Nicht erst seit der DSGVO ist der Schutz personenbezogener Informationen wichtig. An vielen Stellen fallen diese an. Doch irgendwann ist der Zeitpunkt erreicht, an dem diese gelöscht werden müssen. Dies ist aber nicht einfach so möglich. Gerade wenn Datensätze miteinander verknüpft sind. Doch wie kann sichergestellt werden, dass sensible Daten geschützt bleiben – selbst dann, wenn sie geteilt, gespeichert oder analysiert werden? Die Norm ISO/IEC ...
Der Prüfungsprozess hat sich im Laufe der Jahre aufgrund des technologischen Fortschritts und der Veränderungen in diesem Bereich drastisch weiterentwickelt. Dazu gehören die Migration von Systemen und Anwendungen auf Cloud-Plattformen und die exponentielle Zunahme von Systemen, die personenbezogene Daten (PII) erfassen, speichern und verarbeiten, sowie verschärfte Datenschutzbestimmungen und eine immer komplexere Cybersicherheitslandschaft....
Künstliche Intelligenz (KI) verändert Wirtschaft und Gesellschaft grundlegend. Automatisierte Entscheidungsprozesse, selbstlernende Algorithmen und datengetriebene Innovationen eröffnen enorme Potenziale, bringen aber auch Herausforderungen mit sich. Unternehmen, die KI einsetzen, stehen vor zentralen Fragen: Wie lassen sich Risiken kontrollieren? Wie kann Transparenz und Nachvollziehbarkeit gewährleistet werden? Und wie bleibt Innovation dennoch...
Das NIST Cybersecurity Framework (CSF) 2.0 ist eine überarbeitete Version des beliebten Frameworks zur Verbesserung der Cybersicherheit. Die aktuelle Version wurde am 26. Februar 2024 veröffentlicht und wurde um aktuelle Themen wie Cloud oder AI erweitert. Cybersecurity Frameworks helfen dabei, den Schutz von Informationen in Unternehmen zu bewerten und Pläne zur Verbesserung zu erstellen. Das NIST CSF wurde 2018 in Version 1.1 veröffentlicht, ba...
Was beinhaltet die ISO 27001? Wie wird es umgesetzt? Diese Videoreihe von Marcel Grand und Andreas Wisler geht auf alle Details der Norm ein und bietet nützliche Tipps und Tricks zur erfolgreichen Umsetzung. https://www.gosecurity.ch/videoreihe/ Warum diese Video-Reihe? Anforderungen an die Informationssicherheit steigen stetigBis zur Zertifizierung sind viele Schritte notwendigAngriffe auf digitale Informationen von Unternehmen und Privatp...
Ob Unternehmen, Behörden oder Organisationen – der Schutz sensibler Daten ist heute unerlässlich. Doch es gibt inzwischen so viele Standards und Normen. Die ISO/IEC 27000er-Reihe bietet einen umfassenden Rahmen für das Management von Informationssicherheit, Risikobewertung und Datenschutz. Von grundlegenden Sicherheitsrichtlinien bis hin zu spezialisierten Normen für Cloud-Sicherheit, digitale Beweissicherung oder Datenschutz in Smart Cities – di...
Every month, thousands of passwords are stolen in hacker attacks. In addition, many people still use bad passwords. The most popular is still 123456, followed by password or hello. If the same password is used for various accesses, it becomes dangerous. But there are now alternatives. The top 200 passwords can be found at https://nordpass.com/most-common-passwords-list/. © Storyblocks, Registered on Andreas Wisler It has long been known that pass...
Mitte November 2024 wurden von OWASP die Top 10 Sicherheitsrisiken für KI-Sprachmodelle 2025 herausgegeben. Diese Risiken adressieren bekannte, aber auch neue Punkte, die es einzuhalten gilt. Werden bereits im Vorfeld Massnahmen ergriffen, können diese Modelle manipulationssicher betrieben werden. © Storyblocks, Registriert auf Andreas Wisler Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Initiative, die sich der Sicherh...
Wie vermeintliche Zertifikate Unternehmen in die Irre führen können In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen. Eine der prominentesten Normen im Bereich der Informationssicherheit ist die ISO 27001, die die Implementierung eines Informationssicherheit...
Mit der fortschreitenden Entwicklung in der IT kommen nicht nur neue Chancen, sondern auch erhöhte Risiken, insbesondere im Bereich der IT-Sicherheit und operativen Resilienz. Um diesen Herausforderungen zu begegnen, hat die Europäische Union die Digital Operational Resilience Act (DORA) verabschiedet. Dieses Regelwerk zielt darauf ab, die operative Widerstandsfähigkeit von Finanzunternehmen zu stärken und die Risiken von IT-Störungen und Cyberan...
Am 10. Oktober 2024 wurde von der EU der Cyber Resilience Act verabschiedet. Diese Verordnung dient der Erhöhung der Cybersicherheit von Produkten mit einer digitalen Komponente, um Verbraucher*innen und Unternehmen besser zu schützen. © Storyblocks, Registriert auf Andreas Wisler Der Cyber Resilience Act, kurz CRA, zielt darauf ab, Sicherheitsstandards zu schaffen, die den gesamten Lebenszyklus eines Produkts umfassen. Angesichts der Tatsache, d...
Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern. © Storyblocks, Registriert auf Andreas Wisler D...
Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung. &nb...
TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkei...
Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravierenden Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Audit...
Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und keine wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen. Doch k...
Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen. © Storyblocks, Registriert auf Andreas Wisler Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue A...
Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen. © Storyblocks, Registriert auf Andreas Wisler Die Norm trägt den offiziellen Titel «Information technology — Guidance on information security management syst...
Das Kapitel 6 der ISO-Norm 27001 setzt sich mit der Planung auseinander. Der Schwerpunkt ist dabei der Umgang mit Risiken und Chancen. Die Norm verlangt, dass die im Kapitel 4.1 (Kontext) und 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) erkannten Anforderungen berücksichtigt werden. Daher ist es essentiell wichtig, die beiden Kapitel sauber durchzuarbeiten und möglichst genau das Unternehmen zu verstehen, inkl. aller ...
Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden. &nbs...