Blog

Das Erarbeiten von möglichen Risiko- oder Krisenszenarien ist Teil des Jobs als Security Consultant. Was bis vor kurzem jedoch oft noch als hypothetische Denkaufgabe abgetan wurde, ist nun plötzlich ein völlig realistisches Szenario. Durch die COVID-19 Pandemie erleben wir hautnah, was es heisst, eine Krise bewältigen zu müssen. Einige Unternehmen wurden von der Pandemie kalt erwischt, andere hatten vorgesorgt und bereits konkrete Pläne bereit, wie sie ihre Tätigkeit trotz neuen Umständen bestmöglich fortsetzen können.

Als Beratungsunternehmung sind wir in verschiedensten Branchen und Organisationen tätig und haben so tagtäglich viele und spannende Einblicke. Zurzeit erleben wir in keiner anderen Branche eine so grosse Dynamik, wie dies im Gesundheitswesen der Fall ist. Prozesse werden digitalisiert, Systeme und medizinische Geräte werden vernetzt und in Kürze wird es mit dem Elektronischen Patientendossier (EPD) einen standardisierten Austausch zwischen Leistungserbringer und Patienten und eine organisationsübergreifende Ablage von digitalen Gesundheitsdaten geben.

Die Auswertung von Protokolldaten kann helfen, die Datensicherheit zu erhöhen. Das Datenschutzgesetz erlaubt aber nicht alles. Was gilt für die Auswertung von Protokolldaten?

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie genau sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Besteht überhaupt noch Handlungsbedarf oder verfügen die Schweizer Organisationen und Unternehmen bereits über ein ausreichendes Sicherheitsniveau? Diese Fragen werden im Redguard Security Survey 2020 (PDF) beantwortet.

Die vielleicht wichtigste Phase innerhalb eines Penetration-Testing-Projekts ist das Reporting. Aus Sicht eines Security Testers mag die Reporting-Phase im Vergleich zum eigentlichen Penetration Test nicht sehr aufregend erscheinen, allerdings ist der Report das primäre Lieferobjekt des Projekts und dessen Inhalt somit für den Kunden essentiell. Gleichzeitig ist es im Interesse des Kunden wie auch der Security Tester, möglichst viel der verfügbaren Projektzeit für das Testing zu verwenden.

bellicon ist führender Hersteller von hochwertigen Minitrampolinen und vertreibt diese weltweit. Neu wird eine Videoplattform namens bellicon Home angeboten. Dort bringen Workout-Videos von virtuellen Trainern die Abonnenten ins Schwitzen. Die Plattform wächst stark und bietet grosses Potenzial für bellicon. Die Lösung wurde durch einen externen Entwicklungsdienstleister entwickelt. bellicon hat früh erkannt, dass Themen wie Verfügbarkeit und Schutz der Daten für den Erfolg der Plattform zentral sind.

Die Coop Pronto AG, das führende Unternehmen im Tankstellen- und Convenience-Bereich, sieht IT-Sicherheit als substanziellen Teil des Risikomanagements. Auf spontane Anliegen und dringende Probleme soll umgehend reagiert werden – darum wählten sie das RundumSorglos-Paket ”Security Officer as a Service” von Redguard.

In einem umfassenden Sicherheitsaudit mit anschliessendem Penetration Test liess das Elektrizitätswerk Vilters-Wangs ihr Netzwerk auf Schwachstellen prüfen. Das umfasste auch die Internet-of-Things-Komponente der Smart Meter zur elektronischen Fernauslesung des Stromverbrauchs. Das Elektrizitätswerk Vilters-Wangs (EW Vilters-Wangs) betreibt zwei Netzwerke: zur Steuerung der Produktionsanlage (EW-Leitsystem) und zum Auslesen der verteilten Stromzähler (Smart Meter).

Damit die Strom- und Trinkwasserversorgung auch in Ausnahmesituationen gewährleistet ist, hat die EW Rothrist AG eine Situationsanalyse der Cyber-Risiken durchgeführt, Systeme und Prozesse verbessert, Mitarbeiter geschult und Informationssicherheit als strategisches Thema in der Geschäftsleitung verankert. Den IKT-Minimalstandard haben sie pragmatisch und innert kurzer Frist umgesetzt. Das ist dem grossen Engagement der Verantwortlichen bei EW Rothrist mit der Unterstützung von Redguard zu verdanken.

Awareness-Kampagnen können lehrreich, unterhaltsam und motivierend sein. Die BLS zeigt, wie das geht: In einer umfangreichen Awareness-Kampagne sensibilisierte sie innert vier Wochen 3’500 Mitarbeitende zu unterschiedlichen Aspekten der Informationssicherheit. Die abwechslungsreiche Kampagne bestehend aus Social Engineering, Live Hacking und humorvollen sowie informativen Unterlagen motivierte die Mitarbeitenden während der ganzen Kampagne.

Die Uster Technologies AG ist ein internationaler Hersteller von elektronischen Mess- und Qualitätssicherungssystemen für die Textilindustrie. Unternehmenswerte wie Forschungs- und Entwicklungsdaten sind potentielle Ziele für einen möglichen Angriff von aussen. Die Uster Technologies ist bestrebt, diese Werte und Daten gegen Cyberangriffe zu schützen. Deshalb unterzog sich die Unternehmung einer 360-Grad-Betrachtung, um mögliche Schwachstellen aufzudecken.

Die Delta Electronics (Switzerland) AG in Bern entwickelt und produziert modulare Stromversorgungen für Telecom und IT-Anwendungen. Das zentrale Element einer Delta Energieversorgung ist der ORION Controller, welcher das System steuert und überwacht. Selbstredend besteht hier eine sehr hohe Erwartung bezüglich Sicherheit, da bei einer Fehlfunktion die angeschlossenen Geräte ausfallen. In Form eines Penetration Tests wurde der ORION Controller durch die Redguard AG auf dessen Sicherheitszustand überprüft.

Die CSS Gruppe mit Sitz in Luzern wurde 1899 gegründet. Das traditionsreiche Unternehmen versichert rund 1.66 Millionen Menschen und zählt mit einem Prämienvolumen von 5.86 Milliarden Franken zu den führenden Schweizer Kranken-, Unfall- und Sachversicherern. In der Grundversicherung ist sie Marktführerin. Die CSS stellt Informationen zur Verfügung, die Orientierung bieten und bei Entscheidungen in Gesundheitsfragen unterstützen.

Die KIBAG Dienstleistungen AG ist täglich bestrebt, die eigenen Unternehmenswerte zu schützen. Werte existieren nicht nur physisch, sondern vermehrt auch auf elektronischer Basis. Spezifisch zugeschnittene Cyber-Angriffe zwecks Spionage sowie zielgerechte Schadsoftware nehmen als Bedrohung weiter an Bedeutung zu. Als Grundlage zur Verbesserung und Optimierung des bestehenden Sicherheitsdispositivs hat die KIBAG durch Redguard eine Attack Simulation durchführen lassen.