Datenbank. «Fälschungen sind nicht möglich», betont Grosse. Da die «Templates» pro Projekt verschlüsselt werden, lassen sie sich selbst in anderen Patronum-Projekten nicht nutzen. Der Palm-ID kann u.a. in Bürohäusern zum Einsatz kommen sowie überall dort, wo eine 100-prozentige Identifikation erforderlich ist.
Die Wahrheit liegt in der Hand Im Bereich der Zutrittskontrolle bietet Sympatron die Möglichkeit des Handvenenscanners «Palm ID» an – welcher ebenfalls mit Patronum kompatibel ist. «Mit dieser einzigartigen biometrischen Zutrittskontrolle lassen sich höchste Sicherheitsanforderungen erfüllen», führt Karsten Grosse aus. Denn jede einzelne Handfläche ist
Weitere Informationen : www.sympatron.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
BRANDREPORT TOUCHLESS BIOMETRIC SYSTEMS AG
ZÜBLIN FIRESAFE AG BRANDREPORT
Mehr Sicherheit und Convenience durch Biometrie
D
ie Schweizer Firma TBS ist international erfolgreich unterwegs mit ihrem umfassenden Biometrie-Sortiment für Zugangskontrolle und Zeiterfassung.
Die Touchless Biometric Systems AG ist eine innovative Firma am Zürichsee, die sich auf die biometrische Personenerkennung spezialisiert hat. Biometrie ist ein Verfahren, das eine Person aufgrund ihrer einmaligen Eigenheiten statistisch identifizieren lässt. Bekannt ist etwa der Fingerabdruck – wussten Sie, dass keine zwei Finger auf dieser Welt identisch sind? Auch das Auge (Iris), Gesicht oder die Handvenen liefern umfangreiches Datenmaterial. Ein biometrisches System ist nur schon deshalb sicherer als etwa ein Schlüssel oder Badge, weil diese Gegenstände verloren oder gestohlen werden können. Biometrie ist fast überall einsetzbar Es gibt Firmen, die den Fingerabdruck als Eintrittskontrolle scannen, damit Türen öffnen und gleichzeitig zur Zeiterfassung einsetzen. Dies ist einfach, schnell und vor allem fälschungssicher. Auch die fortschreitende Digitalisierung treibt biometrische Anwendungen in neue Firmenbereiche. So werden im Rahmen des Workflow-Managements Arbeitsabläufe protokolliert, um die Einhaltung von Qualitätsvorgaben elegant und einfach dokumentieren zu können. Firmen können sicherstellen, dass arbeitsrechtliche Vorgaben wie etwa Pausenzeiten auch respektiert werden. An Universitäten vereinfacht Biometrie Anwesenheitskontrollen:
Ein biometrisches Gerät wird durch die Reihen gereicht und jeder Vorlesungsbesuch ausgewertet. Chancen und Gefahren Viele Reisende tragen einen biometrischen Pass und wundern sich, was die Zukunft bringen wird. Als Hersteller ist TBS paradoxerweise sehr zurückhaltend dort, wo Biometrie zur Überwachung eingesetzt wird, wie in China, wo Kontrolle zum Machtmissbrauch ausgeartet ist. Bürger werden über Video auf Schritt und Tritt kontrolliert und anschliessend in Kategorien von ‹gut› und ‹böse› eingeteilt. Die neue EU-Datenschutzverordnung schützt diesbezüglich unsere Bürgerrechte. Alle TBS Geräte setzen eine willentliche und freiwillige Kooperation des Benutzers voraus, die Firma verzichtet aktuell auf Geräte zur Gesichtserkennung. Einzigartiges 3D Terminal für höchste Ansprüche TBS ist weltweit der einzige Anbieter eines berührungslosen Fingerabdruck-Lesers. Herkömmliche Geräte analysieren nur die Fingerfläche, die den Sensor direkt berührt. Das preisgekrönte TBS 3D Terminal erfasst den gesamten Fingerabdruck von einer Seite des Nagels zur anderen und damit bis viermal mehr Datenpunkte. Kein Wunder, identifiziert dieses Highend-Produkt mit einer beispiellosen Genauigkeit – auch bei Datenbanken von 10 000 Personen. Wenn die Identifizierung von Mitarbeitenden oder Besuchern für Sie ein Thema ist, nehmen Sie mit uns Kontakt auf. Unser breites Produktportfolio liefert für jede Anwen dung die massgeschneiderte biometrische Lösung: Telefon 055 533 20 00 oder tbs@tbs-biometrics.com
013
So machen Sie Einbrechern einen dicken Strich durch die Rechnung
D
er Herbst ist eine Jahreszeit voller Schönheit. Doch mit der früher anbrechenden Dämmerung häufen sich auch jedes Jahr die Einbrüche in Häuser und Unternehmensräumlichkeiten. «Dementsprechend ist nun die ideale Zeit, um über den Kauf eines Tresors nachzudenken», erklärt Giuseppe Caruso, Geschäftsführer der Züblin Firesafe AG. Das in Spreitenbach AG beheimatete Unternehmen ist seit fast 50 Jahren auf die fachmännische Lieferung und Verankerung aller Arten von Tresoren und Sicherheitsschränken spezialisiert. Doch für wen lohnt sich die Anschaffung eines Tresors überhaupt? «Grundsätzlich für jede Person, die Wertsachen zuhause aufbewahrt», führt Giuseppe Caruso aus. Dabei kann es sich um Wertgegenstände wie Schmuck, Uhren oder Bargeld handeln. «Oder auch um Datenträger, auf denen wichtige persönliche und geschäftliche Informationen gespeichert sind.» Für jeden Kunden das Passende Bei Züblin Firesafe können Kunden Tresore mit Widerstandgrad eins bis sechs erwerben. «Damit schieben Sie den Plänen der Einbrecher im wahrsten Sinne des Wortes einen Riegel vor», betont Caruso. Die von Züblin Firesafe angebotenen Tresore sind von den renommierten Zertifizierungsstellen ECB-S und VDS nach der Norm EN 1143-1 zertifiziert und genügen damit höchsten Sicherheitsansprüchen. Experte Giuseppe Caruso empfiehlt zudem, den eigenen Tresor fachmännisch «verankern» zu lassen: «Wenn nämlich der Safe verankert ist, erhöht das die Barriere für Einbrecher nochmals deutlich.» Denn damit werden sie der Möglichkeit beraubt, den Safe abzutransportieren und dann woanders in Ruhe zu öffnen. Eine zweite Expertenempfehlung: «Für Privatpersonen empfiehlt sich ein Tresor mit Zahlencode-Schloss statt eines
Schlüssel-Systems.» Denn einerseits muss man dann den relativ schweren und klobigen Schlüssel nicht herumtragen. «Und Einbrecher versuchen andererseits auch nicht, den Safe-Schlüssel in der Wohnung zu finden – wobei sie oft grossen Sachschaden anrichten.» Gewappnet für den Brandfall Doch Tresore eignen sich nicht nur, um die eigenen Wertsachen vor unbefugtem Zugriff zu schützen – im Brandfall können sie verhindern, dass die wertvollsten Besitztümer zu einem Raub der Flammen werden. «Wir bieten kombinierte Safe-Systeme an, die ebenfalls Feuerschutz-tauglich sind.» Weitere Informationen sowie das reichhaltige Sortiment an Safes gibt es unter www.zueblin-firesafe.ch
NTT BRANDREPORT
Die passwortlose Gesellschaft Biometrische Verfahren wie Gesichtserkennung, Iris-Scans und Fingerabdrücke haben Hochkonjunktur. Hohe Sicherheit können sie aber zurzeit noch nicht garantieren. Auf den richtigen Technologie-Mix kommt es an.
Den besten Schutz bietet die Kombination mehrerer Identifikationsverfahren. David Wollmann
J
Sicherheitstests mahnen zur Vorsicht Biometrische Identifikationsverfahren wie Gesichtserkennung, Iris-Scans, Stimm-Muster oder Fingerabdrücke versprechen eine Welt ohne Passwörter, weil sie direkt einer einzelnen Person zugeordnet werden können. Scans von Fingerabdrücken werden unter den biometrischen Verfahren weltweit zurzeit am häufigsten eingesetzt. Diese Technik liegt sicherheitstechnisch jedoch im Mittelfeld der biometrischen Verfahren. Fingerabdrücke lassen sich leicht auf Gläsern oder Kaffeetassen in der Büroküche einsammeln und dann verwenden. Gelingt es einem Cyberkriminellen, sich als Mitarbeiter auszugeben und Zugang zum Firmengebäude
Gesicht erfassen
Gesicht gefunden?
zu verschaffen, könnte er die Fingerabdrücke kopieren und später damit ins Firmennetzwerk eindringen. Ein weiterer Nachteil: Ändert sich durch eine Verletzung ein Fingerabdruck, dann lässt sich das biometrische Merkmal nicht so einfach anpassen wie ein Passwort. Zu hohe Fehlerquoten Fingerscans sind daher zum Schutz von Hochsicherheitsbereichen in Firmengebäuden und auch von sensiblen Anwendungen wie Online-Banking nur sehr bedingt geeignet. Aus sicherheitstechnischer Perspektive liegt eine passwortlose Gesellschaft, die sich ausschliesslich auf biometrische Identifikationsverfahren stützt, noch nicht in
Typen biometrischer Merkmale
Das System ermittelt
Akzeptanz match Rückweisung non-match
Die verglichenen biometrischen Merkmale sind tatsächlich affin Genuines
nicht affin Imposters
richtige Akzeptanz True Acceptance
falsche Akzeptanz (FAR) False Acceptance
falsche Rückweisung (FRR) False Rejection
richtige Rückweisung True Rejection
Das Ziel bei biometrischen Systemen wie Finger-Scannern und Gesichtserkennungs-Lösungen besteht darin, falsche Akzeptanzen und falsche Rückweisungen möglichst auf null zu reduzieren. Das ist bei den heutigen Systemen noch nicht der Fall. (Quelle: BSI)
Die sieben Schritte der biometrischen Gesichtserkennung Ja
Augen lokalisieren
Weitere Gesichtsbereiche lokalisieren
— DAVID WOLLMANN
Executive Consultant bei der Security Division der NTT Ltd.
eder braucht Passwörter, aber niemand liebt sie wirklich. Passwörter werden geleakt, geklaut oder schlicht und einfach vergessen, denn je sicherer das Passwort, desto schwerer lässt es sich merken. AlibabaGründer Jack Ma brachte daher in China sein Bezahlsystem «Smile to Pay» auf den Markt, und seitdem können Kunden in China ihre Rechnungen mit einem Lächeln begleichen. Das System setzt neben einer 3D-Kamera einen Algorithmus ein, durch den sich Gesichtsmerkmale identifizieren lassen, die nur von menschlichen Wesen stammen können. Dadurch soll ausgeschlossen werden, dass Cyberkriminelle mit Fotos oder Videos versuchen, das System zu knacken. Aber wie gut funktioniert das?
Bild erfassen
Nein
Gesicht normalisieren
Merkmale extrahieren
Abbruch
Template erzeugen
(Quelle: BSI)
greifbarer Nähe. Dass Passwörter kompromittiert werden, liegt am zu sorglosen Umgang mit ihnen. Noch immer verwenden Mitarbeiter zu einfache Passwörter, die ein versierter Angreifer in wenigen Sekunden geknackt hat. Die Frage ist dann nicht ob, sondern wann ein Angriff erfolgt, der ernstzunehmende Konsequenzen für das betroffene Unternehmen nach sich zieht. Awareness schaffen Sicherheitsexperten empfehlen seit Jahren, mehrere Identifikationsmethoden miteinander zu kombinieren, um die Hürde für Angreifer möglichst hoch zu legen. Dadurch steigt zwar der Aufwand für die Mitarbeiter in Unternehmen und die Usability leidet. Aber Sicherheitsmassnahmen schützen überlebenswichtige Unternehmensressourcen und sollten deshalb fest in der Unternehmenskultur verankert sein. Ein höheres Mass an Sicherheit bietet etwa die Zwei-Faktor-Identifizierung, die ein Passwort mit einem zeitlich nur begrenzt gültigen Token kombiniert. Insbesondere beim Online-Banking sind Kunden bereit, einen höheren
Aufwand zu betreiben, um die Sicherheit ihrer Konten zu gewährleisten. So verwenden einige Schweizer Banken schon seit vielen Jahren erfolgreich eine Drei-FaktorIdentifizierung, und bislang hat sich noch keiner ihrer Kunden darüber beschwert. Um über ein mobiles Device Zugang zum Bankkonto zu erhalten und Transaktionen durchführen zu können, sind drei Sicherheits-Token nötig: Ein klassisches Passwort, die Bankkarte plus PIN und ein physischer Passwort-Generator im Taschenrechnerformat. Gefakte Phishing-Mails Sicherheitsschulungen sind ein wichtiger Bestandteil im Kampf gegen Cyberkriminelle, in vielen Fällen sind sie aber noch zu generisch aufgebaut und hinterlassen keine bleibenden Spuren. Erfolgsversprechender ist, vor dem Training als «White Hacker» zunächst eine gefakte Social-Engineering-Attacke zum Beispiel über PhishingMails zu starten. Einige der Mitarbeiter werden auf die Attacke hereinfallen und auf den kompromittierenden Link der Phishing-Mail klicken. Bei einem echten Angriff wäre das Firmennetzwerk dann mit Malware verseucht. Ziel des gefakten Angriffs ist, ein Gefühl der Betroffenheit und ein Bewusstsein für die aktuelle Gefahrenlage zu schaffen. Die im nachfolgenden Sicherheitstraining gegebenen Ratschläge bleiben dann besser im Gedächtnis. Leider werden noch viel zu häufig sicherheitsrelevante Fragen in Firmen unterschätzt. Jeder Mitarbeiter ist für Sicherheit verantwortlich Sichere Devices und Software, Fingerscanner, Passwörter sowie andere technologische Faktoren spielen eine entscheidende Rolle. Noch entscheidender aber ist ein kluger Kopf, der sich der sicherheitsrelevanten Bedeutung seines Handelns für das Unternehmen jederzeit bewusst ist. hello.global.ntt
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
014
ARBEITSSICHERHEIT
WWW.FOKUS.SWISS
Arbeitssicherheit wird in KMUs oft vernachlässigt Aus humaner sowie rechtlicher Sicht zählen die Arbeitssicherheit und der Gesundheitsschutz zu den unabdingbaren Unterstützungs- und Führungsprozessen eines Unternehmens. Denn Unfälle sowie Krankheiten, welche berufsbedingt verursacht wurden, kosten KMUs viel Aufwand. Zwei Fachleute geben darüber Auskunft, wie sich dies vermeiden lässt. TEXT ALESSANDRO POLETTI
A
lle Präventionsaktivitäten, die vom Arbeitgeber zur Minimierung von Gefahren für Arbeitnehmende getätigt werden, fallen unter die Arbeitssicherheit. Prävention ist essenziell, um eine gesunde und sichere Arbeitsstelle gewährleisten zu können. Denn keine Arbeit ist es wert, die eigene Gesundheit aufs Spiel zu setzen. Zu den häufigsten Arbeitsunfällen gehören Stolperunfälle, sich an etwas stossen oder von etwas getroffen zu werden. Dies ist unabhängig von der Branche und der Firmengrösse. Schwere Unfälle passieren meistens durch Abstürze aus der Höhe, vermehrt branchenabhängig in der Försterei, im Metallbau oder dem Baugewerbe. Über alle Branchen hinweg wurden 2017 62.9 Berufsunfälle pro 1000 Vollzeitbeschäftigte gezählt. Spezifisch in den Bereichen der Kunst, Unterhaltung und Erholung lagen die Berufsunfälle pro 1000 Vollzeitbeschäftigte bei 165.1. Arbeitssicherheitsmängel spiegeln sich oft auch in der Qualität der betrieblichen Gesamtstruktur wider. Mängel in KMUs Besonders Klein- und Mittelunternehmen setzen Arbeitssicherheit oftmals nicht als Faktor für
wirtschaftlichen Erfolg ein – es wird als Ausgabe und nicht als Investition betrachtet. Das ist schade, denn gesunde und zufriedene Mitarbeitende sind auch gute Mitarbeitende. Von allen Anspruchsgruppen sind die Mitarbeitenden für den Erfolg des Unternehmens die wichtigsten. André Meier, Abteilungsleiter Arbeitssicherheit und Gesundheitsschutz bei der Suva, sieht Potenzial für KMUs: «Viele Betriebe haben noch nie eine Gefährdungsermittlung gemacht. Das heisst, diese kennen ihre potenziellen Gefahren im Betrieb gar nicht. Sicherheitsregeln existieren zwar oft auf dem Papier und Arbeitnehmende werden auch regelmässig geschult, jedoch werden die Regeln weder um- noch durchgesetzt. Diese Lücke zwischen ‹Wissen und Handeln› gilt es bewusst anzugehen.» Dabei ist eine adäquate Führungskultur in Betrieb wichtig. Im Idealfall entwickelt sich die Sicherheitskultur so zu einem festen Bestandteil des Unternehmens. Arbeitssicherheit in Grossbetrieben Die Wahrscheinlichkeit, dass die Anforderungen auch richtig umgesetzt werden, ist in Grossunternehmen grösser. Peter Schwander, Präsident des Vereins
höhere Berufsbildung ASGS, bestätigt: «In grösseren Betrieben existiert häufiger eine eigene Stelle oder eine ausgewiesene Fachperson für die Themen Arbeitssicherheit und Gesundheitsschutz. Zudem ist die Wahrscheinlichkeit, dass bereits Unfälle und Gesundheitsschädigungen vorgekommen sind, durch die höhere Anzahl beschäftigter Personen, grösser. Das kann zu einer höheren Sensibilisierung beitragen.» Es gibt auch Massnahmen, welche Arbeitnehmende von sich aus umsetzen können, wie zum Beispiel: «die richtige Einstellung der Sitzfläche des Arbeitsstuhles oder die konsequente Verwendung der persönlichen Schutzausrüstung», so Peter Schwander. Weiter meint er: «Werden umfangreichere Massnahmen oder Abklärungen notwendig, ist eine Meldung an den Vorgesetzten eine sinnvolle Massnahme. Auch konkrete Vorschläge für Verbesserungen sind häufig ein guter Weg.» Arbeitnehmende können sich auch direkt bei den zuständigen Durchführungsorganen melden, also der Suva oder bei den kantonalen Arbeitsinspektoraten, wenn vorhandene Gefährdungen und Belastungen durch Vorgesetzte ignoriert oder Massnahmen ungenügend umgesetzt werden.
Arbeitssicherheit früher versus heute Wo Arbeitende früher noch ungesichert auf Sendemasten oder Häuserdächer gewerkt haben, ist dies heute in der Schweiz nur noch schwer vorstellbar. In den letzten 100 Jahren hat sich viel getan, äussert André Meier, Abteilungsleiter für Arbeitssicherheit und Gesundheitsschutz: «Lange Zeit hat man sich zurecht darauf konzentriert die Arbeitsmittel (Maschinen und Anlagen) sicherer zu machen. Dadurch konnten die Unfallzahlen massiv reduziert werden. Ab ca. 1990 fokussierte man sich darauf, die Arbeitssicherheit zu systematisieren und in die Managementsysteme zu integrieren. Der Schwerpunkt lag auf der Sicherheitsorganisation.» Peter Schwander ergänzt, dass heute «sinnvolle Massnahmen den Arbeitsablauf nicht behindern, sondern im Idealfall sogar zu einer Steigerung der Effizienz beitragen können.» Nicht nur gegenwärtig gilt es neue Standards zu definieren. Zukünftig werden Menschen durch die Automat- und Robotisierung ohnehin vermehrt mit Maschinen zusammenarbeiten, wofür zwangsläufig neue arbeitssicherheitstechnische Richtlinien geschaffen werden müssen.
BRANDREPORT BURKHALTER NET WORKS
«Alleinarbeitende müssen jederzeit einen Notruf auslösen können» Wer während der Arbeit auf sich allein gestellt ist, kann bedroht und angegriffen werden oder unbemerkt verunfallen. Mit einem geeigneten Smartphone mit App können Mitarbeitende in solchen Situationen geschützt werden.
Stefan Gerth Bereichsleiter Net Works
In kundenintensiven Berufen kommt es zunehmend zu gewalttätigen Zwischenfällen. Wie muss man sich eine solche Situation vorstellen? Und mit welchem Alarmsystem kann man sich dagegen schützen? Bedrohungen gibt es überall und in allen Branchen. Ganz schlimm natürlich sind Amokläufe an Schulen, aber auch unzufriedene Kundengespräche auf Ämter und Behörden können eskalieren. Immer häufiger werden sogar an Elterngesprächen gegenüber den
Lehrern und Lehrerinnen Drohungen ausgesprochen. Auch Spitex-Mitarbeitende erleben es in ihrem Berufsalltag, dass ein Kunde sie oder sich selbst gefährdet. Dazu zählen beispielsweise verbale Gewaltandrohungen, sexuelle Belästigungen, Suizidäusserungen oder aggressive Ausbrüche. Um solche Situationen zu entschärfen müssen die Betroffenen schnell und unbemerkt Hilfe anfordern können. Die beste Lösung ist dafür der sogenannte stille Alarm, der unbemerkt über eine entsprechende App mit dem Smartphone ausgelöst werden kann. Mitarbeitende, die allein arbeiten, beispielsweise im Spital oder im Nachtdienst in der Industrie, sind besonderen Gefahren ausgesetzt und auf sich allein gestellt. Welche Alarmsysteme empfehlen Sie in welchen Situationen? Alleinarbeitende müssen jederzeit die Möglichkeit haben, einen Notruf auszulösen. Dieser kann über ein Tischtelefon, ein schnurloses Endgerät mit vorprogrammierter Notruftaste, einem speziellen Sicherheitsgerät oder durch die mobileAPP erfolgen. Sobald der Hilferuf ausgelöst wird, identifiziert und ortet die
Alarmierungsplattform die Person und leitet gezielt alle notwendigen Informationen an die Hilfeleistenden weiter. Damit wird sichergestellt, dass in gesundheitsgefährdenden oder gar lebensbedrohlichen Situationen innerhalb kürzester Zeit Unterstützung zur Stelle ist. Durch ein spezielles Sicherheitsendgerät lassen sich auch automatisch willensunabhängige Notrufe auslösen. Diese Geräte erkennen durch entsprechende Sensoren untypische Situationen von selbst. Beispielsweise, dass sich die Person längere Zeit nicht mehr bewegt hat, sich ungewöhnlich in liegender Position befindet oder hektisch wegläuft. Dafür können mit dem entsprechenden App auch Smartphones eingesetzt werden. Je nach Arbeitssituation und Branche sind andere oder individuelle Alarmsysteme gefragt. Wie gehen Sie vor, damit der Kunde das richtige Angebot und damit die optimale Sicherheitslösung erhält? Wir machen als erstes eine Bedarfsanalyse. Warum und in welchen Situationen ist eine Alarmierungslösung nötig?
Das können beispielsweise folgende Situationen sein: • Ein Kunde reagiert aggressiv und bedroht Ihren Mitarbeiter mit Gewalt. Was nun? • Eine Produktionsmaschine fällt nachts um 03:07 Uhr aus; wie gross ist der Schaden, wenn es erst um 8 Uhr zum Schichtbeginn festgestellt wird? • Der allein arbeitende Mitarbeiter rutscht am Wochenende auf einer Öllache aus und fällt so unglücklich, dass er bewusstlos liegen bleibt. Weiter wird auch die vorhandene Infrastruktur aufgenommen und geklärt, wie genau lokalisiert werden soll, welche Alarmiermedien gewünscht sind und wer und wie viele Personen alarmiert werden sollen. Aus diesen Fragen und Antworten erarbeiten wir dann die individuelle Lösung. www.bnw.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
ZHAW BRANDREPORT
015
Risiko- und Krisenkommunikation lernt man heute an der Fachhochschule Warum führen Konflikte so oft zu Imageproblemen? Was können Kaderleute dagegen tun? Wie können sie dazu beitragen, dass das Interessen-, Beziehungs- und Kommunikationsmanagement ihre Organisation beflügelt anstatt hemmt? Was können sie tun und was sollten sie unterlassen, damit das Corporate Wording des Unternehmens nicht auf Frontalkurs mit der öffentlichen Meinung geht?
D
as führende Institut für Risiko- und Krisenkommunikation in der Schweiz ist an der ZHAW Zürcher Hochschule für angewandte Wissenschaften in Winterthur angesiedelt. Am Institut für Nachhaltige Entwicklung (INE) haben in den vergangenen Jahren viele Studierende den Zertifikatslehrgang (Certificate of Advanced Studies, kurz CAS) Risiko- und Krisenkommunikation (CAS RKK) erworben. Pascal A. Praudisch ist Bereichsleiter bei der Kessler & Co AG in Zürich. Im Rahmen des Master of Advanced Studies (MAS) Integrated Risk Management nahm er am CAS RKK teil. Nach seinem erfolgreichen Abschluss sagt er: «Die Verknüpfung meiner bisherigen beruflichen Erfahrungen mit dem praktischen Wissenstransfer der Ausbildung – exakt dies wird an der ZHAW geboten.»
und Krisenbewältigung. Die Dozierenden gehören in unterschiedlichen Berufsfeldern zu den Besten ihres Fachs. Das garantiert maximalen Praxisbezug und hohe Aktualität. Ein exakt auf die Bedürfnisse zugeschnittener Lehrgang Das CAS RKK richtet sich vor allem an Kadermitglieder in Unternehmen, Versicherungen, Verwaltungen
und Blaulichtorganisationen. Auch Mitglieder der Geschäftsleitung und des Verwaltungsrates sowie Verantwortliche in den Bereichen Sicherheits-, Risiko-, Qualitäts-, Projekt-, IT- und Umweltmanagement gehören zum Personenkreis, die von diesem Studiengang profitieren werden. Und für Vertreterinnen und Vertreter aus dem Consulting, dem Controlling und der Compliance vermittelt dieser Lehrgang essenzielle Einblicke und Trainingsmöglichkeiten.
Dieser Lehrgang wird Sie auch auf Medienauftritte vorbereiten. Sie geben Interviews im TV-Studio – also dort, wo andere erst hinkommen, wenn es bereits «brennt». In mehreren Trainings vor der Kamera werden Sie Ihre Auftrittskompetenz ausbauen.
Grundlagen der wirkungsorientierten Kommunikation Die wesentliche Zielsetzung dieses Lehrgangs ist der professionelle Umgang mit internen und externen Anspruchsgruppen in kritischen Situationen. Im CAS RKK vertiefen die Studierenden ihr Wissen durch praxisorientierte Problemstellungen. Anhand von konkreten Fallbeispielen sind sie in der Lage, Situationen folgerichtig zu analysieren, Lösungswege zu entwickeln und gezielt umzusetzen. Kompetenz in Krisenprävention und Krisenbewältigung Zwölf aufeinander abgestimmte Unterrichtstage und eine begleitete Projektarbeit verhelfen zu einem Hochschulzertifikat, zehn ECTS-Punkten und zu überdurchschnittlicher Kompetenz in der Krisenprävention
CAS Risiko- und Krisenkommunikation
Sichern Sie sich jetzt Ihren Platz in der nächsten Durchführung des CAS Risiko- und Krisenkommunikation. Nächster Start: 18. März 2020 Der Unterricht findet während 12 Wochen jeweils mittwochs von 09.00 bis 17.00 Uhr in Winterthur statt. Im Anschluss an die Kontaktstunden arbeiten die Studierenden während rund 12 Wochen an ihrer Projektarbeit. Ausschreibung und Anmeldung unter www.zhaw.ch/de/engineering/weiterbildung/ detail/kurs/cas-risiko-und-krisenkommunikation
Wertvolle Erfahrung sammeln: Im Rahmen des Zertifikatslehrgangs Risiko- und Krisenkommunikation trainieren die Studierenden in den Studios von «TELE Züri» während eines ganzen Tages ihre Auftrittskompetenz.
Christian Zipper, Dr. sc. nat. ETH Studienleiter MAS Integrated Risk Management
ANZEIGE
THO M 493 I+CO AG 2 LO TZW IL
107
www.mount10.ch
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
016
BRANDREPORT QUALITÄTSWERK GMBH
Fatale Folgen vermeiden Die Arbeitssicherheit und der Gesundheitsschutz sind wichtige Faktoren im heutigen Arbeitsleben, die von vielen Unternehmen dennoch oft vernachlässigt werden. Die Qualitätswerk GmbH hilft Unternehmen in der ganzen Schweiz mit Kursen und Dienstleistungen, diese gesetzlichen Forderungen zu erfüllen und böse Überraschungen zu vermeiden. Der Geschäftsführer Matthias Kunz nimmt Stellung. TEXT MOHAN MANI
Unternehmen ab zehn Mitarbeitenden und solche mit besonderen Gefährdungen müssen ein vollständiges Sicherheitssystem erstellen und betreiben. Matthias Kunz
Matthias Kunz, warum sollten Unternehmen die Themen Arbeitssicherheit und Gesundheitsschutz ernst nehmen? Unternehmen in der Schweiz sind nur dann leistungsfähig, wenn es die Mitarbeitenden auch sind: Das ist im übertragenen Sinne mit dem Unterhalt eines Autos vergleichbar. Wer seinen Wagen nicht hegt und pflegt, der macht ihn anfällig für Pannen. Dasselbe gilt auch für die Mitarbeitenden: Unternehmen, die ihre Mitarbeitenden nicht wertschätzen, Arbeitsplätze nicht sicher und gesund gestalten und keine klare Strukturen vorgeben, riskieren ein höheres Risiko für Unfälle und Erkrankungen. Als Folge resultieren eine hohe Ausfallrate und Fluktuation oder strafrechtliche Konsequenzen. Dies generiert hohe Kosten, Unruhe im Betrieb, mehr Stress und eine schlechte Betriebskultur.
Die Umsetzung von unternehmerischen Massnahmen in den Bereichen Arbeitssicherheit und Gesundheitsschutz gilt daher als Schlüssel zu einer höheren Sicherheitskultur und besseren Wertschöpfung. Was müssen Unternehmen in der Schweiz tun, damit die rechtlichen Forderungen zum Arbeitsgesetz und Unfallversicherungsgesetz erfüllt werden? Das Prinzip ist einfach: Unternehmen ab zehn Mitarbeitenden und solche mit besonderen Gefährdungen müssen gemäss der rechtlich verbindlichen EKAS -Richtlinie 6508 (Richtlinie über den Beizug von Arbeitsärzten und anderen Spezialisten der Arbeitssicherheit; Anm. d. Red.) ein vollständiges Sicherheitssystem erstellen und betreiben. Sicherheitssysteme werden in Zusammenarbeit mit externen Sicherheitsspezialisten erstellt und anschliessend
durch interne ausgebildete Sicherheitsbeauftragte umgesetzt. Wir empfehlen pro Betrieb mindestens eine Person zur / zum Sicherheitsbeauftragten auszubilden. Betriebe die über 100 Mitarbeitende beschäftigen, benötigen in der Regel mehrere Sicherheitsbeauftragte. Bieten Sie entsprechende Kurse an? Ja, unsere Dienstleistungen fokussieren sich auf die Umsetzung des Arbeits- und Unfallversicherungsgesetzes. Wir bilden Sicherheitsbeauftragte aus allen Branchen, von Klein- bis Grossbetrieben, nach den Inhalten und Lernzielen der Suva aus. Nach erfolgreichem Abschluss der sogenannten SiBe-Ausbildung erhalten alle Teilnehmenden ein von der Suva und der SGAS offiziell anerkanntes Zertifikat, welches die Tätigkeit als Sicherheitsbeauftragte in der Schweiz bestätigt. Neu bieten wir als erstes Bildungszentrum in der Schweiz einen Ausbildungskurs zum Gesundheitsbeauftragten an. Damit erlangen die Teilnehmenden die Kompetenz, nebst den Aufgaben zum Thema Arbeitssicherheit auch Aufgaben zum Gesundheitsschutz wahrzunehmen. Es kommt auch regelmässig vor, dass wir individuelle Kurse zu ganz unterschiedlichen Themen direkt in den Unternehmen durchführen. Müssen alle Unternehmen in der Schweiz ein Sicherheitssystem haben und wie muss ein solches erstellt werden? Viele Unfälle und Krankheiten könnten verhindert werden, wenn zur richtigen Zeit am richtigen Ort die richtigen Massnahmen getroffen würden. Die gesetzlich geforderte Lösung ist ein funktionierendes Sicherheitssystem. Um dessen Erstellung für Unternehmen zu vereinfachen, haben wir eine simple Vorlage entwickelt, mit der in kurzer Zeit und mit geringem Aufwand ein umfassendes Sicherheitssystem realisiert werden kann. Sie wurde von mehreren ASA-Spezialisten wie Arbeitsärzte, Arbeitshygieniker, Sicherheitsingenieure oder Sicherheitsspezialisten speziell für KMU entwickelt und von den Arbeitsinspektoraten mehrerer Kantone überprüft. Was bringt das konkret? Schon zahlreiche Unternehmen konnten dank dieser Vorlage die wichtigsten gesetzlichen Forderungen in kurzer Zeit erfüllen, ihre Unfall- und Krankheitszahlen verbessern und so viel Geld einsparen. Die Betriebe erhalten von uns aber nicht nur einen Ordner oder Dateien ausgehändigt, sondern werden auch gleich mit dem
Gesetzliche Anforderungen Gemäss dem Arbeitsgesetz, Art. 6 (ArG) und der Verordnung über die Verhütung von Unfällen, Art.3 (VUV) sind Unternehmen (Arbeitgebende) verpflichtet, zum Schutze der Sicherheit und Gesundheit der Arbeitnehmenden alle Massnahmen zu treffen, die nach der Erfahrung notwendig, nach dem Stand der Technik anwendbar und den Verhältnissen des Betriebes angemessen sind. Just hier setzen die Kursangebote und Dienstleistungen von Qualitaetswerk.ch ein. www.qualitaetswerk.ch
Knowhow unserer Sicherheitsspezialisten vor Ort in der Umsetzung begleitet. Weiter bieten wir eine einfache Weblösung an, mit der die Aufgaben zu Arbeitssicherheit und Gesundheitsschutz direkt umgesetzt werden können. Das spart Zeit, Geld und schont die Nerven. Kann sich ein kleines Unternehmen diese Dienstleistungen leisten? Grosse Firmen investieren längst viel Geld in Knowhow und Förderprogramme. Kleinere Unternehmen haben oft das Nachsehen. Und genau hier kommen wir ins Spiel: Wir bieten unsere Dienstleistungen zu Preisen an, die sich auch kleine und mittelgrosse Unternehmen leisten können.
Kursdaten AUSBILDUNG SICHERHEITSBEAUFTRAGTE 08.-09. Jan. 2020 | 21.-22. Jan. 2020 | 25.-26. Feb. 2020 | 18.-19. März 2019 | 24.-25. März 2020 | 01.-02. April 2020 | 21.-22. April 2020 | 26.-27. Mai 2020 | 09.-10. Juni 2020 | 17.-18. Juni 2020 | 23.-24. Juni 2020 |
Bern Winterthur Winterthur Olten Winterthur Bern Winterthur Winterthur Bern Olten Winterthur
AUSBILDUNG GESUNDHEITSBEAUFTRAGTE 23. Apr. 2020 24. Sep. 2020
| Winterthur | Winterthur
E I N E P U B L I K AT I O N V O N S M A R T M E D I A
AFC AKADEMIE BRANDREPORT
017
Gebäude brandsicher organisieren und unterhalten Gebäude müssen während der gesamten Lebensdauer brandsicher organisiert und unterhalten werden. Es liegt in der Verantwortung der Eigentümer und der Nutzer, die für den Brandschutz notwendigen organisatorischen und personellen Massnahmen im Bereich Facility Management zu organisieren.
D
azu braucht es regelmässig durchgeführte integrale Tests zur Überprüfung brandschutzrelevanter Anlagen. Leider mangelt es oft an qualifizierten Personen und die Anlagen sind nicht instand gehalten und für den Notfall nicht betriebsbereit. Hinzu kommt, dass die zuständigen Personen das notwendige Wissen zum organisatorischen Brandschutz häufig nicht haben und dadurch mögliche Gefahren nicht identifizieren können. Das kann schwerwiegende Folgen haben. Deshalb bietet die AFC Akademie neu die dreitägige Ausbildung zum zertifizierten Sicherheitsbeauftragten Brandschutz an. In drei Tagen zum zertifizierten Sicherheitsbeauftragen Brandschutz Der Kurs richtet sich gezielt nach den geltenden Brandschutz-Vorschriften in der Schweiz und vermittelt die brandsichere Einhaltung und Überwachung des baulichen, technischen und organisatorischen Brandschutzes. Der Unterricht behandelt alle Themen sehr praxisnah und alle Dozenten sind ausgewiesene Experten. Gut zu Wissen Die nächste Ausbildung zum Sicherheitsbeauftragten Brandschutz beginnt im März 2020. Erfahren Sie mehr über die Ausbildung und melden Sie sich mit einem Klick an auf: www.afc.ch/ausbildung-sibe
Am Ende des Kurses wird mit einer bestandenen Abschlussprüfung eine Personenzertifizierung zum «Sicherheitsbeauftragten Brandschutz» ausgestellt. Wer trägt die Verantwortung für den Brandschutz und wann ist ein Sicherheitsbeauftragter für den Brandschutz Vorschrift? Der Eigentümer und die Nutzer sind grundsätzlich verantwortlich für den Brandschutz und die Organisation der Sicherheit. Geeignete Alarmierungs- und Einsatzkonzepte sind zu erstellen, damit Rettungskräfte möglichst schnell alarmiert werden und retten können. In Abhängigkeit von Brandgefahren, Personenbelegung, Art oder Grösse des Betriebes kann es erforderlich sein, einen verantwortlichen Sicherheitsbeauftragten Brandschutz auszubilden und einzusetzen. Dieser Sicherheitsbeauftragte hat die Aufgabe das Personal über betriebliche Brandgefahren, installierte Brandschutzeinrichtungen und das Verhalten im Brandfall zu orientieren. Bei den folgenden Gebäudenutzungen ist nach den VKF-Brandschutzrichtlinien ein/e Sicherheitsbeauftragte/r für den Brandschutz grundsätzlich Vorschrift: • Heime und Spitäler • Hotels mit mehr als 100 Gästen • Verkaufsgeschäfte mit mehr als 2400 m2 Verkaufsfläche • Bauten mit Räumen mit mehr als 300 Personen • Gewerbebetriebe mit grossen Mengen an gefährlichen Stoffen • Gewerbe- und Schulbauten oder Betriebe mit mehr als 10 000 m2 Brandabschnittsflächen, Bauten mit umfangreichen baulichen und technischen Brandschutzeinrichtungen.
Es liegt in der Verantwortung des Eigentümers oder des Nutzers einen direkt verantwortlichen Sicherheitsbeauftragen für den Brandschutz zu bestimmen und auszubilden und somit die Unterhaltspflicht wahrzunehmen. Die notwendigen Dokumente (Pläne, Brandschutznachweise, Wartungsverträge, Unterhaltsanweisungen etc.) müssen regelmässig und insbesondere bei wesentlichen Änderungen im Gebäude nachgeführt werden. Der Kurs zur Ausbildung des Sicherheitsbeauftragten Brandschutz an der AFC Akademie vermittelt kompakt alle notwendigen Informationen, Rechte und Pflichten für eine brandsichere Organisation von Gebäuden. Das
erworbene Wissen wird mit einer Leistungskontrolle am letzten Kurstag geprüft und bei bestandener Prüfung mit einem Zertifikat bescheinigt.
Monika Geisler
Facts zur AFC Akademie Fokus Brandschutz: Die AFC-Akademie bietet Aus- und Weiterbildungen mit Schwerpunkt Brandschutz. Unabhängig, welche Vorkenntnisse Sie haben, die AFC-Akademie bietet den richtigen Einstieg und unterstützt Sie auf dem Weg zum Brandschutzverantwortlichen. Die Experten von AFC kennen die Anforderungen der neuen Brandschutz-Vorschriften genau und wissen, welches Know-how bei den VKF-Prüfungen gefragt ist. Die AFC-Akademie arbeitet stets mit hochkarätigen Referenten aus der Branche zusammen, da uns der Grundsatz ‹Praxisnahes Lernen mit Fachexperten aus der Praxis› sehr wichtig ist. Damit können wir Ihren persönlichen Weiterbildungsweg sicherstellen. Neu unterstützen wir den Lernerfolg auch mit immer mehr digitalen Hilfsmitteln: Online-Tests und neu im Kurs Brandschutzfachmann 2020 auch mit grossem 3D-Modell mit eingebetteten Objekten, um noch intensivere fachliche Diskussionen führen zu können. Neben dem dreitägigen SiBe-Kurs inkl. Personenzertifizierung zum Sicherheitsbeauftragten Brandschutz bietet die AFC Akademie diverse Aus- und Weiterbildungskurse für die Ausbildung zum Brandschutzfachmann (Grundlagenkurs, Hauptkurs, Prüfungsvorbereitungskurs) und verschiedene Tages- und Halbtageskurse zur Zertifikatsverlängerung. Bei Fragen zu unserem Ausbildungsprogramm können Sie sich jederzeit bei Monika Geisler, Leiterin Administration Akademie, melden. Telefonisch unter: + 41 58 4500047 oder per Mail: monika.geisler@afc.ch
AFCAKADEMIE
SICHERHEITSBEAUFTRAGTE/R BRANDSCHUTZ (SiBe) Mit AFC zum Zertifikat Sicherheitsbeauftragter Brandschutz gem. ISO 17024 von S-Cert AG
www.afc.ch/ausbildung-sibe
MIT SICHERHEIT ZUM BERUFLICHEN ERFOLG
Cyber Security Specialist mit eidg. Fachausweis
ICT Security Expert mit eidg. Diplom
Unabhängig geprüft durch ICT-Berufsbildung Schweiz
Informationen zu den eidgenössischen Security-Abschlüssen und Bildungsanbietern: www.ict-weiterbildung.ch