Zertifikat ist nicht gleich Zertifikat

Wie vermeintliche Zertifikate Unternehmen in die Irre führen können In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen. Eine der prominentesten Normen im Bereich der Informationssicherheit ist die ISO 27001, die die Implementierung eines Informationssicherheit...

Continue reading
  70 Hits
Tags:

NIS 2 – Erhöhung der Informationssicherheit

Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern. © Storyblocks, Registriert auf Andreas Wisler  D...

Continue reading
  2349 Hits
Tags:

DIN SPEC 27076 - IT-Sicherheitsberatung für Klein- und Kleinstunternehmen

Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung. &nb...

Continue reading
  1114 Hits
Tags:

TISAX 6 ist da – Anforderungen an die Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkei...

Continue reading
  888 Hits
Tags:

Der Weg zur Zertifizierung

Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravierenden Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Audit...

Continue reading
  1816 Hits
Tags:

ISO 27001:2022 – Neue Massnahmen

Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und keine wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen. Doch k...

Continue reading
  5782 Hits
Tags:

ISO 27001:2022 veröffentlicht

Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen. © Storyblocks, Registriert auf Andreas Wisler Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue A...

Continue reading
  6497 Hits
Tags:

ISO 27022 - Informationssicherheitsprozesse

Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen.   © Storyblocks, Registriert auf Andreas Wisler Die Norm trägt den offiziellen Titel «Information technology — Guidance on information security management syst...

Continue reading
  5439 Hits
Tags:

ISO 27001 – Risiko-Management

Das Kapitel 6 der ISO-Norm 27001 setzt sich mit der Planung auseinander. Der Schwerpunkt ist dabei der Umgang mit Risiken und Chancen. Die Norm verlangt, dass die im Kapitel 4.1 (Kontext) und 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) erkannten Anforderungen berücksichtigt werden. Daher ist es essentiell wichtig, die beiden Kapitel sauber durchzuarbeiten und möglichst genau das Unternehmen zu verstehen, inkl. aller ...

Continue reading
  10163 Hits
Tags:

Der Security Kreislauf

Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden. &nbs...

Continue reading
  2175 Hits
Tags:

ISO 27001 - Kryptografie

Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden. Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen. Der Wunsch, dass Informationen vertraulich und nur eingeschränkt verfügbar sind, ist so alt wie die Menschheit. Viele verschiedene Arten von Verschlüsselungstechnologien wurden entwickelt, wie speziel...

Continue reading
  7315 Hits
Tags:

ISO 27701 – Nachweisbarer Datenschutz?

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines». Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenig...

Continue reading
  2119 Hits
Tags:

ISO 27001 - Business Continuity Management

Im Kapitel 17 dreht sich alles um das Kontinuitätsmanagement (Business Continuity Management). Vorbereitungen werden auf einen möglichen Notfall werden getroffen, um die negativen Folgen einzugrenzen und ein Überleben des Unternehmens sicherzustellen. Die Norm verlangt, dass die Informationssicherheit auch in einer Krisensituation gewährleistet bleibt.  © Storyblocks, Registriert auf Andreas Wisler Eine Krise oder Katastrophe kann schnell ei...

Continue reading
  6146 Hits
Tags:

ISO 27001 – Ausweis für Ihre Informationssicherheit

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht. Dieser Artikel stellt den Start einer Reihe zum Th...

Continue reading
  2800 Hits
Tags:

Der IKT-Minimalstandard

Die Digitalisierung bringt nicht nur Vorteile mit sich, sondern auch neue Gefahren. Der Sicherheitsbedarf in der Informations- und Kommunikationstechnologie (IKT) nimmt zu. Unternehmen und Organisationen müssen sich vor den zunehmenden Gefahren durch Cyberangriffe schützen. Aus diesem Grund haben die Schweizer Bundesbehörden IKT-Minimalstandards festgelegt, die den Betreibern kritischer Infrastrukturen als zentrale Orientierungshilfe dienen. Dies...

Continue reading
  149 Hits
Tags:

Zu viele Normen für die Informationssicherheit

IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle, wie eine Art Kompass bieten sie eine Struktur und eine Erhöhung der Informationssicherheit. Aber was geschieht, wenn ein Segen zu einem Fluch wird? Eine schiere Überflutung an Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich. © Storyblocks, Registriert auf Andreas Wisler Die Flut der Standards Es gibt unzäh...

Continue reading
  154 Hits
Tags:

Change Management - Änderungen im Griff

 Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: „Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein". Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSC...

Continue reading
  589 Hits
Tags:

Security Operation Center (SOC): Zentraler Pfeiler der Cybersecurity

Verschiedene Statistiken zeigen, dass zwischen einem erfolgreichen Einbruch in ein Computer-Netzwerk, bis zum Entstehen eines Schadens, z.B. durch Datendiebstahl oder Ransomware, zwischen zwei Wochen und drei Monaten liegen. In dieser Zeit konfigurieren die Hacker eine Hintertüre, damit sie jederzeit wieder Zugriff haben, sehen sich im Netzwerk nach spannenden Informationen um und planen, wie sie möglichst viel Geld erpressen können. In dieser Ze...

Continue reading
  217 Hits
Tags:

Schwachstellen korrekt melden - coordinated vulnerability disclosure (CVD)

Schwachstellen kommen in praktisch jeder Software vor. Diese werden durch professionelle Penetration Tester, aber auch interessierten Informatiker gefunden (sogenannte Ethical Hacker). Doch wie sollen diese Schwächen gemeldet werden, damit sie geschlossen werden können? Mit dem CVD stehen ein Verfahren zur Meldung von Schwachstellen zur Verfügung. © Storyblocks, Registriert auf Andreas Wisler CVD, die koordinierte Offenlegung von Schwachstellen b...

Continue reading
  1323 Hits
Tags:

Echt jetzt Microsoft?

Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden.   Betroffen waren gemäss ersten Ergebnissen Konten bei Exchange Online und Outlook.com von 25 Organisationen...

Continue reading
  1027 Hits
Tags: