Blog

Seit der Gründung der Redguard AG im Jahr 2012 ist die Unternehmung jährlich jeweils um mindestens 20% gewachsen. Mehr als 40 motivierte Security-Spezialisten sind mittlerweile Teil des Redguard-Teams. Ein solches Wachstum bedeutet konstante Veränderung - diese Weiterentwicklung muss aktiv gesteuert und vom kompletten Leadership-Team begleitet werden.

Grundlage dafür ist eine sichtbare und gelebte Unternehmensstrategie. Das gemeinsame Zielbild schafft Klarheit, unterstützt die Priorisierung und ermöglicht eine schrittweise und fokussierte Umsetzung.

Zur Umsetzung unserer Unternehmensstrategie nutzen wir die Methodik Objectives and Key Results oder kurz OKR.

Berichterstattungen und Meldungen von Cyber Angriffen nahmen in den letzten Jahren immer mehr Platz in den Medien ein. Betroffen sind Unternehmen auf der ganzen Welt. Auch in der Schweiz gab es in der nahen Vergangenheit verschiedene erfolgreiche Cyber Angriffe bei Grossfirmen in den Bereichen Transport, Haustechnik und Software. Immer häufiger werden jedoch auch KMU, welche in vielen Fällen über ein beschränktes Budget für den Aufbau einer sicheren IT-Infrastruktur verfügen, Opfer von Cyber Angriffen. Ein ähnliches Bild zeigt sich auch bei Schweizer Gemeinden.

Unser Qualitätsanspruch ist für die Entwicklung der Redguard ein wichtiger Erfolgsfaktor. Qualitätssteigernde Massnahmen sind bei uns in die alltäglichen Aufgaben integriert und daher seit jeher Bestandteil der Arbeit jedes Mitarbeitenden.

Seit mehreren Jahren verfügen wir über ein Qualitätsmanagementsystem (QMS). Seit Juli 2020 ist unser QMS offiziell nach ISO 9001:2015 zertifiziert.

Die Einhaltung des Schweizer Datenschutzgesetzes stellt für viele Unternehmen eine Herausforderung dar. Oftmals, weil das Fachwissen oder das Verständnis für pragmatische, rechtlich vertretbare Massnahmen fehlt. Taten sich die Unternehmen bisher schon schwer genug, begann mit dem Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 eine neue Phase der Verunsicherung. Konkret erklärte der EuGH das sogenannte EU-US-Privacy Shield, welches seit 2016 eine Grundlage für die Datenübermittlung in die USA zum Schutz der Rechte von EU-Bürgern schaffte, für ungültig.

Der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat sich in einer Stellungnahme vom 8. September 2020 diesem Urteil angeschlossen und auch das Swiss-US-Privacy Shield, welches die Rechte von Personen aus der Schweiz schützen sollte, als nicht ausreichend eingestuft.

Die Fragen die sich jetzt viele Unternehmen stellen: Was heisst das für uns? Was müssen wir tun?

Auf der Stromrechnung eine Werbeanzeige für neue Solarzellen zu drucken, kann für viel Wirbel sorgen. Die Schweizer Energieversorgungsunternehmen sind mittlerweile längst nicht mehr nur “Grundversorger”, sondern treten auch im kommerziellen Markt als Teilnehmer auf. Durch ihre Aufgabe als Grundversorger verfügen sie über Daten, die die Konkurrenz im freien Markt nicht hat - das ist ein Wettbewerbsvorteil. Durch ein Unbundling (Entflechtung) soll daher der Umgang mit Kundendaten geregelt werden - doch die Umsetzung ist komplex.

Kontrollierter Angriff auf eine Bank – wie geht das? Mittels einer Attack Simulation haben Security Tester der Redguard AG die Schwyzer Kantonalbank (SZKB) attackiert – selbstverständlich in enger Zusammenarbeit mit den Verantwortlichen der SZKB. Ziel dieses simulierten Angriffs war eine umfangreiche Standortbestimmung hinsichtlich der IT- und Informationssicherheit. Banken sind besonders beliebte Angriffsziele für Cyber-Angriffe und es ist daher notwendig, die Sicherheit auf allen Ebenen regelmässig zu überprüfen, die Resultate zu bewerten und geeignete Massnahmen umzusetzen.

Während Attack Simulation Projekten, in denen wir einen gezielten Cyber-Angriff für unsere Kunden simulieren, treffen unsere Security Tester immer wieder auf bekannte aber auch bis dato unbekannte Sicherheitslücken. Während einer kürzlich durchgeführten Attack Simulation identifizierten unsere Security Tester eine extern erreichbare FortiMail-Appliance. Dieses Produkt von Fortinet dient zur Absicherung des Mailverkehrs eines Unternehmens und ist daher von grösster Bedeutung. Während der weiteren Analyse der Appliance stiessen die Tester bei ihren Recherchen auf ein erst vor kurzem veröffentlichtes Advisory CVE-2020-9294, dessen Beschreibung, besonders im Rahmen einer Attack Simulation, zwar überaus spannend klingt, leider aber keine Detailinformationen zur eigentlichen Schwachstelle beinhaltet.

Das Erarbeiten von möglichen Risiko- oder Krisenszenarien ist Teil des Jobs als Security Consultant. Was bis vor kurzem jedoch oft noch als hypothetische Denkaufgabe abgetan wurde, ist nun plötzlich ein völlig realistisches Szenario. Durch die COVID-19 Pandemie erleben wir hautnah, was es heisst, eine Krise bewältigen zu müssen. Einige Unternehmen wurden von der Pandemie kalt erwischt, andere hatten vorgesorgt und bereits konkrete Pläne bereit, wie sie ihre Tätigkeit trotz neuen Umständen bestmöglich fortsetzen können.

Als Beratungsunternehmung sind wir in verschiedensten Branchen und Organisationen tätig und haben so tagtäglich viele und spannende Einblicke. Zurzeit erleben wir in keiner anderen Branche eine so grosse Dynamik, wie dies im Gesundheitswesen der Fall ist. Prozesse werden digitalisiert, Systeme und medizinische Geräte werden vernetzt und in Kürze wird es mit dem Elektronischen Patientendossier (EPD) einen standardisierten Austausch zwischen Leistungserbringer und Patienten und eine organisationsübergreifende Ablage von digitalen Gesundheitsdaten geben.

Die Auswertung von Protokolldaten kann helfen, die Datensicherheit zu erhöhen. Das Datenschutzgesetz erlaubt aber nicht alles. Was gilt für die Auswertung von Protokolldaten?

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie genau sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Besteht überhaupt noch Handlungsbedarf oder verfügen die Schweizer Organisationen und Unternehmen bereits über ein ausreichendes Sicherheitsniveau? Diese Fragen werden im Redguard Security Survey 2020 (PDF) beantwortet.

Die vielleicht wichtigste Phase innerhalb eines Penetration-Testing-Projekts ist das Reporting. Aus Sicht eines Security Testers mag die Reporting-Phase im Vergleich zum eigentlichen Penetration Test nicht sehr aufregend erscheinen, allerdings ist der Report das primäre Lieferobjekt des Projekts und dessen Inhalt somit für den Kunden essentiell. Gleichzeitig ist es im Interesse des Kunden wie auch der Security Tester, möglichst viel der verfügbaren Projektzeit für das Testing zu verwenden.

bellicon ist führender Hersteller von hochwertigen Minitrampolinen und vertreibt diese weltweit. Neu wird eine Videoplattform namens bellicon Home angeboten. Dort bringen Workout-Videos von virtuellen Trainern die Abonnenten ins Schwitzen. Die Plattform wächst stark und bietet grosses Potenzial für bellicon. Die Lösung wurde durch einen externen Entwicklungsdienstleister entwickelt. bellicon hat früh erkannt, dass Themen wie Verfügbarkeit und Schutz der Daten für den Erfolg der Plattform zentral sind.

Die Coop Pronto AG, das führende Unternehmen im Tankstellen- und Convenience-Bereich, sieht IT-Sicherheit als substanziellen Teil des Risikomanagements. Auf spontane Anliegen und dringende Probleme soll umgehend reagiert werden – darum wählten sie das RundumSorglos-Paket ”Security Officer as a Service” von Redguard.