Die aktuelle Version der Label-Anforderungen (V3.0) finden Sie unten oder hier im PDF-Format!
1 Einleitung
1.1 Ziele des Dokuments
Dieses Dokument beschreibt die Voraussetzungen für den Erhalt des Cyber-Safe Labels. Ausserdem beschreibt es die Berechnungsmethoden, die während des gesamten Labelling-Prozesses angewendet werden.
1.2 Grundsätze des Cyber-Safe Labels
Während Computersystemangriffe und andere Cyber-Vorfälle alle Unternehmen gleichermassen betreffen, und zwar unabhängig von ihrer Branche oder Grösse, ist die Kritikalität solcher Ereignisse für jedes Unternehmen einzigartig. So erleidet beispielsweise eine Schreinerei, deren Produktion vollständig computergestützt ist, im Falle eines Cyber-Vorfalls grössere Verluste als eine Schreinerei, die Computersysteme nur für administrative Zwecke einsetzt. Aus diesem Grund werden mit dem Cyber-Safe Label spezifische Anforderungen festgelegt, die je nach Bedeutung der IT-Systeme in Ihrem Unternehmen variieren.
Um die Kritikalität der IT-Systeme eines Unternehmens zu ermitteln, verwendet das Cyber-Safe Label einen pragmatischen Ansatz, mit dem der Wert der digitalen Assets und Daten, die geschützt werden müssen, sowie die erforderliche Cybersicherheit evaluiert werden. Daher besteht der erste Schritt bei jedem Labelling-Prozess darin, die Art von Daten zu identifizieren, über welche die antragstellende Organisation verfügt. In einem zweiten Schritt wird eine Aufschlüsselung der Auswirkungen im Falle eines Cyber-Vorfalls auf drei Achsen vorgenommen, für die jeweils die Höhe des wirtschaftlichen Schadens abgeschätzt werden muss:
Vertraulichkeit (V): Welchen wirtschaftlichen Schaden kann die antragstellende Organisation erleiden, wenn alle oder ein Teil ihrer Daten offengelegt werden?
Integrität (I): Wie hoch ist der Schaden für die antragstellende Organisation, wenn ihre Daten geändert oder modifiziert werden (z. B. in Bezug auf Inhalt, Format, Genauigkeit usw.)?
Temporäre Nichtverfügbarkeit (TNV) und permanente Nichtverfügbarkeit (PNV): Welche Kosten entstehen, wenn meine Daten einen Tag lang nicht zugänglich sind oder dauerhaft verloren gehen?
Die Antwort auf diese Fragen hängt nicht nur von der Art der Tätigkeit der antragstellenden Organisation ab, die sich auf die Art der ihr vorliegenden Daten auswirkt (z. B. in Bezug auf die Vertraulichkeit wird die Offenlegung medizinischer Daten grössere wirtschaftliche Auswirkungen haben als die Offenlegung von Arbeitszeitnachweisen), sondern auch von der Anzahl Mitarbeitender, deren Tätigkeit von IT-Systemen abhängt (z. B. bei vorübergehender Nichtverfügbarkeit von Daten variieren die Kosten je nach Anzahl der Mitarbeitenden, deren Tätigkeit wegen fehlender IT-Daten nicht mehr möglich ist).
Schliesslich definiert das Cyber-Safe Label eine Reihe von grundlegenden Anforderungen, die Teil der Good Practices im Bereich Cybersicherheit sind und somit für alle Unternehmen gelten (z. B. Nutzung und Aktualisierung eines Antivirusprogramms, vorhandene Datensicherung usw.). Diese allgemeinen Anforderungen werden entsprechend dem Wert der Daten und der Anzahl der Mitarbeitenden, welche die IT-Systeme nutzen, verfeinert.
1.3 Terminologie
CVSS: Common Vulnerability Scoring System, allgemeines Verwundbarkeitsbewertungssystem. (siehehttps://de.wikipedia.org/wiki/CVSS).
Netzwerkausstattung: Alle Elemente für die Verbindung eines Computernetzwerks, einschliesslich WiFi-Zugangspunkte, Router, Switches, Gateways usw.
Geschäftssoftware: Software zur Verwaltung von Unternehmensprozessen, insbesondere Enterprise-Resource-Planning-Systeme (ERP), Customer-Relationship-Management-Systeme (CRM) und Material-Requirement-Planning-Systeme (MRP).
Peripheriegeräte: Alle mit dem Netzwerk verbundenen Geräte, die über eine Benutzeroberfläche verfügen (Computer, Smartphone, Tablet, usw.).
Geschäftliches Netz: Computernetzwerk (physisch oder VLAN), in dem die Mitarbeitenden arbeiten.
Datenträger: Der Datenträger ist ein physisches Element, das Informationen dauerhaft empfangen, speichern und wiedergeben kann.
Wert der Auswirkungen eines Vertraulichkeitsproblems (V): Geschätzter Wert der Kosten in Schweizer Franken, die durch die Offenlegung der Daten, die von der antragstellenden Organisation verwaltet werden, entstehen.
Wert der Auswirkungen eines Integritätsproblems (I): Geschätzter Wert der Kosten in Schweizer Franken, die durch die unbefugte Änderung an sämtlichen oder Teilen der von der antragstellenden Organisation verwalteten Daten entstehen. entstehen.
Wert der Auswirkungen einer temporären Nichtverfügbarkeit (TNV): Geschätzter Wert der Kosten in Schweizer Franken, die durch die temporäre Nichtverfügbarkeit der Daten über einen bestimmten Zeitraum entstehen.
Wert der Auswirkungen einer permanenten Nichtverfügbarkeit (PNV): Geschätzter Wert der Kosten in Schweizer Franken für die Wiederherstellung der Daten, die für den reibungslosen Betrieb des Unternehmens erforderlich sind.
Wert der Daten: stellt den kumulierten Wert der Auswirkungen von Vertraulichkeits-, Integritätsproblemen, Nichtverfügbarkeit für einen Zeitraum von 10 Tagen und dauerhafter Nichtverfügbarkeit dar.
2 Bedingungen für den Erhalt des Labels
2.1 Allgemeines
Die Anforderungen gelten für Unternehmen mit maximal 250 Mitarbeitenden. Unternehmen, die diese Kriterien nicht erfüllen, haben dennoch die Möglichkeit, das Label zu erhalten. Die Anforderungen, die sie erfüllen müssen, werden dann von der Labelling-Kommission des Verbandes individuell und unter Beachtung der Grundsätze des Labels definiert.
2.2 Wert der Daten
Der Wert der Daten wird auf Einzelfallbasis mit der antragstellenden Organisation und unter Berücksichtigung jeder V-/I-/TNV-/PNV-Achse berechnet.
Der Gesamtwert der Daten GWD wird durch Summierung der Werte auf den verschiedenen Achsen berechnet.
2.3 Expositionskategorien
Die antragstellende Organisation wird in eine Kategorie eingestuft, die auf dem relativen Wert der Daten RWD basiert. Dieser wird definiert durch den Gesamtwert der Daten GWD dividiert durch die Anzahl Mitarbeitender AM (ausgedrückt in Vollzeitäquivalenten).
RWD = GWD / AM
|
| 20k<RWD<=50k | 50k<RWD<=100k | 100k<RWD |
|---|---|---|---|---|
|
| mittel kritisch | kritisch | sehr kritisch |
|
| Kat. 3 | Kat. 4 | Kat. 5 |
3 Voraussetzungen für den Erhalt des Labels
Damit die antragstellende Organisation für die Vergabe des Labels in Frage kommt, muss sie alle Anforderungen erfüllen für:
ihre Kategorie gemäss Punkt 2.3 (Kat.)
ODERdie Anzahl der von der antragstellenden Organisation verwendeten Geräte, mit Ausnahme von Netzwerkgeräten (Anz. Geräte).
Es muss nur eine der beiden Bedingungen erfüllt sein, damit die Voraussetzung für die antragstellende Organisation gültig ist. Ohne Angabe von Kategorie oder Anzahl der Geräte gilt die Anforderung für alle Organisationen.
Der Sachverständige kann ausnahmsweise und auf Basis einer schriftlichen Begründung die Vergabe des Labels empfehlen, wenn höchstens zwei Kriterien nicht erfüllt sind.
3.1 Kompetenzen und Verantwortlichkeiten
3.1.1 Human Resources
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Die antragstellende Organisation muss eine interne Kontaktstelle für IT-Fragen ernannt haben.Für diese Kontaktstelle müssen spezifische (interne oder externe) Kompetenzen und Fähigkeiten verfügbar sein. | ||
2) Die antragstellende Organisation muss über eine im IT-Bereich geschulte Ansprechperson verfügen, die mindestens eine Schulung zur Sensibilisierung für Cybersicherheit absolviert hat. | 4 | |
3) In der Geschäftsleitung der antragstellenden Organisation muss eine Person für die Cybersicherheit verantwortlich sein. Diese Person muss mindestens die folgenden Dokumente unterzeichnen und kann diese Pflicht nicht delegieren: – Dateninventar [siehe 3.2.1.2]. – Liste der Zugriffsberechtigungen [siehe 3.3.3.2]. – Checkliste „Resilienz“ [siehe 3.3.6.3]. | 4 | 150 |
4) Die verantwortliche Person für Cybersicherheit muss ständig Zugriff auf eine aktuelle Liste der Zugriffsberechtigungen haben. |
3.1.2 Phishing-Test
Für die Leistungsbewertung werden E-Mails mit unterschiedlichem Inhalt an jede angegebene E-Mail-Adresse gemäss den folgenden Regeln gesendet:
Jede gesendete E-Mail enthält mindestens ein Element, an dem der Mitarbeitende erkennen kann, dass es sich um eine betrügerische E-Mail handelt.
Die gesendeten E-Mails sind generisch und leicht als betrügerisch erkennbar.
An jede Adresse werden mindestens drei E-Mails gesendet.
Der Testzeitraum beträgt je nach Anzahl der Adressen zwischen zwei und sechs Wochen.
Jede E-Mail enthält ein Bild, das nach dem Anzeigen in der Phishing-Statistik aufgeführt wird.
Jede E-Mail enthält einen Link, der nach dem Anklicken in der Phishing-Statistik aufgeführt wird.
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Die durchschnittliche Klickrate für alle gesendeten E-Mails muss weniger als 8.5 % betragen. | ||
2) Die durchschnittliche Klickrate für alle gesendeten E-Mails muss weniger als 7.5 % betragen. | 4 | |
3) Die durchschnittliche Klickrate für alle gesendeten E-Mails muss weniger als 6 % betragen. | 5 | |
4) Der Durchschnitt der Downloads von Remote-Inhalten für alle gesendeten E-Mails muss weniger als 25% betragen. |
3.2 IT-Infrastruktur
3.2.1 Bestand
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1)Das antragstellende Unternehmen muss ein umfassendes Bestandsverzeichnis der ICT-Infrastruktur und aller mit dem/den geschäftlichen Netz(en) verbundenen Elemente (Computer, Smartphone, Tablet, Internetobjekt usw.) führen. | ||
2) Die antragstellende Organisation muss ein umfassendes Inventar ihrer Daten, gegebenenfalls auch für die EO (OT), auf dem neuesten Stand halten. Für jedes Datenelement im Inventar muss es mindestens eine Richtlinie für die Häufigkeit, Aufbewahrung und Prüfung der Sicherungen geben. |
3.2.2 Verschlüsselung und Authentifizierung
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Externe Kommunikationskanäle (inkl. VPN) werden verschlüsselt und mindestens alle 2 Jahre überprüft. | ||
2) Es ist zu ermitteln, welche Daten verschlüsselt werden müssen (während der Übertragung und/oder Speicherung), und sicherzustellen, dass diese auch tatsächlich verschlüsselt werden. | 4 | |
3) Daten auf mobilen Geräten (Computer, Smartphone, Tablet, Internetobjekt usw.) werden systematisch verschlüsselt. | ||
4) Alle öffentlich zugänglichen Authentifizierungssysteme müssen die Multifaktor-Authentifizierung (MFA) umgesetzt haben, wenn sie den Zugriff auf sensible Daten ermöglichen, mindestens aber für VPN, RDP, Webmail, Dokumenten-Sharing-Dienste (z. B. SharePoint). |
3.2.3 WiFi
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) WiFi-Netzwerke müssen verschlüsselt (mindestens WPA2) und durch ein Passwort geschützt sein, bei dem es sich nicht um das Standardpasswort handeln darf (mindestens 16 Zeichen). | ||
2) Das WiFi-Netz für Gäste muss vom geschäftlichen Netz getrennt sein. | ||
3) Private Geräte oder Geräte, die nicht von der Organisation verwaltet werden, sollten ausschliesslich das Gast-WiFi-Netzwerk nutzen (es sei denn, private Geräte sind auch in anderen WiFi-Netzwerken erlaubt und die entsprechenden Anforderungen sind in der Nutzerrichtlinie festgelegt). |
3.2.4 Physischer Zugang
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Sämtliche Anlagen, in denen Daten untergebracht sind, müssen gegen physischen Zugriff durch Unbefugte geschützt sein. | ||
2) Der Zugriff auf das Rechenzentrum durch externe Personen wird kontrolliert (z. B. Liste mit Angaben zu den Personen, die das Rechenzentrum betreten, Uhrzeit, von welchem Lieferanten usw.). | ||
3) Nicht mehr benutzte Datenträger werden so entsorgt, dass die darauf enthaltenen Daten dauerhaft vernichtet werden. |
3.2.5 Interne Scans
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Schwachstellen mit einem CVSS-Wert von 9,0 oder höher dürfen nicht durch Scannen aus dem Innern der geschäftlichen Netze* heraus gemeldet werden. Ein Host mit einer Schwachstelle mit einem CVSS-Wert von 9,0 oder höher kann nur in einem separaten logischen Netzwerk ohne Internetzugang toleriert werden. |
3.2.6 Externe Scans
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Schwachstellen mit einem CVSS-Wert von 7,0 oder höher dürfen nicht durch Scannen der öffentlichen IP-Adressen der Infrastruktur ab externem Standort gemeldet werden. Ein öffentlich zugänglicher Host, der eine Schwachstelle mit einem CVSS-Score von 7,0 oder höher, aber weniger als 9,0 aufweist, kann nur toleriert werden, wenn eine Firewall-Regel den Zugriff von ausserhalb der für die ordnungsgemässe Geschäftstätigkeit erforderlichen geografischen Gebiete einschränkt. |
3.3 Organisation
3.3.1 Datenschutz
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Die antragstellende Organisation erklärt, dass sie technische und organisatorische Massnahmen ergriffen hat, um die für sie geltenden Datenschutzbestimmungen einzuhalten. (siehe Anhang 1). |
Die Datenschutzgrundsätze sind in das DSG (obligatorisch für alle Unternehmen in der Schweiz) sowie in die DSGVO aufgenommen, soweit anwendbar. Diese Grundsätze sind auch im kantonalen Recht enthalten (obligatorisch für öffentliche Einrichtungen), soweit anwendbar.
3.3.2 Drittanbieter
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Wenn die Erfüllung bestimmter Anforderungen von einem oder mehreren Zulieferern abhängt, verlangt die antragstellende Organisation eine Verpflichtung zur Umsetzung von Sicherheitsmassnahmen, z. B. durch ein Label oder eine Zertifizierung oder eine vertragliche Verpflichtung, die den Anforderungen des Cyber-Safe Labels mindestens gleichwertig ist. |
Die Nutzung der «Cloud» gilt als Dienstleistung, die von einem Zulieferer erbracht wird.
3.3.3 Human Resources
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Die antragstellende Organisation muss eine aktuelle Liste der Zugriffsberechtigungen für alle Datenkategorien und Arten von Mitarbeitenden führen (Berechtigungsplan). | ||
2) Die antragstellende Organisation muss mindestens einmal jährlich überprüfen und bestätigen, dass die Liste der Zugriffsberechtigungen den tatsächlich gewährten Rechten entspricht. Die aktuelle Liste wird von der Person, die für die Cybersicherheit verantwortlich ist, unterzeichnet. | ||
3) Kein Mitarbeitender darf an seinem lokalen Arbeitsplatz über Administratorenrechte verfügen, mit Ausnahme von IT-Mitarbeitern. | ||
4) Die antragstellende Organisation hat jeden Mitarbeitenden aufgefordert, ein Dokument zu unterzeichnen, in dem die Rechte und Pflichten in Bezug auf IT-Ressourcen festgelegt sind. Wenn die Nutzung privater Geräte erlaubt ist (vom Label nicht empfohlen), nimmt die antragstellende Organisation die entsprechenden Anforderungen in das Dokument über Rechte und Pflichten auf (Installation von Sicherheitspatches, Firewall, Aktualisierung der Antivirensoftware und Auslösung von Warnungen, Einhaltung aller Rechte an geistigem Eigentum ). Die vorgesehenen Nutzungen privater Mobiltelefone, beruflicher E-Mails und des Internets werden angegeben. | ||
5) Die antragstellende Organisation verfügt über eine Sicherheitsstrategie für Informationssysteme. | 30 | |
6) Für KMU: Eine Sitzung wurde abgehalten, um die Ergebnisse der Phishing-Kampagne und bewährte Praktiken vorzustellen; ein Protokoll ist verfügbar. Es wird dringend empfohlen, dass alle Mitarbeiter an einer Schulung zur Sensibilisierung für Cybersicherheit teilnehmen. Für Gemeinden und öffentliche Verwaltungen: Alle Angestellten haben das E-Learning zu Informationssicherheit und Cybersicherheit (E-Learning, das im Auftrag der KKJPD entwickelt wurde) absolviert. |
3.3.4 Verfahren, Routinen
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Betriebssysteme von Geräten und Servern werden regelmässig aktualisiert. | ||
2) Softwareprogramme (ausser Geschäftssoftware) von Geräten und Servern werden regelmässig aktualisiert. | ||
3) Firmware-Updates werden angewendet und regelmässig überprüft (Switch, Drucker, IP-Telefon, etc.). | ||
4) Es wird regelmässig überprüft, ob auf allen Geräten ein Antivirenprogramm vorhanden ist und auf dem neuesten Stand ist. | ||
5) Sicherheitswarnungen werden zentralisiert und regelmässig verarbeitet. | ||
6) Zwischen dem geschäftlichen Netz und dem externen Netz besteht eine Firewall. | ||
7) Die Funktion, Konfiguration und Aktualisierung der Firewall werden regelmässig überprüft. | ||
8) Alle Makros sind in Office-Programmen standardmässig deaktiviert oder haben einen eingeschränkten Zugriff. | ||
9) Filterung (Anti-Spam) und Anti-Spoofing (SPF und DKIM) müssen für alle E-Mail-Adressen aktiviert sein. |
3.3.5 Sicherung
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Die antragstellende Organisation muss über ein System zur Sicherung von Daten und Systemen verfügen. | ||
2) Die Daten-Sicherung wird mindestens einmal pro Tag durchgeführt. | ||
3) Die System-Sicherung wird mindestens einmal pro Monat durchgeführt. | ||
4) Die System-Sicherung wird mindestens einmal pro Woche durchgeführt. | 100 | |
5) Die antragstellende Organisation muss in der Lage sein, den Status ihres Systems und ihrer Daten wieder auf den Status von vor drei Monaten zurückzusetzen. | ||
6) Die antragstellende Organisation muss in der Lage sein, den Status ihres Systems und ihrer Daten wieder auf den Status von vor sechs Monaten zurückzusetzen. | 5 | 200 |
7) Die ordnungsgemässe Funktion der Datensicherung wird mindestens einmal pro Woche überprüft. | ||
8) Die ordnungsgemässe Funktion der Systemsicherung wird mindestens alle drei Monate überprüft. | ||
9) Eine Kopie der Daten befindet sich an einem zweiten, physisch getrennten Standort (feuer- und flutsicher). | ||
10) Es ist nicht möglich, dass ein einzelnes Konto (einschliesslich eines Administrators) alle Sicherungen löschen kann. | 4 | 100 |
11) Ein Test zur Wiederherstellung der neusten und ältesten Sicherungsdaten muss mindestens einmal pro Jahr durchgeführt werden. |
3.3.6 Resilienz
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Es gibt einen Plan bzw. Verfahren für die Wiederherstellung im Falle einer Unterbrechung der IT-Produktion. | 4 | |
2) Die Verfahren für die Wiederherstellung werden mindestens einmal pro Jahr mit den relevanten Interessengruppen simuliert. | 4 | |
3) Die antragstellende Organisation hat die Checkliste „Resilienz“ ausgefüllt und unterzeichnet. |
3.3.7 Passwörter
Passwortrichtlinien müssen so implementiert werden, dass jeder Mitarbeitende zu ihrer Einhaltung verpflichtet ist.
Anforderung | Kat. | Anz. Geräte |
|---|---|---|
1) Eine Richtlinie für starke Passwörter muss festgelegt und durchgesetzt werden (mindestens 12 Zeichen, darunter Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen). | ||
2) Die antragstellende Organisation muss ihre Passwörter vor unberechtigtem Zugriff schützen und darf keine unverschlüsselten Passwörter auf ihren IT-Systemen, Geräten oder anderen Medien (z.B. post-it) speichern. Sobald ein Nutzer auf mehr als ein Dutzend Passwörter zurückgreifen muss, wird dringend empfohlen, einen Passwortmanager zu verwenden. |
4 Anhang 1 – Datenschutzgrundsätze:
Die antragstellende Organisation verpflichtet sich zur Einhaltung der anerkannten Datenschutzgrundsätze (DSG, DSGVO und kantonales Datenschutzrecht):
Zulässigkeit (oder Rechtmässigkeit): Die Verarbeitung personenbezogener Daten darf nicht gegen Gesetze verstossen . Sie muss auf einer Rechtsgrundlage, einer Einverständniserklärung oder einem übergeordneten öffentlichen oder privaten Interesse beruhen.
Treu und Glauben: Grundsätzlich dürfen Daten nicht ohne Wissen der betroffenen Person oder gegen ihren Willen erhoben und verarbeitet werden. Sie dürfen auch nicht durch absichtliche Täuschung erhoben werden.
Verhältnismässigkeit: Die Verarbeitung personenbezogener Daten muss notwendig, angemessen und so unaufdringlich wie möglich sein.
Zweck: Personenbezogene Daten dürfen nur zu dem zum Zeitpunkt der Erhebung angegebenen Zweck verarbeitet werden, der gesetzlich vorgesehen ist oder der sich aus den Umständen ergibt.
Genauigkeit: Die Person, die personenbezogene Daten verarbeitet, muss sicherstellen, dass sie korrekt sind, und gegebenenfalls alle geeigneten Massnahmen ergreifen, um sie zu aktualisieren, sodass unrichtige oder unvollständige Daten gelöscht oder korrigiert werden können.
Sicherheit: Personenbezogene Daten müssen durch geeignete organisatorische und technische Massnahmen vor unbefugter Verarbeitung geschützt werden.
Transparenz der Erfassung und Information: Die Erfassung personenbezogener Daten und ihr Zweck müssen für die betroffene Person erkennbar sein.
Alle anderen gesetzlichen Verpflichtungen, die für den Tätigkeitsbereich der antragstellenden Organisation gelten.
Frühere Version der Anforderungen (V 2.0) – Label Cyber-Safe: PDF-Dokument V2.0
Anforderungen des Gütesiegel sind unter einer creative commons Lizenz veröffentlicht.
