Blog

Das Erarbeiten von möglichen Risiko- oder Krisenszenarien ist Teil des Jobs als Security Consultant. Was bis vor kurzem jedoch oft noch als hypothetische Denkaufgabe abgetan wurde, ist nun plötzlich ein völlig realistisches Szenario. Durch die COVID-19 Pandemie erleben wir hautnah, was es heisst, eine Krise bewältigen zu müssen. Einige Unternehmen wurden von der Pandemie kalt erwischt, andere hatten vorgesorgt und bereits konkrete Pläne bereit, wie sie ihre Tätigkeit trotz neuen Umständen bestmöglich fortsetzen können.

Als Beratungsunternehmung sind wir in verschiedensten Branchen und Organisationen tätig und haben so tagtäglich viele und spannende Einblicke. Zurzeit erleben wir in keiner anderen Branche eine so grosse Dynamik, wie dies im Gesundheitswesen der Fall ist. Prozesse werden digitalisiert, Systeme und medizinische Geräte werden vernetzt und in Kürze wird es mit dem Elektronischen Patientendossier (EPD) einen standardisierten Austausch zwischen Leistungserbringer und Patienten und eine organisationsübergreifende Ablage von digitalen Gesundheitsdaten geben.

Die Auswertung von Protokolldaten kann helfen, die Datensicherheit zu erhöhen. Das Datenschutzgesetz erlaubt aber nicht alles. Was gilt für die Auswertung von Protokolldaten?

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie genau sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Besteht überhaupt noch Handlungsbedarf oder verfügen die Schweizer Organisationen und Unternehmen bereits über ein ausreichendes Sicherheitsniveau? Diese Fragen werden im Redguard Security Survey 2020 (PDF) beantwortet.

Die vielleicht wichtigste Phase innerhalb eines Penetration-Testing-Projekts ist das Reporting. Aus Sicht eines Security Testers mag die Reporting-Phase im Vergleich zum eigentlichen Penetration Test nicht sehr aufregend erscheinen, allerdings ist der Report das primäre Lieferobjekt des Projekts und dessen Inhalt somit für den Kunden essentiell. Gleichzeitig ist es im Interesse des Kunden wie auch der Security Tester, möglichst viel der verfügbaren Projektzeit für das Testing zu verwenden.