Informationssicherheit umfasst weit mehr als nur Investitionen in Hardware und Software. Eine erfolgreiche Strategie für Informationssicherheit besteht zu gleichen Teilen aus den Bereichen Technologie, Prozesse und Mitarbeiter. IT Sicherheit und das Bewusstsein der Mitarbeitenden für dieses Thema sind Teilbereiche der Informationssicherheit. Ein Unternehmen kann zwar über die richtige Technologie verfügen, wenn allerdings die Prozesse nicht korrekt ablaufen oder die Mitarbeiter im Umgang mit der Technologie nicht korrekt handeln, ergeben sich Schwachstellen. Daher lohnt es sich fortlaufend Schwachstellen aufzuspüren und zu beheben.
Die Baloise führt gruppenweit jährlich mehrere sogenannte «Penetrationtests» durch. Diese Hackerangriffe werden von einer unabhängigen, renommierten Firma und deren «guten Hackern» durchgeführt. Ziel ist es Sicherheitslücken innerhalb der IT Intrastruktur der Baloise frühzeitig zu identifizieren und Sicherheitsmassnahmen umzusetzen. Das Ganze wird nicht dem Zufall überlassen: Das Vorgehen ist gruppenweit durch einen Mehrjahresplan definiert und von der Planung bis zur Behebung der Schwachstellen standardisiert. Den Abschluss eines Penetrationtests bildet ein ausführlicher Bericht.
Durch regelmässige Penetrationtests unserer IT Systeme und Anwendungen können wir diese stetig sicherer machen – was den bestmöglichen Schutz unserer Kundendaten gewährleistet.
Die «guten Hacker», oft auch «White Hat Hacker» genannt, gehen bei einem Penetrationstest ähnlich vor wie die «bösen Hacker», auch «Black Hat Hacker» genannt. Sie beginnen mit dem Sammeln von Informationen über das System oder die Anwendung, die sie angreifen wollen oder die getestet werden sollen. Diese Phase wird «Aufklärung» genannt. Nicht selten wird hierbei auch versucht Mitarbeiter eines Unternehmens direkt anzusprechen (z.B. via Mail, Telefon, etc.) um so an die entsprechenden Informationen zu gelangen (Stichwort «Social Engineering»).
Die aus der «Aufklärung» gewonnenen Informationen werden in einem nächsten Schritt analysiert, um potenzielle Schwachstellen zu finden. Technische Tools gehören dabei ebenfalls zum Repertoire der Pentester. Wenn die «White Hat Hacker» Schwachstellen gefunden haben, versuchen sie, diese auszunutzen. Jede Schwachstelle, sei es im Betriebssystem, in der Anwendung oder im Quellcode, wird durch dieses systematische Vorgehen entdeckt.
Im Unterschied zu den «Black Hat Hackern», die entdeckte Schwachstellen nutzen würden, um den Angriff auszuweiten und mit ihrer kriminellen Absicht fortzusetzen, analysieren die beauftragten Sicherheitsexperten das Potenzial und liefern einen detaillierten Bericht. Mit den Ergebnissen kann unsere IT die entdeckten Lücken schliessen und wir sind besser für die Zukunft gewappnet.
Hackerangriffe können für jedes Unternehmen schwere Folgen haben und somit auch negative Auswirkungen auf verschiedene Anspruchsgruppen des Unternehmens. Da mit etwas Know-how und wenigen Franken ein Hackerangriff durchgeführt werden kann, ist es von enormer Wichtigkeit diese «Penetrationtests» regelmässig und standardisiert durchzuführen und erkannte Sicherheitslücken sofort zu schliessen.
Nicht nur Informationssysteme in Unternehmen sind mögliche Ziele von Hackerangriffen. Jedes an ein Kommunikationsnetzwerk via Kabel oder Funk angeschlossene Gerät, wie zum Beispiel eine «internetfähige» Kaffeemaschine, ein Thermomix oder Babyphone, kann gehackt werden. Um diese hacken zu können, bedarf es nicht immer einer unbeabsichtigten Hilfe eines Mitarbeitenden, sondern schlicht das Vorhandensein einer Schwachstelle in einer Applikation, einem IT System oder eines Konfigurationsfehlers.
Ob in Zusammenarbeit mit «White Hat Hackern», den Mitarbeitenden oder innerhalb der IT – Informationssicherheit ist Teamarbeit und trägt dazu bei, dass wir heute und in Zukunft einen Mehrwert für unsere Kunden bieten können.