Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden.   Betroffen waren gemäss ersten Ergebnissen Konten bei Exchange Online und Outlook.com von 25 Organisationen...

Letzten Oktober wurde die ISO 22361 veröffentlicht. Sie bietet die Basis für das Krisen-Management, welches für Firmen jeglicher Grösse gedacht ist. Die neue Norm beschreibt nicht nur das Krisenmanagement, sondern auch Ereignisse, beschreibt die Aufbauorganisation, die strategische Entscheidungsfindung wie auch die Führung in der Krise. Weiter ermöglicht es internen und externen Auditoren die Prüfung dieser Prozesse. Werfen wir zusammen einen tie...

 In den letzten Jahrzehnten hat sich die künstliche Intelligenz (KI) zu einer treibenden Kraft in der digitalen Transformation entwickelt. Unternehmen und Organisationen setzen vermehrt KI-Technologien ein, um ihre Abläufe zu optimieren und Erkenntnisse aus ihren Daten zu gewinnen. Während die Möglichkeiten von KI beeindruckend sind, birgt diese Technologie auch Risiken im Hinblick auf die Informationssicherheit. In diesem Artikel beleuchten...

«Die Schweiz nutzt die Chancen der Digitalisierung und mindert Cyberbedrohungen und deren Auswirkungen durch geeignete Schutzmassnahmen. Sie gehört zu den weltweit führenden Wissens-, Bildungs- und Innovationsstandorten in der Cybersicherheit. Die Handlungsfähigkeit und die Integrität ihrer Bevölkerung, ihrer Wirtschaft, ihrer Behörden und der in der Schweiz ansässigen internationalen Organisationen gegenüber Cyberbedrohungen sind gewährleistet.»...

Jeden Monat werden tausende von Kennwörtern bei Hacker-Angriffen gestohlen. Zudem verwenden immer noch viele Menschen schlechte Kennwörter. Das Beliebteste ist noch immer 123456, gefolgt von password oder hallo. Wenn das gleiche Kennwort noch für diverse Zugänge genutzt wird, wird es gefährlich. Doch es gibt inzwischen Alternativen. Die Top 200 Passwörter können unter https://nordpass.com/most-common-passwords-list/ abgerufen werden.   © Sto...

Every month, thousands of passwords are stolen in hacker attacks. In addition, many people still use bad passwords. The most popular is still 123456, followed by password or hello. If the same password is used for various accesses, it becomes dangerous. But there are now alternatives. The top 200 passwords can be found at https://nordpass.com/most-common-passwords-list/. © Storyblocks, Registered on Andreas Wisler It has long been known that pass...

Vor zwei Monaten haben wir uns um die Anforderungen an Zertifizierungsstellen gekümmert (beschrieben in der ISO 27006). Begleitend dazu gibt es die ISO 27007, zuletzt im Jahr 2022 aktualisiert, die zeigt, wie ein ISMS-Audit durchgeführt werden soll. Das Dokument gibt eine Anleitung für alle Grössen und Arten von Organisationen, die ISMS-Audits durchführen müssen/wollen, unabhängig davon, ob es sich um einen oder mehrere Auditoren handelt. © Story...

Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, etc. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherh...

 Während die ISO 27001 die Anforderungen an das Informationssicherheitsmanagementsystems eines Unternehmens definiert, gibt die ISO 27006 die Anforderungen an die Zertifizierungsstellen vor. Doch nicht nur für diese ist ein Blick in die Norm spannend. © Storyblocks, Registriert auf Andreas Wisler Als Grundlage für die gesamte Norm wird die ISO 17021-1 (Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zer...

Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und keine wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen. Doch k...

 Im jährlich durchgeführten Allianz Risk Barometer gab es in diesem Jahr eine Verschiebung. Neu sind Cyber-Risiken auf dem ersten Platz gelandet. Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie, die alle Unternehmen beschäftigt hat. Um diesen Risiken begegnen zu können, ist ...

Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen. © Storyblocks, Registriert auf Andreas Wisler Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue A...

Cybersicherheit ist heutzutage zu einem alltäglichen Schlagwort geworden. Es reicht nicht mehr IT-Sicherheit oder Informationssicherheit umzusetzen, sondern die Gesamtheit wird mit Cyber adressiert. Bereits 2012 wurde von ISO eine Norm genau zu diesem Thema veröffentlicht. Zeit also, diese etwas genauer zu betrachten. 6© Storyblocks, Registriert auf Andreas Wisler Im Vorwort geht die ISO-Norm genau auf dieses Thema Cyber ein und bezeichnet d...

 Für alle Unternehmen, die mit Kreditkarten in Berührung (Verarbeiten oder Speichern) kommen, müssen die Anforderungen aus der PCI DSS (Payment Card Industry Data Security Standard) umgesetzt werden. Hinter dem Standard stehen die Kreditkartenunternehmen, aber auch viele Banken und Zahlungsdienstleister. Am 31. März 2022 wurde die neue Version 4.0 nach über 9 Jahren Abstand seit dem letzten Major-Release veröffentlicht. Verbindlich wird dies...

Noch ein Artikel über den CISO? "Noch ein Artikel über den CISO?", mögen Sie sich vielleicht fragen. Und diese Frage ist berechtigt, denn längst ist der CISO (Chief Information Security Officer) eine bekannte Rolle in einem Unternehmen. Dabei spielt die Grösse der Organisation keine Rolle, denn egal ob 10 oder 1000 Mitarbeitende beschäftigt sind - in beiden Fällen sollte ein CISO die Informationssicherheit steuern und kontrollieren. In kleinen Un...

 Die ISO 27099 wurde im Dezember 2016 veröffentlicht. Sie ist aktuell nur in Englisch verfügbar und trägt den offiziellen Titel „Health informatics - Information security management in health using ISO/IEC 27002 (ISO 27799:2016)", auf Deutsch Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002. Wie im Titel ersichtlich ist, basiert diese Norm auf der ISO 27002 (aus dem Jahr 2013). Doch w...

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit und Wissen. Die ISO 27001 ist dazu der Standard, der als Referenz dient. Der erste Teil der Norm beschreibt den Aufbau des ISMS. Darin enthalten sind der Kontext, die Ressourcen, die Risiko-Bewertung, Audits und Verbesserungen. Ergänzt kommen 114 (Version 2013) bzw. 93 Massnahmen (Version 2022) dazu. Die Norm gilt als komplex in der Umsetzung. Mit mindestens einem J...

In den vergangenen BlogArtikeln haben wir sehr viel über die Anforderungen an ein Informationssicherheitsmanagementsystems (kurz ISMS) kennengelernt. Wie die Umsetzung aussieht, wie man idealerweise vorgeht, fehlt aber komplett. Hier können die Standards 200-x des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) helfen.    © Storyblocks, Registriert auf Andreas Wisler  Das BSI hatte bereits im Dezember 2005 die ...

Das Cybersecurity Framework (CSF) des NIST (National Institute of Standards and Technology) ist ein Leitfaden, der Unternehmen hilft, die Risiken in der Informationssicherheit zu erfassen und zu verwalten. Bestehende Standards, Richtlinien und Praktiken werden darin referenziert. Die Schweiz hat das Framework übernommen und als IKT-Minimalstandard veröffentlicht. Es richtet sich vor allem an kritische Infrastrukturen, ist aber auch für Unternehme...

Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravierenden Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Audit...