Blog

Ein bodenständiger Garagist aus der Region Gantrisch kaufte ein Fahrzeug für 60.000 Franken, die Rechnung sollte per E-Mail kommen. Als er das PDF öffnete, stutzte er: Die angegebene Bank war in Lausanne. Warum sollte sein langjähriger Partner aus dem Berner Oberland plötzlich mit einer Westschweizer Bank arbeiten? Ein schneller Anruf klärte alles: Der Partner wusste von nichts. Die Rechnung war gefälscht. So wurde er beinahe Opfer einer Business Email Compromise (BEC). Lesen Sie in diesem Artikel, wie gefährlich diese ist und was Sie dagegen tun können.

Die Schweizer FinTech-Bewilligung erleichtert den Markteintritt, verpflichtet aber zu einer belastbaren Organisation und IT-Sicherheit. Wer EU-Bezug hat, fällt zusätzlich unter DORA (anwendbar seit 17. Januar 2025). Entscheidend sind eine klare Governance, ein wirksames Third-Party-Risk-Management (TPRM), einheitliches Logging/Monitoring, Incident-Readiness sowie prüfbare Nachweise über die Umsetzung. Darüber hinaus werden ein ganzheitliches Cyber Risk Management und ein robustes Business Continuity Management (BCM) gefordert, welches die Widerstandsfähigkeit kritischer Prozesse durch regelmässige Notfallübungen sicherstellt. Sehen Sie im Folgenden eine Übersichtsdarstellung und lesen, warum jetzt Handlungsbedarf besteht.

In der EU verpflichtet die Payment Services Directive 2 (PSD2) Institute zu einer starken Kundenauthentifizierung (SCA) sowie zu standardbasierten, dokumentierten und überwachten Schnittstellen gemäss den Regulatory Technical Standards (RTS), wobei jedoch kein EU-weit einheitlicher API-Standard vorgeschrieben ist. In der Schweiz gibt es weiterhin keine generelle gesetzliche API-Öffnungspflicht. Der Bundesrat setzt auf einen marktgetriebenen Ansatz und beobachtet die Entwicklung laufend. Für Institute zählen nun, aufbauend auf den FINMA-Vorgaben, eine robuste API-Security-Architektur, saubere Governance, Third-Party-Risk-Management und prüfbare Evidenzen. Erfahren Sie in diesem Artikel, welche Anforderungen es gibt und was die Best Practices sind.

Ein Klick auf eine Phishing-Mail, ein verlorener Laptop oder ein Hackerangriff – schon ist ein Security Incident passiert. Doch bedeutet das automatisch auch eine datenschutzrechtliche Meldepflicht nach dem Schweizer Datenschutzgesetz (DSG)? In diesem Beitrag erfahren Sie, wann ein Security Incident datenschutzrelevant wird, welche Meldepflichten bestehen und warum es entscheidend ist, bereits im Vorfeld gut vorbereitet zu sein.

During a recent penetration test, Redguard’s security team identified a high-severity stored cross-site scripting (XSS) vulnerability in the Perx Customer Engagement & Loyalty Platform’s LMT Dashboard. This flaw, now assigned CVE-2025-11682, enabled an authenticated user to upload a specially crafted SVG image containing embedded JavaScript. The malicious script would then execute in the browsers of other users when they viewed the image on the LMT microsite. This allowed an attacker to hijack a user’s session, potentially performing unauthorized actions like modifying content, redirecting to malicious sites, or stealing sensitive information. This vulnerability was rated with a high-severity CVSS base score of 7.1. Following our coordinated disclosure, the vendor has released a patch to address this issue.

Der breite Einsatz von Software-as-a-Service (SaaS)-Anwendungen hat die Art und Weise, wie Unternehmen Geschäftslösungen bereitstellen, grundlegend verändert. Diese Transformation bringt jedoch erhebliche Sicherheitsherausforderungen mit sich, da bestehende Prozesse zur Verwaltung von Drittanbieterrisiken (Third Party Risk Management = TPRM) sich primär auf die organisatorische Sicherheit des Anbieters konzentrieren und nicht auf die Sicherheit der einzelnen SaaS-Anwendungen. Genau diese kritische Lücke schliesst das neue SaaS Security Capability Framework (SSCF) der Cloud Security Alliance (CSA). Das Framework definiert die technischen Mindestanforderungen an die Sicherheit von SaaS-Anwendungen, insbesondere für diejenigen, die gemäss dem Shared Security Responsibility Model (SSRM) in den Zuständigkeitsbereich des Kunden fallen. In diesem Artikel wird beschrieben, was das SSCF bieten kann.

In der heutigen digitalen Landschaft ist Vertrauen die härteste Währung. Besonders für Cloud-Anbieter ist der nachweisbare Schutz von sensiblen Kundendaten nicht nur ein Qualitätsmerkmal, sondern eine grundlegende Geschäftsvoraussetzung. Aus diesem Grund entschied sich die stepping stone AG, ein führender Schweizer Serviceanbieter mit einer eigenen, auf zwei Rechenzentren verteilten Cloud-Infrastruktur, ihr Unternehmen nach dem international anerkannten Standard ISO/IEC 27001 zertifizieren zu lassen. Für diesen anspruchsvollen Weg und viele weitere Schritte danach, hat sich die stepping stone AG auf die Expertise der Redguard AG verlassen.

Im meinem letzten Blogbeitrag, Red Teaming LLM with PyRIT, haben wir die Grundlagen und die Notwendigkeit des Red Teamings für grosse Sprachmodelle (LLMs) beleuchtet. Nun gehen wir einen Schritt weiter. Anlässlich meines Vortrags bei der BotWerkstatt im Rahmen der Swiss AI Weeks habe ich ein praktisches Werkzeug in Form eines Jupyter Notebooks entwickelt. Dieses ermöglicht es, die Sicherheit von LLMs – in diesem Fall das neue Schweizer Modells Apertus – automatisiert zu testen. Dieser Artikel führt durch den Aufbau und die Funktionsweise und zeigt, wie wir mit gezielten Angriffen die Leitplanken eines Chatbots systematisch auf die Probe stellen können.

Zero Trust ist ein Sicherheitskonzept, das implizites Vertrauen eliminiert und jeden Schritt einer digitalen Interaktion kontinuierlich validiert. Lesen Sie diesen Artikel, um ein besseres Verständnis der Ursprünge, Prinzipien und Komponenten von Zero Trust zu gewinnen und besser einschätzen zu können, welche Mehrwerte Ihnen dieser IT-Sicherheitsarchitektur-Ansatz bieten kann.

Ein erfolgreiches Medtech-Unternehmen braucht mehr als innovative Technologie – es braucht Vertrauen. Oncobit, ein Pionier in der Krebsüberwachung, bietet hochpräzise Tests sowie eine Analyse-Software via Cloud-Plattform (Webportal) an. Der Schutz dieser sensiblen medizinischen Daten ist zentral. Die Labore und Pathologien, die Oncobit-Tests nutzen, verlassen sich darauf, dass ihre Daten und die Patientenergebnisse jederzeit vertraulich und unverändert bleiben. Erfahren Sie, wie wir Oncobit gezielt unterstützt haben.

Die GEVAG, Betreiber einer Kehrichtverbrennungsanlage und Fernwärmeversorgungsanbieter in Graubünden, steht für kritische Infrastruktur. Ein Ausfall oder die Fremdsteuerung der Verbrennungsanlage kann schwerwiegende Folgen für betroffene Gemeinden oder Fernwärmebezieher bedeuten. Um die Resilienz gegenüber Angriffen sowie ihre Cyber-Sicherheit zu stärken, beauftragte die GEVAG Redguard mit der Durchführung eines Penetration Tests ihrer internen sowie extern exponierten Systeme.

Was passiert, wenn Ihr Chatbot plötzlich unpassende, beleidigende oder sogar rechtlich fragwürdige Antworten liefert? Die potenziellen Konsequenzen können verheerend sein. Genau hier kommt das LLM Red Teaming ins Spiel – ein entscheidender Schritt, den jedes Unternehmen vor der Implementierung eines KI-gestützten Kundenservice ernst nehmen sollte. Lernen Sie in diesem kurzen Blogpost mehr dazu.

Die Vernetzung von Gebäudefunktionen wie Heizung, Strom, Wasser und Sicherheit ist ein unverzichtbarer Bestandteil moderner Gebäude. Die fortschreitende Integration dieser Systeme ins Internet birgt neue Risiken. Ein Cyberangriff kann den Betrieb beeinträchtigen und im schlimmsten Fall Menschenleben gefährden. Die Information Security Society Switzerland (ISSS), deren Kooperationspartner wir sind, hat dazu Empfehlungen und Best-Practices veröffentlicht. Das ISSS-Dokument richtet sich an Projektleiter und Betreiber von Gebäuden, insbesondere kritischer Infrastrukturen und öffentlicher Gebäude wie Schulen und Spitäler. Es gibt praxisorientierte Empfehlungen und Best-Practices zur Implementierung von Sicherheitsmassnahmen. Hier können Sie eine kurze Zusammenfassung lesen.

Energieversorgungsunternehmen (EVU) für Strom, Gas, Wärme und Wasser sind das Rückgrat unserer Gesellschaft. Die kontinuierliche und sichere Bereitstellung dieser essenziellen Güter ist von höchster Bedeutung. Eine Manipulation oder Unterbrechung durch Cyberangriffe hätte verheerende Folgen. Daher ist Cyber-Sicherheit für EVU nicht nur wichtig, sondern absolut notwendig. Eine Erfolgsgeschichte in diesem Bereich ist die Zusammenarbeit mit der StWZ Energie AG, die bereits im August 2022 die Weitsicht besass, sich auf den damals noch nicht verbindlichen IKT-Minimalstandard vorzubereiten.