Was beinhaltet die ISO 27001? Wie wird es umgesetzt? Diese Videoreihe von Marcel Grand und Andreas Wisler geht auf alle Details der Norm ein und bietet nützliche Tipps und Tricks zur erfolgreichen Umsetzung. https://www.gosecurity.ch/videoreihe/ Warum diese Video-Reihe? Anforderungen an die Informationssicherheit steigen stetigBis zur Zertifizierung sind viele Schritte notwendigAngriffe auf digitale Informationen von Unternehmen und Privatp...
Künstliche Intelligenz (KI) verändert Wirtschaft und Gesellschaft grundlegend. Automatisierte Entscheidungsprozesse, selbstlernende Algorithmen und datengetriebene Innovationen eröffnen enorme Potenziale, bringen aber auch Herausforderungen mit sich. Unternehmen, die KI einsetzen, stehen vor zentralen Fragen: Wie lassen sich Risiken kontrollieren? Wie kann Transparenz und Nachvollziehbarkeit gewährleistet werden? Und wie bleibt Innovation dennoch...
Das NIST Cybersecurity Framework (CSF) 2.0 ist eine überarbeitete Version des beliebten Frameworks zur Verbesserung der Cybersicherheit. Die aktuelle Version wurde am 26. Februar 2024 veröffentlicht und wurde um aktuelle Themen wie Cloud oder AI erweitert. Cybersecurity Frameworks helfen dabei, den Schutz von Informationen in Unternehmen zu bewerten und Pläne zur Verbesserung zu erstellen. Das NIST CSF wurde 2018 in Version 1.1 veröffentlicht, ba...
Ob Unternehmen, Behörden oder Organisationen – der Schutz sensibler Daten ist heute unerlässlich. Doch es gibt inzwischen so viele Standards und Normen. Die ISO/IEC 27000er-Reihe bietet einen umfassenden Rahmen für das Management von Informationssicherheit, Risikobewertung und Datenschutz. Von grundlegenden Sicherheitsrichtlinien bis hin zu spezialisierten Normen für Cloud-Sicherheit, digitale Beweissicherung oder Datenschutz in Smart Cities – di...
Mitte November 2024 wurden von OWASP die Top 10 Sicherheitsrisiken für KI-Sprachmodelle 2025 herausgegeben. Diese Risiken adressieren bekannte, aber auch neue Punkte, die es einzuhalten gilt. Werden bereits im Vorfeld Massnahmen ergriffen, können diese Modelle manipulationssicher betrieben werden. © Storyblocks, Registriert auf Andreas Wisler Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Initiative, die sich der Sicherh...
Mit der fortschreitenden Entwicklung in der IT kommen nicht nur neue Chancen, sondern auch erhöhte Risiken, insbesondere im Bereich der IT-Sicherheit und operativen Resilienz. Um diesen Herausforderungen zu begegnen, hat die Europäische Union die Digital Operational Resilience Act (DORA) verabschiedet. Dieses Regelwerk zielt darauf ab, die operative Widerstandsfähigkeit von Finanzunternehmen zu stärken und die Risiken von IT-Störungen und Cyberan...
Am 10. Oktober 2024 wurde von der EU der Cyber Resilience Act verabschiedet. Diese Verordnung dient der Erhöhung der Cybersicherheit von Produkten mit einer digitalen Komponente, um Verbraucher*innen und Unternehmen besser zu schützen. © Storyblocks, Registriert auf Andreas Wisler Der Cyber Resilience Act, kurz CRA, zielt darauf ab, Sicherheitsstandards zu schaffen, die den gesamten Lebenszyklus eines Produkts umfassen. Angesichts der Tatsache, d...
Wie vermeintliche Zertifikate Unternehmen in die Irre führen können In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen. Eine der prominentesten Normen im Bereich der Informationssicherheit ist die ISO 27001, die die Implementierung eines Informationssicherheit...
Die Digitalisierung bringt nicht nur Vorteile mit sich, sondern auch neue Gefahren. Der Sicherheitsbedarf in der Informations- und Kommunikationstechnologie (IKT) nimmt zu. Unternehmen und Organisationen müssen sich vor den zunehmenden Gefahren durch Cyberangriffe schützen. Aus diesem Grund haben die Schweizer Bundesbehörden IKT-Minimalstandards festgelegt, die den Betreibern kritischer Infrastrukturen als zentrale Orientierungshilfe dienen. Dies...
IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle, wie eine Art Kompass bieten sie eine Struktur und eine Erhöhung der Informationssicherheit. Aber was geschieht, wenn ein Segen zu einem Fluch wird? Eine schiere Überflutung an Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich. © Storyblocks, Registriert auf Andreas Wisler Die Flut der Standards Es gibt unzäh...
Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: „Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein". Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSC...
Verschiedene Statistiken zeigen, dass zwischen einem erfolgreichen Einbruch in ein Computer-Netzwerk, bis zum Entstehen eines Schadens, z.B. durch Datendiebstahl oder Ransomware, zwischen zwei Wochen und drei Monaten liegen. In dieser Zeit konfigurieren die Hacker eine Hintertüre, damit sie jederzeit wieder Zugriff haben, sehen sich im Netzwerk nach spannenden Informationen um und planen, wie sie möglichst viel Geld erpressen können. In dieser Ze...
TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkei...
Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung. &nb...
Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS).Ende 2023 kam die neue Version des Standards heraus. © Storyblocks, Registriert auf Andreas Wisler Das standardisierte System zur Bewertung von Sicherheitslücken existiert seit 2005 und ist mehrfach an aktuelle Anforderungen angepasst worden. CVSS verwendet eine Reihe von Metriken, um die Auswirkungen einer Schwachstelle auf Ve...
Schwachstellen kommen in praktisch jeder Software vor. Diese werden durch professionelle Penetration Tester, aber auch interessierten Informatiker gefunden (sogenannte Ethical Hacker). Doch wie sollen diese Schwächen gemeldet werden, damit sie geschlossen werden können? Mit dem CVD stehen ein Verfahren zur Meldung von Schwachstellen zur Verfügung. © Storyblocks, Registriert auf Andreas Wisler CVD, die koordinierte Offenlegung von Schwachstellen b...
Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern. © Storyblocks, Registriert auf Andreas Wisler D...
In der heutigen Zeit können Daten, bzw. die Informationen darin, als wichtige Währung angeschaut werden. Praktisch überall fallen Daten an. Bei der Datenanalyse geht es darum, Daten in Erkenntnisse für bessere Geschäftsentscheidungen umzuwandeln. In den Daten verbergen sich Geschäftseinblicke und Muster, die aufgedeckt werden sollen, um die eigenen Prozesse zu vereinfachen und zu verbessern. Die Datenanalyse beginnt mit den Fragen "Woher kommen d...
Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden. Betroffen waren gemäss ersten Ergebnissen Konten bei Exchange Online und Outlook.com von 25 Organisationen...
Letzten Oktober wurde die ISO 22361 veröffentlicht. Sie bietet die Basis für das Krisen-Management, welches für Firmen jeglicher Grösse gedacht ist. Die neue Norm beschreibt nicht nur das Krisenmanagement, sondern auch Ereignisse, beschreibt die Aufbauorganisation, die strategische Entscheidungsfindung wie auch die Führung in der Krise. Weiter ermöglicht es internen und externen Auditoren die Prüfung dieser Prozesse. Werfen wir zusammen einen tie...