Was bisher geschah
Das aktuelle Datenschutzgesetz der Schweiz stammt aus dem Jahr 1992, gerade mal drei Jahre nach der Geburtsstunde des Internets im CERN. Seither hat sich einiges in der Welt der Datenerfassung und -Bearbeitung getan: Fünf Jahre nach dem Inkrafttreten des Datenschutzgesetzes (DSG) öffnete Google seine Pforten für Suchanfragen aus aller Welt, 2004 startete Facebook eines der grössten sozialen Netzwerke und übernimmt 2014 den Kurznachrichtendienst WhatsApp.
Zusätzlicher Druck für eine Erneuerung des DSGs kam durch die europäische Datenschutzgrundverordnung (DSGVO) zustande. Passt sich das Datenschutzniveau nicht an die europäischen Richtlinien an, hätte die Schweiz als Drittstaat klassifiziert werden können. Dies hätte den Datenaustausch zwischen der EU und der Schweiz und die Datenverarbeitung von europäischen Bürgern massiv erschwert. Höchste Zeit also, um das Gesetz den neuen technologischen, gesellschaftlichen und politischen Gegebenheiten anzupassen. Der Bundesrat eröffnete am 23. Juni 2021 die Vernehmlassung.
Die wichtigsten Änderungen
Die vollständigen und aktuellsten Informationen finden Sie auf der Admin Seite des Bundes. Wir haben aber für Sie die wichtigsten Änderungen aufgearbeitet und erläutern die Implikationen der Neuerungen.
Erweiterte Informations-/Auskunftspflicht
Die Informationspflichten werden deutlich ausgebaut. Neu müssen die betroffenen Personen über jede Beschaffung von Personendaten (d.h. alle Angaben, welche sich auf eine bestimmte oder bestimmbare Person beziehen) informiert werden. Das alte Gesetz sah nur eine Informationspflicht vor, wenn besonders schützenswerte Personendaten erfasst wurden. Ebenfalls wurde der Umfang der Informationspflicht ausgebaut. Mit dem neuen Gesetz müssen mindestens Angaben zur Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck und die Empfängerkreise gemacht werden. Fliessen Daten ins Ausland, müssen weitere Informationsplichten und Bestimmungen eingehalten werden.
Auch die Auskunftspflicht wird ausgebaut. Neben den Daten und deren Verwendungszweck müssen weitere Angaben wie die Herkunft, Aufbewahrungsdauer, die Kontaktdaten der verantwortlichen Person und weitere Informationen mitgeteilt werden. Falls automatisierte Entscheide aufgrund der Daten gefällt werden, hat neu jede Person das Recht auf eine Evaluierung der Entscheidung durch einen Menschen.
Meldepflicht bei Verletzungen des Datenschutzes
Wird der Datenschutz verletzt (d.h. gehen Daten verloren oder werden sie unbefugt bearbeitet) und bestehen Risiken für die Persönlichkeit oder die Grundrechte einer natürlichen Person, muss der Verantwortliche dem EDÖB so rasch als möglich Meldung erstatten. Zudem müssen in der Regel auch die betroffenen Personen informiert werden.
Besonders schützenswerte Daten
Der Begriff wurde gegenüber dem alten Gesetz erweitert: Unter diese Kategorie fallen neu auch Daten wie ethnische Herkunft, religiöse und politische Gesinnung, genetische Daten und biometrische Daten, sofern sie eine natürliche Person eindeutig identifizieren. Werden solche Daten erfasst und bearbeitet, muss eine ausdrückliche Einwilligung eingeholt werden.
Privacy by Design und Privacy by Default
Die Datenbearbeitung muss so gestaltet werden, dass die Vorschriften und die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so konfiguriert sein, dass die erfassten Personendaten nur auf das Minimum für den Verwendungszweck beschränkt sind (Privacy by Default). Es dürfen also nur so viele Daten gesammelt werden, wie für den Bearbeitungszweck notwendig sind.
Sanktionen
Im Gegensatz zur DSGVO stehen im Schweizer DSG nicht juristische, sondern natürliche Personen im Fokus der Strafbarkeit. Verantwortliche Personen in diesem Zusammenhang können CEOs, CIOs, CISOs oder andere Funktionen sein. Bei vorsätzlicher Verletzung der Informations-, Auskunfts- und Sorgfaltspflichten können neu Bussgelder bis zu 250’000 CHF gesprochen werden. Ausreichend ist der Eventualvorsatz. Dies führt dazu, dass die Strafbarkeit bereits gegeben ist, wenn die eingetretene Verletzung bewusst in Kauf genommen wurde.
Was bedeutet das für mein Unternehmen?
Überprüfen Sie Ihre Datenschutzrichtlinien, damit Sie rechtzeitig die möglichen Unstimmigkeiten unter dem neuen Gesetz beseitigen können. Sollten Sie noch keine haben, lohnt es sich, diese unter den neuen Bestimmungen zu erstellen. Nötige Anpassungen könnten etwa die Angaben zur verantwortlichen Person, Bestimmungen für den Datenaustausch mit dem Ausland oder die Erweiterung der besonders schützenswerten Daten sein.
Besonders bei Datenaustausch mit ausländischen Entitäten sollten Sie ihre aktuellen Verträge überprüfen und ihre Vertrags-Templates anpassen, um den neuen Bestimmungen gerecht zu werden.
Für die neue Meldepflicht bei Datenschutzverletzungen muss ein neuer Prozess eingeführt werden. Falls Sie noch keinen Prozess zu Datenauskunfts- und Löschbegehren haben, nutzen Sie diese Gelegenheit auch diese Prozesse in Ihrem Unternehmen einzuführen.
Falls Sie sowohl DSGVO als auch DSG Compliant sein müssen, lesen Sie sich die Differenzen genau durch, damit Sie Klarheit über die Rechtslage haben.
Managed Perimeter Scan
/in Managed Services /von Andreas MeierManaged Perimeter Scan
Cyberkriminelle nutzen Schwachstellen aus
Schwachstellen werden immer wieder von Cyberkriminellen zum Eindringen in Systeme missbraucht. Dieses Jahr kam es zu mehreren weitragenden Cyberangriffe aufgrund von Vulnerabilitäten etwa in Exchange-Servern. Das Thema Schwachstellen beschäftigt auch das Nationale Zentrum für Cybersicherehit (NCSC), welches die Thematik im Halbjahresbericht 2021/1 als Fokusthema behandelt hat. Oftmals sind die Schwachstellen, welche ausgenutzt werden, schon länger bekannt. Das FBI veröffentlichte die Top 30 Schwachstellen, welche von Angreiffern ausgenutzt werden. Die meisten davon wurden in den letzten zwei Jahren veröffentlicht. Die älteste wurde sogar bereits im Jahr 2017 bekanntgegeben! Vier der meistausgenutzten Vulnerabilitäten betrafen Fernarbeit, VPN oder Cloud-Basierte Technologien. Viele der Systeme bleiben jedoch auch Jahre nach bekanntwerden der Schwachstellen ungepatched.
Bekannte Schwachstellen auszunutzen ist für Angreifer besonders lukrativ: Sie können automatisiert nach verwundbaren Systemen suchen und mit geringem Aufwand in die Systeme eindringen. So operieren die Cyberkriminelle kosteneffizient und können maximale Gewinne erzielen. Aus diesem Grund ist es notwendig die eigene Angriffsfläche auf ein Minimum zu reduzieren!
Biete ich ein leichtes Einfallstor für Ransomware-Angriffe?
Diese Frage ist oft schwierig zu beantworten. In vielen Firmen ist die IT-Landschaft schnell und dynamisch gewachsen. Oft fehlt es an Übersicht. Können Sie folgende Fragen mit Sicherheit beantworten?:
Reduzieren Sie Ihre Angriffsfläche!
Asecus hat jahrelange Erfahrung mit dem Umgang von Schwachstellen und exponierten Services. Neu bietet Asecus einen gemanagten Perimeter Scan an: Wir Scannen ihre Internet gerichteten Assets auf Schwachstellen, wie Angreifer. Die Ergebnisse werden in einem übersichtlichen Bericht zusammengefasst und priorisiert. So wissen Sie immer, welche Schachstelle Sie als nächstes schliessen müssen. Falls vorhanden erhalten Sie gleich konkrete Handlungsempfehlungen, was den administrativen Aufwand weiter reduziert. Weitere Vorteile eines Managed Services sind:
Bei Fragen zu Schwachstellen und Behebung
Der Service wächst mit Ihrer Infrastruktur
Kein zusätzliches Personal, keine zusätzliche Hardware
Über 83’000 Schwachstellentests
Verlangen Sie noch heute eine Demonstration des Services und gehen Sie den ersten Schritt für ein proaktives Schwachstellen-Management.
Haben Antivirus Lösungen ausgedient?
/in News /von Andreas MeierHaben Antivirus Lösungen ausgedient?
Ransomware trotz Antivirus Lösung
Ransomware ist aktuell eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Dabei werden Dateien verschlüsselt, um von Unternehmen Lösegeld zu erpressen. Unternehmen welche Opfer einer Ransomware Kampagne werden, können auf solche Lösegeldforderungen eingehen und hoffen, dass die verschlüsselten Daten in vernünftiger Zeit wieder hergestellt werden. Dabei ist zu beachten, dass die eigentliche Entschlüsselung von Daten oder das Wiederherstellen von Daten aus Backups das kleinere Problem darstellt. Der Ausfall von IT- Systemen welche Basisdienste bereitstellen, erfordern oft deutlich mehr Zeit für eine erfolgreiche Wiederherstellung. Seit 2019 gehen die Angreifer noch einen Schritt weiter. Mit der sogenannten Double Extortion Taktik, werden die Daten nicht nur verschlüsselt, sondern auch gestohlen. Einem Kunden der sich weigert, ein entsprechendes Lösegeld zu bezahlen, wird neu auch mit der Veröffentlichung der Daten gedroht. Firmen, mit entsprechenden Backup und Recovery Prozessen, droht durch die neue Taktik eine Veröffentlichung ihrer Kundendaten und ein entsprechender Imageschaden.
Die Schweiz ist dabei ein attraktives Ziel: 46% der von Sophos befragten Schweizer Unternehmen gaben an, im letzten Jahr mindestens einmal Opfer einer Ransomware Attacke geworden zu sein. Das sind 9 Prozent mehr als im weltweiten Durchschnitt. Auch das Nationale Zentrum für Cybersicherheit (NCSC) warnt insbesondere KMUs vor den Gefahren von Ransomware. Denn 80% der gemeldeten Angriffe in der Schweiz wurden an KMUs ausgeübt.
Warum fallen so viele Unternehmen einem Ransomware Angriff zum Opfer und weshalb bieten herkömmliche Antivirus Lösungen keinen angemessenen Schutz gegen Ransomware?
In den Anfängen von Antivirus Programmen wurden Viren anhand ihrer Signatur erkannt. Diese Erkennungsmethode kann allerdings von Angreiffern sehr einfach umgangen werden, indem Sie den Schadcode leicht abändern.
Als nächster Schritt in der Evolution kamen Endpoint Protection Plattformen (EPP) auf den Markt. Diese nutzen neben Signaturen auch Machine Learning, Verhaltensanalysen, Sandboxing und weitere Mittel, um den Schutz des Endpoints zu gewähren. Moderne EPP Lösungen bieten den höchsten Schutz gegen bekannte und unbekannte Bedrohungen, stellen aber die letzte Verteidigungslinie dar.
Ransomware Angreifer geben sich nicht mit der Verschlüsselung einzelnen Endpunkte oder deren erreichbaren Daten zufrieden. Sie bewegen sich im Netzwerk, erlangen hohe Rechte und kompromittieren kritische Systeme. Die Verschlüsslungssoftware wird so auf alle erreichbare Systeme verteilt. Gesteuert werden die Angriffe über Command and Control Server.
Mit Endpoint Detection and Response (EDR) und Network Detection and Response (NDR) Systemen können die EPP Systemen ergänzt werden. Sie bringen mehr Visibilität und können Angriffe oder ungewöhnliche Vorgänge entdecken. Viele Meldungen ohne weiteren Kontext erschwert es aber Sicherheitsteams effektiv und schnell auf einen Angriff zu reagieren. Der Fokus liegt bei EDR und NDR Lösungen vor allem auf der technologischen Seite und nicht auf den operationellen Bedürfnissen von Unternehmen.
Wie sieht ein zeitgemässer Schutz gegen Ransomware aus?
In der Evolution der Endpoint Schutz Lösungen kam es 2018 zu einem weiteren grossen Schritt: Extended Detection and Response (XDR). Mit XDR werden unterschiedliche Datensilos aufgebrochen und zusammengeführt, um einen holistischen Schutz zu gewähren. Neben den Daten des Endpoints werden auch Daten aus dem Netzwerk, Cloudressourcen, IAM und anderen Systemen berücksichtigt. Diese Zusammenführung der unterschiedlichen Daten ermöglicht mehr Visibilität und Kontext. Bedrohungen lassen sich dadurch schneller erkennen und können eliminiert werden, bevor entsprechender Schaden entsteht. Palo Alto Networks prägte 2018 den Namen XDR und ist auch heute noch der führende Hersteller von XDR Lösungen.
Cortex XDR von Palo Alto Networks bietet Unternehmen die Tools, welche bislang nur Spezialisten in Security Operation Centers (SOC) zur Verfügung standen. Sie erhalten dadurch eine mächtige Plattform, mit welcher Sie über alle Kanäle hinweg Visibilität und Werkezeuge erhalten um bei einem Angriff entsprechend einzugreifen. Asecus kann Sie dabei unterstützen Cortex XDR effektiv zu konfigurieren und unterstützt Sie im Betrieb und Unterhalt.
Nehmen Sie noch heute Kontakt mit unseren Experten auf!
Cyber-Resilienz mit einem Incident Response Retainer
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
Cosmos DB: Was Sie jetzt tun müssen
/in News /von Andreas MeierAzure Vulnerability ChaosDB: Was Sie jetzt tun müssen
Was ist passiert?
Forscher von Wiz.io fanden Anfang August eine Schwachstelle in Cosmos DB, einem Datenbank-Service von Microsoft Azure. Den Forschern gelang der Zugang zu mehreren Tausend Accounts und Datenbanken. Betroffen waren auch Unternehmen aus den Fortune 500. Die Forscher tauften die Schwachstelle „ChaosDB“.
Datenbank-Lecks haben alarmierend zugenommen mit dem Wechsel vieler Unternehmen in die Cloud. Grund dafür waren oftmals Fehlkonfigurationen auf Kundenseite. Im Fall von ChaosDB war dies jedoch nicht der Fall. Auch Firmen, welche Ihre Umgebungen nach allen Best-Practices aufgesetzt hatten, waren von dieser Schwachstelle betroffen.
Die Schwachstelle erlaubte das Herunterladen, Löschen oder Manipulieren einer riesigen Sammlung von kommerziellen Datenbanken und den Zugriff auf die Architektur von Cosmsos DB.
2019 führte Microsoft Jupyter Notebook für die Cosmos DB ein. Dieser Service erlaubt es Nutzern, Daten auf einfache Art und Weise zu Visualisieren und war standardmässig aktiviert. Die Jupyter Notebooks laufen pro Region (z.B. us-east, uk-south) auf einem gemeinsam genutzten Cluster. Den Forschern gelang es dank einer Reihe von Fehlkonfigurationen, sich Administratorenrechte auf diesem lokalen Jupyter-Cluster zu verschaffen. Von dort aus konnten die Forscher alle sich in derselben Region befindenden Primärschlüssel für die Cosmos DB und andere sensitive Daten wie der Access Token des Notebooks einsehen.
Die Schlüssel erlauben es potenziellen Angreifern sich einen Langzeit-Zugriff zu Firmendaten zu verschaffen mit vollen Administratorrechten. Einzige Bedingung für den Angriff war, dass sich der Angreifer und das Opfer in derselben Region befinden müssen.
Die Sicherheitslücke wurde von Microsoft sehr ernst genommen. Innert 48 Stunden nach Erstkontakt mit Microsoft, wurden alle verwundbaren Notebooks deaktiviert. Jedoch besteht weiterhin die Gefahr, dass die Primärschlüssel abgegriffen wurden. Dies sind langlebige Schlüssel und können von Angreifern genutzt werden, um sensible Daten aus den Datenbanken zu stehlen. Microsoft hat über 30% der Cosmos DB Nutzer angeschrieben, dass sie die Primärschlüssel manuell rotieren sollten. Allerdings wird davon ausgegangen, dass weit mehr Kunden betroffen sein könnten.
Was ist zu tun?
Discovery: Welche Cosmos DB sind betroffen?
Es gibt eine undokumentierte Möglichkeit, um Cosmos DB Accounts mit dem aktivierten Jupyter Notebook Feature zu identifizieren, welche wie folgt funktioniert:
Quelle: wiz.io
Erneuerung der Cosmos DB Primärschlüssel
Das Ersetzen der Schlüssel kann möglicherweise operative Prozesse beeinflussen. Die Konsequenzen eines Schlüsselwechsels sollten deshalb vorab gründlich evaluiert werden bevor mit den Arbeiten begonnen wird. Ein Cosmos DB Account verfügt über zwei Schlüssel einen Primären und Sekundären. Die Sicherheitslücke betraf nur die Primärschlüssel, die Sekundärschlüssel sind nach wie vor geheim.
Beachten Sie, dass der alte Schlüssel nicht mehr verwendet werden kann, sobald die Schlüssel regeneriert werden. Falls Sie ihre Applikationen nicht einen anderen Schlüssel bereitstellen, kann das zu massiven Fehlfunktionen führen.
Ein Guide für die Neu-Erzeugung des Schlüsselmaterials kann hier abgerufen werden.
Limitieren Sie den Netzwerkzugriff
Das Reduzieren des Zugriffs auf die Cosmos DB über das Netzwerk ist ein wichtiger zusätzlicher Schritt, um die Cosmos DB abzusichern. Besonders für Datenbanken welche auf Grund von operationellen Bedenken ihre Primärschlüssel nicht rotieren können. Dazu können folgende Schritte unternommen werden:
Falls wir Sie bei der Untersuchung und Behebung dieser Sicherheitslücke unterstützen können melden Sie sich ungeniert über unser Kontakt Formular. Unsere Experten haben jahrelange Erfahrung mit dem Sichern von Azure Umgebungen und beraten Sie auch gerne in anderen Themen rund um die Sicherheit in der Cloud.
Cyber-Resilienz mit einem Incident Response Retainer
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
E-Mail-Verschlüsselung
/in News /von Andreas MeierE-Mail-Verschlüsselung
Verschärfung der Datenschutzbestimmungen
Täglich werden in der Welt Millionen an E-Mails versendet. Auf dem Weg durch das Internet passieren diese Nachrichten unterschiedliche Knotenpunkte und können ohne entsprechende Schutzmassnahmen von Dritten mitgelesen werden. Mit der Einführung des neuen Datenschutzgesetzes in der Schweiz wird es praktisch unausweichlich E-Mails zu verschlüsseln, um die neuen Anforderungen zu erfüllen.
Cheatsheet
Kostenfreier Download für die einfache Unterscheidung der Anforderungen an E-Mail-Verschlüsselung unter DSG und DSGVO
Gesetzliche Bestimmungen wie die DSGVO oder das schweizerische Datenschutzgesetz verpflichten Unternehmen bereits heute zum sorgfältigen Umgang mit Personendaten. Mit dem neuen DSG der Schweiz werden diese Pflichten noch weiter verschärft. Das DSG hält fest, dass Personendaten mit geeigneten technischen und organisatorischen Massnahmen vor unbefugtem Bearbeiten oder Verlust geschützt werden müssen. Ebenfalls wurde für Datenschutzverletzungen das Strafmass deutlich erhöht: Natürliche Personen können neu mit bis zu 250’000 CHF gebüsst werden. Weiter besteht eine Meldepflicht bei Verstössen gegen die Datensicherheit. Ein Bekanntwerden eines solchen Verstosses kann dabei schnell zu einer Rufschädigung führen
Falls Sie mit Kunden in der Schweiz und der EU arbeiten, kann das Einhalten der Compliance-Regeln schnell komplex werden. Mit unserem Cheatsheet erhalten Sie eine einfache Übersicht zum Thema Emailverschlüsselung unter DSGVO und dem neuen DSG.
Wenn Kurznachrichten besser geschützt sind als die Geschäftskommunikation
E-Mails sind generell nicht verschlüsselt. Der E-Mail-Betreiber, sowie die Knotenpunkte können eine Nachricht potenziell im Klartext mitlesen. Aus diesem Grund wird eine E-Mail auch oftmals mit einer Postkarte verglichen. Kurznachrichtendienste wie Threema und WhatsApp bieten bereits heute die Möglichkeit, Nachrichten Ende-zu-Ende verschlüsselt auszutauschen. Nur der Sender und Empfänger können die Nachricht lesen. Oftmals werden über E-Mail personenbezogene Daten (Offerten, Rechnungen) oder gar hochsensible Daten (Lohnabrechnungen, buchhalterische Dokumente) übertragen. Höchste Zeit, das Sicherheitslevel für E-Mailnachrichten anzuheben.
E-Mail-Verschlüsselung ist nicht schwer
Verschlüsselung hört sich zwar kompliziert an, muss es aber nicht sein. Asecus hat jahrelange Erfahrung mit dem Implementieren von E-Mail-Verschlüsselung. Mit dem Secure E-Mail Gateway von SEPPmail können Sie ohne grossen Aufwand eine sichere, DSGVO- und DSG-konforme Kommunikation für Ihr Unternehmen einführen. Wir betreuen bereits viele Kunden aus der Gesundheitsbranche mit dieser Lösung und beraten auch Sie gerne, wie Sie Ihre Unternehmenskommunikation sicher gestalten können.
Möchten Sie mehr Informationen über wie Sie Ihre Geschäftskommunikation sichern? Nehmen Sie mit uns Kontakt auf, wir beraten Sie gerne!
Cyber-Resilienz mit einem Incident Response Retainer
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
Totalrevision Schweizer DSG
/in News /von Andreas MeierTotalrevision Schweizer Datenschutzgesetz
Das neue DSG der Schweiz kommt später als geplant
Das Bundesamt für Justiz (BJ) informierte am 3. März 2022, dass das revDSG per 1. September 2023 Inkrafttreten soll. Ursprünglich geplant war die zweite Jahreshälfte 2022. In einer kurzen Informationsbox heisst es «Es ist vorgesehen, das neue Datenschutzrecht auf den 1. September 2023 in Kraft zu setzen. Der dafür notwendige Entscheid des Bundesrates muss noch erfolgen.» Wichtig: Es gibt keine Übergangsfrist! Die notwendigen Anpassungen müssen Unternehmen vor diesem Datum vorgenommen haben.
Was bisher geschah
Das aktuelle Datenschutzgesetz der Schweiz stammt aus dem Jahr 1992, gerade mal drei Jahre nach der Geburtsstunde des Internets im CERN. Seither hat sich einiges in der Welt der Datenerfassung und -Bearbeitung getan: Fünf Jahre nach dem Inkrafttreten des Datenschutzgesetzes (DSG) öffnete Google seine Pforten für Suchanfragen aus aller Welt, 2004 startete Facebook eines der grössten sozialen Netzwerke und übernimmt 2014 den Kurznachrichtendienst WhatsApp.
Zusätzlicher Druck für eine Erneuerung des DSGs kam durch die europäische Datenschutzgrundverordnung (DSGVO) zustande. Passt sich das Datenschutzniveau nicht an die europäischen Richtlinien an, hätte die Schweiz als Drittstaat klassifiziert werden können. Dies hätte den Datenaustausch zwischen der EU und der Schweiz und die Datenverarbeitung von europäischen Bürgern massiv erschwert. Höchste Zeit also, um das Gesetz den neuen technologischen, gesellschaftlichen und politischen Gegebenheiten anzupassen. Der Bundesrat eröffnete am 23. Juni 2021 die Vernehmlassung.
Die wichtigsten Änderungen
Die vollständigen und aktuellsten Informationen finden Sie auf der Admin Seite des Bundes. Wir haben aber für Sie die wichtigsten Änderungen aufgearbeitet und erläutern die Implikationen der Neuerungen.
Erweiterte Informations-/Auskunftspflicht
Die Informationspflichten werden deutlich ausgebaut. Neu müssen die betroffenen Personen über jede Beschaffung von Personendaten (d.h. alle Angaben, welche sich auf eine bestimmte oder bestimmbare Person beziehen) informiert werden. Das alte Gesetz sah nur eine Informationspflicht vor, wenn besonders schützenswerte Personendaten erfasst wurden. Ebenfalls wurde der Umfang der Informationspflicht ausgebaut. Mit dem neuen Gesetz müssen mindestens Angaben zur Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck und die Empfängerkreise gemacht werden. Fliessen Daten ins Ausland, müssen weitere Informationsplichten und Bestimmungen eingehalten werden.
Auch die Auskunftspflicht wird ausgebaut. Neben den Daten und deren Verwendungszweck müssen weitere Angaben wie die Herkunft, Aufbewahrungsdauer, die Kontaktdaten der verantwortlichen Person und weitere Informationen mitgeteilt werden. Falls automatisierte Entscheide aufgrund der Daten gefällt werden, hat neu jede Person das Recht auf eine Evaluierung der Entscheidung durch einen Menschen.
Meldepflicht bei Verletzungen des Datenschutzes
Wird der Datenschutz verletzt (d.h. gehen Daten verloren oder werden sie unbefugt bearbeitet) und bestehen Risiken für die Persönlichkeit oder die Grundrechte einer natürlichen Person, muss der Verantwortliche dem EDÖB so rasch als möglich Meldung erstatten. Zudem müssen in der Regel auch die betroffenen Personen informiert werden.
Besonders schützenswerte Daten
Der Begriff wurde gegenüber dem alten Gesetz erweitert: Unter diese Kategorie fallen neu auch Daten wie ethnische Herkunft, religiöse und politische Gesinnung, genetische Daten und biometrische Daten, sofern sie eine natürliche Person eindeutig identifizieren. Werden solche Daten erfasst und bearbeitet, muss eine ausdrückliche Einwilligung eingeholt werden.
Privacy by Design und Privacy by Default
Die Datenbearbeitung muss so gestaltet werden, dass die Vorschriften und die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so konfiguriert sein, dass die erfassten Personendaten nur auf das Minimum für den Verwendungszweck beschränkt sind (Privacy by Default). Es dürfen also nur so viele Daten gesammelt werden, wie für den Bearbeitungszweck notwendig sind.
Sanktionen
Im Gegensatz zur DSGVO stehen im Schweizer DSG nicht juristische, sondern natürliche Personen im Fokus der Strafbarkeit. Verantwortliche Personen in diesem Zusammenhang können CEOs, CIOs, CISOs oder andere Funktionen sein. Bei vorsätzlicher Verletzung der Informations-, Auskunfts- und Sorgfaltspflichten können neu Bussgelder bis zu 250’000 CHF gesprochen werden. Ausreichend ist der Eventualvorsatz. Dies führt dazu, dass die Strafbarkeit bereits gegeben ist, wenn die eingetretene Verletzung bewusst in Kauf genommen wurde.
Was bedeutet das für mein Unternehmen?
Überprüfen Sie Ihre Datenschutzrichtlinien, damit Sie rechtzeitig die möglichen Unstimmigkeiten unter dem neuen Gesetz beseitigen können. Sollten Sie noch keine haben, lohnt es sich, diese unter den neuen Bestimmungen zu erstellen. Nötige Anpassungen könnten etwa die Angaben zur verantwortlichen Person, Bestimmungen für den Datenaustausch mit dem Ausland oder die Erweiterung der besonders schützenswerten Daten sein.
Besonders bei Datenaustausch mit ausländischen Entitäten sollten Sie ihre aktuellen Verträge überprüfen und ihre Vertrags-Templates anpassen, um den neuen Bestimmungen gerecht zu werden.
Für die neue Meldepflicht bei Datenschutzverletzungen muss ein neuer Prozess eingeführt werden. Falls Sie noch keinen Prozess zu Datenauskunfts- und Löschbegehren haben, nutzen Sie diese Gelegenheit auch diese Prozesse in Ihrem Unternehmen einzuführen.
Falls Sie sowohl DSGVO als auch DSG Compliant sein müssen, lesen Sie sich die Differenzen genau durch, damit Sie Klarheit über die Rechtslage haben.
Haben Sie Fragen zum neuen Datenschutzgesetz oder den technischen Implikationen? Wir beraten Sie gerne! Nehmen Sie mit uns Kontakt auf.
Cyber-Resilienz mit einem Incident Response Retainer
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
Ransomware Readiness Check
/in News /von Philipp OeschRansomware Readiness Check
Wie gut sind Sie gegen eine Ransomware Attacke geschützt?
Immer mehr Schweizer Unternehmen werden Opfer einer Ransomware Attacke. Daten werden verschlüsselt und der Betrieb steht still. Das Budget für Security wurde zwar bei vielen Unternehmen während den letzten Jahren stark erhöht, doch ob die implementierten Security Massnahmen auch wirksam gegen Ransomware Attacken sind, ist meistens nicht bekannt.
Es kann jeden treffen – Ransomware ist mittlerweile stark automatisiert und eine der grössten Bedrohungen für Unternehmen.
Sie starten Ihren Computer wie gewohnt, aber irgendetwas ist heute anders. Programme die Sie für Ihre tägliche Arbeit benötigen funktionieren auf einmal nicht mehr. Dokumente, welche Sie gestern noch bearbeitet haben, sind heute verschlüsselt und auf Ihre Emails haben Sie auch keinen Zugriff mehr. Es wird Ihnen langsam bewusst, dass Sie Opfer einer Hacker-Attacke sind und die nächsten Wochen blanker Horror für Sie werden. Sie fragen sich gerade, ob Sie ein Backup von den aktuellen Daten haben und wie lange es wohl geht, bis die Systeme komplett neu aufgesetzt sind…
Kurz – Ihr Betrieb steht von einem Tag auf den anderen komplett still und Sie haben keine Ahnung, wann Sie wieder Kundenbestellungen empfangen oder Rechnungen verschicken können. Sie können derzeit nicht einmal sagen, welche Aufträge in Arbeit sind und was bis wann ausgeliefert werden muss.
Nachdem der erste Rechner infiziert ist, verbreitet sie sich die Ransomware selbständig weiter im Netzwerk und befällt in kürzester Zeit das ganze Unternehmen.
Machen Sie jetzt einen Ransomware Readiness Check als aktives Risk Management
Warten Sie nicht bis es zu spät ist und Sie Opfer einer Ransomware Attacke wurden. Machen Sie proaktiv einen Ransomware Readiness Check um herauszufinden wie gewappnet Sie gegen eine Attacke sind und wo Sie noch Massnahmen treffen sollten. Diese proaktive Überprüfung kann Ihnen viel Ärger und Kosten ersparen.
Mehr Informationen?
Wir hinterfragen Ihre Schutzmassnahmen in jeder Phase eines Ransomware Angriffs und zeigen Ihnen noch offene Lücken auf. Dabei beleuchten wir sowohl technische als auch organisatorische Aspekte. Mit dem Ransomware Readiness Check erhalten Sie zudem eine Auswertung mit übersichtlichen Netzdiagrammen, womit Sie auf einen Blick Lücken in Ihrer Ransomware Abwehr erkennen:
Zusätzlich erhalten Sie für jede Phase einer Attacke, konkrete Empfehlungen und Verbesserungsvorschläge um die Wirksamkeit Ihrer Schutzmassnahmen zu erhöhen. Auf Wunsch unterstützen wir auch bei der Implementierung entsprechender Security Massnahmen.
Möchten Sie mehr über den Ransomware Readiness Check erfahren?
Dann buchen Sie jetzt gleich einen freien Termin bei einem Asecus Experten:
Oder hinterlassen Sie uns Ihre Kontaktdaten für eine unverbindliche Kontaktaufnahme durch uns:
Cyber-Resilienz mit einem Incident Response Retainer
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
Security Solution Sales 80-100%
/in Aktuelle Jobangebote /von Philipp OeschAktuelle Jobangebote
Security Solution Sales 80-100%
Du akquirierst neue Projekte und trägst wesentlich zum Wachstum unseres IT-Security Business bei
Die Asecus AG bietet ihren Kunden in allen Bereichen der IT-Security einen umfassenden Service mit erstklassiger Qualität. Asecus hat sich in den letzten Jahren zum führenden Partner im Bereich Cloud Security etabliert. Dir als selbstständige und zuverlässige Persönlichkeit bietet sich die Möglichkeit, eine spannende und herausfordernde Aufgabe zu übernehmen. Dabei ist die direkte Unternehmenserfolgsbeteiligung ein zusätzlicher Motivationsfaktor.
Deine Aufgabe
Innerhalb eines dynamischen Teams bist Du zuständig für die Akquisition von neuen Projekten mit Fokus auf die Bereiche Cloud Security, Netzwerk Security und Endpoint Security. Du bist in der Lage mit Kunden über aktuelle Security Bedrohungen und Herausforderungen in neuen Bereichen wie Cloud und IoT zu diskutieren. Dies hilft Dir dabei, Neukunden zu gewinnen und das bestehende Team beim Weiterentwickeln der bestehenden Kundenbasis zu unterstützen. Du treibst das Wachstum unserer neuen Managed Cyber Security Services aktiv voran und arbeitest eng mit unserem Produkt Management und Marketing zusammen.
Dank deiner Leidenschaft für die Digitalisierung, hältst Du Deine Fachkenntnisse laufend auf dem aktuellen Stand. Du hast ein sicheres, gewinnendes Auftreten und bringst vorzugsweise bereits Verkaufserfahrung mit.
Gesuchtes Profil
Es erwartet Dich ein dynamisches Arbeitsumfeld mit vielen Freiräumen, Interaktionen und Eigenverantwortung.
Arbeitsort:
Wir stehen Dir für weitere Auskünfte gerne zur Verfügung und freuen uns auf Deine kompletten Bewerbungsunterlagen.
Kontakt:
Barbara Hochstrasser, barbara.hochstrasser@asecus.ch, 043 399 20 00
Diese Stelle möchten wir ohne externe Personaldienstleister besetzen.
Unkompliziert Kennenlernen
Möchtest du uns unkompliziert kennenlernen? Wir freuen uns auf deine Kontaktaufnahme!
Senior Security Consultant 100% – Uster
Security Solution Sales 80-100%
Cybersecurity Engineer 80-100% – Uster
Webinar – Was tun nach einem Cyber Angriff?
/in News /von Philipp OeschWebinar – Was tun nach einem Cyber Angriff?
Was tun in den ersten 10 Tagen nach einem Cyber Angriff?
Neues Webinar
Am 14. Juni findet unser nächstes Webinar statt: Security – wie packe ich es an? Sichern Sie sich noch heute einen Platz und seien Sie live dabei!
Nach massenhaften Phishing Attacken bei Bank Kunden, hat die Finanzbranche in den letzten Jahren sehr viel in IT-Security investiert. Mit neuen E-Banking Plattformen und der Einführung von sicheren 2 Faktor Authentifizierungen hat sich die Lage für den Endbenutzer beruhigt und stark verbessert. Auch die Pharma Unternehmen haben schnell realisiert, dass sie ihre Intellectual Properties gut schützen müssen.
Doch wie ist mein eigenes Unternehmen im Bereich IT-Security strategisch aufgestellt?
Am 27. Mai ist Max Klaus, der stv. Leiter des nationalen Zentrums für Cybersicherheit NCSC (ehemals MELANI) bei uns zu Gast und gibt spannende Insights und Empfehlungen. Während den 90 Minuten geht er im Detail auf eine Attacke auf ein Schweizer Unternehmen aus dem Jahr 2020 ein. Einblicke die Sie definitiv nicht verpassen sollten.
Nutzen Sie die Gelegenheit und reservieren Sie sich die Zeit für die Online Session:
Donnerstag der 27. Mai 2021 von 8:30 bis 10:00 Uhr
Dieser Event wird in Zusammenarbeit mit unserem Partner Forcepoint durchgeführt.
Melden Sie sich noch heute an und sichern Sie sich Ihre Teilnahme*:
*: Ihre persönlichen Daten werden ausschliesslich im Zusammenhang mit dem Webinar und einer allfälligen Kontaktaufnahme durch Asecus oder Forcepoint verwendet.
Cyber-Resilienz mit einem Incident Response Retainer
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
F5 zum Schutz Ihrer hybriden IT
/in News /von Philipp OeschF5 zum Schutz Ihrer hybriden IT
Live Webinar – so schützt F5 Ihre hybride IT Umgebung
In unserem Live-Webinar am 10. Dezember 2020 um 16:00 stellen wir Ihnen mit F5 eine Lösung vor, die Ihnen dabei hilft, mehr Anforderungen hinsichtlich Anwendungsdiensten und Anwendungssicherheit in lokalen oder beliebigen Multi-Cloud-Umgebungen mit weniger Aufwand zu erfüllen.
Melden Sie sich an und erfahren Sie, wie Sie mit F5 :
• Remote Zugriff auf Unternehmensressourcen einfach und sicher ermöglichen
• Die Verfügbarkeit und Leistung von Anwendungen verbessern
• Ihre Netzwerkressourcen, Applikationen und Daten vor Hacker schützen
• Durch nahtlose Integration und Konsolidierung, Kosten und Aufwände minimieren
• Interne Teams durch Managed Security Services entlasten
Gerne gehen wir auch auf Ihre individuellen Herausforderungen ein und zeigen Ihnen mögliche Lösungswege mit F5 auf.
Das Live Webinar ist leider schon vorüber, Sie können sich aber jederzeit für mehr Informationen zu diesem Thema bei uns melden.
Bitte füllen Sie dazu das Kontaktformular aus:
F5 – Advanced Web Application Firewall
/in News /von Philipp OeschF5 – Advanced WAF
Advanced WAF – die moderne Web Application Firewall
Viele Web Application Firewall Lösungen (WAF) können mit den sich ständig weiterentwickelnden Bedrohungen nicht Schritt halten, die F5 Advanced WAF kann es.
Ihre Anwendungen und die dahinter stehenden Daten bilden die Grundlage für Ihr Geschäft. Und genau das macht sie zum Angriffsziel Nummer 1. Die F5 Advanced WAF bietet eine Reihe leistungsstarker Sicherheitsfunktionen, darunter automatische Verhaltensanalyse, proaktive Bot-Abwehr und Verschlüsselung sensibler Daten auf Anwendungsebene, um Ihre Anwendungen vor Angriffen schützen, ohne die Anwendungen selbst aktualisieren zu müssen:
Finden Sie heraus, wie einfach und effizient Sie selbst komplexeste Anwendungsbedrohungen in Ihrem Unternehmen verhindern und entschärfen können.
Wir bieten Ihnen eine Live Demo oder verschiedene Varianten zum Testen an:
Haben Sie Fragen zu Advanced WAF oder möchten Sie eine kostenlose Testversion beantragen?
Cookie- und Datenschutzeinstellungen
Wir können Cookies anfordern, die auf Ihrem Gerät eingestellt werden. Wir verwenden Cookies, um uns mitzuteilen, wenn Sie unsere Websites besuchen, wie Sie mit uns interagieren, Ihre Nutzererfahrung verbessern und Ihre Beziehung zu unserer Website anpassen.
Klicken Sie auf die verschiedenen Kategorienüberschriften, um mehr zu erfahren. Sie können auch einige Ihrer Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Auswirkungen auf Ihre Erfahrung auf unseren Websites und auf die Dienste haben kann, die wir anbieten können.
Diese Cookies sind unbedingt erforderlich, um Ihnen die auf unserer Webseite verfügbaren Dienste und Funktionen zur Verfügung zu stellen.
Da diese Cookies für die auf unserer Webseite verfügbaren Dienste und Funktionen unbedingt erforderlich sind, hat die Ablehnung Auswirkungen auf die Funktionsweise unserer Webseite. Sie können Cookies jederzeit blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Webseite erzwingen. Sie werden jedoch immer aufgefordert, Cookies zu akzeptieren / abzulehnen, wenn Sie unsere Website erneut besuchen.
Wir respektieren es voll und ganz, wenn Sie Cookies ablehnen möchten. Um zu vermeiden, dass Sie immer wieder nach Cookies gefragt werden, erlauben Sie uns bitte, einen Cookie für Ihre Einstellungen zu speichern. Sie können sich jederzeit abmelden oder andere Cookies zulassen, um unsere Dienste vollumfänglich nutzen zu können. Wenn Sie Cookies ablehnen, werden alle gesetzten Cookies auf unserer Domain entfernt.
Wir stellen Ihnen eine Liste der von Ihrem Computer auf unserer Domain gespeicherten Cookies zur Verfügung. Aus Sicherheitsgründen können wie Ihnen keine Cookies anzeigen, die von anderen Domains gespeichert werden. Diese können Sie in den Sicherheitseinstellungen Ihres Browsers einsehen.
Wir nutzen auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten von Ihnen speichern, können Sie diese hier deaktivieren. Bitte beachten Sie, dass eine Deaktivierung dieser Cookies die Funktionalität und das Aussehen unserer Webseite erheblich beeinträchtigen kann. Die Änderungen werden nach einem Neuladen der Seite wirksam.
Google Webfont Einstellungen:
Google Maps Einstellungen:
Google reCaptcha Einstellungen:
Vimeo und YouTube Einstellungen:
Die folgenden Cookies werden ebenfalls gebraucht - Sie können auswählen, ob Sie diesen zustimmen möchten:
Sie können unsere Cookies und Datenschutzeinstellungen im Detail in unseren Datenschutzrichtlinie nachlesen.
Privacy Policy