Das NIST CSF wurde ursprünglich entwickelt, um kritische Infrastrukturen wie Stromproduzenten in den Vereinigten Staaten zu schützen. Jedoch lassen sich die Prinzipien auch auf andere Unternehmen und Branchen anwenden, sie sind kostenlos für alle zugänglich . Heute gilt es als das weltweit am verbreitetsten Framework. Wie viele Frameworks weist das NIST CSF einen sehr breiten Scope auf. Beispielsweise sind auch Kontrollen zur Lieferkette enthalten. Grundsätzlich ist es aber einfach und verständlich aufgebaut:
Core
Im Core Framework gibt es 5 Funktionen: Identify, Protect, Detect, Respond und Recover.
Für jede Funktion gibt es Kategorien. Kategorien und Subkategorien welche die erwünschten ergebnisse Präzisieren. Weiter referenziert das NIST CSF zusätzliche Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Beispielsweise verweist es auf die NIST SP-800-53 oder fremde Frameworks wie CSC, COBIT 5 oder ISO 27001.
Implementation Tiers
Implementation Tiers bringen Kontext zum Cyber Risk Management, indem sie die Ansichten der Organisation bezüglich Cyber Security berücksichtigen. Die Tiers helfen Organisationen, das richtige Level von Cyber Security für sich zu finden. Oftmals werden diese als Kommunikationstool verwendet um Risikoappetit, Priorisierung und Budgetierung zu besprechen.
Framework Profiles
Framework Profiles sind die individuellen Angleichungen von Anforderungen, Zielen, Risikoappetit und Ressourcen einer Organisation mit dem erwünschten Ergebnis aus dem Core Framework. Profile helfen hauptsächlich beim Identifizieren und Priorisieren von Möglichkeiten, die Cyber Security im Unternehmen zu verbessern.
Referenzen
Neben den drei Hauptbestandteilen Core, Implementation Tiers und Framework Profiles, referenziert das NIST CSF weitere Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Das NIST CSF referenziert für jede Kategorie verschiedene weitere Frameworks und Security Controls wie zum Beispiel die NIST SP-800-53 oder fremde Frameworks wie CIS, COBIT 5 oder ISO 27001.
CIS Critical Security Controls
Das Center of Internet Security (CIS) veröffentlicht die Critical Security Controls (CSC). In der aktuellen Version (v8) besteht das Framework aus 18 Security Controls, 3 Implementierungsgruppen und 153 Safeguards. Es ist kostenlos erhältlich.
Controls
Die 18 Security Controls umfassen unterschiedliche Aspekte der Cyber Security.
Safeguards
Für jede Control gibt es mehrere Safeguards, welche eine Control präzisieren. So ist zum Beispiel die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management». Die Safeguards beschreiben die Tätigkeit und geben sogar Intervalle an, wie oft sie ausgeführt oder kontrolliert werden sollen.
Implementation Groups
Es gibt drei Implementation Groups von IG1 bis IG3. Sie sind eine Selbsteinschätzung der Organisation und sagen aus, wie matur ein Unternehmen in den jeweiligen Bereichen ist, wobei IG1 eine Baseline für die Cyberhygiene darstellt. Sie sind aufeinander aufbauend, das heisst, um in einer Control eine IG3 zu erreichen müssen alle IG1 und IG2 Safeguards implementiert sein. Beispielsweise ist die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management» und in der Implementation Group 1. Das heisst, diese Safeguard sollte für ein Mindestmass an Cyber Security zwingend implementiert werden.
Anders ist die Safeguard «Define and Maintain Role-Based Access Control» zwar ebenfalls der Control “Access Control Management” angeführt, aber in der Implementation Group 3.
ISO 27001
ISO 27001 und der gesamte ISO 27xxx Katalog drehen sich um Informationssicherheit. Das Framework geht davon aus, dass ein Information Security Management System (ISMS) verwendet wird. Es schreibt vor, dass Unternehmen Risiken für die Informationssicherheit systematisch managen.
Anders als für CIS und NIST, welches beide Self-Assessments sind, setzt ISO ein regelmässiges Audit durch externe Auditoren voraus. In diesen Audits muss eine Organisation unter anderem vorweisen, dass sie den Plan Do Check Act (PDCA) Zyklus zur stetigen Verbesserung anwenden. Wie andere ISO-Standards ist die ISO 27001 nicht kostenlos verfügbar.
Annex A
Im Anhang steckt das Kontrollwerk und enthält 93 Controls in 4 Bereichen (Organisation, People, Physical Technological). Nicht alle Controls sind obligatorisch, jedoch müssen nicht angewendete Controls schriftlich begründet werden.
IKT Minimalstandard
Der IKT Minimalstandard wurde vom Bundesamt für wirtschaftliche Landesversorgung BWL veröffentlicht. Er richtet sich insbesondere an Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich für jede Organisation anwendbar und frei verfügbar. Das Frameworkbasiert wesentlich auf dem NIST CSF. Das Framework wurde komplett in die Sprachen Deutsch, Französisch und Italienisch übersetzt. Er ist ebenfalls kostenlos verfügbar.
Grundlagen
Die Grundlagen dienen als Nachschlagewerk und vermitteln Hintergrundinformationen.
Framework
Das Framework basiert auf dem NIST CSF 1.0 und ist in fünf Themenbereiche gegliedert: Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen.
Self-Assessment
Wie auch beim NIST CSF liefert der IKT Minimalstandard ein Exceltool, welches Unternehmen dabei hilft, eine Gap-Analyse durchzuführen.
Take-Aways
Unternehmen, besonders international operierende, müssen unterschiedlichen Cyber- Informationssicherheit Regulationen einhalten. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen.
Frameworks bieten ein strukturiertes Vorgehen, um diese Herausforderungen anzupacken. Damit kann eine starke Basis für die Cyber Resilienz geschaffen werden. Das Einführen eines Frameworks erfordert zwingend die Unterstützung des Topmanagements. Denn es werden nicht unerhebliche Ressourcen gebunden, um ein ISMS zu etablieren und zu betreiben. Wenn es aber richtig umgesetzt wird, profitiert eine Organisation von der gewonnen Visibilität und den strukturierten Kontrollen, welche die Sicherheit mess- und kommunizierbar machen.
NIST Cyber Security Framework
/in News /von Andreas MeierSecurity Frameworks
NIST Cyber Security Framework
In diesem Artikel geben wir eine Übersicht über das NIST Cyber Security Framework und helfen, die Komponenten besser zu verstehen. Das Framework besteht aus drei Komponenten: Core, Tiers und Profiles.
Webinar
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Jetzt im Replay ansehen!
Core
Der Core beschreibt erstrebenswerte Aktivitäten Outcomes in der Cybersicherheit in einfacher verständlicher Sprache. Der Core hilft beim managen und reduzieren von Cyberrisken unter Berücksichtigung bestehender Prozesse.
Die Struktur ist leicht verständlich: Es gibt 5 Funktionen: Identify, Protect, Detect, Respond und Recover. Die einzelne Funktionen werden in 23 Kategorien und 108 Subkategorien unterteilt. Weiter referenziert der Core jede Sub-Kategorie mit anderen Frameworks wie etwa ISO27001, CIS CSC, Cobit und weitere.
Funktionen und Kategorien
Identify
ID.AM: Asset Management
ID.BE: Business Environment
ID.GV: Governance
ID.RA: Risk Assessment
ID.RM: Risk Management Strategy
ID.SC: Supply Chain Risk Management
Protect
PR.AC: Identity Management, Authentication and Access Control
PR.AT: Awareness and Training
PR.DS: Data Security
PR.IP: Information Protection Processes and Procedures
PR.MA: Maintenance
PR.PT: Protective Technology
Detect
DE.AE: Anomalies and Events
DE.CM: Security Continuous Monitoring
DE.DP: Detection Processes
Respond
RS.RP: Response Planning
RS.CO: Communications
RS.AN: Analysis
RS.MI: Mitigation
RS.IM: Improvements
Recover
RC.RE: Recovery Planning
RC.IM: Improvements
RC.CO: Communications
Die Kategorien wurden so konzipiert, dass sie die gesamte Bandbreite der Cyber Sicherheitsziele einer Organisation abdecken, ohne zu sehr ins Detail zu gehen. Die Kategorien erstrecken sich über cyber, physische und personelle Themenbereiche und fokussieren dabei auf Business Outcomes.
Subkategorien sind die unterste Ebene der Abstraktion im Core. Sie treffen ergebnisorientierte Aussagen. Dadurch, dass das Framework ergebnisorientiert ist und keine Vorschriften macht, wie ein Unternehmen die Ziele erreichen muss, erlaubt das Framework Organisationen eine risikobasierte Implementierung, die auf die eigenen Bedürfnisse zugschnitten ist.
Beispiel: Subkategorien von ID.BE: Business Environment
ID.BE-1: The organization’s role in the supply chain is identified and communicated
ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated
ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated
ID.BE-4: Dependencies and critical functions for delivery of critical services are established
ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)
Referenzen
Referenzen helfen Organisationen, das NIST CSF an bestehende Frameworks anzugleichen. Weiter helfen die Referenzen für bestimmte Kategorien noch weitere und tiefere Informationen zu erlangen.
Beispielsweise mit den CIS Critical Security Controls, welche einen eher technischen Fokus haben oder die NIST SP 800-53, welche über 450 referenzierte Controls aufweist.
Tiers
Tiers (englisch für Stufen) beschreiben den Umfang wie die Cyber Risiken in einer Organisation bewältigt werden. Die Stufen reichen von «Partial» (Stufe 1) bis zu «Adaptive» (Stufe 4). Die Stufen beschreiben den zunehmenden Grad an Maturität wie gut Entscheidungen über Cybersicherheitsrisiken in allgemeine Risikoentscheide integriert sind und inwiefern eine Organisation Informationen über Cyber Security erhält und weitergibt.
Tiers stellen nicht unbedingt den Reifegrad dar. Organisationen sollten eine gewünschte Stufe wählen unter Berücksichtigung der Unternehmensziele, und ob das Cyberrisiko auf ein akzeptables Risiko reduziert wird und auch aus finanzieller Sicht machbar ist.
Profiles
Profile sind die individuelle Abstimmung der organisatorischen Anforderungen, Ziele, Risikoappetit und Ressourcen mit den erwünschten Ergebnissen des Framework Cores. Anhand der Profile lassen sich Möglichkeiten zur Verbesserung der Cyber Sicherheitslage ermitteln, indem ein IST-Profil mit einem SOLL-Profil verglichen wird.
Die Entwicklung der IST und SOLL Profile sowie der Gap-Analyse erlauben es Organisationen, einen priorisierten Implementierungsplan zu entwerfen. Die Priorität, Grösse des Gaps und geschätzte Kosten der korrigierenden Massnahmen helfen Organisationen bei einer besseren Planung und Budgetierung von Verbesserungen in der Cyber Security.
Fazit
Das NIST CSF ist ein umfängliches Rahmenwerk zur systematischen Vorgehen im Bereich Cyber Sicherheit. Es besteht aus drei wesentlichen Teilen:
Core: Tätigkeiten und Ergebnisse im Bereich Cybersecurity
Tiers: Bewertungsmethode, wie gut die Tätigkeiten umgesetzt sind oder sollten
Profiles: Die Bewertung des Cores anhand der Tiers. Jeweils als IST- und SOLL-Stand
Hinweis: Eine neue Version des NIST CSF ist aktuell in Bearbeitung. Die Version 2.0 wird anfangs 2024 erwartet.
Haben Sie Fragen wie Sie in Ihrem Unternehmen ein ISMS aufbauen? Wir unterstützen Sie gerne!
NIST Cyber Security Framework
Webinar: Meldepflicht bei Cyberangriffen
Claroty
/in IoT Security /von Andreas MeierClaroty ist ein führender Hersteller von Sicherheitsprodukten spezialisiert für den OT-Bereich. Claroty Unterstützt Organisationen beim Erstellen eines umfänglichen Inventars der Assets. Mit Deep Packet Inspection (DPI) kann Claorty unterschiedliche Geräte erkennen und Datenströme aufzeigen. Claroty kann aber auch Schwachstellen erkennen und das Risiko verständlich kommunizieren. Mit Risikosimulationen können Sie Ihre Remediation besser planen. Darüber hinaus bietet Claroty einen Schutzlayer für sicheren externen Zugriff, dass jeder Change nachvollziehbar ist.
Zum Hersteller
Webinar: Meldepflicht bei Cyberangriffen
/in News /von Andreas MeierWebinar
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Der Bund will eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen einführen. Aktuell wird die Gesetzesänderung im Parlament diskutiert.
Was bedeutet diese Gesetzesänderung für Ihr Unternehmen?
Wie können Sie sich vorbereiten?
In unserem Webinar beleuchten wir den aktuellen Gesetzesentwurf und mögliche organisatorische und technische Massnahmen, um Ihr Unternehmen auf das neue Gesetz vorzubereiten und noch besser vor Cyberangriffen zu schützen.
Speaker
Replay ansehen
Security Frameworks: Eine Kurzübersicht
/in News /von Andreas MeierSecurity Frameworks
Eine Kurzübersicht
Ob IKT Minimalstandard, NIST CSF oder ISO 27001. Frameworks zur Verbesserung der eigenen Resillienz gegen Informationssicherheitsverstösse sind heutzutage in aller Munde. Doch welches Framework ist das richtige für die eigene Organisation? Wir setzen unsere Blogreihe fort und geben in diesem Betrag eine Übersicht, wie die Frameworks strukturiert sind.
Webinar
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Jetzt im Replay ansehen!
NIST Cyber Security Framework
Das NIST CSF wurde ursprünglich entwickelt, um kritische Infrastrukturen wie Stromproduzenten in den Vereinigten Staaten zu schützen. Jedoch lassen sich die Prinzipien auch auf andere Unternehmen und Branchen anwenden, sie sind kostenlos für alle zugänglich . Heute gilt es als das weltweit am verbreitetsten Framework. Wie viele Frameworks weist das NIST CSF einen sehr breiten Scope auf. Beispielsweise sind auch Kontrollen zur Lieferkette enthalten. Grundsätzlich ist es aber einfach und verständlich aufgebaut:
Core
Im Core Framework gibt es 5 Funktionen: Identify, Protect, Detect, Respond und Recover.
Für jede Funktion gibt es Kategorien. Kategorien und Subkategorien welche die erwünschten ergebnisse Präzisieren. Weiter referenziert das NIST CSF zusätzliche Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Beispielsweise verweist es auf die NIST SP-800-53 oder fremde Frameworks wie CSC, COBIT 5 oder ISO 27001.
Implementation Tiers
Implementation Tiers bringen Kontext zum Cyber Risk Management, indem sie die Ansichten der Organisation bezüglich Cyber Security berücksichtigen. Die Tiers helfen Organisationen, das richtige Level von Cyber Security für sich zu finden. Oftmals werden diese als Kommunikationstool verwendet um Risikoappetit, Priorisierung und Budgetierung zu besprechen.
Framework Profiles
Framework Profiles sind die individuellen Angleichungen von Anforderungen, Zielen, Risikoappetit und Ressourcen einer Organisation mit dem erwünschten Ergebnis aus dem Core Framework. Profile helfen hauptsächlich beim Identifizieren und Priorisieren von Möglichkeiten, die Cyber Security im Unternehmen zu verbessern.
Referenzen
Neben den drei Hauptbestandteilen Core, Implementation Tiers und Framework Profiles, referenziert das NIST CSF weitere Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Das NIST CSF referenziert für jede Kategorie verschiedene weitere Frameworks und Security Controls wie zum Beispiel die NIST SP-800-53 oder fremde Frameworks wie CIS, COBIT 5 oder ISO 27001.
CIS Critical Security Controls
Das Center of Internet Security (CIS) veröffentlicht die Critical Security Controls (CSC). In der aktuellen Version (v8) besteht das Framework aus 18 Security Controls, 3 Implementierungsgruppen und 153 Safeguards. Es ist kostenlos erhältlich.
Controls
Die 18 Security Controls umfassen unterschiedliche Aspekte der Cyber Security.
Safeguards
Für jede Control gibt es mehrere Safeguards, welche eine Control präzisieren. So ist zum Beispiel die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management». Die Safeguards beschreiben die Tätigkeit und geben sogar Intervalle an, wie oft sie ausgeführt oder kontrolliert werden sollen.
Implementation Groups
Es gibt drei Implementation Groups von IG1 bis IG3. Sie sind eine Selbsteinschätzung der Organisation und sagen aus, wie matur ein Unternehmen in den jeweiligen Bereichen ist, wobei IG1 eine Baseline für die Cyberhygiene darstellt. Sie sind aufeinander aufbauend, das heisst, um in einer Control eine IG3 zu erreichen müssen alle IG1 und IG2 Safeguards implementiert sein. Beispielsweise ist die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management» und in der Implementation Group 1. Das heisst, diese Safeguard sollte für ein Mindestmass an Cyber Security zwingend implementiert werden.
Anders ist die Safeguard «Define and Maintain Role-Based Access Control» zwar ebenfalls der Control “Access Control Management” angeführt, aber in der Implementation Group 3.
ISO 27001
ISO 27001 und der gesamte ISO 27xxx Katalog drehen sich um Informationssicherheit. Das Framework geht davon aus, dass ein Information Security Management System (ISMS) verwendet wird. Es schreibt vor, dass Unternehmen Risiken für die Informationssicherheit systematisch managen.
Anders als für CIS und NIST, welches beide Self-Assessments sind, setzt ISO ein regelmässiges Audit durch externe Auditoren voraus. In diesen Audits muss eine Organisation unter anderem vorweisen, dass sie den Plan Do Check Act (PDCA) Zyklus zur stetigen Verbesserung anwenden. Wie andere ISO-Standards ist die ISO 27001 nicht kostenlos verfügbar.
Annex A
Im Anhang steckt das Kontrollwerk und enthält 93 Controls in 4 Bereichen (Organisation, People, Physical Technological). Nicht alle Controls sind obligatorisch, jedoch müssen nicht angewendete Controls schriftlich begründet werden.
IKT Minimalstandard
Der IKT Minimalstandard wurde vom Bundesamt für wirtschaftliche Landesversorgung BWL veröffentlicht. Er richtet sich insbesondere an Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich für jede Organisation anwendbar und frei verfügbar. Das Frameworkbasiert wesentlich auf dem NIST CSF. Das Framework wurde komplett in die Sprachen Deutsch, Französisch und Italienisch übersetzt. Er ist ebenfalls kostenlos verfügbar.
Grundlagen
Die Grundlagen dienen als Nachschlagewerk und vermitteln Hintergrundinformationen.
Framework
Das Framework basiert auf dem NIST CSF 1.0 und ist in fünf Themenbereiche gegliedert: Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen.
Self-Assessment
Wie auch beim NIST CSF liefert der IKT Minimalstandard ein Exceltool, welches Unternehmen dabei hilft, eine Gap-Analyse durchzuführen.
Take-Aways
Unternehmen, besonders international operierende, müssen unterschiedlichen Cyber- Informationssicherheit Regulationen einhalten. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen.
Frameworks bieten ein strukturiertes Vorgehen, um diese Herausforderungen anzupacken. Damit kann eine starke Basis für die Cyber Resilienz geschaffen werden. Das Einführen eines Frameworks erfordert zwingend die Unterstützung des Topmanagements. Denn es werden nicht unerhebliche Ressourcen gebunden, um ein ISMS zu etablieren und zu betreiben. Wenn es aber richtig umgesetzt wird, profitiert eine Organisation von der gewonnen Visibilität und den strukturierten Kontrollen, welche die Sicherheit mess- und kommunizierbar machen.
Asecus berät Kunden im Bereich ISMS basierend auf dem NIST CSF und dem IKT Minimalstandard. Nehmen Sie mit uns Kontakt auf!
6 Monate bis zum neuen Datenschutzgesetz
/in News /von Andreas Meier6 Monate bis zum neuen Datenschutzgesetz
Ist Ihr Unternehmen bereit?
Die Schweiz erhält ein neues Gesetz zum besseren Schutz der Daten der Bevölkerung. Unternehmen haben bis am 1. September 2023 Zeit, sich den überarbeiteten Regelungen anzupassen.
Was ist bisher geschehen?
Informationen
Erfahren Sie mehr über unseren Ransomware Readiness Check
Was sind die wichtigsten Änderungen?
Auf der Webseite des EDÖB finden Sie ausführlichere Informationen zu den Neuerungen.
Konsequenzen des revDSG für die IT-Sicherheit
Um die Vorgaben des neuen Gesetzes strukturiert umzusetzen, lohnt es sich ein Framework anzuwenden. Beispielsweise das NIST Cyber Security Framework / IKT Minimalstandard, ISO 27001, oder Control Frameworks wie die CIS Critical Security Controls. Alle Frameworks stellen Anforderungen, welche die Umsetzung von Datenschutz unterstützen.
Besonders die Meldepflicht bei Datensicherheitsverstössen ist sehr nahe bei der IT angesiedelt. Ransomware, welche schon seit längerem Daten nicht nur verschlüsseln, sondern vorab stehlen, dürfte eine relevantes Bedrohungsszenario sein, welches den Datenschutz tangiert.
Weitere Regulatorien am Horizont
In naher Zukunft kommen noch weitere neue Gesetze hinzu, welche die Informationssicherheit betreffen: Am 2. Dezember 2022 wurde die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit an das Parlament übergeben.
Aktuell können Unternehmen und Private Cybervorfälle per Meldeformular dem Nationalen Zentrum für Cybersicherheit (NCSC) mitteilen. Die Dunkelziffer ist jedoch hoch und erschwert dadurch eine Übersicht über das Lagebild in der Schweiz. Mit dem neuen Gesetz kommt unter anderem eine Meldepflicht für kritische Infrastrukturen bei Cybervorfällen. Diese müssten künftig neu innert 24 Stunden dem NCSC gemeldet werden. Detaillierte Informationen finden Sie auf der Geschäftsseite des Parlaments:
360° Sicht auf die Informationssicherheit
Asecus begleitet Unternehmen bei der Einführung von 360° Security in Unternehmen und hat über Ihr Partnernetzwerk auch Rechtsspezialisten mit an Bord. Für das Szenario Ransomware hat Asecus einen dedizierten Check entwickelt, welchen Unternehmen Ihr Sicherheitslevel greifbar aufzeigt und Handlungsfelder identifiziert.
Haben Sie Fragen zum neuen DSG und den technischen Implikationen?
Wiz
/in Partner /von Andreas MeierWiz
Führender Hersteller für Visibilität in der Cloud
Wiz ist ein Cloud Security Unternehmen mit Sitz in New York. Wiz wurde 2020 gegründet und spezialisiert sich auf die sicherung von Cloudumgebungen in Unternehmen. Dazu schafft Wiz eine normierungs-Layer zwischen unterschieldichen Cloud Umgebungen und vereinheitlicht so das Risikomanagement von Clouddiensten.
Asecus arbeitet bereits seit anfang 2021 zusammen mit Wiz und konnte bereits einige Projekte in der Schweiz umsetzen.
Haben Sie Fragen zu Wiz und wünschen eine unverbindliche Kontaktaufnahme?
Produkte Wiz
Wiz
/in Container Security /von Andreas MeierCloud-übergreifende kontextualisierte Container- und Kubernetes-Sicherheit
Verschaffen Sie sich in Minutenschnelle und ohne Agenten vollständige Transparenz über Container, Kubernetes und Cloud-Umgebungen. Nutzen Sie die Leistung des Wiz Security Graph, um Risiken mit vollständigem Kontext zu analysieren und zu priorisieren. Erkennen Sie in Echtzeit bösartiges Verhalten in Kubernetes-Clustern und reagieren Sie schnell. Ermöglichen Sie eine Partnerschaft zwischen Entwicklern und Sicherheitsexperten, um Probleme über den gesamten Lebenszyklus der containerisierten Anwendung hinweg zu lösen.
Zum Hersteller
Wiz
/in Container Security /von Andreas MeierCloud-übergreifende kontextualisierte Container- und Kubernetes-Sicherheit
Verschaffen Sie sich in Minutenschnelle und ohne Agenten vollständige Transparenz über Container, Kubernetes und Cloud-Umgebungen. Nutzen Sie die Leistung des Wiz Security Graph, um Risiken mit vollständigem Kontext zu analysieren und zu priorisieren. Erkennen Sie in Echtzeit bösartiges Verhalten in Kubernetes-Clustern und reagieren Sie schnell. Ermöglichen Sie eine Partnerschaft zwischen Entwicklern und Sicherheitsexperten, um Probleme über den gesamten Lebenszyklus der containerisierten Anwendung hinweg zu lösen.
Zum Hersteller
Cyber Security Frameworks
/in News /von Andreas MeierCyber Security Frameworks
Start unserer Blogreihe
Frameworks erlauben es, den Schutz von Daten und Informationen strukturiert und methodisch anzugehen. In unserer Blogreihe geben wir einen Einblick in die bekanntesten Security Frameworks. Alle bieten ein Set von Best Practises zum Schutz von digitalen Assets, Definieren von Risikoappetit und Kontrollen. Doch welches Framework am besten geeignet ist für das eigene Unternehmen, ist keine leicht zu beantwortende Frage.
Weshalb ein Cyber Security Framework?
Unternehmen werden immer abhängiger von IT und Daten. Damit steigen gleichzeitig die Risiken: Durch die immer grössere Vernetzung in der IT und direkter Kollaboration mit Endbenutzern hat sich die Angriffsfläche in den letzten Jahren für viele Unternehmen deutlich vergrössert.
Mit der Vernetzung und dem Einsatz neuer Technologien, nimmt auch die Komplexität zu und erschwert es Unternehmen, die eigene Infrastruktur vor Cyberangriffen zu schützen. So sehen 100% der befragten CEOs im PWC CEO Survey 2022, dass Cyberbedrohungen die grösste Gefahr für ihre Unternehmen sind.
Eine Methode, um ein besseres Security Level im eigenen Unternehmen zu etablieren, ist die Nutzung eines Frameworks. Es stellt eine Struktur und Methodik bereit, um die digitalen Assets zu schützen. Zusätzlich bieten viele Frameworks nützliches Hintergrundwissen und Ressourcen für weiterführende Tätigkeiten an.
Was ist ein Framework?
Ein Framework ist eine Blaupause für die Strukturierung der verschiedenen Tätigkeiten und soll sicherstellen, dass man die Themenfelder ganzheitlich abdeckt.
Grundsätzlich können die Security Frameworks in drei Kategorien unterteilt werden:
Risk Frameworks
Risk Frameworks helfen bei der Priorisierung von Verteidigungsmassnahmen in Unternehmen. Sie helfen Organisationen die Risiken zu identifizieren, zu bewerten und Massnahmen abzuleiten, um die Risiken zu minimieren. Beispiele sind das NIST Risk Management Framework und der ISO/IEC 31010 Standard.
Control Frameworks
Control Frameworks können als Teilchenkatlog verstanden werden. Sie definieren Kontrollen, welche Organisationen durchführen können. Oftmals sind diese Umfänglich und beschreiben ein breites Arsenal von möglichen Tätigkeiten, welche die Informationssicherheit stärken. Beispiele sind etwa die Critical Security Controls von CIS, die NIST SP-800-53 oder der Anhang A von ISO/IEC 27001.
Program Frameworks
Im Gegensatz zu Control Frameworks können Program Frameworks als Bauanleitungen verstanden werden. Sie berücksichtigen sowohl Risiken wie auch Kontrollen und beschreiben, wie diese in Zusammenspiel zu einem Informationssicherheitsprogramm umgesetzt werden können. Weiter beinhalten diese Frameworks auch den Kontext von Organisationen. Beispielsweise nehmen weder Risiko noch Control Frameworks Stellung zu Ressourcenknappheit in Organisationen. Beispiele für Program Frameworks sind das NIST Cyber Security Framework oder der ISO/IEC 27001 Standard.
Bekannteste Cyber Security Frameworks
Einige Frameworks wurden bereits erwähnt. Zusätzlich gibt es noch den Schweizer IKT-Minimalstandard, welcher aktuell für Kritische Infrastrukturen der Schweiz empfohlen wird. Der IKT-Minimalstandard ist stark an das NIST CSF angelehnt. In den kommenden Wochen werden wir auf bekanntesten Frameworks genauer eingehen.
NIST Cyber Security Framework
Ein Program Framework, welches sich international bewährt hat.
ISO 27001
Ein Program Framework, welches zertifizierbar ist.
CIS Critical Security Controls
Ein Control Framework, welches wichtige Tätigkeiten in der Informationssicherheit enthält und priorisiert.
IKT Minimalstandard
Ein Program Framework, welches für Kritische Infrastruktren der Schweiz empfohlen wird. Basiert massgeblich auch dem NIST Cyber Security Framework.
Fazit
Unternehmen, müssen unterschiedlichen Cyber- und Informationssicherheits Anforderungen erfüllen. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen.
Frameworks bieten ein Vorgehen, um diese Herausforderungen strukturiert anzupacken und die Cyber Resilienz des eigenen Unternehmens zu erhöhen.
Wir beraten unsere Kunden hinsichtlich ihrer Informationssicherheit und Umsetzung. Nehmen Sie noch heute Kontakt mit unseren Experten auf. Wir beraten Sie gerne!
Automatisiert und effizient gegen Cyberangriffe vorgehen
Erfolgsgeschichte: Kantonsspital Glarus
F5 Produktupdate
Security Briefing Q4 2022
/in News /von Andreas MeierSecurity Briefing: Q4 2022
Das Wichtigste in Kürze
Auch in diesem Jahr haben sich die Meldungen zu Cyberangriffen beim Nationalen Zentrum für Cybersicherheit wieder deutlich erhöht.
Über 34’000 Meldungen gingen ein:
Informationen
Ein Ransomware Readiness Check hilft bei der Priorisierung von Massnahmen.
Das Jahr 2022
Die Meldungen verdoppelten sich zwar nicht wie von 2020 auf 2021, aber sie nahmen um 13’000 Meldungen zu. Als Gründe dafür nennt das NCSC die steigende Bekanntheit und die prominente Platzierung des Meldeformulars. Ob Meldungen von Privaten oder Unternehmen verfasst werden, wird vom NCSC nicht systematisch erhoben. Auf Anfrage von Asecus gab die Medienstelle des NCSC an, dass ca. 10-12% der Meldungen von Unternehmen stammen.
Meldungseingang 2020-2022 (Quelle: NCSC)
Betrug als Hauptkategorie
Wie auch schon in den letzten Jahren wurden Hinweise auf Betrug am häufigsten gemeldet. Dieses Jahr legte die Kategorie nochmals weiter zu und schaffte beinahe eine Verdopplung gegenüber dem Vorjahr. Über 20’500 Meldungen gingen zu dieser Kategorie ein (über 60% des Gesamten Meldevolumens).
Eine Beobachtung dabei war, dass vermehrt Drohschreiben von Strafverfolgungsbehörden in den Umlauf gelangten. Die Welle begann in Frankreich und schwappte Ende 2021 in die Romandie und Deutschschweiz über. Die Anzahl der Meldungen war so gross, dass eine neue Kategorie «Fake Extortion» geschaffen wurde. Die neugeschaffene Kategorie machte 2022 mehr als die Hälfte der gemeldeten Betrugsfälle aus und war mit Abstand die am häufigsten gemeldete Kategorie.
Machtlos gegen Telefon Spoofing
Auch die Meldungen zu Spoofing Anrufen sind nahezu explodiert. 2021 gab es gerade einmal 26 Meldungen. 2022 sind es bereits über 1’100. Ausländische Callcenter nutzen gefälschte Schweizer Telefonnummern,
Ausländische Callcenter fälschen ihre Nummer und nutzen real existierende Schweizer Telefonnummern, damit ihre Werbeanrufe eher entgegengenommen werden. Für diejenigen, welche eine Nummer besitzen, die für solche Anrufe missbraucht wurde, häuften sich Rückrufe.
Dagegen unternommen kann allerding nichts. Die Anrufe stammen aus dem Ausland und fallen nicht unter die Prüfpflicht, welche Schweizer Telefonanbieter durchführen müssen. Hören die Anrufe nicht auf – oftmals verwenden die Callcenter die Nummern über Monate – bleibt den Betroffenen nur noch ein Ausweg: Die Rufnummer wechseln.
Ransomware auf stabilem Niveau
Ransomware ist nach wie vor eine der gefährlichsten Bedrohungen für Unternehmen im Cyberraum. Das Meldevolumen beim NCSC zu Ransomware zählte dieses Jahr mit 2 Meldungen weniger als letztes Jahr. Etwa ein Drittel der Meldungen kam aus dem privaten Umfeld und zwei Drittel der Meldungen wurden von Unternehmen erstattet. Damit trifft die Vorhersage von Mitte Jahr ziemlich genau zu.
Entwicklung der gemeldeten Ransomwarefälle (Quelle: NCSC)
Bei Angriffen auf Unternehmen wurde vermehrt die Schadsoftware «Lockbit» festgestellt. Dieser Ransomware-Strain ist besonders dafür bekannt, dass Informationen nicht nur verschlüsselt werden, sondern auch mit der Veröffentlichung der Daten im Internet gedroht wird (sogenannte Double Extortion).
Dieser Trend wird immer häufiger beobachtet und ist darauf zurückzuführen, dass viele Unternehmen bessere Backup-Strategien implementiert haben und die reine Verschlüsselung der Daten nicht mehr lukrativ genug ist.
Haben Sie Fragen zum Ransomware Readiness Check und wünschen eine unverbindliche Kontaktaufnahme?
Neue Aktionäre im Interview
/in News /von Andreas MeierNeue Aktionäre
Unsere neusten Aktionäre im Interview
Wir freuen uns gleich zwei neue Aktionäre bei Asecus begrüssen zu dürfen. Andreas Meier und Yannik Schweizer arbeiten seit letztem Jahr bei uns und sind nun auch Teilhaber der Asecus AG. Wir haben die beiden jungen Aktionäre zu ihrem Aktienkauf befragt:
Unsere neusten Aktionäre v. l. n. r.: Yannik Schweizer (Y) und Andreas Meier (A)
Werde Teil unseres Teams!
Wir sind immer auf der Suche nach aufgestellten und motivierten Teammitgliedern! Schau dir unsere offenen Stellen an.
Wie lange arbeitest Du schon bei Asecus?
A/Y: Wir haben beide letztes Jahr im Juli bei der Asecus angefangen.
Was ist Dir bei einem Arbeitgeber wichtig?
A: Die Arbeit muss fordernd und auch interessant sein. Die IT-Welt dreht sich sehr schnell, deshalb ist mir die Möglichkeit für Weiterentwicklung und auch Weiterbildungen sehr wichtig.
Y: Ich will einen Sinn hinter meiner Arbeit sehen. Wenn ich einem Kunden aufzeigen kann, was er konkret unternehmen könnte, um sein Unternehmen sicherer zu machen, macht mich das stolz.
Warum hast Du Dich für die Asecus als Arbeitgeber entschieden?
A: Im Studium habe ich meine Leidenschaft für die IT-Security entdeckt. Bei der Suche eines passenden Arbeitgebers bin ich auf die Asecus gestossen und konnte schnell einen passenden Arbeitgeber finden.
Y: Ich suchte nach dem Studium den Einstieg in die IT-Security Branche. Ich fragte Philipp Oesch (unseren Co-CEO) an, wie so ein Weg aussehen könnte. Fast-Forward ein paar Monate und das Gespräch wurde konkreter bei der Asecus anzufangen. Für diese Chance bin ich sehr dankbar.
Was gefällt Dir bei der Asecus?
A: Bei der Asecus wird man als Mitarbeiter einbezogen und auch sehr geschätzt. Ebenfalls darf man selbst mitbestimmen, auf welche Themen man sich fokussieren will. Der offene Umgang und natürlich auch die coolen Events nebst der Arbeit sind das Tüpfelchen auf dem i.
Y: Mir gefällt, dass ich meine eigenen Ideen miteinbringen kann. Wenn jemand ein Thema interessiert und es zu uns passt, kann man das Thema vorantreiben. Auch Know-how Aufbau wird sehr gefördert, was in unserer Branche sicher wichtig und richtig ist.
Wie läuft bei Euch die Zusammenarbeit?
A: Der Umgang im Team ist sehr offen und deshalb freue ich mich immer wieder auf die Arbeit im Büro. Mein Arbeitsweg und die Schweizer Verkehrsinfrastruktur bewegen mich jedoch auch dazu das Homeoffice zu nutzen. Bei der Wahl des Arbeitsorts bin ich frei und das gefällt mir sehr.
Y: Bei uns kann man selbst entscheiden, wie oft man in Büro kommt oder von Zuhause aus arbeitet. Wir haben auch regelmässige Firmenevents, wo wir uns ausserhalb des Arbeitsalltags näher kennenlernen können.
Hattet Ihr bereits Aktien, bevor Ihr bei Asecus Aktien erworben habt?
A: Ja, aber bis jetzt hatte ich nur Pech mit den Aktien, was sich nun jedoch ändert.
Y: Ja, vereinzelt. Mit der Asecus Aktie erhoffe ich mir aber eine bessere Rendite.
Weshalb wolltest Du Asecus Aktionär werden?
A: Bei meinen bisherigen Aktien konnte ich nur der Kurve zuschauen und auf gut Glück Gewinne machen. Nun besitze ich Aktien, welche ich genaustens kenne und auch mit meiner Arbeit beeinflussen kann.
Y: Es kommt nicht oft vor, dass man Aktien vom eigenen Unternehmen erwerben kann. Insbesondere im KMU-Umfeld ist das sehr selten. An diesjährigem GV-Essen durften wir bereits als Nicht-Aktionäre teilnehmen. Jetzt freue ich mich natürlich darauf, zukünftigt auch an der GV dabei zu sein!
Wie fühlt es sich an Aktionär zu sein?
A: Zuversichtlicher als bei meinen bisherigen Aktienkäufen.
Y: Bis jetzt fühle ich mich noch gleich.
Was empfiehlst Du Studenten, die in die Berufswelt starten?
A: Bei der Wahl des Arbeitgebers würde ich einen Dienstleistungsbetrieb wie die Asecus bevorzugen. Durch die Kundenkontakte und verschiedenen Kundensysteme bleibt die Arbeit immer spannend.
Y: Die Big 4 sind nicht alles. Gerade im KMU-Umfeld kann man sich selbst besser einbringen und Themen treiben. Dabei lernt man nicht nur viel, sondern das macht auch jede Menge Spass.
Mitarbeiter als Aktionäre
Die Asecus gehört zu 100% den Mitarbeitenden und dem Verwaltungsrat. Mit diesem Modell haben die Mitarbeitenden viele Möglichkeiten ihre Ideen einzubringen und die Zukunft der Asecus aktiv mitzugestalten. Möchtest auch Du Teil eines super Teams werden, neue Themen treiben und mit uns die Welt ein wenig sicherer machen? Dann schau dir unsere Stellenangebote an. Wir freuen uns auf Dich!
Senior Security Consultant 100% – Uster
Security Solution Sales 80-100%
Cybersecurity Engineer 80-100% – Uster
Bist Du auf der Suche nach einem Job in einem tollen Team und mit Purpose? Melde Dich bei uns!
Cookie- und Datenschutzeinstellungen
Wir können Cookies anfordern, die auf Ihrem Gerät eingestellt werden. Wir verwenden Cookies, um uns mitzuteilen, wenn Sie unsere Websites besuchen, wie Sie mit uns interagieren, Ihre Nutzererfahrung verbessern und Ihre Beziehung zu unserer Website anpassen.
Klicken Sie auf die verschiedenen Kategorienüberschriften, um mehr zu erfahren. Sie können auch einige Ihrer Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Auswirkungen auf Ihre Erfahrung auf unseren Websites und auf die Dienste haben kann, die wir anbieten können.
Diese Cookies sind unbedingt erforderlich, um Ihnen die auf unserer Webseite verfügbaren Dienste und Funktionen zur Verfügung zu stellen.
Da diese Cookies für die auf unserer Webseite verfügbaren Dienste und Funktionen unbedingt erforderlich sind, hat die Ablehnung Auswirkungen auf die Funktionsweise unserer Webseite. Sie können Cookies jederzeit blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Webseite erzwingen. Sie werden jedoch immer aufgefordert, Cookies zu akzeptieren / abzulehnen, wenn Sie unsere Website erneut besuchen.
Wir respektieren es voll und ganz, wenn Sie Cookies ablehnen möchten. Um zu vermeiden, dass Sie immer wieder nach Cookies gefragt werden, erlauben Sie uns bitte, einen Cookie für Ihre Einstellungen zu speichern. Sie können sich jederzeit abmelden oder andere Cookies zulassen, um unsere Dienste vollumfänglich nutzen zu können. Wenn Sie Cookies ablehnen, werden alle gesetzten Cookies auf unserer Domain entfernt.
Wir stellen Ihnen eine Liste der von Ihrem Computer auf unserer Domain gespeicherten Cookies zur Verfügung. Aus Sicherheitsgründen können wie Ihnen keine Cookies anzeigen, die von anderen Domains gespeichert werden. Diese können Sie in den Sicherheitseinstellungen Ihres Browsers einsehen.
Wir nutzen auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten von Ihnen speichern, können Sie diese hier deaktivieren. Bitte beachten Sie, dass eine Deaktivierung dieser Cookies die Funktionalität und das Aussehen unserer Webseite erheblich beeinträchtigen kann. Die Änderungen werden nach einem Neuladen der Seite wirksam.
Google Webfont Einstellungen:
Google Maps Einstellungen:
Google reCaptcha Einstellungen:
Vimeo und YouTube Einstellungen:
Die folgenden Cookies werden ebenfalls gebraucht - Sie können auswählen, ob Sie diesen zustimmen möchten:
Sie können unsere Cookies und Datenschutzeinstellungen im Detail in unseren Datenschutzrichtlinie nachlesen.
Privacy Policy