Die meisten Menschen heutzutage haben das Privileg, sich mit Laptops, Computern und Smartphones im Internet aufhalten zu können, um sozialen, unterhaltenden oder intellektuellen Beschäftigungen nachzugehen. Internetzugang ist heutzutage so weit verbreitet und selbstverständlich für jeden, dass viele Leute sich nicht bewusst sind, welchen Bedrohungen nicht nur sie selbst, sondern auch Geräte und Software ausgesetzt sind, wenn nicht für ausreichenden Schutz gesorgt ist.
Robert Foppa, Jahrgang 1957, ist langjähriger Informatikspezialist mit eidgenössischem Fachausweis und Information Security Lead Auditor nach ISO 27001. Seine ersten Schritte in Richtung seines Berufs machte er bei der Graubündner Kantonalbank, wo er von 1974 zunächst eine kaufmännische Lehre absolvierte, dann als Buchhalter arbeitete und schließlich zum Programmierer, System-, Security-, Storage- und Netzwerk-Engineer und Auditor wurde – ausgebildet von IBM, dem Weltmarktführer. Seit seiner ersten Lehre hatte die aufkommende IT-Branche Foppa gleich infiziert und fasziniert. Er arbeitete auch als Analytiker, Backup- und Restore-, Output-, Automation- und Robotik-Engineer und Rechenzentrumsleiter mit über 800 Servern sowie Mainframe, AIX, Unix, Solaris, Linux, SAP, Netware und Windows an zwei Standorten, mit über 1’200 PCs, hunderten Druckern, Scanner, Lesern und über 3’500 Netzwerkgeräten.
Lokal arbeitete Foppa somit 3 Jahrzehnte für die Graubündner Kantonalbank, doch er ist auch national für die größten Schweizer Konzerne tätig sowie T-Systems Schweiz, Bank Coop, SBB Schweizerische Bundesbahnen, Mobiliar Versicherung, Visana Krankenkasse, Coop Leben, KPT Krankenkasse und andere. International arbeitete er schon für die größten europäische Konzerne wie T-Systems International, T-Systems Austria, Audi, BMW, Mercedes Deutschland, Mercedes France, Seat, Deutsche Telekom, Deutsche Post, Alcan/Constellium Industries, Airbus Industries, Crédit Logement, Yves Rocher, IATA International Air Transport Association und andere.
Sein Unternehmen Foppa Informatik – oder kurz Foppa IT – ist eine Einzelfirma und zurzeit arbeitet Foppa alleine. FoppaIT unterstützt KMU und Private bei der Umsetzung ihrer IT Vorhaben von Beratung, Konzeption, Realisierung, Fehlersuche / Fehlerbehebung, Performance und Tuning sowie beim Audit (Suche nach Mängeln und Schwachstellen in der IT).
Worauf ich stolz bin als Programmierer: die Programmierung des GKB Zahlungsverkehrs, inklusive Verpackungsstraße innert einem Jahr (Datenbanken und Verpackungsstraße als Erster). Als Systemspezialist bin ich stolz auf die Desaster-Recovery Lösung – die Informatik-Wiederherstellung nach einer Katastrophe wie Brand, Wasser, Terroranschlag und so weiter – der Graubündner Kantonalbank von Idee, Konzeption, Programmierung und Automation. Nachdem sich herausgestellt hat, dass die IBM Lösung viel zu langsam war, habe ich eine eigene Lösung entwickelt, mit welcher das gesamte Rechenzentrum der GKB an einem fremden Standort von 0 auf 100% in unter acht Stunden betriebsbereit erstellt werden konnte, wo andere Banken nach 48 Stunden noch nicht fertig waren.
Als Securityspezialist und Auditor bin ich stolz auf die Entdeckung und Behebung von gravierendsten Sicherheitsmängel in größten nationalen und internationalen Konzernen; die Erstellung und Umsetzung von Sicherheitskonzepten für zwei Schweizer Banken; den Komplettumbau der IT Sicherheit bei einer sehr großen Schweizer Bank; das Schaffen und entwickeln aller Voraussetzungen, dass größte nationale Konzerne die Sicherheitsaudits durch internationale Prüfstellen überhaupt bestanden haben; und auf das Programmieren und automatisieren von Virenschutz Präventions-, Überwachungs- und Alarmierungsmaßnahmen für die Graubündner Kantonalbank. Davon behauptete ein McAfee Security Engineer, meine Lösung sei besser als die von McAfee – dazumal Weltmarktführer. Generell habe ich sehr viele Programme und Tools programmiert und Konzepte entwickelt und automatisiert, welche einzigartig oder leistungsfähiger waren als die von Weltmarktführern.
Als Benutzer bin ich stolz auf den Fund von gravierenden Sicherheitsmängel in einem Kreditkarten-Bezahlsystem eines Telecom Provider, welche auf Geräten eines der weltgrößten PC Herstellers sowohl Benutzer- und noch schlimmer, auch sämtliche Kreditkarteninformationen offen legte und unverschlüsselt über das Internet transportierte. Es brauchte über Wochen mehrere Telefonate, Mails und viele Seiten an Dokumentationen, bis endlich darauf reagiert wurde. Dann aber meldete sich der CH CIO gleich persönlich. Er entschuldigte und bedankte sich und gab bekannt, dass er gleich sämtliche Termine abgesagt habe, da meine Feststellungen zu einer internationalen Krisensitzung zwischen Schweiz, USA und Schweden geführt hätten.
Generell finde ich Mängel fast in jeder Soft- und Hardware. Firewall, Router, NAS, Backup/Restore, Virenschutz, OS und so weiter, dem Beschrieb und der Dokumentation, und das schon nach kurzer Nutzungszeit, obwohl ich nicht danach suche. Das lässt den Schluss zu, dass schon beim Design, der Entwicklung und beim Quality Management mangelhaft gearbeitet wurde. Das ist sehr bedauerlich, aber leider der heutige Trend.
Wie ich aus Erfahrung sagen kann, bestehen Probleme der IT-Sicherheit in der Schweiz darin, dass sich alle Firmen fast ausschließlich auf eine Meinung oder eine Prüfung verlassen, im Irrglauben, dass dann alles okay ist. Das ist falsch und kann fatale Auswirkungen auf das Überleben der Firma haben. Das liegt daran, dass Sicherheitsmängel nicht mit Drehlicht und Sirene auf sich aufmerksam machen. Man muss nach ihnen suchen, sie finden und sie beheben. Dazu braucht es einerseits Wissen, Erfahrung und die Fähigkeit, ein System aus verschiedenen Blickwinkeln zu betrachten und sich in die Lage eines Angreifers zu versetzen.
Zu viele Betriebe nehmen IT-Sicherheit auf die leichte Schulter und staunen dann nicht schlecht, wenn es sie doch trifft. Solch ein Verhalten kann massiv ins Geld gehen, denn eine Reparatur und Wiederherstellung kann dann viel Geld und Zeit kosten. Diesen Lernprozess auf die harte Tour zu erfahren, wünsche ich wirklich niemandem. Es genügt schon, wenn man mit offenen Augen und sensiblen Sensoren das Umfeld betrachtet und die Geschehnisse hinterfragt, um Mängel zu erkennen. Ich beherzige mich auch einer Aussage, dass man einen gefundenen Mangel mit Tausend multiplizieren soll und dann soll man beurteilen, ob er weh macht.
Beispiel DSGVO: Dieses Gesetz hat seit 25.05.18 auch in der Schweiz seine Gültigkeit. Meine diesbezügliche Anfrage Betreff „Einhaltung der DSGVO“ beim Kantonalen Verband eines Gesundheitsbereichs (hält nebst persönlichen auch medizinische Daten, welche als besonders schützenswert taxiert werden) ergab keine Antwort. Vom Schweizer Dachverband kam die Antwort, dass sie die Prüfung und Einhaltung den Mitgliedern überlassen. Im Klartext heißt das, dass man seine Mitglieder ins Messer laufen lässt. Denn der Praktiker kümmert sich um seinen Job, verliert aber keinen Gedanken darüber, ob er die neuen Anforderungen aus dem DSGVO einhält. Ein ziemlich bedenkliches Verhalten und grobe Fahrlässigkeit eines Dachverbandes gegenüber seinen Mitgliedern. Hier wäre eine Arbeitsgruppe aus Juristen, Praktikern und Informatikern gefragt. Diese arbeiten die Grundlagen und Empfehlungen für die Mitglieder aus, wie man die DSGVO Vorgaben einhält. Die Umsetzung der DSGVO ist kein Kinderspiel und bedarf vieler Monate an Zusammenarbeit und Information an die Mitglieder.
Was Webseiten angeht: Es existieren massenhaft Webseiten, welche weder den Schweizer noch den DSGVO Richtlinien entsprechen. Haben Sie Ihre schon mal überprüft?
Auditing biete ich an, mache aber nicht speziell Werbung dafür. Bei KMUs und Privaten mache ich das auf die Schnelle und nicht in die Tiefe. Meine Analysen reichten jedoch immer aus, ausnahmslos bei allen Kunden gravierendste Mängel zu finden, dass die Kunden regelrecht geschockt davon waren.
Jede IT-Infrastruktur, Hard- und Software, sollte immer aktuell gehalten werden. Das heißt, es braucht zwingend regelmäßige Pflege und Service. Alles andere ist fahrlässig und kann hohe Kosten und Imageschaden nach sich ziehen. Es empfiehlt sich, einmal jährlich einen Audit auf Schwachstellen zu machen
Ich bin kein Allheilmittel. Aber meine vielfältige Ausbildung und praktische Erfahrungen lassen mich doch einen großen Teil von Herausforderungen abdecken. Ansonsten weiß ich einen Rat, wie und mit wem man vielleicht weiterkommt.
Am meisten sind logische Defekte aufgrund von Windows Updates. Danach logische Defekte durch Viren- und Ransomware, dann logische Defekte durch Benutzer Fehlverhalten und dann physische Defekte. Am Schluss kommen physische Defekte durch Wasser. Die meisten Fehler lassen sich nicht leicht beheben. Je nach Datenträgergröße läuft die Analyse/Reparatur auch schon mal 6x24h.
Man weiß ja nie, was man bekommt betreffend Geräte-Alter, -Geschwindigkeit, -Technologie und -Defekttyp, da man ja nichts von Außen erkennen kann. Es bedingt immer eine Analyse und mit den gewonnenen Erkenntnissen legt man sich eine Reparatur Strategie zurecht. Dafür braucht man häufig mehr als eine Software und Knowhow, die Defekte zu beheben.
Bei meinem ersten Fall einer durch Ransomware verschlüsselten Festplatte, war eine Wiederherstellung mangels Know-how nicht möglich. Bei meinem zweiten Fall habe ich aber auch das geschafft und konnte alle Daten wiederherstellen.
Geht es um physische oder elektronische Defekte, gibt es nur den Weg ins Datenrettungslabor. Dort werden die Datenträger im Reinraum auseinandergenommen und auch schon unter dem Mikroskop analysiert und repariert. Die reparieren dann auch erfolgreich Datenträger, welche einem Kurzschluss, Wasser und Feuer ausgesetzt waren.
Ich rate dann von der PC Reparatur ab, wenn der investierte Aufwand es nicht mehr rechtfertigt, einen technologisch völlig veralteten PC wieder in Gang zu bringen. Da ist das Geld in einen Neukauf deutlich besser investiert, man ist technologisch wieder auf dem höchsten Stand und hat wieder zwei Jahre Garantie.
Aus meiner Erfahrung unterscheidet sich fast jeder defekte PC von all den anderen, welche ich schon repariert habe. Es gibt Ähnlichkeiten, aber selten völlige Übereinstimmung. Eine Analyse ergibt Informationen, mit welchen man dann versucht, eine Reparatur Strategie aufzustellen. Es ist häufig der Fall, dass neue Vorfälle bei der Reparatur laufend eine Anpassung der Vorgehensweise bedingen. Mit einer Ausnahme (erster Ransomware Befall), konnte ich oder das Labor bisher alle Benutzerdaten wiederherstellen.
Macht regelmäßig Vollsicherungen – täglich einmal bei KMUs, mindestens einmal wöchentlich bei Privaten – und automatisiert das Ganze so, dass es Benutzerseitig nur eine minimale Handlung braucht: einschalten, ankoppeln, abkoppeln, Resultat prüfen. Prüft, ob das eingesetzte Sicherungs-Konzept, resp. -Verfahren den aktuellen Bedrohungen standhält. Nach meinen Erfahrungen tut es das in der Regel nicht mehr. Professionelle Firewall- und Anti-Viren Lösung einsetzen, alles immer up-to-date halten, präventiv Computerzeitschriften lesen und Nachrichten hören auf Hinweise, Gesetze und dergleichen, welche unter Umständen Einfluss auf die eigene IT haben könnten. Holt euch den Rat von FoppaIT und kontaktiert mich unter www.foppait.ch/kontakt.
Heutzutage wird leider häufig schon bei Programmdesign und -entwicklung, vor allem aber im Quality Management mangelhaft gearbeitet. Dadurch wird risikoreiche Ware unter die Leute gebracht. Daher kommt niemand, der einen Computer besitzt – ob Privatperson oder Unternehmen – an regelmäßigen CheckUps vorbei. Vor allem nicht, wenn Virenbefälle und andere Systemfehler nicht das Gerät beschädigen sollen. Reparaturen können zeitaufwändig und kostspielig sein. Oft hilft es, mehr als eine professionelle Meinung einzuholen, um Risiken einzuschätzen. Glaubt den Verkäufern und den Supportern nicht immer alles, was sie sagen. Seid misstrauisch und hinterfragt alles, was nicht klar ist.