Datum
24.11.2021
Hohe Verfügbarkeit und Sicherheit der Kundendaten gehören zu unserem Kerngeschäft. Das lassen wir regelmässig überprüfen.
Die hohe Verfügbarkeit und Sicherheit der Kundendaten jederzeit zu garantieren, gehört zum Kerngeschäft der Bedag. Der physische Schutz der Daten durch bauliche Massnahmen, eine unabhängige Notstromversorgung und multiple Datenverbindungen sind für ein private Cloud ebenso Standard, wie eine georedundante und unmittelbar verfügbare Recovery- und Restore-Lösung. Die effektive Bedrohungslage verlagert sich aber zunehmend in Richtung Cyberrisk. Deswegen hat die Bedag in den letzten Jahren ein eigenes Security Operations Center (SOC) aufgebaut und lässt sich regelmässig von externen Experten überprüfen. Neben der ISO/IEC 27001 Zertifizierung für Informationssicherheit, welche die Bedag bereits seit 2004 inne-hat, ist auch das «Overall Cyber Security Maturity Rating» für die Bedag relevant. Das IKT Resilienz Audit 2021 - durchgeführt von REDGUARD – bestätigt der Bedag eine sehr solide, überdurchschnittliche Maturität.
Das Bundesamt für wirtschaftliche Landesversorgung (BWL) empfiehlt seit 2018 die Umsetzung der IKT-Standards für systemrelevante Infrastrukturen. Die Bedag erbringt als Tochtergesellschaft des Kantons Bern elementare IT-Dienstleitungen für den Kanton und ist somit systemrelevante Infrastruktur. Das “Overall Cyber Security Maturity Rating” analysiert dabei die Fähigkeiten im Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. In allen fünf Funktionen übertrifft die Bedag die Normwerte des IKT-Standards. Für uns ist dieser Befund ein Dankeschön für die jahrelangen und stetigen Anstrengungen in der Informationssicherheit.
Identifizieren – Schützen – Erkennen - Reagieren – Wiederherstellen
Für die Bedag ist Informationssicherheit Teil ihrer Identität und Unternehmenskultur. Der Formalisierungsgrad bei der Bedag ist entsprechend hoch. Notwendige Dokumente, wie das Informationssicherheitsmanagementsystem (ISMS), die Strategien, Konzepte, Richtlinien und Weisungen sind in hohem Detaillierungsgrad für alle Mitarbeitenden zugänglich und werden permanent weiterentwickelt, geschult und auditiert. Die Informationssicherheit ist in der ganzen Unternehmung fest verankert und wird von den Mitarbeitenden und dem Management gelebt. Sicherheit ist ein wesentlicher Teil unserer Aufgabe.
In der Funktion «Schützen» wird der Bedag ein hohes, solides Maturitätsniveau bestätigt. Die physischen und logischen Zugriffe auf die Infrastruktur der Bedag sind gut geschützt und bereits in der Softwareentwicklung wird im Rahmen des Deploymentprozesses ein Schwachstellenscan durchgeführt. Das Security Operations Center SOC definiert die sicherheitsspezifischen technischen Vorgaben und überprüft sie regelmässig. Allfällige Schwachstellen werden durch die SOC-Überwachung erkannt und entsprechend adressiert. Durch den weitgehend automatisierten Patchprozess können exponierte Komponenten zudem sehr rasch und zuverlässig mit Sicherheitsupdates versorgt werden. Die Bedag verwendet einen Malware-Schutz, ein Intrusion Prevention System (IPS) und weitere Sicherheitsmechanismen. Diese Systeme verhindern zum Beispiel das Ausführen von definierten Attachements bei E-Mails oder entdecken in Echtzeit Risiken in der Kommunikation und unterbinden diese. Die Netze sind nach dem Grundsatz «Security by Design» logisch und wo möglich und wirtschaftlich auch physisch voneinander getrennt sowie mehrschichtig aufgebaut. Diese präventiven Massnahmen entsprechen dem Prinzip des Verhinderns und stellen sicher, dass Bedrohungen erst gar nicht auftreten.
In der Funktion «Erkennen» haben sich das Security Operations Center SOC und das Operating als zentraler Bestandteil des Sicherheitsdispositivs etabliert. Die Monitoring Fähigkeiten wurden in Form von erarbeiteten Use Cases zur Erkennung bestimmter Angriffsszenarien ausgebaut. Die Use Cases orientieren sich am Mitre Attack Framework und dienen dazu Angriffe anhand von bestimmten Mustern in Log Files und dem Monitoring frühzeitig zu erkennen. Als zentrale Leitstelle der operativen Sicherheit ist das SOC für Security Incident Handling, Security Monitoring, Schwachstellen-Management und Security Awareness verantwortlich. Die Bedag profitiert zudem von einer engen Zusammenarbeit mit der Melde- und Analysestelle Informationssicherung des Bundes (NCSC/MELANI). Als systemrelevante Infrastruktur gehört die Bedag seit 2017 dem geschlossenen Kundenkreis von MELANI an und erhält so zu zusätzliche Informationen und Dienstleistungen, wovon natürlich auch die Kunden der Bedag profitieren.
Die Funktion «Reagieren» wird durch das Incident Management (Prozess und Organisation) und Reaktionspläne sichergestellt. Der Service Desk ist gut eingespielt und Incidents werden schnell und strukturiert behandelt. Falls grössere Vorfälle auftreten, wird das Management der Bedag per SMS informiert, damit unter anderem auch die One-Voice Policy angewendet werden kann. Für die Kommunikation mit Kunden wird das Service Management (SEM) eingeschaltet, um fortlaufend über Neuigkeiten zu informieren. Zur Bewältigung von Vorfällen wird bei Bedarf eine Task-Force oder Notfallorganisation eingesetzt. Pläne für diverse Krisenszenarien (Pandemie, Brand, Explosion, etc.) sind im Detail definiert. Das Krisenszenario Pandemie konnte in den letzten Monaten quasi tagtäglich geübt und weiter verbessert werden. Der Pandemiestab hatte sich zu Beginn täglich beraten. Mittlerweile finden die Meetings wöchentlich statt.
Für die Funktion «Wiederherstellen» führt die Bedag regelmässig Recovery-Tests durch. Im «Worst Case» können die Systeme eines Kunden, sofern diese gemäss vertraglicher Vereinbarung mit den Kunden so konzipiert und gebaut wurden und die Anwendungen dies ermöglichen, im Rechenzentrum in Bern heruntergefahren und am georedundanten zweiten Standort wieder hochgefahren werden. Die Bedag testet auch die Wiederherstellung (Restore) von Daten aus den Backups regelmässig und kann so auch rasch helfen, wenn zum Beispiel mal eine Datei irrtümlich vom Kunden gelöscht wurde.
Wir leben Sicherheit für unsere Kunden
Zusammen mit unserem Kunden definieren wir das erforderliche Sicherheitsniveau und vereinbaren die Leistungen in einem massgeschneiderten Service Level Agreement. Sicherheit geht bei uns seit Jahren über das Marketing hinaus, Sicherheit ist für uns Teil der Unternehmenskultur.
Uns ist aber auch bewusst, dass dies immer eine Momentaufnahme und Sicherheit ein additives Problem ist. Neue Gefahren und Herausforderungen kommen hinzu, ohne dass alte verschwinden. Unser kontinuierlicher Einsatz für die Sicherheit wird in Zusammenarbeit mit den Kunden fortgesetzt. Der Aufwand in dieser Hinsicht wird sicherlich zu- und nicht abnehmen. So werden wir in den nächsten Jahren weiterhin zunehmend in die Basisfunktionalitäten unseres Sicherheitsdispositivs investieren. Darüber hinaus wollen wir unser Krisenmanagement und unsere Krisenkommunikation überarbeiten, das Zusammenwirken für den Krisenfall mit den Kunden und Behörden regeln und das Ganze – wenn auch supponiert - praktisch üben.