IT-Sicherheit – kleines Wort mit grosser Wirkung Stellen Sie sich vor… Der Morgen beginnt mit dem Komplettausfall des Bahnhofs Zürich Stadelhofen, einer der wichtigsten Knotenpunkte des Zürcher S-Bahn-Systems. Von diesem Stillstand sind direkt neun S-Bahn-Linien betroffen – darunter auch die Verbindung zu Ihrem Arbeitsplatz. Ein langes Warten ist die Folge, in der Sie mit den unzähligen gestrandeten Pendlern auf dem Perron stehen. Sporadisch rufen Sie Ihre geschäftlichen E-Mails ab und beantworten diese. Endlich erreichen Sie Ihren Arbeitsplatz. Schnell loggen Sie sich ein und starten mit einiger Verspätung Ihren Arbeitstag. Eine inhaltlich ungewohnte E-Mail Ihres CEOs weckt Ihre Aufmerksamkeit – und dann klingeln die Alarmglocken bei Ihnen: Welch perfekt getarnter CEO Fraud! Beinahe wären Sie in der Eile auf die Betrugsmasche hineingefallen. (CEO Fraud: Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld manipuliert werden; auch «Business E-Mail Compromise», «Fake President Fraud» oder «Bogus Boss E-Mail» genannt.) Es kann schnell gehen Marco Müller, Leiter IT & Digitalisierung bei Maerki Baumann, weiss um das Risiko solcher gut gefälschter E-Mails: «Es ist nachvollziehbar, dass vor allem E-Mails eines Mitglieds der Geschäftsleitung bei den Mitarbeitenden auf grosse Beachtung stossen und die darin verpackten Anweisungen vielfach ohne Hinterfragen ausgeführt werden. Dies kann zu verheerenden wirtschaftlichen oder materiellen Schäden führen.» Die Cyber-Kriminellen sind sehr gewieft und hecken immer wieder neue Strategien aus. Aus diesem Grund werden die Mitarbeitenden von Maerki Baumann regelmässig auf betrügerische E-Mails sowie andere Angriffsszenarien sensibilisiert. Sei dies anhand von Online-Kursen oder physischer Schulungen mit Unterstützung von professionellen IT-Sicherheitsexperten. Ein wichtiger Punkt dieser Sensibilisierung ist die umgehende Information von Marco Müller und seinem Team in einem Verdachtsfall: «Ich bevorzuge eine Anfrage zu viel, als dass aufgrund einer Unachtsamkeit Schadsoftware heruntergeladen wird», ermuntert er immer wieder die Mitarbeitenden. IT-Sicherheit in a nutshell Der IT-Sicherheit kommt eine Schlüsselrolle für die Sicherheit von Systemen und Daten gegen Bedrohungen respektive Angriffe zu. Es soll damit insbesondere wirtschaftlicher, Sach- und immaterieller Schaden verhindert werden. Verschiedene Szenarien eines Angriffs lassen sich hierbei vorstellen, darunter beispielsweise eine Manipulation von Daten einer Website, ein unerlaubter Zugriff auf ein System zum Platzieren von Schadsoftware bis hin zur Instrumentalisierung von Personen mittels Social Engineering. (Social Engineering: Zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, die sie z. B. zur Preisgabe von vertraulichen Informationen bewegt.) Exponiert, aber gut geschützt Spezifisch als Bank mit Zugang zu unendlichen Finanzströmen und sensitiven Daten ist Maerki Baumann gegenüber Bedrohungen von Cyber-Kriminellen markant exponiert. Da sich die Informationstechnologie rasant verändert, eröffnen sich immer wieder neue Gefahrenstellen, die rasch und vor allem nachhaltig geschlossen werden müssen. «Maerki Baumann arbeitet auch im Bereich IT-Sicherheit mit verschiedenen Experten zusammen. So können wir gewährleisten, dass unsere Systeme auf dem neuesten Stand der Technik sind und somit robust gegen Angriffe reagieren», bestätigt Marco Müller. Somit keine Angst vor Sabotage? Marco Müller: «Grundsätzlich nicht, versuchen wir doch, durch mehrstufige Sicherheitsmechanismen und unterschiedliche Sicherheitssysteme die nach aktuellen Praktiken besten Abwehrmechanismen zu integrieren.» Ebenfalls führt Maerki Baumann regelmässig IT-Security- und Penetrationstests durch, welche die Systeme aus Sicherheitsaspekten umfassend auf Herz und Nieren prüfen. «Selbstverständlich bin ich aber als Leiter IT & Digitalisierung auf das Thema IT-Security sensibilisiert, da eine Hiobsbotschaft unweigerlich anklopfen könnte», betont Marco Müller. Wir integrieren mehrstufige Sicherheitsmechanismen und unterschiedliche Sicherheitssysteme, um robust gegen Angriffe reagieren zu können. Marco Müller, Leiter IT & Digitalisierung Das höchste Gut: unsere Kundendaten Bei einem Handelsunternehmen, das z. B. den grössten Teil seines Umsatzes über das Internet und auf E-Commerce generiert, wäre ein DDoS-Angriff verheerend. Bei Maerki Baumann mit Dienstleistungen im Bereich Anlageberatung und Vermögensverwaltung wird persönlichen Kontakten besondere Bedeutung beigemessen. So ist ein DDoS-Angriff auf unseren Internetauftritt im Gegensatz zu einem E-Commerce-Anbieter kein Hindernis, um unsere Dienstleistungen weiterhin ordentlich zu erbringen. (DDoS, «Distributed Denial of Service»: Angriffsmethode im Internet, bei der versucht wird, ein Zielsystem und seine Internetservices durch Überlastung mithilfe einer Unmenge einzelner Anfragen für den User nicht mehr oder nur stark eingeschränkt nutzbar zu machen.) Was vor allem Marco Müller und seine Abteilung (und darauffolgend die Geschäftsleitung) erschüttern würde, wäre ein Missbrauch unseres E-Banking-Systems bis hin zur technischen Kompromittierung der Daten: «In unseren Systemen sind sensitive Kundendaten abrufbar. Sollten diese in die falschen Hände geraten, müssten wir mit einem massiven wirtschaftlichen Schaden rechnen. An den Reputationsschaden möchte ich gar nicht denken…» Unsere Kundinnen und Kunden können aber beruhigt sein: Maerki Baumann investiert einen beachtlichen Betrag in die IT-Sicherheit, um die Systeme vor Angriffen, Viren, Würmern, Trojanischen Pferden und jeglichen Arten von Bedrohungen zu schützen. (Technische Kompromittierung: Ein System wird als kompromittiert betrachtet, wenn dessen Daten manipuliert sein könnten und wenn der System-Administrator keine Kontrolle über die korrekte Funktionsweise oder den korrekten Inhalt mehr hat.) Ist Ihr Netzwerk ausreichend geschützt? Das ist die grosse Frage! Heutzutage reicht im Geschäftsalltag wie auch im privaten Bereich ein simples Antivirusprogramm nicht mehr aus, um das Netzwerk gegen ungewollte Angriffe zu schützen. Wussten Sie, dass das Surfen im Internet «gefährliche Augen» auf Sie und Ihr Netzwerk lenkt? Ist Ihnen bewusst, dass das Publizieren von Fotos z. B. auf Ihrem Facebook-Account auch persönliche Daten ins Internet tragen kann? Es ist notwendig, sich beim Aufenthalt und bei Interaktionen im Internet regelmässig zu fragen, was man damit auslösen kann. «Klicken Sie lieber einmal weniger auf einen suspekt scheinenden Link, und hinterfragen Sie eine benötigte Dateneingabe kritisch», rät Marco Müller abschliessend. Cyber-Attacke? Passwort-Spionage? Ihr ungeplant spät begonnener Arbeitstag neigt sich dem Ende entgegen. Während Ihres Gangs zum Bahnhof fragen Sie sich, was der Grund für den morgendlichen Komplettausfall des Bahnhofs Zürich Stadelhofen gewesen sein könnte? Eine Cyber-Attacke? Und plötzlich sind Sie unsicher, ob Ihnen während des Lesens Ihrer geschäftlichen E-Mails auf dem belebten Perron nicht jemand unbemerkt über die Schulter geblickt und mitgelesen hat. Eine Passwort-Spionage? … Marco Müller Marco Müller ist seit September 2017 Leiter der Abteilung IT & Digitalisierung bei Maerki Baumann. In dieser Funktion ist er unter anderem für die operative Leitung der Informatik sowie die Entwicklung und Umsetzung der IT- und Digitalisierungs-Strategie verantwortlich. Dabei hat er die regulatorischen Anforderungen der eidgenössischen Finanzmarktaufsicht immer im Blick, denen Maerki Baumann als regulierte Bank nach schweizerischem Recht untersteht.