Security Advisory: Multiple Vulnerabilities in the Open Source CMS Bludit Jun 20, 2024

In order to prepare for the OffSec Web Expert (OSWE) certification exam, I searched for open source web applications that I can analyze in a white box approach. I stumbled upon Bludit, an open source content management system for building websites and blogs. After a few hours of testing, I found five...

Blog-Post lesen

Kubernetes Hacking Challenge @ Area41 Jun 12, 2024

This year at Area41, we didn’t just attend, present and sponsor – we also unleashed a Kubernetes hacking challenge that had security pros buzzing (and sweating a little). In this blog post we want to tell you a bit more on what it was all about, how it went down and what the solution was. Enjoy!

Blog-Post lesen

Finanzbranche: Challenge IT General Controls May 30, 2024

Im Rahmen des IT Risk Managements werden auf Basis identifizierter Risiken adäquate Schutzmassnahmen (Controls) zur Mitigation definiert und implementiert. Durch Outsourcings und Verwendung unterschiedlicher Cloud-Modelle (SaaS, PaaS, IaaS) sind die Verantwortlichkeiten für die verschiedenen Layer je nach Modell unterschiedlich (Shared Responsibility). Somit sind sowohl Risiken als auch mitigierende Massnahmen nicht nur im Verantwortungsbereich von auslagernden Finanzinstituts, sondern auch beim beauftragten Dienstleister. Gleichwohl obliegt die ultimative Verantwortung stets beim auslagernden Finanzinstitut. IT General Controls (ITGCs) bilden ein Instrument, um sowohl die eigenen als auch ausgelagerten Risiken mit geeigneten Kontrollen zu adressieren. Was ITGSs sind und warum auch die Überprüfung der Controls wichtig, aber auch herausfordernd ist, erfahren Sie hier.

Blog-Post lesen

FINMA-Rundschreiben «2023/1 Operationelle Risiken und Resilienz – Banken»: Jetzt Überblick verschaffen May 24, 2024

Seit dem 1. Januar 2024 ist das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen Risiken und Resilienz bei Banken in Kraft. Es ersetzt das bisherige Rundschreiben 2008/21 und bringt Neuerungen mit sich, die für Banken und Finanzinstitute von großer Bedeutung sind. In diesem Beitrag bieten wir Ihnen einen Überblick über die wichtigsten Aspekte des neuen Rundschreibens. Erfahren Sie, wen die neuen Regelungen betreffen, welche Grundsätze im Fokus stehen und welche Maßnahmen Sie zur Erhöhung der Resilienz und Sicherheit ergreifen müssen, um dem FINMA-Rundschreiben zu entsprechen.

Blog-Post lesen

Kein Himmel ohne Wolken ... keine IT ohne Cloud! May 6, 2024

Es geht nicht darum, ob, sondern wann Sie als Unternehmen in die Cloud gehen. Dasselbe gilt für Cyber-Angriffe, welche ebenfalls nur eine Frage der Zeit sind. Wie können Sie sich also sicher in der Cloud bewegen und vor Angriffen schützen? Erfahren Sie hier, welche Prinzipien Sie beachten sollten, um die Vorteile von Microsoft-Cloud-Lösungen zu maximieren und gleichzeitig ihre digitalen Vermögenswerte und vertraulichen Daten proaktiv zu schützen.

Blog-Post lesen

Wechsel auf ISO 27001:2022 mit vertretbarem Aufwand Apr 25, 2024

Nach der Verabschiedung der neuen Version des Standards ISO/IEC27001:2022 ist es soweit: Alle zertifizierten Organisationen müssen sich im Rahmen eines Transitions-Audits auf der Basis der neuen Version des Standards zertifizieren lassen. Dafür haben sie bis spätestens am 31.10.2025 Zeit. Sonst verliert ihr Zertifikat seine Gültigkeit. Dies kann u. a. für Softwareunternehmen sehr kritisch sein, bedeutet doch ein ungültiges Zertifikat vertraglich oft einen ausserordentlichen Kündigungsgrund für deren Kunden. Neben einer Umstrukturierung der Gruppierung der bereits vorhandenen Massnahmen sind es vor allem die neu hinzugekommenen elf Massnahmen, die Mehrarbeit verursachen. Versteht man den ISO-Standard, lassen sich die Änderungen aber mit vertretbarem Aufwand umsetzen und die Transition erfolgreich realisieren.

Blog-Post lesen

Cloud Security: Herausforderung in der Finanzbranche Apr 22, 2024

In der dynamischen Welt der Finanzbranche ist die Nutzung von Cloud-Services ein unverzichtbarer Bestandteil für Innovation und Wettbewerbsfähigkeit. Doch während Cloud-Technologien immer weiter an Bedeutung gewinnen, stehen Finanzinstitute vor einer entscheidenden Herausforderung: die Sicherheit sensibler Daten in der Cloud. Von der Speicherung bis zur Bearbeitung von Kundendaten (CIDs) stellen sich Fragen nach Datenschutz, Zugriffskontrolle und regulatorischer Compliance. Wir fassen die Schlüsselthemen der Cloud-Sicherheit in der Finanzbranche zusammen und zeigen auf, wie Sie eine sichere Nutzung gewährleisten können. Erfahren Sie, wie Redguard als Ihr verlässlicher Partner Ihnen dabei hilft, die Cloud-Sicherheit zu stärken und Ihre Transformation in eine sichere, moderne Arbeitsumgebung zu unterstützen.

Blog-Post lesen

DevSecOps: Ein lohnendes Investment Apr 10, 2024

Während agile Entwicklungsmethoden wie DevOps die Effizienz und Geschwindigkeit der Software-Bereitstellung verbessert haben, hat die Integration von Sicherheitsmassnahmen oft nicht Schritt gehalten. Hier kommt DevSecOps ins Spiel – ein Ansatz, der Sicherheit zu grossen Teilen automatisiert und von Anfang an in den Entwicklungsprozess integriert. Um dessen Umsetzung optimal auf den Weg zu bringen oder die eigene Umsetzung ganzheitlich überprüfen zu lassen, ist es sinnvoll, externe Experten hinzuzuziehen. Eine Investition, die sich lohnt, da sich der Sicherheitsgewinn während des Einsatzes des neuen bzw. verbesserten DevSecOps-Ansatzes immer wieder bezahlt macht.

Blog-Post lesen

Überwachung eingesetzter Dienstleister in der Finanzbranche Apr 8, 2024

Der zunehmende Einsatz von Dienstleistern in der Wertschöpfungskette und in Unterstützungsprozessen führt zu einer erhöhten Komplexität in der Identifizierung, Bewertung und Überwachung des Risikoportfolios. Oftmals werden für die Dienstleistungserbringung vom primären Vertragsnehmer weitere Subdienstleister beigezogen. Für das Finanzinstitut steigen dadurch Komplexität und Aufwand für das Risikomanagement und die Kontrolle der Einhaltung der Sicherheitsvorgaben. Die Verantwortung für die Sicherheit der Informationen liegt nämlich jederzeit beim Eigentümer der Daten. Somit liegt das Risiko eines Sicherheitsvorfalls und damit einhergehende Schäden bei Ihnen als Finanzinstitut. Auf welche Herausforderungen Sie besonders achten müssen und welche Vorgaben der FINMA Sie in welchem Rundschreiben finden, lesen Sie hier.

Blog-Post lesen

Redguard Security Survey 2024 – Erfüllen Schweizer Unternehmen den IKT-Minimalstandard? Mar 28, 2024

Lesen Sie, wie sich das Cyber-Sicherheitsniveau von Schweizer Organisationen und Unternehmen in den letzten sechs Jahren entwickelt hat. Die Ergebnisse orientieren sich am IKT-Minimalstandard und decken unter anderem wichtige Kernelemente wie Risikomanagement, Lieferantenmanagement, Awareness und Training, Monitoring und Log-Management, Incident Management, Business Continuity Management sowie Krisenkommunikation ab. Die teilnehmenden Unternehmen schätzten jeweils ihr aktuelles Sicherheitsniveau anhand unseres Quick-Tests ein. Erfahren Sie, welche Massnahmen sich in Anbetracht der erhobenen Resultate besonders anbieten.

Blog-Post lesen

Cyber Security für Softwareunternehmen: Früchte einer langjährigen Zusammenarbeit Mar 20, 2024

Die AAC Infotray ist Expertin für leistungsstarke Software-Lösungen und unterstützt Kunden dabei, ihre Prozesse mit massgeschneiderten Lösungen zu digitalisieren. Naturgemäss sind dabei immer Betriebsgeheimnisse und schützenswerte Daten involviert. Die AAC Infotray ist ISO 27001-zertifiziert und lässt sich komplementär dazu von uns beraten, indem sie ihre Technologieplattform laufend Penetration Tests und Architektur-Reviews unterziehen lässt. Die langjährige, vertrauensvolle Zusammenarbeit begann in 2014. In diesem Jahr wurden wir zusätzlich beauftragt, die internen Systeme zu prüfen und daraus Massnahmen für noch mehr Sicherheit abzuleiten.

Blog-Post lesen

Cyber Security und Triathlon: Erfolgsfaktoren, die Ihr CISO beachten sollte Feb 21, 2024

Seit Anfang des Jahres sponsoren wir die erfolgreiche Schweizer Triathletin Jamie Besse. Was Cyber Security und Triathlon gemeinsam haben und warum wir uns als Redguard in einer ähnlichen Rolle wie Jamie sehen, erfahren Sie gleich. Seien Sie ausserdem gespannt auf die Erfolgsfaktoren, die eine Triathletin beachten muss und wie sie diese auf Ihr eigenes Unternehmen anwenden können.

Blog-Post lesen

Unterstützung bei einer pragmatischen ISMS-Umsetzung Feb 2, 2024

Viele Organisationen und Unternehmen sind gesetzlich verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen. Dieses vernetzt Regeln, Verfahren, Massnahmen und Tools, um eine optimale, dem Unternehmen angepasste, Informations- und Cyber-Sicherheit zu gewährleisten. Dabei werden sowohl die individuellen Gegebenheiten einer Organisation berücksichtigt als auch deren Risikoappetit. Lesen Sie hier, wie Sie mit geringem Aufwand ein ISMS für Ihr Unternehmen einführen.

Blog-Post lesen

Unsere Teilnahme an der Berner Tagung des ISSS Jan 22, 2024

Am 10. Januar 2024 war es wieder soweit: Die Information Security Society Switzerland (ISSS) hatte zur alljährlichen Berner Tagung eingeladen. Und wir waren natürlich wieder dabei. Schliesslich sind wir seit unserer Gründung Mitglied und wissen den Austausch unter Security Profis sehr zu schätzen. Was uns eine Kampfpilotin gelehrt hat, an wen die Awards gingen und wie wir die Tagung erlebt haben, erfahren Sie hier.

Blog-Post lesen

Nächste Seite >

Seite 1 von 6