Blog

Die rasante Entwicklung von Large Language Models (LLMs) revolutioniert aktuell viele Bereiche unseres Lebens. Von der Automatisierung der Kundenkommunikation bis hin zur Unterstützung bei der Softwareentwicklung – ihre Einsatzmöglichkeiten scheinen schier unbegrenzt. Doch mit der wachsenden Verbreitung von LLMs steigt auch die Notwendigkeit, ihre Sicherheit und Robustheit zu gewährleisten. Eine bewährte Methode, um Sicherheitslücken und Schwachstellen in KI-Systemen zu identifizieren, ist Red Teaming. In diesem Blog-Artikel werfen wir einen Blick auf das Konzept des Red Teaming für LLMs und stellen zwei Beispielangriffe mittels PyRIT vor. Dieses Open-Source-Tool von Microsoft zur systematischen Evaluierung von KI-Modellen kann zur Angriffsunterstützung und Optimierung der offensiven Promt-Generierung selbst ein LLM als Verstärkung beiziehen, woraus ein höchst effizienter Prüfansatz resultiert.

Metrohm ist einer der weltweit grössten Hersteller von Hochpräzisionsinstrumenten für die chemische Analytik. Dabei ist es wichtig, dass die Ergebnisse dieser Analysen nicht nur präzise, sondern auch zuverlässig und sicher sind. Die wachsende Bedrohung durch Cyber-Angriffe und zusätzliche regulatorische Anforderungen machen es daher notwendig, die Sicherheit der Software kontinuierlich aufrecht zu halten und an neue Gegebenheiten anzupassen. Angesichts dieser Ausgangslage ist sich Metrohm bewusst, die Prozesse zur Software-Entwicklung so zu gestalten, dass sie alle erforderlichen Elemente zur Gewährleistung der Sicherheit enthalten. Um die Maturität der bereits bestehenden Prozesse zu analysieren und allfälliges Optimierungspotenzial zu identifizieren, wandte sich Metrohm an uns. Lesen Sie in dieser Success Story, wie wir vorgingen und wie Metrohm unsere Zusammenarbeit erlebte.

Bei der Sicherheitsüberprüfung moderner Web-Applikationen und APIs spielen JSON Web Tokens (JWTs) eine entscheidende Rolle. Da sie die Authentifizierung und Autorisierung beim Zugriff gewährleisten, stellen ungültige respektive abgelaufene JWTs während eines Penetration Tests ein Problem dar – besonders wenn dies nicht zeitnah erkannt und korrigiert wird, da der Security Tester dann basierend darauf falsche Schlussfolgerungen zieht und so potenziell Schwachstellen falsch einordnet oder nicht findet. Leider ist die Unterstützung von JWTs innerhalb des Interception-Proxys «Burp Suite» noch nicht auf demselben Niveau, wie dies bei klassischen Cookies der Fall ist. Mit unserem neuen Burp-Plugin JWT Monitor adressieren wird genau dieses Problem, wodurch der Security Tester die Gültigkeit vom JWT nicht mehr ständig im Blick haben muss und sich voll und ganz auf die Identifikation von Sicherheitslücken konzentrieren kann.

Mobile applications are an integral part of everyday life, often handling sensitive data such as personal messages, financial information, or digital credentials. Ensuring these apps are secure is paramount. At Redguard, we specialize in mobile application penetration testing, identifying vulnerabilities before attackers can exploit them. To conduct thorough assessments, we leverage the OWASP Mobile Application Security (MAS) framework, which provides comprehensive coverage of mobile security topics. While existing «Crackme» apps provide valuable training for security professionals, they are not always aligned with real-world vulnerabilities. To address this gap, we created the MAS Reference App, which implements a broad range of MAS-defined weaknesses and defense-in-depth techniques. Read this blog post to find out more about its key features and how it supports security testing and development.

Recently, I promised myself to read more. In the past however, I was always slightly annoyed at having to carry books around, and reading PDFs on a smartphone was not really a convenient option either. So I searched for an e-reader that could solve these problems. The device I chose was a Pocketbook InkPad Color 3. This e-reader has one crucial feature that stood out: it allows you to install custom applications such as KOReader. Since I believe that everyone should have full control over a device that they own, I wondered whether any jailbreaks exist that would allow me to escalate privileges. So, I began looking on the internet and it seemed that prior jailbreaks for similar devices were patched and I was apparently out of luck. Nevertheless, the device ticked all other boxes so I decided to order one anyway and take up the challenge myself.

Gemäss Check Point ist im dritten Quartal 2024 die Anzahl der Cyber-Attacken gegenüber dem Vorjahresquartal um 114 Prozent gestiegen. Es ist klar, dass eine Vorbereitung auf den Cyber-Ernstfall notwendig ist. Ein gut durchdachtes Incident Response Playbook ist dabei Ihr wichtigstes Werkzeug, um den Schaden zu minimieren und Ihren Geschäftsbetrieb schnell wiederherzustellen.

In vielen Unternehmen bleibt Security Awareness ein theoretisches Konzept – Schulungen werden einmal pro Jahr durchgeführt, doch nachhaltige Veränderungen im Verhalten der Mitarbeitenden bleiben aus. Doch was, wenn IT-Sicherheit so selbstverständlich wäre wie das tägliche Zähneputzen? Mit dem richtigen Training kann sich sicheres Verhalten automatisieren – genau wie «Muscle Memory» im Sport. Wir zeigen, wie Sie Ihre Awareness-Strategie so gestalten, dass Cyber Security zur natürlichen Gewohnheit wird.

Betrüger, die sich als Behörden ausgeben, werden immer dreister – das haben wir im Redguard-CSIRT erst kürzlich bei einem Kundenfall erlebt. Heute Morgen klingelte mein Telefon, und am anderen Ende meldete sich die «Swiss Police». Statt aufzulegen, entschied ich mich, das Spiel mitzuspielen und herauszufinden, wie diese Masche funktioniert. Was dabei ans Licht kam, war überraschend und erschreckend zugleich.

Künstliche Intelligenz (KI) ist längst nicht mehr nur in Tools wie ChatGPT zu finden – sie ist inzwischen fester Bestandteil gängiger Applikationen und alltäglicher Services – von automatisierten Kundenservices bis zu intelligenten Assistenten und generativen Modellen, die Inhalte direkt in einer Applikation erstellen oder optimieren. Doch mit dieser umfassenden Einbindung steigt auch das Sicherheitsrisiko: Denn generative Modelle in Applikationen sind anfällig für Manipulationen, Datenlecks, Halluzinationen und unkontrollierbare Systemreaktionen.
Wer sich blind auf seine KI-gestützten Systeme verlässt, riskiert Sicherheitslücken und unerwartete Bedrohungen und trägt damit zur Schwächung der Gesamtsicherheit seines Services bei. Doch jetzt gibt es eine neue Orientierungshilfe: der OWASP GenAI Red Teaming Guide. Dieser bietet eine Hilfestellung für gezielte Sicherheitsanalysen generativer KI-Modelle und zeigt, wie Sicherheitsrisiken systematisch identifiziert werden können. Doch was bedeutet das für Unternehmen konkret? Und wie können Sie sicherstellen, dass Ihre KI-Systeme nicht selbst zur Schwachstelle werden?

Das neue Jahr ist noch frisch – perfekt,um innezuhalten und sich auf die kommenden Herausforderungen vorzubereiten. In einer Welt, in der Cyber-Bedrohungen allgegenwärtig sind, ist eine vorausschauende Planung entscheidend. Mit unserem Cloud Security Assessment für Microsoft 365 analysieren wir Ihre IT-Umgebung umfassend im Hinblick auf Sicherheit und identifizieren Optimierungspotenziale. Basierend auf aktuellen Benchmarks und Best Practices überprüfen wir Ihre Microsoft Cloud-Umgebung, damit Sie dieses Jahr stets sicher und gut vorbereitet sind. Investieren Sie in Ihre Sicherheit und schaffen Sie jetzt die Basis für eine robuste und zukunftssichere IT-Security Strategie.

Unternehmen mit finanzrelevanten IKT-Infrastrukturen, Anwendungen und Daten sollten die Praxishilfe «Generelle IT-Kontrollen» von EXPERTsuisse kennen, da diese im Rahmen von Abschlussprüfungen von IT-Prüfern genutzt wird. Die schon etwas in die Jahre gekommene Praxishilfe wurde vor Kurzem aktualisiert. Die Veränderungen betreffen vor allem die Anpassung der Hilfe an neuere Entwicklungen im IT-Umfeld. Warum diese Praxishilfe nicht nur für Prüfer, sondern auch für Unternehmen unverzichtbar ist, erfahren Sie im Beitrag.

Was müssen Schweizer Hersteller und Importeure jetzt unternehmen? Der Cyber Resilience Act ist eine neue Verordnung der Europäischen Union, welche die Cyber-Sicherheit von Produkten mit digitalen Elementen (z. B. Smart Watch, Saugroboter, digitales Türschloss) verbessern soll. Obwohl die Schweiz nicht zur EU gehört, hat der CRA auch Auswirkungen auf Schweizer Unternehmen, die solche Produkte in der EU verkaufen. In diesem Blogbeitrag erfahren Sie, was der CRA für Ihr Unternehmen bedeutet und welche Schritte Sie unternehmen sollten.

Immer mehr Mitarbeitende nutzen generative KI – teilweise ohne das Wissen ihres Arbeitgebers. Dadurch entsteht eine Vielzahl von Risiken, die es zu adressieren gilt. Das National Institute of Standards and Technology (NIST) hat im Januar 2023 mit dem «Artificial Intelligence Risk Management Framework» (AI RMF 1.0, Publikation «NIST AI 100-1»), einen umfassenden Rahmen zur Bewertung und Minderung solcher Risiken vorgelegt. Der im Juli 2024 publizierte Leitfaden «Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile» (Publikation «NIST AI 600-1») schlägt Aktionen zur Risikoreduktion vor. Lesen Sie hier, wie Sie Ihr Risikomanagement dieser Entwicklung anpassen, was es zu berücksichtigen gilt und welche Massnahmen Sie umsetzen können.

Ab dem 1. Juli 2025 wird der IKT-Minimalstandard für Gasversorger in der Schweiz verpflichtend. Dies hat das Bundesamt für Energie (BFE) im Rahmen des revidierten Gasversorgungsgesetzes (GasVG) beschlossen. Was bedeutet das für die betroffenen Unternehmen und wie können sie sich optimal auf die neuen Anforderungen vorbereiten?