Blog

Auf der Stromrechnung eine Werbeanzeige für neue Solarzellen zu drucken, kann für viel Wirbel sorgen. Die Schweizer Energieversorgungsunternehmen sind mittlerweile längst nicht mehr nur “Grundversorger”, sondern treten auch im kommerziellen Markt als Teilnehmer auf. Durch ihre Aufgabe als Grundversorger verfügen sie über Daten, die die Konkurrenz im freien Markt nicht hat - das ist ein Wettbewerbsvorteil. Durch ein Unbundling (Entflechtung) soll daher der Umgang mit Kundendaten geregelt werden - doch die Umsetzung ist komplex.

Kontrollierter Angriff auf eine Bank – wie geht das? Mittels einer Attack Simulation haben Security Tester der Redguard AG die Schwyzer Kantonalbank (SZKB) attackiert – selbstverständlich in enger Zusammenarbeit mit den Verantwortlichen der SZKB. Ziel dieses simulierten Angriffs war eine umfangreiche Standortbestimmung hinsichtlich der IT- und Informationssicherheit. Banken sind besonders beliebte Angriffsziele für Cyber-Angriffe und es ist daher notwendig, die Sicherheit auf allen Ebenen regelmässig zu überprüfen, die Resultate zu bewerten und geeignete Massnahmen umzusetzen.

Während Attack Simulation Projekten, in denen wir einen gezielten Cyber-Angriff für unsere Kunden simulieren, treffen unsere Security Tester immer wieder auf bekannte aber auch bis dato unbekannte Sicherheitslücken. Während einer kürzlich durchgeführten Attack Simulation identifizierten unsere Security Tester eine extern erreichbare FortiMail-Appliance. Dieses Produkt von Fortinet dient zur Absicherung des Mailverkehrs eines Unternehmens und ist daher von grösster Bedeutung. Während der weiteren Analyse der Appliance stiessen die Tester bei ihren Recherchen auf ein erst vor kurzem veröffentlichtes Advisory CVE-2020-9294, dessen Beschreibung, besonders im Rahmen einer Attack Simulation, zwar überaus spannend klingt, leider aber keine Detailinformationen zur eigentlichen Schwachstelle beinhaltet.

Das Erarbeiten von möglichen Risiko- oder Krisenszenarien ist Teil des Jobs als Security Consultant. Was bis vor kurzem jedoch oft noch als hypothetische Denkaufgabe abgetan wurde, ist nun plötzlich ein völlig realistisches Szenario. Durch die COVID-19 Pandemie erleben wir hautnah, was es heisst, eine Krise bewältigen zu müssen. Einige Unternehmen wurden von der Pandemie kalt erwischt, andere hatten vorgesorgt und bereits konkrete Pläne bereit, wie sie ihre Tätigkeit trotz neuen Umständen bestmöglich fortsetzen können.

Als Beratungsunternehmung sind wir in verschiedensten Branchen und Organisationen tätig und haben so tagtäglich viele und spannende Einblicke. Zurzeit erleben wir in keiner anderen Branche eine so grosse Dynamik, wie dies im Gesundheitswesen der Fall ist. Prozesse werden digitalisiert, Systeme und medizinische Geräte werden vernetzt und in Kürze wird es mit dem Elektronischen Patientendossier (EPD) einen standardisierten Austausch zwischen Leistungserbringer und Patienten und eine organisationsübergreifende Ablage von digitalen Gesundheitsdaten geben.

Die Auswertung von Protokolldaten kann helfen, die Datensicherheit zu erhöhen. Das Datenschutzgesetz erlaubt aber nicht alles. Was gilt für die Auswertung von Protokolldaten?

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie genau sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Besteht überhaupt noch Handlungsbedarf oder verfügen die Schweizer Organisationen und Unternehmen bereits über ein ausreichendes Sicherheitsniveau? Diese Fragen werden im Redguard Security Survey 2020 (PDF) beantwortet.

Die vielleicht wichtigste Phase innerhalb eines Penetration-Testing-Projekts ist das Reporting. Aus Sicht eines Security Testers mag die Reporting-Phase im Vergleich zum eigentlichen Penetration Test nicht sehr aufregend erscheinen, allerdings ist der Report das primäre Lieferobjekt des Projekts und dessen Inhalt somit für den Kunden essentiell. Gleichzeitig ist es im Interesse des Kunden wie auch der Security Tester, möglichst viel der verfügbaren Projektzeit für das Testing zu verwenden.

bellicon ist führender Hersteller von hochwertigen Minitrampolinen und vertreibt diese weltweit. Neu wird eine Videoplattform namens bellicon Home angeboten. Dort bringen Workout-Videos von virtuellen Trainern die Abonnenten ins Schwitzen. Die Plattform wächst stark und bietet grosses Potenzial für bellicon. Die Lösung wurde durch einen externen Entwicklungsdienstleister entwickelt. bellicon hat früh erkannt, dass Themen wie Verfügbarkeit und Schutz der Daten für den Erfolg der Plattform zentral sind.

Die Coop Pronto AG, das führende Unternehmen im Tankstellen- und Convenience-Bereich, sieht IT-Sicherheit als substanziellen Teil des Risikomanagements. Auf spontane Anliegen und dringende Probleme soll umgehend reagiert werden – darum wählten sie das RundumSorglos-Paket ”Security Officer as a Service” von Redguard.

In einem umfassenden Sicherheitsaudit mit anschliessendem Penetration Test liess das Elektrizitätswerk Vilters-Wangs ihr Netzwerk auf Schwachstellen prüfen. Das umfasste auch die Internet-of-Things-Komponente der Smart Meter zur elektronischen Fernauslesung des Stromverbrauchs. Das Elektrizitätswerk Vilters-Wangs (EW Vilters-Wangs) betreibt zwei Netzwerke: zur Steuerung der Produktionsanlage (EW-Leitsystem) und zum Auslesen der verteilten Stromzähler (Smart Meter).

Damit die Strom- und Trinkwasserversorgung auch in Ausnahmesituationen gewährleistet ist, hat die EW Rothrist AG eine Situationsanalyse der Cyber-Risiken durchgeführt, Systeme und Prozesse verbessert, Mitarbeiter geschult und Informationssicherheit als strategisches Thema in der Geschäftsleitung verankert. Den IKT-Minimalstandard haben sie pragmatisch und innert kurzer Frist umgesetzt. Das ist dem grossen Engagement der Verantwortlichen bei EW Rothrist mit der Unterstützung von Redguard zu verdanken.

Awareness-Kampagnen können lehrreich, unterhaltsam und motivierend sein. Die BLS zeigt, wie das geht: In einer umfangreichen Awareness-Kampagne sensibilisierte sie innert vier Wochen 3’500 Mitarbeitende zu unterschiedlichen Aspekten der Informationssicherheit. Die abwechslungsreiche Kampagne bestehend aus Social Engineering, Live Hacking und humorvollen sowie informativen Unterlagen motivierte die Mitarbeitenden während der ganzen Kampagne.

Die Uster Technologies AG ist ein internationaler Hersteller von elektronischen Mess- und Qualitätssicherungssystemen für die Textilindustrie. Unternehmenswerte wie Forschungs- und Entwicklungsdaten sind potentielle Ziele für einen möglichen Angriff von aussen. Die Uster Technologies ist bestrebt, diese Werte und Daten gegen Cyberangriffe zu schützen. Deshalb unterzog sich die Unternehmung einer 360-Grad-Betrachtung, um mögliche Schwachstellen aufzudecken.