Blog

Es geht nicht darum, ob, sondern wann Sie als Unternehmen in die Cloud gehen. Dasselbe gilt für Cyber-Angriffe, welche ebenfalls nur eine Frage der Zeit sind. Wie können Sie sich also sicher in der Cloud bewegen und vor Angriffen schützen? Erfahren Sie hier, welche Prinzipien Sie beachten sollten, um die Vorteile von Microsoft-Cloud-Lösungen zu maximieren und gleichzeitig ihre digitalen Vermögenswerte und vertraulichen Daten proaktiv zu schützen.

Nach der Verabschiedung der neuen Version des Standards ISO/IEC27001:2022 ist es soweit: Alle zertifizierten Organisationen müssen sich im Rahmen eines Transitions-Audits auf der Basis der neuen Version des Standards zertifizieren lassen. Dafür haben sie bis spätestens am 31.10.2025 Zeit. Sonst verliert ihr Zertifikat seine Gültigkeit. Dies kann u. a. für Softwareunternehmen sehr kritisch sein, bedeutet doch ein ungültiges Zertifikat vertraglich oft einen ausserordentlichen Kündigungsgrund für deren Kunden. Neben einer Umstrukturierung der Gruppierung der bereits vorhandenen Massnahmen sind es vor allem die neu hinzugekommenen elf Massnahmen, die Mehrarbeit verursachen. Versteht man den ISO-Standard, lassen sich die Änderungen aber mit vertretbarem Aufwand umsetzen und die Transition erfolgreich realisieren.

In der dynamischen Welt der Finanzbranche ist die Nutzung von Cloud-Services ein unverzichtbarer Bestandteil für Innovation und Wettbewerbsfähigkeit. Doch während Cloud-Technologien immer weiter an Bedeutung gewinnen, stehen Finanzinstitute vor einer entscheidenden Herausforderung: die Sicherheit sensibler Daten in der Cloud. Von der Speicherung bis zur Bearbeitung von Kundendaten (CIDs) stellen sich Fragen nach Datenschutz, Zugriffskontrolle und regulatorischer Compliance. Wir fassen die Schlüsselthemen der Cloud-Sicherheit in der Finanzbranche zusammen und zeigen auf, wie Sie eine sichere Nutzung gewährleisten können. Erfahren Sie, wie Redguard als Ihr verlässlicher Partner Ihnen dabei hilft, die Cloud-Sicherheit zu stärken und Ihre Transformation in eine sichere, moderne Arbeitsumgebung zu unterstützen.

Während agile Entwicklungsmethoden wie DevOps die Effizienz und Geschwindigkeit der Software-Bereitstellung verbessert haben, hat die Integration von Sicherheitsmassnahmen oft nicht Schritt gehalten. Hier kommt DevSecOps ins Spiel – ein Ansatz, der Sicherheit zu grossen Teilen automatisiert und von Anfang an in den Entwicklungsprozess integriert. Um dessen Umsetzung optimal auf den Weg zu bringen oder die eigene Umsetzung ganzheitlich überprüfen zu lassen, ist es sinnvoll, externe Experten hinzuzuziehen. Eine Investition, die sich lohnt, da sich der Sicherheitsgewinn während des Einsatzes des neuen bzw. verbesserten DevSecOps-Ansatzes immer wieder bezahlt macht.

Der zunehmende Einsatz von Dienstleistern in der Wertschöpfungskette und in Unterstützungsprozessen führt zu einer erhöhten Komplexität in der Identifizierung, Bewertung und Überwachung des Risikoportfolios. Oftmals werden für die Dienstleistungserbringung vom primären Vertragsnehmer weitere Subdienstleister beigezogen. Für das Finanzinstitut steigen dadurch Komplexität und Aufwand für das Risikomanagement und die Kontrolle der Einhaltung der Sicherheitsvorgaben. Die Verantwortung für die Sicherheit der Informationen liegt nämlich jederzeit beim Eigentümer der Daten. Somit liegt das Risiko eines Sicherheitsvorfalls und damit einhergehende Schäden bei Ihnen als Finanzinstitut. Auf welche Herausforderungen Sie besonders achten müssen und welche Vorgaben der FINMA Sie in welchem Rundschreiben finden, lesen Sie hier.

Lesen Sie, wie sich das Cyber-Sicherheitsniveau von Schweizer Organisationen und Unternehmen in den letzten sechs Jahren entwickelt hat. Die Ergebnisse orientieren sich am IKT-Minimalstandard und decken unter anderem wichtige Kernelemente wie Risikomanagement, Lieferantenmanagement, Awareness und Training, Monitoring und Log-Management, Incident Management, Business Continuity Management sowie Krisenkommunikation ab. Die teilnehmenden Unternehmen schätzten jeweils ihr aktuelles Sicherheitsniveau anhand unseres Quick-Tests ein. Erfahren Sie, welche Massnahmen sich in Anbetracht der erhobenen Resultate besonders anbieten.

Die AAC Infotray ist Expertin für leistungsstarke Software-Lösungen und unterstützt Kunden dabei, ihre Prozesse mit massgeschneiderten Lösungen zu digitalisieren. Naturgemäss sind dabei immer Betriebsgeheimnisse und schützenswerte Daten involviert. Die AAC Infotray ist ISO 27001-zertifiziert und lässt sich komplementär dazu von uns beraten, indem sie ihre Technologieplattform laufend Penetration Tests und Architektur-Reviews unterziehen lässt. Die langjährige, vertrauensvolle Zusammenarbeit begann in 2014. In diesem Jahr wurden wir zusätzlich beauftragt, die internen Systeme zu prüfen und daraus Massnahmen für noch mehr Sicherheit abzuleiten.

Seit Anfang des Jahres sponsoren wir die erfolgreiche Schweizer Triathletin Jamie Besse. Was Cyber Security und Triathlon gemeinsam haben und warum wir uns als Redguard in einer ähnlichen Rolle wie Jamie sehen, erfahren Sie gleich. Seien Sie ausserdem gespannt auf die Erfolgsfaktoren, die eine Triathletin beachten muss und wie sie diese auf Ihr eigenes Unternehmen anwenden können.

Viele Organisationen und Unternehmen sind gesetzlich verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen. Dieses vernetzt Regeln, Verfahren, Massnahmen und Tools, um eine optimale, dem Unternehmen angepasste, Informations- und Cyber-Sicherheit zu gewährleisten. Dabei werden sowohl die individuellen Gegebenheiten einer Organisation berücksichtigt als auch deren Risikoappetit. Lesen Sie hier, wie Sie mit geringem Aufwand ein ISMS für Ihr Unternehmen einführen.

Am 10. Januar 2024 war es wieder soweit: Die Information Security Society Switzerland (ISSS) hatte zur alljährlichen Berner Tagung eingeladen. Und wir waren natürlich wieder dabei. Schliesslich sind wir seit unserer Gründung Mitglied und wissen den Austausch unter Security Profis sehr zu schätzen. Was uns eine Kampfpilotin gelehrt hat, an wen die Awards gingen und wie wir die Tagung erlebt haben, erfahren Sie hier.

Nach dreijähriger Pause wurde der Chaos Communication Congress (CCC) zum 37. Mal abgehalten. Diesmal wieder im vollständig erneuerten Congress Center Hamburg. Die Veranstaltung findet jeweils während vier Tagen zwischen Weihnachten und Silvester statt und glänzt mit unterschiedlichen Vorträgen, Workshops und Veranstaltungen in den Bereichen Technologie, Cyber Security und angelehnte gesellschaftspolitische Themen. Der Kongress lockt jährlich über 17’000 (auch internationale) Besuchende an und gilt als grösste Hacker-Konferenz in Europa. Ausgerichtet auf das Motto «Unlocked» war das Programm vielfältig gestaltet. Sieben Personen aus dem Redguard-Team waren vor Ort, um sich weiterzubilden und für den persönlichen Austausch innerhalb der Community. Sie haben ihre Highlights zusammengestellt, inklusive Links zu allfällig vorhandenen Video-Aufzeichnungen.

In der dynamischen Welt der Cybersicherheit gibt es eine Konstante, welche sowohl Angreifer als auch Verteidiger betrifft: die Notwendigkeit der ständigen Verbesserung. Die Schweizerische Unfallversicherung (Suva) ist sich dessen bewusst und lässt daher seit Jahren regelmässig Angriffs-Simulationen durchführen, bei denen verschiedene Bereiche der IT-Security auf die Probe gestellt werden. Lesen Sie hier, wie unsere langjährige Zusammenarbeit Früchte trägt und warum Angriff die beste Verteidigung ist.

Microsoft Excel kommt immer noch sehr häufig zum Einsatz – trotz modernen Web Applikationen. Die Funktion des Exports und Imports von Excel-Dateien bietet eine Angriffsfläche für Kriminelle, weshalb dies mittels Penetration Tests geprüft werden sollte. Solche Schnittstellen umfassend und effizient auf allfällige Schwachstellen zu untersuchen, stellt sich jedoch meistens komplexer und aufwendiger dar, als dies initial den Anschein macht. Um unseren Kunden die bestmögliche Effizienz bei möglichst breiter Testabdeckung zu ermöglichen, haben wir eine Erweiterung für den Interception-Proxy Burp Suite programmiert, welche diese Komplexität reduziert und die Effizienz des Security Testers erhöht. So können wir diesen Angriffsvektor als Teil Ihres nächsten Web Penetration Tests noch umfassender und effizienter analysieren.

(Informations-)sicherheit in der Industrie stellt besondere Anforderungen an das Produktionsunternehmen. Aufgrund von Verletzungsgefahren liegt ein Hauptmerk auf der OT-Security, der Sicherheit von Operational Technology Systemen. Wie wir für die Truffer AG eine Sicherheitsanalyse durchführten, welche Massnahmen wir unter anderem beschlossen und was es mit dem Purdue-Modell für industrielle Steuerungssysteme (ICS) auf sich hat, erfahren Sie in diesem Beitrag.