NIST Cyber Security Framework

Security Frameworks

NIST Cyber Security Framework

In diesem Artikel geben wir eine Übersicht über das NIST Cyber Security Framework und helfen, die Komponenten besser zu verstehen. Das Framework besteht aus drei Komponenten: Core, Tiers und Profiles.


Webinar

Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?

Jetzt im Replay ansehen!


Core

Der Core beschreibt erstrebenswerte Aktivitäten Outcomes in der Cybersicherheit in einfacher verständlicher Sprache. Der Core hilft beim managen und reduzieren von Cyberrisken unter Berücksichtigung bestehender Prozesse.

Die Struktur ist leicht verständlich: Es gibt 5 Funktionen: Identify, Protect, Detect, Respond und Recover. Die einzelne Funktionen werden in 23 Kategorien und 108 Subkategorien unterteilt. Weiter referenziert der Core jede Sub-Kategorie mit anderen Frameworks wie etwa ISO27001, CIS CSC, Cobit und weitere.

Funktionen und Kategorien


ID.AM: Asset Management

ID.BE: Business Environment

ID.GV: Governance

ID.RA: Risk Assessment

ID.RM: Risk Management Strategy

ID.SC: Supply Chain Risk Management

PR.AC: Identity Management, Authentication and Access Control

PR.AT: Awareness and Training

PR.DS: Data Security

PR.IP: Information Protection Processes and Procedures

PR.MA: Maintenance

PR.PT: Protective Technology

DE.AE: Anomalies and Events

DE.CM: Security Continuous Monitoring

DE.DP: Detection Processes

RS.RP: Response Planning

RS.CO: Communications

RS.AN: Analysis

RS.MI: Mitigation

RS.IM: Improvements

RC.RE: Recovery Planning

RC.IM: Improvements

RC.CO: Communications


Die Kategorien wurden so konzipiert, dass sie die gesamte Bandbreite der Cyber Sicherheitsziele einer Organisation abdecken, ohne zu sehr ins Detail zu gehen. Die Kategorien erstrecken sich über cyber, physische und personelle Themenbereiche und fokussieren dabei auf Business Outcomes.

Subkategorien sind die unterste Ebene der Abstraktion im Core. Sie treffen ergebnisorientierte Aussagen. Dadurch, dass das Framework ergebnisorientiert ist und keine Vorschriften macht, wie ein Unternehmen die Ziele erreichen muss, erlaubt das Framework Organisationen eine risikobasierte Implementierung, die auf die eigenen Bedürfnisse zugschnitten ist.

Beispiel: Subkategorien von ID.BE: Business Environment

ID.BE-1: The organization’s role in the supply chain is identified and communicated

ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated

ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated

ID.BE-4: Dependencies and critical functions for delivery of critical services are established

ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)

Referenzen

Referenzen helfen Organisationen, das NIST CSF an bestehende Frameworks anzugleichen. Weiter helfen die Referenzen für bestimmte Kategorien noch weitere und tiefere Informationen zu erlangen.




Beispielsweise mit den CIS Critical Security Controls, welche einen eher technischen Fokus haben oder die NIST SP 800-53, welche über 450 referenzierte Controls aufweist.

Tiers

Tiers (englisch für Stufen) beschreiben den Umfang wie die Cyber Risiken in einer Organisation bewältigt werden. Die Stufen reichen von «Partial» (Stufe 1) bis zu «Adaptive» (Stufe 4). Die Stufen beschreiben den zunehmenden Grad an Maturität wie gut Entscheidungen über Cybersicherheitsrisiken in allgemeine Risikoentscheide integriert sind und inwiefern eine Organisation Informationen über Cyber Security erhält und weitergibt.

Tiers stellen nicht unbedingt den Reifegrad dar. Organisationen sollten eine gewünschte Stufe wählen unter Berücksichtigung der Unternehmensziele, und ob das Cyberrisiko auf ein akzeptables Risiko reduziert wird und auch aus finanzieller Sicht machbar ist.

Profiles

Profile sind die individuelle Abstimmung der organisatorischen Anforderungen, Ziele, Risikoappetit und Ressourcen mit den erwünschten Ergebnissen des Framework Cores. Anhand der Profile lassen sich Möglichkeiten zur Verbesserung der Cyber Sicherheitslage ermitteln, indem ein IST-Profil mit einem SOLL-Profil verglichen wird.

Die Entwicklung der IST und SOLL Profile sowie der Gap-Analyse erlauben es Organisationen, einen priorisierten Implementierungsplan zu entwerfen. Die Priorität, Grösse des Gaps und geschätzte Kosten der korrigierenden Massnahmen helfen Organisationen bei einer besseren Planung und Budgetierung von Verbesserungen in der Cyber Security.

Fazit

Das NIST CSF ist ein umfängliches Rahmenwerk zur systematischen Vorgehen im Bereich Cyber Sicherheit. Es besteht aus drei wesentlichen Teilen:

Core: Tätigkeiten und Ergebnisse im Bereich Cybersecurity

Tiers: Bewertungsmethode, wie gut die Tätigkeiten umgesetzt sind oder sollten

Profiles: Die Bewertung des Cores anhand der Tiers. Jeweils als IST- und SOLL-Stand

Hinweis: Eine neue Version des NIST CSF ist aktuell in Bearbeitung. Die Version 2.0 wird anfangs 2024 erwartet.

Haben Sie Fragen wie Sie in Ihrem Unternehmen ein ISMS aufbauen? Wir unterstützen Sie gerne!

Tag Cloud Frameworks

NIST Cyber Security Framework

In diesem Spotlight stellen wir Ihnen das NIST Cybersecurity Framework vor.…
Webinar bei Cyberangriffen

Webinar: Meldepflicht bei Cyberangriffen

Der Bund will eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen…

Claroty

Claroty ist ein führender Hersteller von Sicherheitsprodukten spezialisiert für den OT-Bereich. Claroty Unterstützt Organisationen beim Erstellen eines umfänglichen Inventars der Assets. Mit Deep Packet Inspection (DPI) kann Claorty unterschiedliche Geräte erkennen und Datenströme aufzeigen. Claroty kann aber auch Schwachstellen erkennen und das Risiko verständlich kommunizieren. Mit Risikosimulationen können Sie Ihre Remediation besser planen. Darüber hinaus bietet Claroty einen Schutzlayer für sicheren externen Zugriff, dass jeder Change nachvollziehbar ist.

Zum Hersteller

Webinar: Meldepflicht bei Cyberangriffen

Webinar

Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?

Der Bund will eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen einführen. Aktuell wird die Gesetzesänderung im Parlament diskutiert.

Was bedeutet diese Gesetzesänderung für Ihr Unternehmen?
Wie können Sie sich vorbereiten?

In unserem Webinar beleuchten wir den aktuellen Gesetzesentwurf und mögliche organisatorische und technische Massnahmen, um Ihr Unternehmen auf das neue Gesetz vorzubereiten und noch besser vor Cyberangriffen zu schützen.


Speaker

Replay ansehen


Security Frameworks: Eine Kurzübersicht

Security Frameworks

Eine Kurzübersicht

Ob IKT Minimalstandard, NIST CSF oder ISO 27001. Frameworks zur Verbesserung der eigenen Resillienz gegen Informationssicherheitsverstösse sind heutzutage in aller Munde. Doch welches Framework ist das richtige für die eigene Organisation? Wir setzen unsere Blogreihe fort und geben in diesem Betrag eine Übersicht, wie die Frameworks strukturiert sind.


Tag Cloud Frameworks

Webinar

Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?

Jetzt im Replay ansehen!


NIST Cyber Security Framework

Das NIST CSF wurde ursprünglich entwickelt, um kritische Infrastrukturen wie Stromproduzenten in den Vereinigten Staaten zu schützen. Jedoch lassen sich die Prinzipien auch auf andere Unternehmen und Branchen anwenden, sie sind kostenlos für alle zugänglich . Heute gilt es als das weltweit am verbreitetsten Framework. Wie viele Frameworks weist das NIST CSF einen sehr breiten Scope auf. Beispielsweise sind auch Kontrollen zur Lieferkette enthalten. Grundsätzlich ist es aber einfach und verständlich aufgebaut:

Core

Im Core Framework gibt es 5 Funktionen: Identify, Protect, Detect, Respond und Recover.
Für jede Funktion gibt es Kategorien. Kategorien und Subkategorien welche die erwünschten ergebnisse Präzisieren. Weiter referenziert das NIST CSF zusätzliche Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Beispielsweise verweist es auf die NIST SP-800-53 oder fremde Frameworks wie CSC, COBIT 5 oder ISO 27001.

Implementation Tiers

Implementation Tiers bringen Kontext zum Cyber Risk Management, indem sie die Ansichten der Organisation bezüglich Cyber Security berücksichtigen. Die Tiers helfen Organisationen, das richtige Level von Cyber Security für sich zu finden. Oftmals werden diese als Kommunikationstool verwendet um Risikoappetit, Priorisierung und Budgetierung zu besprechen.

Framework Profiles

Framework Profiles sind die individuellen Angleichungen von Anforderungen, Zielen, Risikoappetit und Ressourcen einer Organisation mit dem erwünschten Ergebnis aus dem Core Framework. Profile helfen hauptsächlich beim Identifizieren und Priorisieren von Möglichkeiten, die Cyber Security im Unternehmen zu verbessern.

Referenzen

Neben den drei Hauptbestandteilen Core, Implementation Tiers und Framework Profiles, referenziert das NIST CSF weitere Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Das NIST CSF referenziert für jede Kategorie verschiedene weitere Frameworks und Security Controls wie zum Beispiel die NIST SP-800-53 oder fremde Frameworks wie CIS, COBIT 5 oder ISO 27001.

CIS Critical Security Controls

Das Center of Internet Security (CIS) veröffentlicht die Critical Security Controls (CSC). In der aktuellen Version (v8) besteht das Framework aus 18 Security Controls, 3 Implementierungsgruppen und 153 Safeguards. Es ist kostenlos erhältlich.

Controls

Die 18 Security Controls umfassen unterschiedliche Aspekte der Cyber Security.

Safeguards

Für jede Control gibt es mehrere Safeguards, welche eine Control präzisieren. So ist zum Beispiel die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management». Die Safeguards beschreiben die Tätigkeit und geben sogar Intervalle an, wie oft sie ausgeführt oder kontrolliert werden sollen.

Implementation Groups

Es gibt drei Implementation Groups von IG1 bis IG3. Sie sind eine Selbsteinschätzung der Organisation und sagen aus, wie matur ein Unternehmen in den jeweiligen Bereichen ist, wobei IG1 eine Baseline für die Cyberhygiene darstellt. Sie sind aufeinander aufbauend, das heisst, um in einer Control eine IG3 zu erreichen müssen alle IG1 und IG2 Safeguards implementiert sein. Beispielsweise ist die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management» und in der Implementation Group 1. Das heisst, diese Safeguard sollte für ein Mindestmass an Cyber Security zwingend implementiert werden.
Anders ist die Safeguard «Define and Maintain Role-Based Access Control» zwar ebenfalls der Control “Access Control Management” angeführt, aber in der Implementation Group 3.

ISO 27001

ISO 27001 und der gesamte ISO 27xxx Katalog drehen sich um Informationssicherheit. Das Framework geht davon aus, dass ein Information Security Management System (ISMS) verwendet wird. Es schreibt vor, dass Unternehmen Risiken für die Informationssicherheit systematisch managen.
Anders als für CIS und NIST, welches beide Self-Assessments sind, setzt ISO ein regelmässiges Audit durch externe Auditoren voraus. In diesen Audits muss eine Organisation unter anderem vorweisen, dass sie den Plan Do Check Act (PDCA) Zyklus zur stetigen Verbesserung anwenden. Wie andere ISO-Standards ist die ISO 27001 nicht kostenlos verfügbar.

Annex A

Im Anhang steckt das Kontrollwerk und enthält 93 Controls in 4 Bereichen (Organisation, People, Physical Technological). Nicht alle Controls sind obligatorisch, jedoch müssen nicht angewendete Controls schriftlich begründet werden.

IKT Minimalstandard

Der IKT Minimalstandard wurde vom Bundesamt für wirtschaftliche Landesversorgung BWL veröffentlicht. Er richtet sich insbesondere an Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich für jede Organisation anwendbar und frei verfügbar. Das Frameworkbasiert wesentlich auf dem NIST CSF. Das Framework wurde komplett in die Sprachen Deutsch, Französisch und Italienisch übersetzt. Er ist ebenfalls kostenlos verfügbar.

Grundlagen

Die Grundlagen dienen als Nachschlagewerk und vermitteln Hintergrundinformationen.

Framework

Das Framework basiert auf dem NIST CSF 1.0 und ist in fünf Themenbereiche gegliedert: Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen.

Self-Assessment

Wie auch beim NIST CSF liefert der IKT Minimalstandard ein Exceltool, welches Unternehmen dabei hilft, eine Gap-Analyse durchzuführen.

Take-Aways

Unternehmen, besonders international operierende, müssen unterschiedlichen Cyber- Informationssicherheit Regulationen einhalten. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen.

Frameworks bieten ein strukturiertes Vorgehen, um diese Herausforderungen anzupacken. Damit kann eine starke Basis für die Cyber Resilienz geschaffen werden. Das Einführen eines Frameworks erfordert zwingend die Unterstützung des Topmanagements. Denn es werden nicht unerhebliche Ressourcen gebunden, um ein ISMS zu etablieren und zu betreiben. Wenn es aber richtig umgesetzt wird, profitiert eine Organisation von der gewonnen Visibilität und den strukturierten Kontrollen, welche die Sicherheit mess- und kommunizierbar machen.


Asecus berät Kunden im Bereich ISMS basierend auf dem NIST CSF und dem IKT Minimalstandard. Nehmen Sie mit uns Kontakt auf!

6 Monate bis zum neuen Datenschutzgesetz

6 Monate bis zum neuen Datenschutzgesetz

Ist Ihr Unternehmen bereit?

Die Schweiz erhält ein neues Gesetz zum besseren Schutz der Daten der Bevölkerung. Unternehmen haben bis am 1. September 2023 Zeit, sich den überarbeiteten Regelungen anzupassen. 

Was ist bisher geschehen? 

  • Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. Durch die Digitalisierung war eine Totalrevision unabdingbar.  
  • 2018 trat die europäische Datenschutz Grundverordnung (DSGVO) in Kraft, welche auch Schweizer Unternehmen tangierte. Ein zweites Anliegen des neuen Datenschutzgesetzes (DSG), ist die Sicherstellung der Kompatibilität mit der DSGVO. Mit dem revDSG soll der freie Datenverkehr aufrechterhalten werden und Schweizer Unternehmen büssen nicht an Wettbewerbsfähigkeit ein. 
  • In der Herbstsession 2020 wurde das totalrevidierte DSG verabschiedet. 

Das RevDSG neues Datenschutzgesetz für die Schweiz tritt am 1. September in Kraft

Informationen

Erfahren Sie mehr über unseren Ransomware Readiness Check


Was sind die wichtigsten Änderungen? 

  1. Künftig sind nur noch Daten von natürlichen Personen betroffen. Juristische Personen sind nicht mehr betroffen. 
  2. Privacy by Design und Privacy by Default werden als Grundsätze eingeführt. Dienstleistungen und Produkte müssen Datenschutzfunktionen technisch umsetzen und als Voreinstellung definieren. Es muss schon bei der Inverkehrbringung die höchste Sicherheitsstufe eingestellt sein. 
  3. Die Informationspflicht wird ausgeweitet: Neu muss bei jeder Beschaffung von Personendaten die betroffene Person informiert werden. Bisher war das nur bei besonders Schützenswerten Daten der Fall. 
  4. Ein Bearbeitungsverzeichnis wird obligatorisch, jedoch mit Ausnahme für KMUs welche nur ein geringes Risiko von Persönlichkeitsverletzungen durch ihre Bearbeitung verursachen. 
  5. Eine Meldepflicht wird eingeführt. Bei Verletzung der Datensicherheit müssen Unternehmen den Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren. 

Auf der Webseite des EDÖB finden Sie ausführlichere Informationen zu den Neuerungen. 

Konsequenzen des revDSG für die IT-Sicherheit 

Um die Vorgaben des neuen Gesetzes strukturiert umzusetzen, lohnt es sich ein Framework anzuwenden. Beispielsweise das NIST Cyber Security Framework / IKT Minimalstandard, ISO 27001, oder Control Frameworks wie die CIS Critical Security Controls. Alle Frameworks stellen Anforderungen, welche die Umsetzung von Datenschutz unterstützen.

Besonders die Meldepflicht bei Datensicherheitsverstössen ist sehr nahe bei der IT angesiedelt. Ransomware, welche schon seit längerem Daten nicht nur verschlüsseln, sondern vorab stehlen, dürfte eine relevantes Bedrohungsszenario sein, welches den Datenschutz tangiert. 

Weitere Regulatorien am Horizont 

In naher Zukunft kommen noch weitere neue Gesetze hinzu, welche die Informationssicherheit betreffen: Am 2. Dezember 2022 wurde die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit an das Parlament übergeben. 

Aktuell können Unternehmen und Private Cybervorfälle per Meldeformular dem Nationalen Zentrum für Cybersicherheit (NCSC) mitteilen. Die Dunkelziffer ist jedoch hoch und erschwert dadurch eine Übersicht über das Lagebild in der Schweiz. Mit dem neuen Gesetz kommt unter anderem eine Meldepflicht für kritische Infrastrukturen bei Cybervorfällen. Diese müssten künftig neu innert 24 Stunden dem NCSC gemeldet werden. Detaillierte Informationen finden Sie auf der Geschäftsseite des Parlaments:

360° Sicht auf die Informationssicherheit 

Asecus begleitet Unternehmen bei der Einführung von 360° Security in Unternehmen und hat über Ihr Partnernetzwerk auch Rechtsspezialisten mit an Bord. Für das Szenario Ransomware hat Asecus einen dedizierten Check entwickelt, welchen Unternehmen Ihr Sicherheitslevel greifbar aufzeigt und Handlungsfelder identifiziert. 


Haben Sie Fragen zum neuen DSG und den technischen Implikationen?

Wiz

Wiz

Führender Hersteller für Visibilität in der Cloud

Wiz ist ein Cloud Security Unternehmen mit Sitz in New York. Wiz wurde 2020 gegründet und spezialisiert sich auf die sicherung von Cloudumgebungen in Unternehmen. Dazu schafft Wiz eine normierungs-Layer zwischen unterschieldichen Cloud Umgebungen und vereinheitlicht so das Risikomanagement von Clouddiensten.

Asecus arbeitet bereits seit anfang 2021 zusammen mit Wiz und konnte bereits einige Projekte in der Schweiz umsetzen.


Wiz.io Visibilität in der Cloud

Haben Sie Fragen zu Wiz und wünschen eine unverbindliche Kontaktaufnahme?

Produkte Wiz

Wiz

Cloud-übergreifende kontextualisierte Container- und Kubernetes-Sicherheit
Verschaffen Sie sich in Minutenschnelle und ohne Agenten vollständige Transparenz über Container, Kubernetes und Cloud-Umgebungen. Nutzen Sie die Leistung des Wiz Security Graph, um Risiken mit vollständigem Kontext zu analysieren und zu priorisieren. Erkennen Sie in Echtzeit bösartiges Verhalten in Kubernetes-Clustern und reagieren Sie schnell. Ermöglichen Sie eine Partnerschaft zwischen Entwicklern und Sicherheitsexperten, um Probleme über den gesamten Lebenszyklus der containerisierten Anwendung hinweg zu lösen.

Zum Hersteller

Wiz

Cloud-übergreifende kontextualisierte Container- und Kubernetes-Sicherheit
Verschaffen Sie sich in Minutenschnelle und ohne Agenten vollständige Transparenz über Container, Kubernetes und Cloud-Umgebungen. Nutzen Sie die Leistung des Wiz Security Graph, um Risiken mit vollständigem Kontext zu analysieren und zu priorisieren. Erkennen Sie in Echtzeit bösartiges Verhalten in Kubernetes-Clustern und reagieren Sie schnell. Ermöglichen Sie eine Partnerschaft zwischen Entwicklern und Sicherheitsexperten, um Probleme über den gesamten Lebenszyklus der containerisierten Anwendung hinweg zu lösen.

Zum Hersteller

Cyber Security Frameworks

Cyber Security Frameworks


Start unserer Blogreihe


Frameworks erlauben es, den Schutz von Daten und Informationen strukturiert und methodisch anzugehen. In unserer Blogreihe geben wir einen Einblick in die bekanntesten Security Frameworks. Alle bieten ein Set von Best Practises zum Schutz von digitalen Assets, Definieren von Risikoappetit und Kontrollen. Doch welches Framework am besten geeignet ist für das eigene Unternehmen, ist keine leicht zu beantwortende Frage. 



Tag Cloud Frameworks


Weshalb ein Cyber Security Framework?

Unternehmen werden immer abhängiger von IT und Daten. Damit steigen gleichzeitig die Risiken: Durch die immer grössere Vernetzung in der IT und direkter Kollaboration mit Endbenutzern hat sich die Angriffsfläche in den letzten Jahren für viele Unternehmen deutlich vergrössert. 

Mit der Vernetzung und dem Einsatz neuer Technologien, nimmt auch die Komplexität zu und erschwert es Unternehmen, die eigene Infrastruktur vor Cyberangriffen zu schützen. So sehen 100% der befragten CEOs im PWC CEO Survey 2022, dass Cyberbedrohungen die grösste Gefahr für ihre Unternehmen sind. 

Eine Methode, um ein besseres Security Level im eigenen Unternehmen zu etablieren, ist die Nutzung eines Frameworks. Es stellt eine Struktur und Methodik bereit, um die digitalen Assets zu schützen. Zusätzlich bieten viele Frameworks nützliches Hintergrundwissen und Ressourcen für weiterführende Tätigkeiten an. 


Was ist ein Framework?

Ein Framework ist eine Blaupause für die Strukturierung der verschiedenen Tätigkeiten und soll sicherstellen, dass man die Themenfelder ganzheitlich abdeckt.  

Grundsätzlich können die Security Frameworks in drei Kategorien unterteilt werden: 




Risk Frameworks

Risk Frameworks helfen bei der Priorisierung von Verteidigungsmassnahmen in Unternehmen. Sie helfen Organisationen die Risiken zu identifizieren, zu bewerten und Massnahmen abzuleiten, um die Risiken zu minimieren. Beispiele sind das NIST Risk Management Framework und der ISO/IEC 31010 Standard. 



Control Frameworks

Control Frameworks können als Teilchenkatlog verstanden werden. Sie definieren Kontrollen, welche Organisationen durchführen können. Oftmals sind diese Umfänglich und beschreiben ein breites Arsenal von möglichen Tätigkeiten, welche die Informationssicherheit stärken. Beispiele sind etwa die Critical Security Controls von CIS, die NIST SP-800-53 oder der Anhang A von ISO/IEC 27001. 



Program Frameworks

Im Gegensatz zu Control Frameworks können Program Frameworks als Bauanleitungen verstanden werden. Sie berücksichtigen sowohl Risiken wie auch Kontrollen und beschreiben, wie diese in Zusammenspiel zu einem Informationssicherheitsprogramm umgesetzt werden können. Weiter beinhalten diese Frameworks auch den Kontext von Organisationen. Beispielsweise nehmen weder Risiko noch Control Frameworks Stellung zu Ressourcenknappheit in Organisationen. Beispiele für Program Frameworks sind das NIST Cyber Security Framework oder der ISO/IEC 27001 Standard. 

Bekannteste Cyber Security Frameworks

Einige Frameworks wurden bereits erwähnt. Zusätzlich gibt es noch den Schweizer IKT-Minimalstandard, welcher aktuell für Kritische Infrastrukturen der Schweiz empfohlen wird. Der IKT-Minimalstandard ist stark an das NIST CSF angelehnt. In den kommenden Wochen werden wir auf bekanntesten Frameworks genauer eingehen. 

NIST Cyber Security Framework

Ein Program Framework, welches sich international bewährt hat. 

ISO 27001

Ein Program Framework, welches zertifizierbar ist. 

CIS Critical Security Controls

Ein Control Framework, welches wichtige Tätigkeiten in der Informationssicherheit enthält und priorisiert. 

IKT Minimalstandard

Ein Program Framework, welches für Kritische Infrastruktren der Schweiz empfohlen wird. Basiert massgeblich auch dem NIST Cyber Security Framework. 

Fazit

Unternehmen, müssen unterschiedlichen Cyber- und Informationssicherheits Anforderungen erfüllen. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen. 

Frameworks bieten ein Vorgehen, um diese Herausforderungen strukturiert anzupacken und die Cyber Resilienz des eigenen Unternehmens zu erhöhen. 

Wir beraten unsere Kunden hinsichtlich ihrer Informationssicherheit und Umsetzung. Nehmen Sie noch heute Kontakt mit unseren Experten auf. Wir beraten Sie gerne! 

Automatisiert und effizient gegen Cyberangriffe vorgehen

Erfahren Sie, wie Sie Ihr Unternehmen ohne den Aufbau eines eigenen SOCs automatisiert,…

Erfolgsgeschichte: Kantonsspital Glarus

Mit der Unterstützung der Asecus AG hat das Kantonsspital Glarus (KSGL) seine…

F5 Produktupdate

Erfahren Sie mehr über die neuesten Entwicklungen von F5 - Distributed Cloud…

Security Briefing Q4 2022

Security Briefing: Q4 2022

Das Wichtigste in Kürze

Auch in diesem Jahr haben sich die Meldungen zu Cyberangriffen beim Nationalen Zentrum für Cybersicherheit wieder deutlich erhöht.

Über 34’000 Meldungen gingen ein:

  • Deutliche Zunahme der Meldungen dank der erhöhten Bekanntheit des NCSC und des Meldeformulars
  • Betrug nahm deutlich zu: Erpresserschreiben im Namen von Strafverfolgungsbehörden
  • Grössere Telefon-Spoofing-Welle. Opfer sind machtlos
  • Meldungen zu Ransomware Fällen blieben stabil

Informationen

Ein Ransomware Readiness Check hilft bei der Priorisierung von Massnahmen.


Das Jahr 2022

Die Meldungen verdoppelten sich zwar nicht wie von 2020 auf 2021, aber sie nahmen um 13’000 Meldungen zu. Als Gründe dafür nennt das NCSC die steigende Bekanntheit und die prominente Platzierung des Meldeformulars. Ob Meldungen von Privaten oder Unternehmen verfasst werden, wird vom NCSC nicht systematisch erhoben. Auf Anfrage von Asecus gab die Medienstelle des NCSC an, dass ca. 10-12% der Meldungen von Unternehmen stammen.


Steigerung der Meldungen biem Nationalen Zentrum für Cybersicherheit 2020-2023


Meldungseingang 2020-2022 (Quelle: NCSC)



Betrug als Hauptkategorie

Wie auch schon in den letzten Jahren wurden Hinweise auf Betrug am häufigsten gemeldet. Dieses Jahr legte die Kategorie nochmals weiter zu und schaffte beinahe eine Verdopplung gegenüber dem Vorjahr. Über 20’500 Meldungen gingen zu dieser Kategorie ein (über 60% des Gesamten Meldevolumens).

Eine Beobachtung dabei war, dass vermehrt Drohschreiben von Strafverfolgungsbehörden in den Umlauf gelangten. Die Welle begann in Frankreich und schwappte Ende 2021 in die Romandie und Deutschschweiz über. Die Anzahl der Meldungen war so gross, dass eine neue Kategorie «Fake Extortion» geschaffen wurde. Die neugeschaffene Kategorie machte 2022 mehr als die Hälfte der gemeldeten Betrugsfälle aus und war mit Abstand die am häufigsten gemeldete Kategorie.

Machtlos gegen Telefon Spoofing

Auch die Meldungen zu Spoofing Anrufen sind nahezu explodiert. 2021 gab es gerade einmal 26 Meldungen. 2022 sind es bereits über 1’100. Ausländische Callcenter nutzen gefälschte Schweizer Telefonnummern,

Ausländische Callcenter fälschen ihre Nummer und nutzen real existierende Schweizer Telefonnummern, damit ihre Werbeanrufe eher entgegengenommen werden. Für diejenigen, welche eine Nummer besitzen, die für solche Anrufe missbraucht wurde, häuften sich Rückrufe.

Dagegen unternommen kann allerding nichts. Die Anrufe stammen aus dem Ausland und fallen nicht unter die Prüfpflicht, welche Schweizer Telefonanbieter durchführen müssen. Hören die Anrufe nicht auf – oftmals verwenden die Callcenter die Nummern über Monate – bleibt den Betroffenen nur noch ein Ausweg: Die Rufnummer wechseln.

Ransomware auf stabilem Niveau

Ransomware ist nach wie vor eine der gefährlichsten Bedrohungen für Unternehmen im Cyberraum. Das Meldevolumen beim NCSC zu Ransomware zählte dieses Jahr mit 2 Meldungen weniger als letztes Jahr. Etwa ein Drittel der Meldungen kam aus dem privaten Umfeld und zwei Drittel der Meldungen wurden von Unternehmen erstattet. Damit trifft die Vorhersage von Mitte Jahr ziemlich genau zu.



Entwicklung Meldungen zu Rasnomware beim NCSC 2020, 2021, 2023 mit vorhersage q2 2022

Entwicklung der gemeldeten Ransomwarefälle (Quelle: NCSC)



Bei Angriffen auf Unternehmen wurde vermehrt die Schadsoftware «Lockbit» festgestellt. Dieser Ransomware-Strain ist besonders dafür bekannt, dass Informationen nicht nur verschlüsselt werden, sondern auch mit der Veröffentlichung der Daten im Internet gedroht wird (sogenannte Double Extortion).

Dieser Trend wird immer häufiger beobachtet und ist darauf zurückzuführen, dass viele Unternehmen bessere Backup-Strategien implementiert haben und die reine Verschlüsselung der Daten nicht mehr lukrativ genug ist.

Haben Sie Fragen zum Ransomware Readiness Check und wünschen eine unverbindliche Kontaktaufnahme?

Neue Aktionäre im Interview

Neue Aktionäre

Unsere neusten Aktionäre im Interview

Wir freuen uns gleich zwei neue Aktionäre bei Asecus begrüssen zu dürfen. Andreas Meier und Yannik Schweizer arbeiten seit letztem Jahr bei uns und sind nun auch Teilhaber der Asecus AG. Wir haben die beiden jungen Aktionäre zu ihrem Aktienkauf befragt:


andreas meier yannik schweizer aktionäre asecus ag mitarbeiter zufriedenheit

Unsere neusten Aktionäre v. l. n. r.: Yannik Schweizer (Y) und Andreas Meier (A)

Werde Teil unseres Teams!

Wir sind immer auf der Suche nach aufgestellten und motivierten Teammitgliedern! Schau dir unsere offenen Stellen an.

Wie lange arbeitest Du schon bei Asecus?

A/Y: Wir haben beide letztes Jahr im Juli bei der Asecus angefangen.

Was ist Dir bei einem Arbeitgeber wichtig?

A: Die Arbeit muss fordernd und auch interessant sein. Die IT-Welt dreht sich sehr schnell, deshalb ist mir die Möglichkeit für Weiterentwicklung und auch Weiterbildungen sehr wichtig.

Y: Ich will einen Sinn hinter meiner Arbeit sehen. Wenn ich einem Kunden aufzeigen kann, was er konkret unternehmen könnte, um sein Unternehmen sicherer zu machen, macht mich das stolz.

Warum hast Du Dich für die Asecus als Arbeitgeber entschieden?

A: Im Studium habe ich meine Leidenschaft für die IT-Security entdeckt. Bei der Suche eines passenden Arbeitgebers bin ich auf die Asecus gestossen und konnte schnell einen passenden Arbeitgeber finden.

Y: Ich suchte nach dem Studium den Einstieg in die IT-Security Branche. Ich fragte Philipp Oesch (unseren Co-CEO) an, wie so ein Weg aussehen könnte. Fast-Forward ein paar Monate und das Gespräch wurde konkreter bei der Asecus anzufangen. Für diese Chance bin ich sehr dankbar.

Was gefällt Dir bei der Asecus?

A: Bei der Asecus wird man als Mitarbeiter einbezogen und auch sehr geschätzt. Ebenfalls darf man selbst mitbestimmen, auf welche Themen man sich fokussieren will.  Der offene Umgang und natürlich auch die coolen Events nebst der Arbeit sind das Tüpfelchen auf dem i.

Y: Mir gefällt, dass ich meine eigenen Ideen miteinbringen kann. Wenn jemand ein Thema interessiert und es zu uns passt, kann man das Thema vorantreiben. Auch Know-how Aufbau wird sehr gefördert, was in unserer Branche sicher wichtig und richtig ist.

Wie läuft bei Euch die Zusammenarbeit?

A: Der Umgang im Team ist sehr offen und deshalb freue ich mich immer wieder auf die Arbeit im Büro. Mein Arbeitsweg und die Schweizer Verkehrsinfrastruktur bewegen mich jedoch auch dazu das Homeoffice zu nutzen. Bei der Wahl des Arbeitsorts bin ich frei und das gefällt mir sehr.

Y: Bei uns kann man selbst entscheiden, wie oft man in Büro kommt oder von Zuhause aus arbeitet. Wir haben auch regelmässige Firmenevents, wo wir uns ausserhalb des Arbeitsalltags näher kennenlernen können.

Hattet Ihr bereits Aktien, bevor Ihr bei Asecus Aktien erworben habt?

A: Ja, aber bis jetzt hatte ich nur Pech mit den Aktien, was sich nun jedoch ändert.

Y: Ja, vereinzelt. Mit der Asecus Aktie erhoffe ich mir aber eine bessere Rendite.

Weshalb wolltest Du Asecus Aktionär werden?

A: Bei meinen bisherigen Aktien konnte ich nur der Kurve zuschauen und auf gut Glück Gewinne machen. Nun besitze ich Aktien, welche ich genaustens kenne und auch mit meiner Arbeit beeinflussen kann.

Y: Es kommt nicht oft vor, dass man Aktien vom eigenen Unternehmen erwerben kann. Insbesondere im KMU-Umfeld ist das sehr selten. An diesjährigem GV-Essen durften wir bereits als Nicht-Aktionäre teilnehmen. Jetzt freue ich mich natürlich darauf, zukünftigt auch an der GV dabei zu sein!

Wie fühlt es sich an Aktionär zu sein?

A: Zuversichtlicher als bei meinen bisherigen Aktienkäufen.

Y: Bis jetzt fühle ich mich noch gleich.

Was empfiehlst Du Studenten, die in die Berufswelt starten?

A: Bei der Wahl des Arbeitgebers würde ich einen Dienstleistungsbetrieb wie die Asecus bevorzugen. Durch die Kundenkontakte und verschiedenen Kundensysteme bleibt die Arbeit immer spannend.

Y: Die Big 4 sind nicht alles. Gerade im KMU-Umfeld kann man sich selbst besser einbringen und Themen treiben. Dabei lernt man nicht nur viel, sondern das macht auch jede Menge Spass.

Mitarbeiter als Aktionäre

Die Asecus gehört zu 100% den Mitarbeitenden und dem Verwaltungsrat. Mit diesem Modell haben die Mitarbeitenden viele Möglichkeiten ihre Ideen einzubringen und die Zukunft der Asecus aktiv mitzugestalten. Möchtest auch Du Teil eines super Teams werden, neue Themen treiben und mit uns die Welt ein wenig sicherer machen? Dann schau dir unsere Stellenangebote an. Wir freuen uns auf Dich!

Senior Security Consultant 100% – Uster

Du erstellst Security Strategien und Konzepte für unsere Kunden...

Security Solution Sales 80-100%

Du akquirierst neue Projekte und trägst wesentlich zum Wachstum unseres IT-Security…
Open Job IT Security

Cybersecurity Engineer 80-100% – Uster

Du planst und implementierst massgeschneiderte Security-Lösungen für unsere…

Bist Du auf der Suche nach einem Job in einem tollen Team und mit Purpose? Melde Dich bei uns!