Was beinhaltet die ISO 27001? Wie wird es umgesetzt? Diese Videoreihe von Marcel Grand und Andreas Wisler geht auf alle Details der Norm ein und bietet nützliche Tipps und Tricks zur erfolgreichen Umsetzung. https://www.gosecurity.ch/videoreihe/ Warum diese Video-Reihe? Anforderungen an die Informationssicherheit steigen stetigBis zur Zertifizierung sind viele Schritte notwendigAngriffe auf digitale Informationen von Unternehmen und Privatp...
Am 16. Oktober war es nach langer Wartezeit endlich so weit, die neue ISO 27701 wurde veröffentlicht. Nun kann das Datenschutz-Managementsystem auch ohne ein Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert werden. Die Norm folgt dabei der harmonisierten Struktur (HS), ist also analog anderen Normen wie der 9001 aufgebaut. © Storyblocks, Registriert auf Andreas Wisler Wie bekannt aus anderen Normen, wird im Kapitel 1 der...
Wer sich mit der Informationssicherheit auseinandersetzt, wird schnell auf die ISO 27001 oder den IT-Grundschutz des BSI (Deutsches Bundesamt für Sicherheit in der Informationstechnik) stossen. ISO 27001, wie auch der BSI 200-1, zeigt, was ein ISMS (Informationssicherheitsmanagementsystem) beinhalten muss. Jedoch werden keine Leitlinien zur Prüfung dieser Massnahmen aufgezeigt und damit die Frage, ob alle notwendigen Schritte korrekt umgesetzt si...
Täglich wird in den Medien über erfolgreiche Hacker-Angriffe berichtet. Zu den möglichen Folgen zählen unter anderem Daten-Diebstahl, Zahlung bei Ransomware oder sogar die Insolvenz. Drei aktuelle Studien liefern spannende Einblicke in die momentanen Entwicklungen: die TÜV Cybersecurity Studie 2025, der Deloitte Cyber Security Report 2025 und die Schweizer Cyberstudie der Mobiliar. Alle drei Studien zeichnen ein umfassendes Bild davon, in welcher...
Weitgehend unbemerkt wurde bereits im Oktober 2021 eine ISO-Norm mit dem Titel «Leitlinien für die Löschung personenbezogener Daten» veröffentlicht. Die ISO/IEC 27555:2021 bietet Organisationen einen strukturierten Rahmen, um personenbezogene Informationen (PII) nicht nur sicher zu speichern, sondern sie zum richtigen Zeitpunkt auch zu löschen. Die Speicherung personenbezogener Daten über ihre eigentliche Zweckbindung hinaus ist nicht nur datensc...
Im letzten Blog haben wir uns der Schnittstelle zwischen ISO 27001 und ISO 20000 gewidmet. Doch was ist die ISO 20000 überhaupt? Und warum arbeiten viele Firmen bereits mit diesen IT-Services? Der internationale Standard definiert bewährte Praktiken für das Management von IT-Services und bietet eine strukturierte Grundlage, um IT-Service-Prozesse zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. © Storyblocks, Registriert auf...
In vielen Unternehmen werden die IT-Prozesse nach ITIL umgesetzt. Da ITIL nur Personen zertifiziert, wurde die ISO 20000 entwickelt. Damit können Unternehmen ihre IT-Services zertifizieren und durch eine unabhängige Stelle prüfen lassen. Doch wie können diese mit der Informationssicherheit nach ISO 27001 in Verbindung gesetzt werden? Da hilft die ISO 27013. © Storyblocks, Registriert auf Andreas Wisler Einführung: Was ist ISO 20000? Bevor wir uns...
Nicht erst seit der DSGVO ist der Schutz personenbezogener Informationen wichtig. An vielen Stellen fallen diese an. Doch irgendwann ist der Zeitpunkt erreicht, an dem diese gelöscht werden müssen. Dies ist aber nicht einfach so möglich. Gerade wenn Datensätze miteinander verknüpft sind. Doch wie kann sichergestellt werden, dass sensible Daten geschützt bleiben – selbst dann, wenn sie geteilt, gespeichert oder analysiert werden? Die Norm ISO/IEC ...
Der Prüfungsprozess hat sich im Laufe der Jahre aufgrund des technologischen Fortschritts und der Veränderungen in diesem Bereich drastisch weiterentwickelt. Dazu gehören die Migration von Systemen und Anwendungen auf Cloud-Plattformen und die exponentielle Zunahme von Systemen, die personenbezogene Daten (PII) erfassen, speichern und verarbeiten, sowie verschärfte Datenschutzbestimmungen und eine immer komplexere Cybersicherheitslandschaft....
Künstliche Intelligenz (KI) verändert Wirtschaft und Gesellschaft grundlegend. Automatisierte Entscheidungsprozesse, selbstlernende Algorithmen und datengetriebene Innovationen eröffnen enorme Potenziale, bringen aber auch Herausforderungen mit sich. Unternehmen, die KI einsetzen, stehen vor zentralen Fragen: Wie lassen sich Risiken kontrollieren? Wie kann Transparenz und Nachvollziehbarkeit gewährleistet werden? Und wie bleibt Innovation dennoch...
Das NIST Cybersecurity Framework (CSF) 2.0 ist eine überarbeitete Version des beliebten Frameworks zur Verbesserung der Cybersicherheit. Die aktuelle Version wurde am 26. Februar 2024 veröffentlicht und wurde um aktuelle Themen wie Cloud oder AI erweitert. Cybersecurity Frameworks helfen dabei, den Schutz von Informationen in Unternehmen zu bewerten und Pläne zur Verbesserung zu erstellen. Das NIST CSF wurde 2018 in Version 1.1 veröffentlicht, ba...
Ob Unternehmen, Behörden oder Organisationen – der Schutz sensibler Daten ist heute unerlässlich. Doch es gibt inzwischen so viele Standards und Normen. Die ISO/IEC 27000er-Reihe bietet einen umfassenden Rahmen für das Management von Informationssicherheit, Risikobewertung und Datenschutz. Von grundlegenden Sicherheitsrichtlinien bis hin zu spezialisierten Normen für Cloud-Sicherheit, digitale Beweissicherung oder Datenschutz in Smart Cities – di...
Mitte November 2024 wurden von OWASP die Top 10 Sicherheitsrisiken für KI-Sprachmodelle 2025 herausgegeben. Diese Risiken adressieren bekannte, aber auch neue Punkte, die es einzuhalten gilt. Werden bereits im Vorfeld Massnahmen ergriffen, können diese Modelle manipulationssicher betrieben werden. © Storyblocks, Registriert auf Andreas Wisler Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Initiative, die sich der Sicherh...
Mit der fortschreitenden Entwicklung in der IT kommen nicht nur neue Chancen, sondern auch erhöhte Risiken, insbesondere im Bereich der IT-Sicherheit und operativen Resilienz. Um diesen Herausforderungen zu begegnen, hat die Europäische Union die Digital Operational Resilience Act (DORA) verabschiedet. Dieses Regelwerk zielt darauf ab, die operative Widerstandsfähigkeit von Finanzunternehmen zu stärken und die Risiken von IT-Störungen und Cyberan...
Am 10. Oktober 2024 wurde von der EU der Cyber Resilience Act verabschiedet. Diese Verordnung dient der Erhöhung der Cybersicherheit von Produkten mit einer digitalen Komponente, um Verbraucher*innen und Unternehmen besser zu schützen. © Storyblocks, Registriert auf Andreas Wisler Der Cyber Resilience Act, kurz CRA, zielt darauf ab, Sicherheitsstandards zu schaffen, die den gesamten Lebenszyklus eines Produkts umfassen. Angesichts der Tatsache, d...
Wie vermeintliche Zertifikate Unternehmen in die Irre führen können In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen. Eine der prominentesten Normen im Bereich der Informationssicherheit ist die ISO 27001, die die Implementierung eines Informationssicherheit...
Die Digitalisierung bringt nicht nur Vorteile mit sich, sondern auch neue Gefahren. Der Sicherheitsbedarf in der Informations- und Kommunikationstechnologie (IKT) nimmt zu. Unternehmen und Organisationen müssen sich vor den zunehmenden Gefahren durch Cyberangriffe schützen. Aus diesem Grund haben die Schweizer Bundesbehörden IKT-Minimalstandards festgelegt, die den Betreibern kritischer Infrastrukturen als zentrale Orientierungshilfe dienen. Dies...
IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle, wie eine Art Kompass bieten sie eine Struktur und eine Erhöhung der Informationssicherheit. Aber was geschieht, wenn ein Segen zu einem Fluch wird? Eine schiere Überflutung an Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich. © Storyblocks, Registriert auf Andreas Wisler Die Flut der Standards Es gibt unzäh...
Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: „Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein". Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSC...
Verschiedene Statistiken zeigen, dass zwischen einem erfolgreichen Einbruch in ein Computer-Netzwerk, bis zum Entstehen eines Schadens, z.B. durch Datendiebstahl oder Ransomware, zwischen zwei Wochen und drei Monaten liegen. In dieser Zeit konfigurieren die Hacker eine Hintertüre, damit sie jederzeit wieder Zugriff haben, sehen sich im Netzwerk nach spannenden Informationen um und planen, wie sie möglichst viel Geld erpressen können. In dieser Ze...