ISO 27400:2022 – Sicherheit für IoT-Geräte

Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, etc. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherh...

Continue reading
  67 Hits
Tags:

ISO 27006 – Anforderungen an die Zertifizierer

 Während die ISO 27001 die Anforderungen an das Informationssicherheitsmanagementsystems eines Unternehmens definiert, gibt die ISO 27006 die Anforderungen an die Zertifizierungsstellen vor. Doch nicht nur für diese ist ein Blick in die Norm spannend. © Storyblocks, Registriert auf Andreas Wisler Als Grundlage für die gesamte Norm wird die ISO 17021-1 (Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zer...

Continue reading
  233 Hits
Tags:

ISO 27001:2022 – Neue Massnahmen

Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und eine einzige wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen....

Continue reading
  686 Hits
Tags:

ISO 27001:2022 veröffentlicht

Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen. © Storyblocks, Registriert auf Andreas Wisler Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue A...

Continue reading
  1981 Hits
Tags:

ISO 27032 – Cybersicherheit

Cybersicherheit ist heutzutage zu einem alltäglichen Schlagwort geworden. Es reicht nicht mehr IT-Sicherheit oder Informationssicherheit umzusetzen, sondern die Gesamtheit wird mit Cyber adressiert. Bereits 2012 wurde von ISO eine Norm genau zu diesem Thema veröffentlicht. Zeit also, diese etwas genauer zu betrachten. 6© Storyblocks, Registriert auf Andreas Wisler Im Vorwort geht die ISO-Norm genau auf dieses Thema Cyber ein und bezeichnet d...

Continue reading
  497 Hits
Tags:

PCI DSS – nicht nur Banken

 Für alle Unternehmen, die mit Kreditkarten in Berührung (Verarbeiten oder Speichern) kommen, müssen die Anforderungen aus der PCI DSS (Payment Card Industry Data Security Standard) umgesetzt werden. Hinter dem Standard stehen die Kreditkartenunternehmen, aber auch viele Banken und Zahlungsdienstleister. Am 31. März 2022 wurde die neue Version 4.0 nach über 9 Jahren Abstand seit dem letzten Major-Release veröffentlicht. Verbindlich wird dies...

Continue reading
  358 Hits
Tags:

CISO: ein Allerweltsheilmittel?

Noch ein Artikel über den CISO? "Noch ein Artikel über den CISO?", mögen Sie sich vielleicht fragen. Und diese Frage ist berechtigt, denn längst ist der CISO (Chief Information Security Officer) eine bekannte Rolle in einem Unternehmen. Dabei spielt die Grösse der Organisation keine Rolle, denn egal ob 10 oder 1000 Mitarbeitende beschäftigt sind - in beiden Fällen sollte ein CISO die Informationssicherheit steuern und kontrollieren. In kleinen Un...

Continue reading
  533 Hits
Tags:

ISO 27799 - Informationssicherheit im Gesundheitswesen

 Die ISO 27099 wurde im Dezember 2016 veröffentlicht. Sie ist aktuell nur in Englisch verfügbar und trägt den offiziellen Titel „Health informatics - Information security management in health using ISO/IEC 27002 (ISO 27799:2016)", auf Deutsch Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002. Wie im Titel ersichtlich ist, basiert diese Norm auf der ISO 27002 (aus dem Jahr 2013). Doch w...

Continue reading
  577 Hits
Tags:

Alternativen zu ISO 27001

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit und Wissen. Die ISO 27001 ist dazu der Standard, der als Referenz dient. Der erste Teil der Norm beschreibt den Aufbau des ISMS. Darin enthalten sind der Kontext, die Ressourcen, die Risiko-Bewertung, Audits und Verbesserungen. Ergänzt kommen 114 (Version 2013) bzw. 93 Massnahmen (Version 2022) dazu. Die Norm gilt als komplex in der Umsetzung. Mit mindestens einem J...

Continue reading
  816 Hits
Tags:

Umsetzung eines ISMS mit BSI-Standards

In den vergangenen BlogArtikeln haben wir sehr viel über die Anforderungen an ein Informationssicherheitsmanagementsystems (kurz ISMS) kennengelernt. Wie die Umsetzung aussieht, wie man idealerweise vorgeht, fehlt aber komplett. Hier können die Standards 200-x des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) helfen.    © Storyblocks, Registriert auf Andreas Wisler  Das BSI hatte bereits im Dezember 2005 die ...

Continue reading
  1031 Hits
Tags:

NIST Cybersecurity Framework

Das Cybersecurity Framework (CSF) des NIST (National Institute of Standards and Technology) ist ein Leitfaden, der Unternehmen hilft, die Risiken in der Informationssicherheit zu erfassen und zu verwalten. Bestehende Standards, Richtlinien und Praktiken werden darin referenziert. Die Schweiz hat das Framework übernommen und als IKT-Minimalstandard veröffentlicht. Es richtet sich vor allem an kritische Infrastrukturen, ist aber auch für Unternehme...

Continue reading
  936 Hits
Tags:

Der Weg zur Zertifizierung

Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravierenden Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Audit...

Continue reading
  886 Hits
Tags:

ISMS mit Tools

Ein Informationssicherheitsmanagementsystem, kurz ISMS, aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Heraus...

Continue reading
  1959 Hits
Tags:

CISO und IT-SiBE sind das Gleiche. Oder doch nicht?

Vor einigen Monaten durfte ich für eine mittelgrosse Krankenkasse ein Mandat als IT-Sicherheitsbeauftragter (kurz IT-SiBe) übernehmen. Wie meistens gibt es beim Start viel zu tun und viele Entscheidungen zu treffen. Dabei ist es wichtig, wie diese Rolle organisatorisch in das Unternehmen eingebunden ist. Ist diese zu tief oder gar an der falschen Stelle angehängt, kann es sein, dass die Wege lange sind oder Informationen verloren gehen. Sind dann...

Continue reading
  1398 Hits
Tags:

TISAX® und ISO 27001: Unterschiede und Gemeinsamkeiten

In diesem Blogbeitrag vergleicht Can Adiguzel TISAX® mit ISO27001, taucht tief in beide Normen ein und fasst die Ergebnisse zusammen. Dabei wird nicht nur auf die Unterschiede eingegangen, sondern auch Gemeinsamkeiten und Synergien zwischen den beiden Standards aufgezeigt. Hier ist ein umfassender Vergleich zwischen TISAX® und ISO 27001.  Hier geht es zum Original Post: https://360dt.de/tisax-iso-27001/ Was sind die ...

Continue reading
  2491 Hits
Tags:

Open Source, wirklich kostenlos?

In vielen Unternehmen wird auf Open Source Software zurückgegriffen. Vermeintlich kostenlos wird die gewünschte Anwendung aus dem Internet heruntergeladen und auf dem Firmencomputer installiert. Doch Open Source ist nicht per se kostenlos, hohe Schadenersatzforderungen können die Folge sein. Wichtig daher, sich mit den verschiedenen Lizenz-Formen auseinanderzusetzen. © Storyblocks, Registriert auf Andreas Wisler Eine Lizenz stellt einen Vertrag z...

Continue reading
  761 Hits
Tags:

ISO 27022 - Informationssicherheitsprozesse

Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen.   © Storyblocks, Registriert auf Andreas Wisler Die Norm trägt den offiziellen Titel «Information technology — Guidance on information security management syst...

Continue reading
  2067 Hits
Tags:

Forensik – Spurensicherung

 Wurde ein erfolgreicher Cyber-Angriff auf ein Unternehmen verübt, gilt es Spuren zu sichern, um den Vorfall und das Vorgehen nachvollziehen zu können. Dabei gilt es einige Dinge zu beachten, um diese auch gerichtlich verwerten zu können (Beweismittel) und nicht Spuren zu zerstören. Hier kommt die IT-Forensik zum Einsatz. Wir kennen dies von TV-Sendungen wie CSI. Dich im echten Leben ist es doch nicht so einfach und so schnell. © Storyblocks...

Continue reading
  1393 Hits
Tags:

EDÖB anerkennt die neuen EU-Standardvertragsklauseln

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 27. August 2021 die revidierten EU-Standardvertragsklauseln für eine Datenübermittlung in Länder ohne ein angemessenes Datenschutzniveau grundsätzlich anerkannt. Erforderlich ist allerdings, dass gewisse Anpassungen vorgenommen werden. © Storyblocks, Registriert auf Andreas Wisler Was ist der Hintergrund?Seit dem 15. Juni 2021 gelten die neuen EU-Standardvertragsklauseln...

Continue reading
  464 Hits
Tags:

Kanban - Werkzeug für die IT-Sicherheit?

In der Software-Entwicklung sind agile Methoden schon viele Jahre bekannt und werden gelebt. Die Produktivität und die Arbeitszufriedenheit erhöhen sich. Die Qualität leidet dabei nicht und konnte sogar verbessert werden. Doch wie sieht das in der Informationssicherheit aus? Können auch hier agile Werkzeuge helfen, diese zu erhöhen?   © Storyblocks, Registriert auf Andreas Wisler Was ist Kanban? Vielen ist Kanban nur als «viele Post-Its...

Continue reading
  833 Hits
Tags: