NIS 2 – Erhöhung der Informationssicherheit

Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern. © Storyblocks, Registriert auf Andreas Wisler  D...

Continue reading
  1175 Hits
Tags:

TISAX 6 ist da – Anforderungen an die Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkei...

Continue reading
  120 Hits
Tags:

Schwachstellen korrekt melden - coordinated vulnerability disclosure (CVD)

Schwachstellen kommen in praktisch jeder Software vor. Diese werden durch professionelle Penetration Tester, aber auch interessierten Informatiker gefunden (sogenannte Ethical Hacker). Doch wie sollen diese Schwächen gemeldet werden, damit sie geschlossen werden können? Mit dem CVD stehen ein Verfahren zur Meldung von Schwachstellen zur Verfügung. © Storyblocks, Registriert auf Andreas Wisler CVD, die koordinierte Offenlegung von Schwachstellen b...

Continue reading
  657 Hits
Tags:

Echt jetzt Microsoft?

Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden.   Betroffen waren gemäss ersten Ergebnissen Konten bei Exchange Online und Outlook.com von 25 Organisationen...

Continue reading
  732 Hits
Tags:

Bewertung von Sicherheitslücken

 Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS).Ende 2023 kam die neue Version des Standards heraus. © Storyblocks, Registriert auf Andreas Wisler Das standardisierte System zur Bewertung von Sicherheitslücken existiert seit 2005 und ist mehrfach an aktuelle Anforderungen angepasst worden. CVSS verwendet eine Reihe von Metriken, um die Auswirkungen einer Schwachstelle auf Ve...

Continue reading
  370 Hits
Tags:

DIN SPEC 27076 - IT-Sicherheitsberatung für Klein- und Kleinstunternehmen

Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung. &nb...

Continue reading
  418 Hits
Tags:

Einführung in die Datenanalyse

In der heutigen Zeit können Daten, bzw. die Informationen darin, als wichtige Währung angeschaut werden. Praktisch überall fallen Daten an. Bei der Datenanalyse geht es darum, Daten in Erkenntnisse für bessere Geschäftsentscheidungen umzuwandeln. In den Daten verbergen sich Geschäftseinblicke und Muster, die aufgedeckt werden sollen, um die eigenen Prozesse zu vereinfachen und zu verbessern. Die Datenanalyse beginnt mit den Fragen "Woher kommen d...

Continue reading
  491 Hits
Tags:

27001 - Videoreihe

 Was beinhaltet die ISO 27001? Wie wird es umgesetzt? Diese Videoreihe von Marcel Grand und Andreas Wisler geht auf alle Details der Norm ein und bietet nützliche Tipps und Tricks zur erfolgreichen Umsetzung. https://www.gosecurity.ch/videoreihe/ Warum diese Video-Reihe? Anforderungen an die Informationssicherheit steigen stetigBis zur Zertifizierung sind viele Schritte notwendigAngriffe auf digitale Informationen von Unternehmen und Privatp...

Continue reading
  824 Hits
Tags:

ISO 22361:2022 – Grundlagen für das Krisen-Management

Letzten Oktober wurde die ISO 22361 veröffentlicht. Sie bietet die Basis für das Krisen-Management, welches für Firmen jeglicher Grösse gedacht ist. Die neue Norm beschreibt nicht nur das Krisenmanagement, sondern auch Ereignisse, beschreibt die Aufbauorganisation, die strategische Entscheidungsfindung wie auch die Führung in der Krise. Weiter ermöglicht es internen und externen Auditoren die Prüfung dieser Prozesse. Werfen wir zusammen einen tie...

Continue reading
  769 Hits
Tags:

Künstliche Intelligenz in der Informationssicherheit: Gefahr und Risiken

 In den letzten Jahrzehnten hat sich die künstliche Intelligenz (KI) zu einer treibenden Kraft in der digitalen Transformation entwickelt. Unternehmen und Organisationen setzen vermehrt KI-Technologien ein, um ihre Abläufe zu optimieren und Erkenntnisse aus ihren Daten zu gewinnen. Während die Möglichkeiten von KI beeindruckend sind, birgt diese Technologie auch Risiken im Hinblick auf die Informationssicherheit. In diesem Artikel beleuchten...

Continue reading
  1516 Hits
Tags:

Nationale Cyberstrategie des Bundes (NCS)

«Die Schweiz nutzt die Chancen der Digitalisierung und mindert Cyberbedrohungen und deren Auswirkungen durch geeignete Schutzmassnahmen. Sie gehört zu den weltweit führenden Wissens-, Bildungs- und Innovationsstandorten in der Cybersicherheit. Die Handlungsfähigkeit und die Integrität ihrer Bevölkerung, ihrer Wirtschaft, ihrer Behörden und der in der Schweiz ansässigen internationalen Organisationen gegenüber Cyberbedrohungen sind gewährleistet.»...

Continue reading
  598 Hits
Tags:

Das Passwort ist tot, lang lebe das Passwort

Jeden Monat werden tausende von Kennwörtern bei Hacker-Angriffen gestohlen. Zudem verwenden immer noch viele Menschen schlechte Kennwörter. Das Beliebteste ist noch immer 123456, gefolgt von password oder hallo. Wenn das gleiche Kennwort noch für diverse Zugänge genutzt wird, wird es gefährlich. Doch es gibt inzwischen Alternativen. Die Top 200 Passwörter können unter https://nordpass.com/most-common-passwords-list/ abgerufen werden.   © Sto...

Continue reading
  1301 Hits
Tags:

ISO 27007 - Leitfaden für das Auditieren von Informationssicherheitsmanagementsystemen

Vor zwei Monaten haben wir uns um die Anforderungen an Zertifizierungsstellen gekümmert (beschrieben in der ISO 27006). Begleitend dazu gibt es die ISO 27007, zuletzt im Jahr 2022 aktualisiert, die zeigt, wie ein ISMS-Audit durchgeführt werden soll. Das Dokument gibt eine Anleitung für alle Grössen und Arten von Organisationen, die ISMS-Audits durchführen müssen/wollen, unabhängig davon, ob es sich um einen oder mehrere Auditoren handelt. © Story...

Continue reading
  1750 Hits
Tags:

Risiko-Management nach ISO 27005

 Im jährlich durchgeführten Allianz Risk Barometer gab es in diesem Jahr eine Verschiebung. Neu sind Cyber-Risiken auf dem ersten Platz gelandet. Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie, die alle Unternehmen beschäftigt hat. Um diesen Risiken begegnen zu können, ist ...

Continue reading
  1529 Hits
Tags:

ISO 27001:2022 veröffentlicht

Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen. © Storyblocks, Registriert auf Andreas Wisler Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue A...

Continue reading
  5532 Hits
Tags:

ISO 27002:2022 – Die Informationssicherheit in neuem Gewand

Mitte Februar wurde die ISO 27002:2022 veröffentlicht. Der Draft wurde bereits am 28. Januar 2021 den interessierten Personen zur Verfügung gestellt. Nach neun Jahren ist nun der Nachfolger der ISO 27002:2013 verfügbar. Während die Anforderungen an das ISMS (ISO 27001) unverändert bleiben, hat sich bei den so genannten Controls einiges getan. Dieser Artikel zeigt, was Sie erwartet und wie Sie die Veränderungen umsetzen können. Sollten S...

Continue reading
  11031 Hits
Tags:

ISO 27001:2022 – Neue Massnahmen

Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und keine wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen. Doch k...

Continue reading
  4356 Hits
Tags:

ISO 27400:2022 – Sicherheit für IoT-Geräte

Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, etc. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherh...

Continue reading
  1197 Hits
Tags:

ISO 27006 – Anforderungen an die Zertifizierer

 Während die ISO 27001 die Anforderungen an das Informationssicherheitsmanagementsystems eines Unternehmens definiert, gibt die ISO 27006 die Anforderungen an die Zertifizierungsstellen vor. Doch nicht nur für diese ist ein Blick in die Norm spannend. © Storyblocks, Registriert auf Andreas Wisler Als Grundlage für die gesamte Norm wird die ISO 17021-1 (Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zer...

Continue reading
  1705 Hits
Tags:

ISO 27032 – Cybersicherheit

Cybersicherheit ist heutzutage zu einem alltäglichen Schlagwort geworden. Es reicht nicht mehr IT-Sicherheit oder Informationssicherheit umzusetzen, sondern die Gesamtheit wird mit Cyber adressiert. Bereits 2012 wurde von ISO eine Norm genau zu diesem Thema veröffentlicht. Zeit also, diese etwas genauer zu betrachten. 6© Storyblocks, Registriert auf Andreas Wisler Im Vorwort geht die ISO-Norm genau auf dieses Thema Cyber ein und bezeichnet d...

Continue reading
  1253 Hits
Tags: