Blog

During a recent engagement, Redguard’s security team conducted a penetration test against the GIS infrastructure of a customer. During this penetration test, a reflected cross-site scripting (XSS) vulnerability was discovered in the PDF export functionality of the MAP+ application, a WebGIS solution that provides a map to view, edit, and export geodata developed by the vendor TYDAC AG. This flaw, now assigned CVE-2026-0521, enables an unauthenticated attacker to craft a malicious URL, that if visited by a victim, executes JavaScript in the victim’s context. This vulnerability was rated with a medium-severity CVSS base score of 5.6. Concluding the initiated coordinated disclosure process, the vendor has released a patch to address this issue.

At Redguard, we regularly identify previously unknown security issues (zero-day vulnerabilities) during penetration tests, code reviews, and other client engagements. These findings affect not only the client’s systems, but also third-party products, platforms, or services they rely on. Most of these issues, however, remain strictly confidential due to non‑disclosure agreements (NDAs) in place with our clients — and as a result, they cannot be disclosed publicly.

When authorized by a client, we initiate a so-called coordinated vulnerability disclosure (CVD) process for relevant findings. This allows us to privately report verified vulnerabilities to the responsible vendor and support their remediation efforts, before publishing a technical advisory once the issue is resolved — or after a clearly defined timeline.

Das World Economic Forum (WEF) hat zu Beginn des Jahres 2026 zwei Berichte veröffentlicht: den “Global Risks Report 2026” und den “Global Cybersecurity Outlook 2026”. Beide Dokumente zeichnen das Bild einer Welt, die sich an einem kritischen Wendepunkt befindet. Geopolitische Spannungen, technologische Beschleunigung und wirtschaftliche Unsicherheiten verweben sich zu einer komplexen Risikolandschaft.

Für Unternehmen in der Schweiz und weltweit bedeutet dies, dass Cyber-Sicherheit nicht mehr isoliert als technisches Problem betrachtet werden kann. Sie ist zu einer strategischen Kernkompetenz geworden, um in einem volatilen Umfeld bestehen zu können. Wir haben die insgesamt 166 Seiten der beiden Reports für Sie analysiert und die wichtigsten Erkenntnisse zusammengefasst.

Mit der Veröffentlichung der aktualisierten Norm ISO/IEC 27701:2025 wird ein wichtiger struktureller Wandel vollzogen, der massgebliche Auswirkungen auf die Art und Weise hat, wie Unternehmen weltweit ihr Datenschutz-Managementsystem (DSMS) etablieren und zertifizieren lassen können.

Mit dem vorläufigen Entwurf des Cybersecurity Framework Profile for Artificial Intelligence (NIST IR 8596, Initial Preliminary Draft) legt das National Institute of Standards and Technology (NIST) einen weiteren Baustein im stetig wachsenden Ökosystem von Normen und Rahmenwerken rund um Künstliche Intelligenz vor. Der Anspruch ist dabei bewusst zurückhaltend formuliert: Statt ein neues Framework zu etablieren, handelt es sich um eine KI-spezifische Profilierung des bestehenden NIST Cybersecurity Framework 2.0. Doch wie tragfähig ist dieser Ansatz und für welche Organisationen entsteht tatsächlich ein Mehrwert?

On a Sunday evening during the summer, we discovered a high-severity vulnerability in Anthropic’s Claude Code CLI tool. This flaw, assigned CVE-2025-59828/CVE-2025-65099, allowed attackers, who can trick a victim to start Claude Code prior to version 1.0.39 within an untrusted directory, to gain arbitrary code execution. Exploitation would have required any version of the Yarn package manager to be installed on the target machine. User interaction, such as acceptance of the startup trust dialog, was not necessary. This issue has been assigned a CVSS v4.0 score of 7.7 (High) and was addressed in version 1.0.39.

Oftmals werden Social Engineering Einsätze als Modul im Rahmen einer Attack Simulation durchgeführt. Bei einem Einsatz prüfen unsere Social Engineers, ob relevante Schwachstellen in der physischen Sicherheit oder Verbesserungsmöglichkeiten in der Awareness der Mitarbeitenden bestehen, welche entweder direkt ausgenutzt werden oder zu einem weiterführenden Angriff im internen Netzwerk führen könnten. In diesem Blog-Beitrag wird die reale Situation eines vergangenen Auftrags in anonymisierter Form genutzt, um unser Vorgehen bei einem solchen Einsatz zu beschreiben. Das Ziel des Auftrags: In verschiedenen Filialen sowie im Hauptstandort Zugang zu sensitiven Räumen oder Objekten erhalten, um dadurch direkt an relevante Informationen zu gelangen oder die Vorbedingungen für einen internen, digitalen Angriff zu schaffen.

In der Nacht auf den 3. Dezember 2025 wurde eine kritische Schwachstelle (CVE-2025-55182) in React Server Components (RSC) veröffentlicht, die die Web-Entwicklungsgemeinschaft in Alarmbereitschaft versetzt. Mit einem CVSS-Score von 10.0 (kritisch) ermöglicht diese Lücke Angreifern, ohne Authentifizierung...

Ein bodenständiger Garagist aus der Region Gantrisch kaufte ein Fahrzeug für 60.000 Franken, die Rechnung sollte per E-Mail kommen. Als er das PDF öffnete, stutzte er: Die angegebene Bank war in Lausanne. Warum sollte sein langjähriger Partner aus dem Berner Oberland plötzlich mit einer Westschweizer Bank arbeiten? Ein schneller Anruf klärte alles: Der Partner wusste von nichts. Die Rechnung war gefälscht. So wurde er beinahe Opfer einer Business Email Compromise (BEC). Lesen Sie in diesem Artikel, wie gefährlich diese ist und was Sie dagegen tun können.

Die Schweizer FinTech-Bewilligung erleichtert den Markteintritt, verpflichtet aber zu einer belastbaren Organisation und IT-Sicherheit. Wer EU-Bezug hat, fällt zusätzlich unter DORA (anwendbar seit 17. Januar 2025). Entscheidend sind eine klare Governance, ein wirksames Third-Party-Risk-Management (TPRM), einheitliches Logging/Monitoring, Incident-Readiness sowie prüfbare Nachweise über die Umsetzung. Darüber hinaus werden ein ganzheitliches Cyber Risk Management und ein robustes Business Continuity Management (BCM) gefordert, welches die Widerstandsfähigkeit kritischer Prozesse durch regelmässige Notfallübungen sicherstellt. Sehen Sie im Folgenden eine Übersichtsdarstellung und lesen, warum jetzt Handlungsbedarf besteht.

In der EU verpflichtet die Payment Services Directive 2 (PSD2) Institute zu einer starken Kundenauthentifizierung (SCA) sowie zu standardbasierten, dokumentierten und überwachten Schnittstellen gemäss den Regulatory Technical Standards (RTS), wobei jedoch kein EU-weit einheitlicher API-Standard vorgeschrieben ist. In der Schweiz gibt es weiterhin keine generelle gesetzliche API-Öffnungspflicht. Der Bundesrat setzt auf einen marktgetriebenen Ansatz und beobachtet die Entwicklung laufend. Für Institute zählen nun, aufbauend auf den FINMA-Vorgaben, eine robuste API-Security-Architektur, saubere Governance, Third-Party-Risk-Management und prüfbare Evidenzen. Erfahren Sie in diesem Artikel, welche Anforderungen es gibt und was die Best Practices sind.

Ein Klick auf eine Phishing-Mail, ein verlorener Laptop oder ein Hackerangriff – schon ist ein Security Incident passiert. Doch bedeutet das automatisch auch eine datenschutzrechtliche Meldepflicht nach dem Schweizer Datenschutzgesetz (DSG)? In diesem Beitrag erfahren Sie, wann ein Security Incident datenschutzrelevant wird, welche Meldepflichten bestehen und warum es entscheidend ist, bereits im Vorfeld gut vorbereitet zu sein.

During a recent penetration test, Redguard’s security team identified a high-severity stored cross-site scripting (XSS) vulnerability in the Perx Customer Engagement & Loyalty Platform’s LMT Dashboard. This flaw, now assigned CVE-2025-11682, enabled an authenticated user to upload a specially crafted SVG image containing embedded JavaScript. The malicious script would then execute in the browsers of other users when they viewed the image on the LMT microsite. This allowed an attacker to hijack a user’s session, potentially performing unauthorized actions like modifying content, redirecting to malicious sites, or stealing sensitive information. This vulnerability was rated with a high-severity CVSS base score of 7.1. Following our coordinated disclosure, the vendor has released a patch to address this issue.

Der breite Einsatz von Software-as-a-Service (SaaS)-Anwendungen hat die Art und Weise, wie Unternehmen Geschäftslösungen bereitstellen, grundlegend verändert. Diese Transformation bringt jedoch erhebliche Sicherheitsherausforderungen mit sich, da bestehende Prozesse zur Verwaltung von Drittanbieterrisiken (Third Party Risk Management = TPRM) sich primär auf die organisatorische Sicherheit des Anbieters konzentrieren und nicht auf die Sicherheit der einzelnen SaaS-Anwendungen. Genau diese kritische Lücke schliesst das neue SaaS Security Capability Framework (SSCF) der Cloud Security Alliance (CSA). Das Framework definiert die technischen Mindestanforderungen an die Sicherheit von SaaS-Anwendungen, insbesondere für diejenigen, die gemäss dem Shared Security Responsibility Model (SSRM) in den Zuständigkeitsbereich des Kunden fallen. In diesem Artikel wird beschrieben, was das SSCF bieten kann.