Artikel

Publikationen mit #compliance

SecurityArchitecture

Das neue Schweizer Datenschutzgesetz (revDSG) tritt am 1. September 2023 in Kraft und ist nicht zuletzt aufgrund der im Gesetz verankerten persönlichen Strafbarkeit im Falle von Verstössen in aller Munde. Auch wenn die Revision für viele Unternehmen zunächst abschreckend wirkt, finden sich bei genauerer Betrachtung zahlreiche Überschneidungen mit vorhandenen Security Frameworks.

Weiterlesen...

RiskManagement

Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat 2018 den IKT Minimalstandard publiziert. Dieser soll als Empfehlung Unternehmen dabei helfen, sich besser vor Cyberangriffen zu schützen. Zielpublikum des Minimalstandards sind primär Betreiber kritischer Infrastrukturen, der Standard soll aber grundsätzlich für alle Organisationen anwendbar sein. Der IKT-Minimalstandard basiert auf dem NIST Cybersecurity Framework (NIST CSF). In den letzten Jahren haben beide Standards an Bedeutung gewonnen. Wenn man bei der Umsetzung ein paar wichtige Punkte beachtet, sind diese zwei Standards sehr gute Hilfsmittel für die Verbesserung der Cybersecurity in einer Organisation.

Weiterlesen...

CloudSecurity

Selten war die Welt mehr vernetzt als heute: Die Leute tauschen sich mehr aus und es gibt mehr Informationen für alle und über alles. Nun sollte man also meinen, dass ein Online-Meeting ganz einfach durchzuführen sei, besonders wenn eine Firma jahrelange Erfahrungen damit hat. Dennoch gestaltet sich die Organisation eines Online-Meetings mitunter schwierig. Schauen wir uns gemeinsam die häufigsten Fehler an und wie wir sie vermeiden können.

Weiterlesen...

CyberSecurity

Security und die Cloud haben ein äusserst ambivalentes Verhältnis. Viele Security Spezialisten sind gegenüber der Cloud noch immer skeptisch und betrachten diese in erster Linie als Risiko. Die Cloud kann aber auch eine Chance und der Security sogar dienlich sein. Mit der Migration einer Business Applikation in die Cloud verändern sich die Risiken. Ob diese Veränderung negativ ausfällt, hängt von verschiedenen Faktoren ab und kann nicht pauschal beantwortet werden.

Weiterlesen...

SecurityArchitecture

Mobile Devices wie Smartphones und Tablets spielen eine immer wichtigere Rolle im beruflichen wie im privaten Umfeld. In vielen Unternehmen sind iOS-Geräte von Apple als Standard gesetzt – aber wieso werden Geräte mit dem Android Betriebssystem nicht auch eingesetzt? Mit über 88% Marktanteil dominiert Android den Internationalen Markt bei den mobilen Geräten und die grössten Hersteller wie Samsung und Huawei bieten vergleichbare High-End Smartphones an wie Apple. In Bezug auf die Sicherheit steht Android jedoch im Ruf, unsicherer als iOS zu sein. Die TEMET AG ging der Sache auf den Grund und hat die Sicherheit beider Betriebssysteme in einem Report verglichen. Dazu sind die dokumentierten Schwachstellen der beiden Betriebssysteme seit 2013 sowie Mobile Threats der letzten 3 Jahre analysiert worden.

Weiterlesen...

Compliance

Der Themenkomplex Datenschutz spielt im Design und Betrieb der Informationssicherheit immer wieder eine Rolle – nicht immer zur Freude der Geschäftsverantwortlichen.

In der Beratung zur Informationssicherheit geht es üblicherweise um Themengebiete wie Cyber Security, Identitäts- und Zugriffsmanagement oder Managementsysteme zur Informationssicherheit. Diese Bereiche sind meist in IT- oder in Business-Einheiten der Kunden angesiedelt und sollen die Informationen der Unternehmen vor allen möglichen Verletzungen schützen.

Weiterlesen...

Compliance

Die für jedermann spürbare Auswirkung der Europäischen Datenschutzgrundverordnung (DSGVO) erschöpft sich bislang in der mühseligen Bestätigung von Cookie Policies. Hinter den Kulissen ist aber eine Umwälzung im Gange, die das heutige Selbstverständnis der Sicherheitsverantwortlichen in den Grundfesten erschüttern kann. Diese Umwälzung ist in verschiedenen neuen Regulativen bereits sichtbar wie beispielsweise dem Elektronischen Patientendossier (EPD): Im EPD entscheiden die Patientinnen und Patienten selber, wie sie Ihre Dokumente klassifizieren und welche Ärzte auf ihr Dossier zugreifen dürfen. Dieselbe Stossrichtung verfolgt die europäische Payment Services Directive (PSD2) für das digitale Bankgeschäft.

Weiterlesen...

Compliance

Um ein Haar wäre es Hackern im vergangenen Jahr gelungen, einen der grössten Betrugsfälle aller Zeiten durchzuziehen und eine knappe Milliarde US-Dollar zu erbeuten. Der SWIFT-Verbund macht nun Druck, die IT-Security in dem Bankennetzwerk flächendeckend zu stärken.

Es war eine Aktion, die das Zeug zum Krimi hatte. Im Februar 2016 schafften es bis heute unbekannte Hacker, das Zahlungsnetzwerk von SWIFT für ihre kriminellen Zwecke auszunutzen. Sie missbrauchten Zugriffsrechte und Systeme der Bangladesh Bank, um 35 Zahlungsaufträge mit einem Gesamtwert von über 950 Millionen US-Dollar vom Konto der Bank bei der Federal Reserve Bank of New York (New York FED) direkt ins SWIFT-Netzwerk einzuspeisen. Beinahe wäre den Hackern ein unglaublicher Coup gelungen, hätten nicht weiterführende manuelle Kontrollen den grössten Schaden verhindert.

Weiterlesen...

Compliance

Wenn sich eine Gesundheitseinrichtung einer EPD-Stammgemeinschaft und damit dem nationalen EPD Vertrauensraum anschliesst, dann bleibt dies nicht ohne Auswirkungen auf die internen Prozesse und Systeme. Dieser Artikel beleuchtet den Handlungsbedarf speziell im Bereich der Informationssicherheit.

Spitäler und Heime müssen sich bis 2020 respektive 2022 einer EPD Gemeinschaft anschliessen. Sie werden damit Teil des Vertrauensraums EPD, dessen Regeln von Gesetz und Ausführungsrecht bestimmt werden.

Weiterlesen...

CyberSecurity

Herr Dr. Rhomberg, es war ein Hackerangriff, wie ihn die Bankenwelt bis dahin noch nicht kannte: Im Februar 2016 schafften es Hacker, gefälschte Überweisungen über mehr als 950 Millionen US Dollar bei der Bank Bangladesh ins SWIFT Netzwerk einzuspeisen. Wie konnte es dazu kommen?

Es zeigte sich, dass zum einen die betroffene Bank erhebliche Mängel in der Sicherheit ihrer IT aufwies. Zum anderen waren die Angreifer nicht nur über die eingesetzte Software und IT-Infrastruktur genauestens informiert, auch wussten sie, wo exakt die Schwachstellen lagen und zu welchem Zeitpunkt ihr Angriff erfolgen musste. Neben der Erwirtschaftung des grösstmöglichen Profits verfolgten die Hacker das Ziel, die Überweisungen lange geheim zu halten, um das Geld von den Zielbanken weiter transferieren oder in bar abholen zu können.

Weiterlesen...

Compliance

Das elektronische Patientendossier (EPD) und die informationelle Selbstbestimmung sind zwei Themen, über die wir in den kommenden Jahren viel hören, lesen und nachdenken werden. Lassen Sie uns darüber sprechen, weshalb das EPD zum Prüfstein für die informationelle Selbstbestimmung wird.

Weiterlesen...