"Integrale Sicherheit" bezeichnet ein umfassendes Sicherheitskonzept, das darauf abzielt, verschiedene Aspekte der Sicherheit innerhalb der Systeme und der Organisation zu vereinen und abzustimmen, um eine bestmögliche Gesamtsicherheit zu gewährleisten. Im Vergleich zu isolierten Sicherheitsmassnahmen verfolgt die integrale Sicherheit einen ganzheitlichen Ansatz, bei dem unterschiedliche Sicherheitsbereiche miteinander verknüpft und so aufeinander abgestimmt werden, dass sie optimal zusammenwirken.

Zweck: Ein Sicherheitsniveau, das höher ist als die Summe seiner Einzelteile

Die integrale Sicherheit basiert auf dem Grundsatz, dass isolierte Sicherheitsmassnahmen nicht ausreichend sind, um die komplexen Sicherheitsanforderungen einer modernen Organisation zu erfüllen, insbesondere eines Trust Service Providers wie der SwissSign, welche sich in einem stark regulierten Markt bewegt.

In einer integralen Sicherheitsstrategie werden alle Sicherheitsmassnahmen und -konzepte – physisch, IT-basiert, organisatorisch, personell und rechtlich/regulatorisch – in einem übergreifenden System zusammengeführt und miteinander in Einklang gebracht. Es verbindet sie so, dass sie sich gegenseitig ergänzen und verstärken. Des Weiteren soll so ein Sicherheitsniveau erreicht werden, das grösser ist als die Summe seiner Einzelteile. Schwachstellen im Sicherheitsnetz werden somit verringert, da alle Sicherheitsmassnahmen aufeinander abgestimmt sind. Die Resilienz der SwissSign gegen Bedrohungen und Risiken wird damit deutlich erhöht, und gleichzeitig kann der Aufwand für Überwachung und Kontrolle effizienter gestaltet werden.

Ziele und Aufgaben der integralen Sicherheit

Die integrale Sicherheit will zuvorderst ein Maximum an Schutz und Resilienz erreichen, insbesondere der Schutz von Leben und Gesundheit aller Menschen, die von den Sicherheitsmassnahmen der Organisation betroffen sind, ist ihr vorrangiges Ziel.

Folgende Aufgaben umfasst ein Konzept der integralen Sicherheit:

• Einsatz transparenter, effektiver und effizienter Sicherheitsmassnahmen auch zum Zweck der Aufrechterhaltung einer hohen Vertrauenswürdigkeit, Souveränität und Unabhängigkeit.

• Aufbau, Unterhalt und Weiterentwicklung eines Sicherheitsmanagementsystems (ISMS) für alle Sicherheitsbereiche.

• Koordination der Gesamtsicherheit durch Einbindung der Sicherheitsbereiche in der Sicherheitsorganisation.

• Schaffung einer Sicherheitskultur, in der Sicherheit als Aufgabe verstanden und durch die Mitarbeitenden im Rahmen ihrer Tätigkeit wahrgenommen wird.

• Erreichung eines angemessenen Sicherheitsniveaus.

• Schaffung der notwendigen Cyber-Resilienz, um als Datensicherheitsspezialistin der Post CH den Erfolg in der digitalen Welt zukunftsorientiert, sicherzustellen.

• Sicherung des Images, des guten Rufs in der Öffentlichkeit, bei inländischen und ausländischen Behörden, in der Bundesverwaltung, bei Lieferanten und Partnern.

• Sicherstellung des Geschäftstriebes und Verhinderung von Störungen durch präventive und reaktive Massnahmen zum wirtschaftlichen Schutz der SwissSign und zur Wahrung der Reputation.

• Bewältigung von Notfällen bei Eskalation von Störungen.

• Behandlung der geschäftskritischen Risiken unter Beachtung der rechtlichen, regulatorischen Anforderungen und Wirtschaftlichkeit.

• Vermeiden von Verstössen gegen Gesetze oder regulatorische Vorgaben durch Einhaltung gesetzlicher, regulatorischer und vertraglicher Bestimmungen

• Umsetzung von wirtschaftlich vertretbaren Sicherheitsmassnahmen.

• Einsatz eines risikobasierten Ansatzes für die integrale Sicherheit zur (kontinuierliche) Verbesserungen und Absicherung von komplexen Sicherheitsthemen.

• Schonender Umgang mit natürlichen Ressourcen, Vermeiden von negativen Auswirkungen auf die Umwelt.

Normen und Standards der integralen Sicherheit

Die gesetzlichen oder branchenspezifischen Vorgaben, an denen sich ein Sicherheitskonzept orientiert, variieren stark von Organisation zu Organisation. Es kann sich um staatliche Verordnungen handeln oder um Richtlinien der jeweiligen Branchenverbände oder übergreifende Unternehmensstandards. Für die SwissSign als Schweizer Trust Service Provider gelten insbesondere diese Regulatorien:

• ISO/IEC 27001: Ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert Anforderungen für die Planung, Umsetzung, Überwachung und Verbesserung eines ISMS und ist weltweit anerkannt. Die SwissSign ist ISO 27001 zertifiziert.

• ITIL (Information Technology Infrastructure Library): Hinter dieser Bezeichnung steht ein Best-Practice-Framework für ein effektives IT-Service-Management. ITIL stellt somit eine Sammlung von Prozessen und Aufgaben dar, die für das IT-Service-Management als Best Practices angesehen werden. Die SwissSign lehnt sich an dieses Framework an und arbeitet damit im Bereich des Prozessmanagement.

• BSI IT-Grundschutz Methodik: Das BCM (Business Continuity Management als Teil der IT-Grundschutz Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Deutschland) beschreibt eine systematische Methode zur Sicherung von IT-Systemen. Er bietet Handlungsempfehlungen und Massnahmenkataloge für die Geschäftsfortführung im Krisenfall und basiert auf einem pragmatischen Ansatz, um eine angemessene Sicherheitsstufe zu erreichen. Die SwissSign lehnt sich an diesen Standard im Bereich des Business Continuity Management an.

• ISO/IEC 22301: Diese Norm richtet sich auf Business Continuity Management und sorgt dafür, dass Unternehmen auf Unterbrechungen vorbereitet sind, um den Geschäftsbetrieb aufrechtzuerhalten. Sie ist eng mit der integralen Sicherheit verbunden, da die Kontinuität der IT-Infrastruktur ein kritischer Bestandteil ist. Die SwissSign lehnt sich an diesen Standard im Bereich des Business Continuity Management an.

• NIS (Network and Information Security (NIS) Directive): Die NIS-Richtlinie definiert Massnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Mit der NIS-Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen. Als zertifizierter Trust Service Provider in der Schweiz und in der EU ist die SwissSign verpflichtet, sich an die Richtlinie zu halten.

• ISO/IEC 31000: Ein Standard für Risikomanagement, der allgemeine Prinzipien und Richtlinien für das Management von Risiken in Unternehmen bietet. Er unterstützt die Identifizierung, Bewertung und Behandlung von Risiken, die für die Sicherheit und den kontinuierlichen Betrieb der IT-Systeme und -Dienste relevant sind. Die SwissSign lehnt sich an diesen Standard im Bereich des Risikomanagement an.

Diese Normen und Standards bieten gute und strukturierte Ansätze und Richtlinien, um eine integrale Sicherheitsstrategie für die SwissSign zu entwickeln, Risiken zu minimieren und die Geschäftskontinuität zu stärken.

Zusätzliche rechtliche Grundlagen und Normen für "Physische Sicherheit"

In der Schweiz gibt es verschiedene gesetzliche und regulatorische Anforderungen, die für die physische Sicherheit relevant sind. Diese Anforderungen dienen dazu, die physische Sicherheit von Personen, Infrastrukturen zu gewährleisten und Risiken zu minimieren. Unternehmen und Organisationen müssen diese Anforderungen in ihre Sicherheitskonzepte integrieren. Hier sind einige der wichtigsten rechtlichen Rahmenbedingungen und Standards, die für SwissSign gelten können.

• VKF-Brandschutzvorschriften (VKF = Vereinigung Kantonaler Feuerversicherungen)

• Nationale & kantonale Baugesetze

• Obligationenrecht (OR)

• Arbeitsgesetz (ArG)

• Verordnung über die Unfallverhütung (VUV)

• EKAS – Richtlinie der Eidg. Kommission für Arbeitssicherheit und Gesundheitsschutz

• Umweltschutzgesetz (USG)

• Energiegesetz (EnG)

• DSG (Datenschutzgesetz) und zugehörige Verordnungen

• ISO /IEC 27001 / 27002

Da SwissSign über keine eigenen Immobilen verfügt, ist die Erbringung der rechtlich, regulatorischen Vorgaben in den angemieteten Räumlichkeiten so weit als möglich durch den Vermieter zu erbringen.

Wichtig: Die aufgeführten regulatorischen Vorgaben und Gesetzgebungen gelten für die gesamte SwissSign. Aufgrund der regulatorischen Anforderungen an die Lieferketten werden Vertragspartner (Dienstleister, Partner, Lieferanten, usw.) im Rahmen ihrer Funktion auch auf die Einhaltung dieser verpflichtet.

Herausforderungen und Risiken der integralen Sicherheit

So wie die Implementierung integraler Sicherheit viele Vorteile bietet, kann sie auch mit verschiedenen Herausforderungen verbunden sein, die sorgfältig bedacht werden sollten:

• Hohe Komplexität: Da integrale Sicherheit eine Vielzahl von Massnahmen aus unterschiedlichen Bereichen umfasst, entsteht oft eine hohe Komplexität, die das Management erschweren kann. Dies erfordert eine gute Koordination und klare Kompetenzverteilung innerhalb der Organisation.

• Finanzielle Investitionen: Ein umfassendes Sicherheitskonzept, begleitet von den notwendigen Zertifizierungen kann mitunter kostenintensiv sein, da es erhebliche Investitionen in Technik, Personal und organisatorische Massnahmen erfordert. Es bedeutet zusätzlichen Kosten für Zertifizierungen, die immer auf dem Stand der Technik ausgelegte Infrastruktur und die umfangreichen Schutzsysteme inklusive der benötigten Partnerschaften und die regelmässig erforderlichen Schulungen und Sensibilisierungen der Belegschaft. Um mit den stetigen Herausforderungen neuer Strategien und Techniken mithalten zu können und den Kunden einen guten und vor allem sicheren Service anbieten zu können sind diese Ausgaben aber notwendig, jedenfalls für eine Organisation mit hohem Anspruch an ihre Vertrauenswürdigkeit wie SwissSign.

• Technologische Risiken: Moderne Sicherheitslösungen basieren oft auf Technologien, die selbst angreifbar sind. Cyberangriffe und die rasche technologische Entwicklung können bestehende Sicherheitsmassnahmen schnell obsolet machen.

• Die menschliche Komponente: Menschen machen Fehler: mangelnde Schulungen oder die unbeabsichtigte Missachtung von Sicherheitsrichtlinien stellen ein grosses Risiko dar. Selbst die besten Sicherheitsvorkehrungen sind nur so stark wie die Mitarbeitenden, die sie umsetzen. Ein unachtsamer Mitarbeitender kann zu erheblichen Sicherheitsproblemen führen. Daher ist es essenziell, das Sicherheitsbewusstsein in der gesamten Organisation zu verankern, die Mitarbeitenden kontinuierlich zu sensibilisieren, zu motivieren, abzuholen und entsprechenden Support anzubieten. Das nehmen wir bei SwissSign sehr ernst.

Die Zukunft der integralen Sicherheit: Was bringt die digitale Transformation?

Technologische Entwicklungen wie das Internet der Dinge (IoT) und die zunehmende Automatisierung durch künstliche Intelligenz (KI) werden die integrale Sicherheit in den kommenden Jahren stark beeinflussen. Zu den wichtigsten Trends gehören:

• Automatisierte Sicherheitsmassnahmen: KI und maschinelles Lernen können zur Überwachung und Vorhersage von Bedrohungen eingesetzt werden, um so präventiv Massnahmen einzuleiten.

• Cyber-physische Systeme: Da physische und digitale Sicherheit immer stärker miteinander verknüpft sind, steigt der Bedarf an Sicherheitslösungen, die beides abdecken.

• Datenschutz und Ethik: Mit zunehmender Nutzung von Big Data und KI steigen auch die Anforderungen an den Datenschutz und an ethisch vertretbare Sicherheitspraktiken.

Automatisierte Sicherheitsmassnahmen

Sind Sicherheitsvorkehrungen, die mithilfe von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) Bedrohungen eigenständig erkennen, analysieren und darauf reagieren können, ohne dass ein menschliches Eingreifen erforderlich ist. Diese Massnahmen werden zunehmend in der IT-Sicherheit eingesetzt, um grosse Datenmengen zu überwachen, Anomalien in Echtzeit zu erkennen und potenzielle Bedrohungen proaktiv abzuwehren.

Beispiele für automatisierte Sicherheitsmassnahmen umfassen:

• Anomalie-Erkennung: KI-gestützte Systeme überwachen kontinuierlich Netzwerkverkehr und Benutzerverhalten, um verdächtige Abweichungen frühzeitig zu identifizieren. Dazu zählen etwa ungewöhnliche Zugriffsversuche oder Netzwerkaktivitäten, die auf Cyberangriffe hinweisen könnten.

• Bedrohungsanalyse und -vorhersage: Mithilfe von Machine-Learning-Algorithmen können Muster in Cyberbedrohungen erkannt und zukünftige Angriffe vorhergesagt werden. Das System lernt fortlaufend aus neuen Bedrohungsdaten und kann auf dieser Basis Angriffe bereits in der Entstehungsphase verhindern.

• Automatisierte Reaktionsmassnahmen: Bei einem erkannten Vorfall können automatisierte Systeme Schutzmassnahmen einleiten, wie z. B. das Blockieren verdächtiger IP-Adressen, das Isolieren kompromittierter Systeme oder das Erzwingen von Sicherheitsupdates.

• Intrusion Prevention Systems (IPS): Diese Systeme nutzen KI, um potenzielle Bedrohungen zu erkennen und automatisch Sicherheitsrichtlinien anzuwenden, um den Angriff abzuwehren, bevor er Schäden verursacht.

• Phishing-Erkennung: KI analysiert E-Mails und Benutzerkommunikation, um Phishing-Versuche zu erkennen und blockiert diese, bevor sie in die Posteingänge gelangen.

Automatisierte Sicherheitsmassnahmen können rund um die Uhr Bedrohungen überwachen und darauf reagieren, wodurch Reaktionszeiten erheblich verkürzt werden. Durch die präventive Anwendung dieser Technologien werden Sicherheitsprozesse verbessert, Cyberangriffe schneller abgewehrt und potenzielle Schäden für Organisationen verringert.

Im Rahmen der Evaluation von automatisierten Sicherheitsmassnahmen müssen jedoch auch deren Risiken kritisch betrachtet werden: Automatismen können aufgrund falsch interpretierter Signale Aktionen auslösen, die Geschäftsprozesse ggf. behindern oder unterbrechen können. Angreifer versuchen schon heute, Automatismen in ihrem Sinn zu beeinflussen und auszunützen. Es braucht deshalb eine risikobasierte Abwägung der Vor- und Nachteile von automatisierten Sicherheitsmassnahmen.

Cyber-physische Systeme (CPS)

Sind Systeme, in denen physische und digitale Komponenten eng miteinander verknüpft und in Echtzeit über das Internet verbunden sind. Sie erfassen und steuern physische Prozesse mithilfe von Software und Netzwerkkomponenten und reagieren dynamisch auf Änderungen in ihrer Umgebung. Beispiele sind vernetzte Fahrzeuge, industrielle Steuerungssysteme, Smart Grids und Medizingeräte.

Da diese Systeme sowohl physische als auch digitale Elemente enthalten, ist die Sicherstellung von integraler Sicherheit besonders wichtig, da Schwachstellen in der digitalen Sicherheit erhebliche physische Folgen haben können. Dies schafft neue Anforderungen an Sicherheitslösungen, die sowohl die digitale Integrität als auch die physische Sicherheit der Systeme gewährleisten.

Die zunehmende Vernetzung dieser Systeme führt zu Bedrohungen wie Cyberangriffen auf kritische Infrastruktur, die zu Produktionsstörungen, Manipulationen oder gar physischen Schäden führen können. Um diese Risiken zu bewältigen, werden umfassende Sicherheitslösungen benötigt, die IT-Sicherheitsstandards (wie ISO/IEC 27001 oder NIST) und Aspekte der physischen Sicherheit integrieren, um sowohl virtuelle als auch physische Angriffe zu verhindern.

Datenschutz und Ethik

Sind zentrale Themen in der heutigen digitalen Welt, da die Nutzung von Big Data und künstlicher Intelligenz (KI) ständig wächst. Diese Technologien eröffnen zwar grosse Chancen, um Erkenntnisse zu gewinnen, Prozesse zu optimieren und neue Dienstleistungen anzubieten, sie bergen jedoch auch Risiken für die Privatsphäre und ethische Verantwortung.

Der EU AI-Act (Artificial Intelligence Act): 2024 verabschiedete die EU den AI-Act, ein Gesetz zur umfassenden Regulierung von Künstlicher Intelligenz (KI). Das Ziel ist, Grundrechte zu schützen und die Einführung sicherer und menschenzentrierter KI-Systeme im europäischen Binnenmarkt zu fördern. Der AI-Act soll die Bürger vor Risiken und Grundrechtsverletzungen durch unsachgemäßen KI-Einsatz schützen.

Datenschutz: Beim Datenschutz geht es darum, persönliche Informationen der Nutzer zu schützen und sicherzustellen, dass Daten verantwortungsbewusst und transparent verarbeitet werden. Besonders durch Big Data und KI werden oft riesige Mengen an personenbezogenen Daten gesammelt und verarbeitet, was Risiken wie Missbrauch, Identitätsdiebstahl und ungewollte Überwachung birgt. Datenschutzrichtlinien wie die Datenschutzgrundverordnung (DSGVO) und das California Consumer Privacy Act (CCPA) legen Standards fest, die den Schutz und die Rechte der betroffenen Personen gewährleisten sollen, darunter:

• Datenminimierung: Nur die Daten zu erheben, die notwendig sind.

• Transparenz: Nutzer über die Datenerhebung und -nutzung zu informieren.

• Einwilligung: Einholen einer aktiven Zustimmung der Nutzer für die Datenverarbeitung.

• Datenlöschung: Löschen von Daten, wenn sie nicht mehr benötigt werden.

Ethik: Ethische Fragen betreffen, wie Daten gesammelt, verarbeitet und verwendet werden, insbesondere wenn diese Prozesse auf Algorithmen und KI basieren. Ethik in der Datennutzung verlangt verantwortungsbewusste Sicherheitspraktiken und berücksichtigt mögliche gesellschaftliche Auswirkungen wie Diskriminierung, Überwachung und Entscheidungsfindung. Einige zentrale ethische Prinzipien beinhalten:

• Fairness und Transparenz: KI-Systeme sollen fair sein und transparent arbeiten, um Diskriminierung und Vorurteile zu vermeiden.

• Bias-Vermeidung: Sicherstellen, dass Algorithmen nicht durch fehlerhafte oder unausgewogene Daten trainiert werden, die diskriminierende Ergebnisse liefern könnten.

• Verantwortlichkeit: Definieren klarer Verantwortlichkeiten für die Entscheidungen, die KI und automatisierte Systeme treffen.

• Nachvollziehbarkeit: Nachvollziehbarkeit und Erklärbarkeit von KI-Modellen, um das Vertrauen der Nutzer zu fördern und Transparenz zu schaffen.

Datenschutz und ethische Sicherheitspraktiken sind entscheidend, um die Privatsphäre der Nutzer zu schützen, Vertrauen zu gewinnen und sicherzustellen, dass neue Technologien gesellschaftlich akzeptabel sind und verantwortungsbewusst genutzt werden.