Was beinhaltet die ISO 27001? Wie wird es umgesetzt? Diese Videoreihe von Marcel Grand und Andreas Wisler geht auf alle Details der Norm ein und bietet nützliche Tipps und Tricks zur erfolgreichen Umsetzung. https://www.gosecurity.ch/videoreihe/ Warum diese Video-Reihe? Anforderungen an die Informationssicherheit steigen stetigBis zur Zertifizierung sind viele Schritte notwendigAngriffe auf digitale Informationen von Unternehmen und Privatp...
Wie vermeintliche Zertifikate Unternehmen in die Irre führen können In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen. Eine der prominentesten Normen im Bereich der Informationssicherheit ist die ISO 27001, die die Implementierung eines Informationssicherheit...
Die Digitalisierung bringt nicht nur Vorteile mit sich, sondern auch neue Gefahren. Der Sicherheitsbedarf in der Informations- und Kommunikationstechnologie (IKT) nimmt zu. Unternehmen und Organisationen müssen sich vor den zunehmenden Gefahren durch Cyberangriffe schützen. Aus diesem Grund haben die Schweizer Bundesbehörden IKT-Minimalstandards festgelegt, die den Betreibern kritischer Infrastrukturen als zentrale Orientierungshilfe dienen. Dies...
IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle, wie eine Art Kompass bieten sie eine Struktur und eine Erhöhung der Informationssicherheit. Aber was geschieht, wenn ein Segen zu einem Fluch wird? Eine schiere Überflutung an Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich. © Storyblocks, Registriert auf Andreas Wisler Die Flut der Standards Es gibt unzäh...
Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: „Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein". Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSC...
Verschiedene Statistiken zeigen, dass zwischen einem erfolgreichen Einbruch in ein Computer-Netzwerk, bis zum Entstehen eines Schadens, z.B. durch Datendiebstahl oder Ransomware, zwischen zwei Wochen und drei Monaten liegen. In dieser Zeit konfigurieren die Hacker eine Hintertüre, damit sie jederzeit wieder Zugriff haben, sehen sich im Netzwerk nach spannenden Informationen um und planen, wie sie möglichst viel Geld erpressen können. In dieser Ze...
TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkei...
Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung. &nb...
Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS).Ende 2023 kam die neue Version des Standards heraus. © Storyblocks, Registriert auf Andreas Wisler Das standardisierte System zur Bewertung von Sicherheitslücken existiert seit 2005 und ist mehrfach an aktuelle Anforderungen angepasst worden. CVSS verwendet eine Reihe von Metriken, um die Auswirkungen einer Schwachstelle auf Ve...
Schwachstellen kommen in praktisch jeder Software vor. Diese werden durch professionelle Penetration Tester, aber auch interessierten Informatiker gefunden (sogenannte Ethical Hacker). Doch wie sollen diese Schwächen gemeldet werden, damit sie geschlossen werden können? Mit dem CVD stehen ein Verfahren zur Meldung von Schwachstellen zur Verfügung. © Storyblocks, Registriert auf Andreas Wisler CVD, die koordinierte Offenlegung von Schwachstellen b...
Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern. © Storyblocks, Registriert auf Andreas Wisler D...
In der heutigen Zeit können Daten, bzw. die Informationen darin, als wichtige Währung angeschaut werden. Praktisch überall fallen Daten an. Bei der Datenanalyse geht es darum, Daten in Erkenntnisse für bessere Geschäftsentscheidungen umzuwandeln. In den Daten verbergen sich Geschäftseinblicke und Muster, die aufgedeckt werden sollen, um die eigenen Prozesse zu vereinfachen und zu verbessern. Die Datenanalyse beginnt mit den Fragen "Woher kommen d...
Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden. Betroffen waren gemäss ersten Ergebnissen Konten bei Exchange Online und Outlook.com von 25 Organisationen...
Letzten Oktober wurde die ISO 22361 veröffentlicht. Sie bietet die Basis für das Krisen-Management, welches für Firmen jeglicher Grösse gedacht ist. Die neue Norm beschreibt nicht nur das Krisenmanagement, sondern auch Ereignisse, beschreibt die Aufbauorganisation, die strategische Entscheidungsfindung wie auch die Führung in der Krise. Weiter ermöglicht es internen und externen Auditoren die Prüfung dieser Prozesse. Werfen wir zusammen einen tie...
In den letzten Jahrzehnten hat sich die künstliche Intelligenz (KI) zu einer treibenden Kraft in der digitalen Transformation entwickelt. Unternehmen und Organisationen setzen vermehrt KI-Technologien ein, um ihre Abläufe zu optimieren und Erkenntnisse aus ihren Daten zu gewinnen. Während die Möglichkeiten von KI beeindruckend sind, birgt diese Technologie auch Risiken im Hinblick auf die Informationssicherheit. In diesem Artikel beleuchten...
«Die Schweiz nutzt die Chancen der Digitalisierung und mindert Cyberbedrohungen und deren Auswirkungen durch geeignete Schutzmassnahmen. Sie gehört zu den weltweit führenden Wissens-, Bildungs- und Innovationsstandorten in der Cybersicherheit. Die Handlungsfähigkeit und die Integrität ihrer Bevölkerung, ihrer Wirtschaft, ihrer Behörden und der in der Schweiz ansässigen internationalen Organisationen gegenüber Cyberbedrohungen sind gewährleistet.»...
Jeden Monat werden tausende von Kennwörtern bei Hacker-Angriffen gestohlen. Zudem verwenden immer noch viele Menschen schlechte Kennwörter. Das Beliebteste ist noch immer 123456, gefolgt von password oder hallo. Wenn das gleiche Kennwort noch für diverse Zugänge genutzt wird, wird es gefährlich. Doch es gibt inzwischen Alternativen. Die Top 200 Passwörter können unter https://nordpass.com/most-common-passwords-list/ abgerufen werden. © Sto...
Vor zwei Monaten haben wir uns um die Anforderungen an Zertifizierungsstellen gekümmert (beschrieben in der ISO 27006). Begleitend dazu gibt es die ISO 27007, zuletzt im Jahr 2022 aktualisiert, die zeigt, wie ein ISMS-Audit durchgeführt werden soll. Das Dokument gibt eine Anleitung für alle Grössen und Arten von Organisationen, die ISMS-Audits durchführen müssen/wollen, unabhängig davon, ob es sich um einen oder mehrere Auditoren handelt. © Story...
Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, etc. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherh...
Während die ISO 27001 die Anforderungen an das Informationssicherheitsmanagementsystems eines Unternehmens definiert, gibt die ISO 27006 die Anforderungen an die Zertifizierungsstellen vor. Doch nicht nur für diese ist ein Blick in die Norm spannend. © Storyblocks, Registriert auf Andreas Wisler Als Grundlage für die gesamte Norm wird die ISO 17021-1 (Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zer...