„ANGRIFFSLUSTIG – IT-Sicherheit für DEIN Unternehmen“

Die richtige Story zur richtigen Zeit – und es kann auch DICH treffen! Im diesem Podcast spricht Sandro Müller mit Carlo Canova, langjähriger Security Consultant bei goSecurity AG. Carlo erzählt von einem Phishing, das ihn persönlich erreicht hat – und das im schlimmsten Fall der ganzen Firma erheblichen Schaden hätte zufügen können. Zum Glück wurde der Incident sofort richtig behandelt. Eine spannende und lehrreiche Episode für alle, die verstehen wollen, wie schnell jeder zum Ziel werden kann – und warum es so wichtig ist, vorbereitet zu sein.

Manchmal liest man irgendwo: Damit sind Sie sicher. / Wir können Sie vor allen möglichen Cyberattacken schützen. / Mit unserem Produkt kann Ihnen nichts mehr passieren. – Das ist Quatsch. Alle, die sich schon seriös mit dem Thema Risikomanagement auseinandergesetzt haben wissen, dass es keine 100% Sicherheit gibt. Wenn jemand im Umfeld der Cyberkriminalität behauptet, mit seiner Lösung sei man absolut sicher, ist das unseriös. Es heisst aber auch nicht, dass dieses Produkt auf jeden Fall schlecht ist. Aber es deutet darauf hin, dass die Idee von Risikomanagement nicht verstanden wurde. Eine Beratung durch solche Akteure ist deshalb mit Vorsicht zu geniessen.

Vor über 50 Jahren wurde E-Mail erfunden. Bis heute ist E-Mail-Verschlüsselung aber ein Buch mit sieben Siegeln. Das Thema ist nicht nur komplex. Die Diskussion darüber zeigt auch die Vielschichtigkeit und die daraus entstehenden Herausforderungen in der Praxis. Andreas und Sandro nehmen sich in dieser Folge dem Thema E-Mail-Verschlüsselung an. Was hat sich in den letzten 50 Jahren verändert? Und warum ist nicht alles Gold was glänzt?

Die FHNW forscht im Institut WI zum Kompetenzschwerpunkt für Digitales Vertrauen. Das Ziel ist es zu einer vertrauenswürdigen digitalen Welt beizutragen. Eine starker Themenschwerpunkt dieses Teams sind die organisatorischen Aspekte der Cybersecurity und darunter auch der Faktor Mensch. Andreas Wisler interviewt Bettina Schneider und Franka Ebai zur aktuellen Forschungsarbeit zum Thema wie die kulturelle Prägung das Verhalten einer Person beeinflusst. Sie geben auch konkrete Praxistipps für KMUs.

Wer eine Software mit Benutzerinteraktion entwickelt, macht dies am einfachsten über eine Webapplikation. Webapplikationen sind auch deshalb allgegenwärtig. goSecurity testet viele Webapplikationen im Auftrag von Kunden, um Schwachstellen zu finden. In dieser Folge spricht Sandro Müller mit der Penetration Testerin Annika Salzmann. Sie kommt ursprünglich aus dem Bereich Software-Entwicklung und arbeitet seit 2022 bei goSecurity. Annika hat Ihre Top-5 für typische Fehler bei Webapplikationen mitgebracht.

In der Welt der IT-Sicherheit bleibt man nicht lang von Hash-Funktionen verschont. Im ersten Moment wird es gerne mit Verschlüsselungsfunktionen verwechselt. Das ist zwar nicht ganz falsch. Allerdings ist eine Hash-Funktion eine spezialisierte Kryptografische Anwendung mit eigenen Aufgaben. Sandro und Andreas sprechen in dieser Folge über dieses komplexe Thema so, dass es jeder versteht.

Durch die Lockdowns während der Corona-Pandemie, mussten viele Unternehmen überstürzt ein Tool für Video-Calls zur Verfügung stellen. In vielen Fällen war dies Microsoft Teams. Damit wurde Service Microsoft 365 in einer Form gepushed, mit der niemand gerechnet hatte. Tatsächlich konnten die Projekte dadurch nicht sauber geplant werden. Einige Firmen haben dies nachgeholt und die Konfiguration anschliessend abgesichert. Das passierte aber nicht überall (konsequent). In unserem Alltag als Auditoren sehen wir viele Microsoft Cloud-Umgebungen, die nicht gut abgesichert sind. Zusammen mit Michel Hennet, dem Head of Audit bei goSecurity, spricht Sandro Müller in dieser Folge über 5 typische Fehler in M365.

Diesmal überrascht Andreas Sandro mit einer neuen Herausforderung. Dafür hat Andreas 6 Fragen vorbereitet. Er stellt diese Sandro und vergleicht die Antwort mit derjenigen von Chat GPT. Lassen wir uns überraschen, ob die Antwort von Chat GPT mit derjenigen von Sandro übereinstimmt oder ob es Unterschiede gibt.

Öfters liest oder hört man, dass Bug Bounty Modelle die bessere Möglichkeit sind, Schwachstellen zu finden. Doch ist das wirklich so? Sandro Müller und Andreas Wisler diskutieren über die Unterschiede, Vor- und Nachteile von Bug Bounty und Penetration Tests.

Sandro Müller hat einen Gast aus den eigenen Reihen. Zusammen mit Marius Hamborgstrøm rollt er die 5 häufigsten Fehler auf, welche die goSecurity-Auditoren bei ihren Audits finden.

Wer beachtet schon die “Serienmässige Ausstattung”? Seit vielen Jahren bietet praktisch jeder PC und jedes Notebook einen TPM-Chip. Kaum jemand nahm davon Notiz und noch viel weniger wusste jemand was das ist. TPM steht für Trusted Plattform Module. Es darf sich wie eine im PC fix verbaute Smart Card vorgestellt werden. Für Windows 11 schreibt Microsoft neu einen TPM 2.0 Chip vor. Das gab einen grossen Aufschrei und plötzlich kennen vielen den Begriff. Was es ist, wissen aber immer noch die wenigsten. Andreas und Sandro wollen das ändern und sprechen in dieser Podcastfolge über TPM.

Jährlich wird von der Cybersecurity and Infrastructure Security Agency (kurz CISA) die Liste der Top Sicherheitsschwachstellen veröffentlicht. Hat sich dabei die Situation gross verändert? Oder sind die bekannten Schwachstellen wieder auf den Top-Plätzen. Darüber diskutieren Andreas Wisler und Sandro Müller.

Wer in die Cloud geht, sollte das clever tun. Immer wieder erleben wir, dass wichtige Aspekte erst nach der Migration auftauchen, was natürlich nicht ideal ist. goSecurity hat die eigene Infrastruktur schon länger komplett in der Cloud. Bei der Evaluation nutzt die Firma von Andreas Wisler und Sandro Müller eine bewährte Checkliste. In der aktuellen Folge stellen sie Ihre Checkliste vor.

Nun ist auch die goSecurity AG nach ISO 27001:2022 zertifiziert. Sandro Müller und Andreas Wisler zeigen auf, wie das Vorgehen war, welche Stolpersteine im Weg standen und wie mit Nicht-Konformitäten umgegangen wird.

Oft gelesen oder gehört: alle Daten wurden nach einem Hacker-Angriff verschlüsselt. Was nun? Während viele Firmen ein grosses Geheimnis machen, erzählt Nico Guglielmo von der Griesser AG, wie sie vorgegangen sind. Wie wurde der Vorfall entdeckt? Welche Schritte waren notwendig? Wie fand die Kommunikation mit den Hackern statt? Wie lange war das Unternehmen offline? Und welche Lehren wurden aus dem Hacker-Angriff gezogen? Dies und viel mehr erfährst du in dieser Folge Angriffslustig.

Und schon wieder ein Gesetz mehr. Der Digital Operational Resilience Act (DORA) trat am 17. Januar 2025 in Kraft. Es richtet sich an alle Finanzdienstleister in der Europäischen Union und zielt darauf ab, ihre operative Resilienz zu erhöhen. Andreas und Sandro diskutieren über den Inhalt und die Folgen für die betroffenen Unternehmen.

Und schon geht wieder ein Jahr zu Ende. Andreas Wisler und Sandro Müller blicken auf das vergangene Jahr zurück und wagen einen Blick in die Zukunft.

Mit KI kann man eine Stimme innert kürzester Zeit einfach kopieren. - Stimmt das wirklich? Die Stimmen von Andreas und Sandro sind durch diesen Podcast im Internet verfügbar. Doch sind KI-Systeme wirklich weit, dass damit eine Stimme so kopiert werden kann, dass es kaum jemand merkt? Genau das wollen die beiden Podcast-Hosts in dieser Folge klären.

Am 10. Oktober 2024 wurde von der EU der Cyber Resilience Act verabschiedet. Diese Verordnung dient der Erhöhung der Cybersicherheit von Produkten mit einer digitalen Komponente, um Verbraucher*innen und Unternehmen besser zu schützen. Was kommt da auf die Unternehmen zu? Dies diskutieren Sandro Müller und Andreas Wisler in der aktuellen Folge.

Es ist wichtig, auch für seine privaten Daten, regelmässig Backups zu machen. Nicht zuletzt, da Cloud-Speicher verlässlicher wurden, vernachlässigen viele Privatpersonen das Backup. Das kann ziemlich unangenehm werden… Doch wo sollte man Backups speichern? SSD-Speicher wurden günstiger. Zudem wird SSDs eine gute Lebensdauer vorausgesagt. Ein weiterer Vorteil ist die Geschwindigkeit. Es gibt aber einen massiven - technologisch bedingten - Nachteil. Andreas und Sandro zeigen in dieser Folge, worauf Du achten musst und welche Alternativen existieren.

Normalerweise sind Andreas und Sandro gut vorbereitet, wenn Sie die Aufnahmetaste drücken. Diesmal ist es etwas anders. Andreas überrascht Sandro mit einem Online-Test zum Thema Datenschutz. Gemeinsam füllen die beiden den Test aus und diskutieren die Musterlösungen. Vorsicht Spoiler: Sie sind sich nicht überall einig und finden die Musterlösungen nicht immer auf Anhieb!

Am 1. September 2023 trat das neue Datenschutzgesetz in der Schweiz in Kraft. Seither müssen die Anforderungen umgesetzt sein. Was hat sich seither getan? Wie sieht die aktuelle Situation aus? Was muss noch gemacht werden? Dazu interviewt Andreas Wisler den Datenschutz-Experten Martin Steiger.

Passkeys werden seit mehreren Jahren als “Ablösung” für Passwörter angekündigt. Das Thema kommt trotz prominenter Unterstützung nur schleppend vorwärts. Andreas und Sandro geben ein Update zum aktuellen Stand. Erfahre, warum Du nicht mehr zwingend einen “USB-Stick” benötigst und warum das vermutlich auch nicht die ganze Lösung ist. Zudem sprechen Andreas und Sandro über die bekannte Problematik, dass mehr Komfort meist auch ein Synonym für weniger Sicherheit ist.

Die ISO 27001 ist ein anerkannter Ausweis, dass ein Unternehmen viel für die Informationssicherheit tut. Der Aufwand bis zur Zertifizierung, aber auch danach, ist gross. Da wäre es doch verlockend, auf ein Pauschalangebot einzugehen. Aufbau ISMS, alle notwendigen Dokumente, Audit und gleich noch die Zertifizierung obendrauf zu einem günstigen Preis. Unsere Erfahrung zeigt, dass diese Angebote nicht immer das versprechen, was sie sollten. Daher Augen auf.

Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welche Massnahmen zur Reduktion der Folgen ergriffen werden müssen.

Phishing-Attacken werden immer besser. Aber nicht, weil die Cyberkriminellen einen kontinuierlichen Verbesserungs-Prozess eingeführt haben. Vielmehr weil die potentiellen “Opfer” auch immer besser geschult sind. Durch eine “echte” Absender E-Mail-Adresse kann eine Phishing-Nachricht eine hohe Glaubwürdigkeit erreichen. Das Sender Policy Framework (SPF) soll genau das verhindern. Andreas und Sandro sprechen in dieser Folge aber auch über die Tücken von SPF.

Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern. Sandro Müller und Andreas Wisler diskutieren, was da auf Unternehmen zukommt.

Marco Fischer ist Leiter Cyber Schaden bei der Mobiliar Versicherung. Nach seiner Ausbildung im Bereich Versicherungen haben ihn seine Interessen, in die Cyber-Welt geführt. Als Leiter Cyber Schaden bearbeitet er mit seinem Team Fälle bei denen Kunden z.B. durch einen Cyberangriff lahmgelegt wurden. Damit hat Marco eine spannende Sichtweise und Erfahrungen, die wir noch nie bei Angriffslustig hatten. Er wird interviewt von Sandro Müller.

Wer eine fachtechnische Laufbahn wählt, z.B. einen technischen Beruf, und irgendwann später in eine Geschäftsleitung oder gar einen Verwaltungsrat aufsteigen will, kann nicht sagen, dass ihn oder sie Finanzen nicht interessieren. Ein Grundverständnis für finanztechnische Fragen ist essentiell, um eine Unternehmung führen zu können. Weitere wichtige Kompetenzen sind Riskmanagement, Personalführung und weitere. Was aber offiziell nicht wichtig ist und noch vielerorts fehlt sind: digitale Kompetenzen, IT und Informationssicherheit. Doch ist das in der heutigen Zeit noch angemessen? Informationssicherheitsexperten kämpfen um Akzeptanz und um Budget. Bei durchgehend mangelndem Fachwissen in den Gremien ist das nicht immer einfach und zielführend. Wie könnte dieser Zustand geändert werden und was wäre zuviel?

Wer erinnert sich noch an die Einführung der Strichcode-Kassen im Detailhandel? Nicht alle waren damals damit einverstanden und es war eine grosse Revolution. Der QR-Code ist eigentlich nur eine Weiterentwicklung des Strichcodes. Der grosse Vorteil besteht darin, dass durch die zweite Dimension deutlich mehr Informationen gespeichert werden können. Die eigentliche Revolution rund um den QR-Code war eigentlich das Smartphone und die Idee, QR-Codes mit der Kamera lesbar zu machen. In unserem Business-Alltag sind wir immer wieder darauf angewiesen, QR-Codes zu scannen. Andreas und Sandro sprechen in dieser Folge darüber, wo diesbezüglich die Gefahren lauern.

“Ich will nicht in die Cloud, weil ich dann von anderen abhängig bin.” Solche Sätze hören Andreas und Sandro immer wieder. Und die Aussage ist auch nicht falsch. Gleichzeitig sind sich viele deutlich weniger bewusst, wie abhängig wir an anderen Stellen schon sind. Insbesondere die Marktmacht von Microsoft ist enorm und unsere Abhängigkeit hoch. Die beiden Hosts zeigen einige Probleme auf und diskutieren auch darüber, wie sie die Situation einschätzen.

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen der ISO/ 27001. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkeit von sensiblen Informationen innerhalb der Lieferkette der Automobilindustrie sicherzustellen. Am 3. April 2024 wurde die Version 6.0.2 veröffentlicht. Zeit also, dass sich Sandro Müller und Andreas Wisler über diesen Standard unterhalten.

Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung. Um einen einfachen Einstieg in dieses Thema zu bekommen, wurde die DIN SPEC 27076 entwickelt. Sandro Müller und Andreas Wisler zeigen auf, was es mit dieser Norm auf sich hat.

Am 24. März 2023 wurde die NZZ von Cyberkriminellen erfolgreich angegriffen. Der Angriff hatte weitreichende Folgen für das Unternehmen. Im Februar 2024 veröffentlichte ein Journalist der NZZ einen Artikel in dem der Vorfall aufgearbeitet wird. Sandro uns Andreas zeigen in diesem Podcast auf, warum dieser Fall so typisch ist.

Es gibt klassische Männerberufe und klassische Frauenberufe. Innerhalb der IT gehört fast alles zum Ersteren. Was nur wenige wissen: Das war nicht immer so. Diversität auch (aber nicht ausschliesslich) in Bezug auf das Geschlecht wird heute als wichtig angesehen. Der Frauenanteil bei goSecurity bewegt sich so ungefähr im Branchendurchschnitt. Isabelle Berger und Annika Salzmann beantworten in dieser Folge die Fragen von Sandro Müller. Beide arbeiten bei goSecurity im technischen Bereich, kommen aber aus unterschiedlichen Generationen. Was denkst Du dazu? Wie wichtig ist Diversität für Dich?

Im Januar 2024 wurde viel über die Fernwartungssoftware anydesk geschrieben. Auslöser war ein Angriff auf die Firma, bei dem tröpfchenweise immer mehr Informationen bekannt wurden. Es ist nicht das erste Mal, dass ein Hersteller einer Fernwartungssoftware in der Kritik steht. In der Vergangenheit gab es mehrfach schwere Sicherheitslücken. Andreas und Sandro sprechen darüber, wie sie die Sicherheit solcher Tools einschätzen und wie mögliche Alternativen aussehen.

Andreas Wisler gehört zu den Gründern der Firma goSecurity. Er ist Hauptinhaber der Firma, arbeitet selbst als Senior Consultant, schreibt Bücher, unterrichtet an einer Hochschule und ist auch sonst sehr vielseitig engagiert. Seit mittlerweile 4 Jahren ist er auch regelmässig im Podcast Angriffslustig zu hören. In dieser Folge wird er von Sandro Müller interviewt. Spannende Insights aus dem Leben von Andreas. Exklusiv und wie gewohnt sympathisch.

Ein Informationssicherheitsmanagementsystem wurde aufgebaut und nun geht es an die Zertifizierung. Viele haben Respekt vor diesem Schritt. Wie bei einer Prüfung in der Schulung ist man unsicher, was da alles kommt. Diese Folge geht auf das Zertifizierungsaudit ein, zeigt, wie dieses aussieht, welche Schritte notwendig sind und wo ein passender Zertifizierer gefunden wird.

Viele KMU betreiben Ihre IT nicht selbst. Einerseits weil es schwierig ist, IT-Fachleute zu finden. Doch auch wenn ich Mitarbeitende finde, müssten die ja alles können (Allrounder). Heutzutage ist das ziemlich unrealistisch. Die Materie ist viel zu komplex. Die Alternative ist die Wahl eines IT-Dienstleisters. Und diese sollte gut überlegt sein. Die Abhängigkeit ist nicht unerheblich… In der aktuellen Folge sprechen Andreas und Sandro über 5 Fehler die vermieden werden sollten.

Arbeiten setzt heute meist einen Internetanschluss voraus. Im Büro ist der gegeben. Im Home Office meist auch. Unterwegs ist das hingegen nicht immer so klar und die Meinungen, wie das sicher passieren kann, gehen auseinander. Grundsätzlich stehen meist die Varianten eines öffentlichen WLANs gegenüber Tethering (über 4G/5G) zur Verfügung. Eins vorneweg: Beides birgt Gefahren und beides ist bei Einhaltung wichtiger Sicherheitsregeln möglich. Zumindest wenn nicht gerade die Existenz der Menschheit davon abhängt. Viel Spass beim zuhören.

10 Jahre sind in der IT eine Ewigkeit. Sowohl Andreas Wisler, wie auch Sandro Müller, waren zu dieser Zeit aber bereits in der IT-Security unterwegs. Ihre Firma hiess damals noch GO OUT Productions GmbH und wurde erst 1 Jahr später zur goSecurity GmbH umbenannt. Wer jetzt aber denkt, es war damals langweilig in der Security-Welt, der irrt. Die beiden erinnern sich in der aktuellen Folge an markante Geschehnisse, die durchaus Einfluss auf die heutige Welt haben.

Das neue Datenschutzgesetz in der Schweiz ist jetzt schon ein paar Monate alt. Im Vorfeld gab es eine grosse Welle. Zurecht? David Schwaninger von der Kanzlei Blum&Grob Rechtsanwälte AG in Zürich ist Experte auf dem Gebiet Datenschutz. Er wird in dieser Folge von Sandro Müller interviewt. Eine weitere wichtige Frage, die in dieser Folge beleuchtet wird, ist jede nach der Haftung.

Heute gibt es einmal eine spezielle Folge. Andreas Wisler befragt Sandro Müller und er gibt spontan seine Meinung dazu. Lass dich überraschen.

Ist das wilde Suchen nach Schwachstellen eine strafbare Tat? Wie sollen gefundene Schwachstellen korrekt gemeldet werden? Und was bedeutet CVD? Diese und weitere Fragen beantwortet die aktuelle Folge Angriffslustig. PS: Neu sind wir auch auf Instagram - Auf unserem Profil warten News, Blogs, Podcasts und immer wieder ein Hack to go auf euch.

Was früher die Firewall war, ist heute das SOC (Security Operation Center). Wer keins hat, ist ja fast schon fahrlässig. Oder? In dieser Folge sprechen Andreas Wisler und Sandro Müller über Gründe, die gegen ein SOC sprechen. Nicht, dass es richtig angewendet eine feine Sache ist, so ein SOC. Aber am besten einfach reinhören. Denn die Vorbehalte sind nicht unbegründet und basieren wie immer auf der Praxiserfahrung der beiden.

Backup ist wichtig. Das ist mittlerweile auch im Management angekommen. Dennoch gibt es nach wie vor einige Mythen und Irrtümer rund um das Backup. Darüber sprechen heute Andreas und Sandro.

Täglich werden neue Schwachstellen erkannt und mit Patches geschlossen. Gar nicht einfach, dies immer im Auge zu behalten und jede Neuerung mitzubekommen. Pascal Mittner hat mit der First Security eine Dienstleistung erarbeitet, um Schwachstellen zu finden. Daraus ist auch ein SOC entstanden. Andreas Wisler interviewt Pascal Mittner zu diesen beiden Themen.

Immer mehr Firmen wollen oder müssen eine Zertifizierung nach ISO 27001 in Angriff nehmen. Oft fehlt intern das Wissen oder die Erfahrung ein solches ISMS aufzubauen. Daher stellt sich schnell die Frage, “Was kostet mich denn eine Zertifizierung”. Andreas Wisler und Sandro Müller zeigen in dieser Folge, mit was ich rechnen muss.

Die Energieversorgungsbranche ist immer wieder ein polarisierendes Gesprächsthema, wenn es um den Schutz vor Cyberattacken geht. In dieser Folge führt Sandro Müller ein Interview mit Alexander Rehbeck dem CISO von SH POWER. SH POWER betreibt unter anderem ein Flusskraftwerk in der Schweiz. Alexander gibt uns spannende Einblicke in seinen Alltag und seine aktuellen Herausforderungen.

Jubiläumsfolge! #100 Andreas uns Sandro hatten 2019 unabhängig voneinander die Idee einen Podcast zu lancieren. Das ursprüngliche Ziel war es mind. 300-400 Hörer:innen zu erreichen. Das haben Sie kurz nach der Lancierung bereits erreicht. In der Jubiläumsfolge erfährst Du spannende Fakten zum Podcast und woher die meisten Hörer:innen kommen. Vielen Dank für Deine Treue!

Das NIST Cybersecurity Framework ist eine Reihe von Richtlinien zur Minderung von Cybersicherheitsrisiken in Unternehmen, die vom US National Institute of Standards and Technology basierend auf bestehenden Standards, Richtlinien und Praktiken veröffentlicht wurden. Es ist in die Stufen Identify - Protect - Detect - Respond und Recover eingeteilt.

Ich habe ja alles richtig gemacht - Und nun wurde ich gehackt… Supply Chain-Angriffe beziehen sich auf Cyberangriffe, bei denen die Schwachstellen oder Vertrauenslücken in der Lieferkette eines Unternehmens ausgenutzt werden, um unbefugten Zugriff auf dessen Systeme oder Daten zu erlangen. Bei solchen Angriffen infiltriert ein Angreifer gezielt die Systeme oder Komponenten eines Drittanbieters, um Zugriff auf das eigentliche Ziel zu erhalten.

Wie ging das schon wieder in der Betriebswirtschaftslehre? Eine Investition ist dann eine (gute) Investition, wenn sie dazu beiträgt, dass der Ertrag während der Abschreibungszeit mindestens ausgeglichen, besser aber um ein vielfaches gesteigert werden kann. In Tat und Wahrheit wird es noch etwas komplexer sein. Aber so als Faustregel mag es gelten. Folglich sollten auch Investitionen in die Informationssicherheit rechnerisch sinnvoll sein. Angenommen es ist günstiger, die allfälligen Kosten eines Ausfalls / Cyberangriffes zu tragen, als all die teuren Security Massnahmen zu finanzieren. Dann wäre es rein betriebswirtschaftlich doch sinnvoller die Investitionen in die Informationssicherheit nicht zu tätigen. Leider ist das aber nicht so einfach. Nur schon die Berechnungen dazu basieren auf kaum stichhaltigen Zahlen. Dazu kommt, dass z.B. eine Veröffentlichung meiner Daten durch Cyberkriminelle einen Reputationsschaden zur Folge hat (oder zumindest haben kann), der kaum zu berechnen ist. Solchen und ähnlichen Paradoxen gehen Andreas Wisler und Sandro Müller in dieser Folge auf den Grund.

Marco Wyrsch ist Head of Group Security bei der Swisscom. Ob er schon im Kinderzimmer gehackt hat und ob er seinen Weg als Bilderbuchkarriere beschreiben würde, erfährst Du in dieser Interview-Folge mit Sandro Müller.

Der Begriff CISO (Chief Information Security Officer) ist in der Szene durchaus bekannt. Nicht immer so klar ist hingegen, was einen guten CISO auszeichnet. Andreas Wisler und Sandro Müller versuchen in dieser Folge den perfekten CISO zu beschreiben. Durchaus im Wissen, dass in den meisten Fällen einzelne Abstriche zu machen sind. Denn Übermenschen sind rar.

In dieser Folge geht es weniger darum, wie ein Antivirus grundsätzlich funktioniert. Es geht mehr darum, auf welchen Betriebssystemen ein Antivirus Sinn macht. Nicht überall ist das gleich wichtig. Verschiedene Betriebssysteme haben verschiedenen Eigenschaften.

“Hilfe, meine Daten sind verschlüsselt. Was kann ich tun?”. So könnte es eines morgens im Büro lauten. Nun ist guter Rat gefragt. Tobias Ellenberger von der Firma Oneconsult kommt genau dann zum Einsatz. Andreas Wisler interviewt Tobias genau zu diesem Thema Incident Response.

Am 15. Juni 2023 hielt Wolodymyr Selenski eine Rede vor dem Schweizer Parlament. Vor, während und nach dem Auftritt kam es zu massiven DDoS- Angriffen auf Schweizer Unternehmen. Aber was genau sind DDoS-Angriffe? Wie funktionieren diese?

Die ersten bekannten “Versuche” mit Ransomware gab es bereits in den 90er Jahren. Die grossen Wellen kamen dann ungefähr im Jahr 2015. Ganz einfach sei es diesen Ganoven zu parieren, hiess es von vielen Seiten. Die Firmen müssten einfach endlich ihr Backup in den Griff bekommen. Spätestens heute wissen wir, dass dies bei weitem nicht reicht. Leider ist die Angriffsform mit Ransomware immer noch sehr erfolgreich. Warum ist das so? Andreas Wisler und Sandro Müller erläutern in dieser Folge 5 Gründe, weshalb Ransomware-Angriffe immer noch erfolgreich sind.

Was sind wichtigsten Massnahmen für zuhause? Heute mal eine Folge für Jedermann und Jedefrau. Andreas und Sandro zeigen die wichtigsten Punkte auf, die man einhalten sollte, um zuhause einem Minimalschutz aufrecht erhalten zu können.

Was ist der Unterscheid zwischen SPAM und Phishing? Das ist nur der Einstieg in die heutige Folge. Danach erfährst Du die "Zauberformel" von Andreas und Sandro, um Phishing E-Mails zu erkennen. Leider ist auch diese "Zauberformel" keine Garantie. Aber sie sollte Dir bei der Erkennung helfen.

KIs sind zu einem ständigen Begleiter geworden. Auch bei der Informationssicherheit übernehmen sie immer mehr Aufgaben. Das hat klare Vorteile, bringt aber auch Nachteile mit sich. Diese diskutieren Andreas Wisler und Sandro Müller in der aktuellen Ausgabe.

Immer wieder werden wir angefragt, was denn so die goSecurity so den ganzen Tag macht und als Arbeitgeber auszeichnet. In dieser Folge aus der Reihe möchten wir euch uns gerne vorstellen. Viel Spass beim Reinhören.

In dieser Folge ist Max Klaus zu Gast bei Sandro Müller. Max Klaus ist Stellvertretender Leiter Operative Sicherheit OCS beim Nationalen Zentrum für Cybersicherheit der Schweiz. Besser bekannt als NCSC. Max erzählt im Interview was die Aufgaben des NCSC sind und wie die Schweiz im Vergleich zum Ausland dasteht.

Die Angriffe in der Cyberwelt nehmen immer mehr zu. Ist es wirklich so, dass die Cyberkriminellen immer besser und raffiniert werden? Ist es wirklich so, dass nur die Mitarbeitenden die Schuld tragen, weil sie immer noch auf jeden Mist klicken? Natürlich ist das nicht so. Auch die Technische Sicherheit ist wichtig und wird gerade bei KMU auch heute noch viel zu häufig stiefmütterlich behandelt. In dieser Folge erfährst Du die Top 8 von Andreas und Sandro.

In dieser spannenden Folge ist Stephan Halbmeier von der specops Software GmbH zu Gast bei Sandro Müller. Stephan ist ein Experte für Passwörter. Im Gespräch mit Sandro kommen die beiden auf viele wichtige Punkte zu sprechen. Aktuell gibt es grosse Bemühungen von Passwörtern wegzukommen. Wie realistisch beurteilt das der Experte?

Die ISO 27000er-Reihe hat sich zum Quasi-Standard im Bereich der Informationssicherheit etabliert. Doch die Umsetzung ist mit einigen Herausforderungen verbunden. Einfach die Norm zu lesen und im Internet Vorlagen herunterladen, ist zwar möglich, benötigt aber trotzdem viel Wissen und Erfahrung. Die goSecurity hat deswegen eine Video-Reihe zu allen Themen der Norm erstellt. In 20 Teilen werden alle Aspekte der Norm aufgezeigt. In dieser Folge diskutieren Andreas Wisler und Marcel Grand über den Inhalt und die Gründe für diese Video-Reihe.

Cyberangriffe ziehen meist hohe Kosten nach sich. Diese sind (logischerweise) nicht budgetiert und können eine Firma finanziell auch gerne mal an den Anschlag bringen. Andreas und Sandro haben bereits je eine eigene Folge zu dem Thema aufgenommen. Im dritten Teil geht es nun darum, alles zusammenzufügen.

Im August 2022 wurde bekannt, dass LastPass angegriffen wurde. Lange wurde versichert, dass die Angreifer keinen Zugriff auf Kundendaten und schon gar nicht auf Passwörter hatten. Kurz vor Weihnachten wurde dann bekannt, dass der Hack grössere Auswirkungen hatte, als bisher zugegeben. Doch was heisst das nun für alle, die einen Passworttresor nutzen? Was musst Du tun?

Andreas und Sandro sind sich häufig einig, wenn es um Sicherheitsfragen geht. Die beiden Podcasthosts wollten deshalb eine allfällige Unstimmigkeit herausfordern. Dazu haben beide eine eigene Folge zum gleichen Thema (Kosten von Cyberangriffen) aufgenommen. In dieser Folge spricht Sandro über seine Erfahrung. Es ist nichts abgesprochen. Bist Du auch gespannt, wohin das führt?

Andreas und Sandro sind sich häufig einig, wenn es um Sicherheitsfragen geht. Die beiden Podcasthosts wollten deshalb eine allfällige Unstimmigkeit herausfordern. Dazu haben beide eine eigene Folge zum gleichen Thema (Kosten von Cyberangriffen) aufgenommen. Andreas macht mit dieser Folge den Start. Es ist nichts abgesprochen. Bist Du auch gespannt, wohin das führt?

Unsere Urgrosseltern hatten es sicher in vielen Bereichen viel schwieriger als wir heutzutage. Aber um eines wird diese Generation wohl häufig beneidet: Sie mussten sich keine Passwörter merken. FIDO / FIDO2 ist ein Standard für passwortlose Authentifizierung. Es hört sich verlockend an, es gibt aber auch einzelne Nachteile, die man sich zumindest bewusst sein sollte.

Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue Ausgabe herausgegeben. Bislang ist diese nur in Englisch verfügbar. Mit der deutschen Übersetzung ist frühestens in einem Jahr zu rechnen. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben aber die Controls in Anhang A. Der Aufbau der ISO 27001 entspricht nun dem aus anderen ISO-Normen gewohnten Bild. Sei es ISO 9001 (Qualitätsmanagement), ISO 22301 (Business Continuity) oder weiteren, die Struktur ist nun identisch. Andreas Wisler geht in dieser Folge auf alle Änderungen ein und gibt Hinweise, wie Unternehmen vorgehen müssen, um sich nach der neuen Norm zertifizieren zu können.

Warum sollte mane etwas manuell machen, wenn man es automatisieren kann? Automatisierte Penetration Tests sind jetzt nichts neues. Aber teilweise werden solche Marketingtechnisch stark in den Fokus gerückt. Ist das nun gerechtfertigt? Welche Gründe sprechen gegen automatisierte Penetration Tests und welche eher dafür? Andreas Wisler und Sandro Müller bringen Licht ins Dunkle. Wie gewohnt: Fachmännisch kompetent und mit einer Prise Humor.

Vor einigen Jahren war es noch normal, dass ein KMU seinen eigenen "Serverraum" (oder auch mal nur eine Abstellkammer mit Stromanschluss) betrieben hat. Heute gibt es auch die Möglichkeit die eigenen Systeme in einem professionellen Rechenzentrum zu betreiben (einmieten) oder komplett in die Cloud zu gehen. Tatsächlich ist der eigene Serverraum aber (noch) nicht ausgestorben. Bei unseren Audits treffen wir immer wieder auf dieselben Probleme. Wenn Du noch einen eigenen Serverraum betreibst empfehlen wir Dir diese Folge ganz besonders. Auch in dieser Folge erfährst Du wie gewohnt, Praxiswissen angereichert mit viel Erfahrung.

Vor einigen Jahren war es noch normal, dass ein KMU seinen eigenen "Serverraum" (oder auch mal nur eine Abstellkammer mit Stromanschluss) betrieben hat. Heute gibt es auch die Möglichkeit die eigenen Systeme in einem professionellen Rechenzentrum zu betreiben (einmieten) oder komplett in die Cloud zu gehen. Tatsächlich ist der eigene Serverraum aber (noch) nicht ausgestorben. Bei unseren Audits treffen wir immer wieder auf dieselben Probleme. Wenn Du noch einen eigenen Serverraum betreibst empfehlen wir Dir diese Folge ganz besonders. Auch in dieser Folge erfährst Du wie gewohnt, Praxiswissen angereichert mit viel Erfahrung.

In der IT gibt es viel Wandel. Was vor einem Jahr noch das Beste vom Besten war, ist heute veraltet. Es gibt aber auch viele Trends. Manche setzen sich durch. Andere verschwinden wieder. Und dann gibt es noch die Trends, wo tolle Schlüsselwörter (Buzz Words) erfunden werden um alte Grundsätze mit aktuellen Technologien als bahnbrechend neue Erfindung dastehen zu lassen. Zero Trust hat schon etwas von einem Trend, der eigentlich weniger revolutionär ist, als er häufig dargestellt wird. Das soll aber nicht heissen, dass das Zero Trust-Konzept minderwertig ist. Doch was ist jetzt Zero Trust genau? Das erfahrt Ihr in der aktuellen Folge von Angriffslustig. Wie gewohnt mit Andreas Wisler und Sandro Müller.

Praktisch jeden Tag kann von Hacker-Angriffen oder Systemausfällen in der Zeitung gelesen werden. Damit die Folgen möglichst gering bleiben, gilt es vorbeugende Schritte zu treffen. Beim Business Continuity Management geht es darum, die kritischen Prozesse zu kennen und vorbeugende Massnahmen zu planen. Andreas Wisler führt dazu ein Gespräch mit Bernhard Birchler.

Die Cloud ist zu einem unverzichtbaren Werkzeug geworden. Auch wenn eine Firma sagt, sie nutze keine Cloud, sind doch irgendwo Daten in der Cloud. In dieser Folge wollen wir auf die Arten der Cloud eingehen und die Frage beantworten, ob eine Cloud sicher sein kann. Weiter gehen wir auf Risiken ein, die bei einer Migration beachtet werden sollen. Damit hast du eine gute Entscheidungsgrundlage für deine Cloud-Planung.

Die Cloud ist zu einem unverzichtbaren Werkzeug geworden. Auch wenn eine Firma sagt, sie nutze keine Cloud, sind doch irgendwo Daten in der Cloud. In dieser Folge wollen wir auf die Arten der Cloud eingehen und die Frage beantworten, ob eine Cloud sicher sein kann. Weiter gehen wir auf Risiken ein, die bei einer Migration beachtet werden sollen. Damit hast du eine gute Entscheidungsgrundlage für deine Cloud-Planung.

Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Diese Norm definiert 17 Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu erfüllen. Bevor Sie das Rad neu erfinden, schauen Sie diese Vorlagen an und passen Sie diese an Ihr Unternehmen an.

Die Informationssicherheit kann nicht alleine bewältigt werden. Alle müssen am gleichen Strick und vor allem auf der gleichen Seite ziehen. Dazu gehört ein funktionierendes Team. Tanja Mütsch ist die Expertin für integrative Team-Entwicklung. Andreas Wisler unterhält sich mit ihr über die Erfahrungen, die Vorbild-Funktion, aber auch über die wenigen Frauen in der IT.

In dieser Folge ist Marius Hamborgstrøm bei Sandro Müller zu Gast. Marius ist ein Experte für Pentesting und technische Cybersicherheit. Die beiden sprechen über Pentesting und Cybercrime. Sie stellen sich zum Beispiel die Frage: ob Opfer von Cyberangriffen immer nur Zufall sind oder ob es da schon eine Systematik im IT-Sicherheitsniveau gibt? Eine kurzweilige Folge über das aktuelle Geschehen.

Bereits vor ca. zwei Jahren haben Andreas Wisler und Sandro Müller einen Podcast zum Thema Cyberversicherungen aufgenommen. Nun hat sich seit diese Zeit aber einiges getan. Deshalb hat sich Sandro Müller Verstärkung von einem Profi geholt. Michael Mosimann hat rund 17 Jahre Erfahrung in der Versicherungswelt und ist Niederlassungsleiter Zürich der Funk Gruppe. Michael erzählt wie er die Entwicklungen erlebt hat, was im Moment die Herausforderungen sind und auf was alles zu achten ist.

Fast täglich werden in den Medien Berichte über "gehackte" Firmen publiziert. Manchmal sind promiente Namen dabei. Auch wenn wir es am liebsten ausblenden würden, vermuten viele von Euch, dass dies wohl nur die Spitze des Eisberges sein wird. Manchmal erfahren wir dann auch, dass die Wiederherstellung der Systeme mehrere Wochen gedauert hat und viele $, € oder Franken gekostet hat. Berechtigterweise darf hier die Frage gestellt werden, ob ich der nächste sein werde und ob ich mich überhaupt wehren kann oder ob Widerstand zwecklos ist?

Fast täglich werden in den Medien Berichte über "gehackte" Firmen publiziert. Manchmal sind promiente Namen dabei. Auch wenn wir es am liebsten ausblenden würden, vermuten viele von Euch, dass dies wohl nur die Spitze des Eisberges sein wird. Manchmal erfahren wir dann auch, dass die Wiederherstellung der Systeme mehrere Wochen gedauert hat und viele $, € oder Franken gekostet hat. Berechtigterweise darf hier die Frage gestellt werden, ob ich der nächste sein werde und ob ich mich überhaupt wehren kann oder ob Widerstand zwecklos ist?

Die wichtigsten IT-Security Massnahmen für KMUs auf einem A4 Blatt. Das war die Idee, die Thomas Liechti (CEO von MOUNT10 AG) vor einigen Jahren hatte. Sicherlich bist Du auch schon mal vom Fachwissen Deines Gegenübers erschlagen worden. Und bestimmt kennst auch Du das Problem, dass es viel einfacher ist eine Stunde für DEIN Thema zu sprechen, als in 2 Minuten auf den Punkt zu erklären, was Du machst. Doch das Format A4 war für Thomas gesetzt. Auch in Bezug auf die Schriftgrösse liess er sich nicht auf Kompromisse ein. Doch Thomas war das noch nicht anspruchsvoll genug. Er holte sich Experten aus namhaften Firmen, die nicht nur als Trägerschaft, sondern teilweise auch Mitwirkende agierten. Wo genau die Herausforderungen waren und wie zufrieden Thomas mit dem Resultat ist, erfährst Du in dieser Folge.

Bei jedem System fallen Log-Daten an, egal ob Windows, Linux oder Handy. Doch was nutzen diese? Wie können diese sinnvoll ausgewertet werden? Dieser Podcast geht auf die Vorteile von Logdaten ein.

Thomas Liechti ist der CEO der Firma MOUNT10 AG. Seine Firma hat sich spezialisiert auf einem professionellen Backup-Service für Unternehmen. Es gibt viele Möglichkeiten Backups zu erstellen und aufzubewahren. Die einen Möglichkeiten sind etwas sicherer, die anderen etwas weniger oder gar ungeeignet. Wer sein Backup Thomas und seiner Crew anvertraut, dessen Daten werden an einem (oder zwei) besonders sicheren Orten aufbewahrt. Wo genau? Das erfahrt Ihr in dieser Folge. Der Aufbewahrungsort ist sicherlich wichtig. Aber zu einem guten Backup-Konzept gehört noch mehr. Thomas geizt nicht mit Tipps und Fachwissen rund um das Thema Backup. Diese Folge ist fast schon ein Muss für jede für das Backup verantwortliche Person.

Kanban ist in der Software-Entwicklung ein beliebtes Werkzeug. In strukturierter Form können Arbeitspakete gesteuert werden. Doch kann dieses Werkzeug auch für die IT-Sicherheit verwendet werden? Diese Folge zeigt die Vor- und Nachteile und zeigt, wie damit die IT-Sicherheit erhöht werden kann.

Es gab Zeiten da hatten viele technikinteressierte Menschen den Anspruch zu verstehen, ein Motor, ein Kühlschrank oder Elektrizität funktioniert. Das ist heute nicht mehr unbedingt so. Denn um beispielsweise zu verstehen, wie ein Smartphone funktioniert braucht es tiefes Fachwissen in komplexen Disziplinen wie Physik, Chemie, Elektrotechnik, Informatik usw. Es ist schon schwierig genug die heutigen Geräte bedienen zu können. Kein Wunder also, dass Hersteller von technikbasierten Geräten die Bedienung so einfach wie möglich machen. Die breite Masse findet auch deshalb Gefallen an Geräten von Sonos, Philips Hue, Netatmo & Co. Was zuhause Spass macht, ist auch im Büro praktisch. Doch gehören solche Geräte wirklich in ein Büronetzwerk? Und falls ja, was sollte aus Sicht der Sicherheit unbedingt beachtet werden? In der neuesten Folge sprechen Andreas und Sandro genau über dieses Thema.

Kenne deine Risiken. Das ist einfacher gesagt als gemacht. Oft ist es schwierig, genau die passenden Risiken zu erfassen. Wer hatte schon eine globale Pandemie auf dem Schirm. Viele traf dies völlig unvorbereitet. Trotzdem ist es wichtig, sich mit möglichen Risiken auseinander zu setzen. Andreas Wisler und Sandro Müller zeigen, wie eine Risiko-Analyse durchgeführt wird, wo mögliche Stolpersteine stecken und wie dies elegant gelöst werden kann.

Blockchain ist ein Hype-Thema. Doch was ist Blockchain genau? Wie funktioniert es? Welche Gefahren sind damit verbunden? Und wie sollte sich ein Unternehmen mit diesem Thema auseinandersetzen? Diese Fragen diskutiert Andreas Wisler mit Bettina Schneider. Bettina Schneider ist Professorin mit Kompetenzschwerpunkt Cyber Security & Resilience an der Fachhochschule Nordwestschweiz.

Simulierte Phishing-Angriffe sind ein beliebtes Werkzeug die eigenen Mitarbeitenden zu testen. Wer klickt auf eine Mail? Wer gibt sogar persönliche Informationen wie das eigene Kennwort preis? Auch wenn dies nachvollziehbar ist, kann dies für die betroffene Person negative Folgen haben. Mist, ich bin reingefallen. Nun muss ich mit negativen Folgen rechnen. Über dieses ethische Problem der Informationssicherheit unterhalten sich Andreas Wisler und Sandro Müller.

Die Angriffe auf Firmen nehmen vermehrt zu. Firmen werden gehackt und erpresst. Gerade Phishing-Angriffe haben dabei eine neue Qualität erreicht. Nicht mehr schlechtes Deutsch sondern gezielte Angriffe werden durchgeführt. Über dieses spannende Thema und vor allem die notwendige Awareness unterhält sich Andreas Wisler mit Rainer Kessler.

Smart Home - Nur ein Trend für technikverrückte oder ein echter Mehrwert? Diese Frage lassen wir zwar im Podcast unbeantwortet. Dafür erhaltet Ihr wertvolle Tipps in Bezug auf den sicheren Betrieb Eures Smart Homes. Es gibt mittlerweile diverse Systeme und Hersteller von Sensoren und Aktoren. Der billigste legt häufig wenig(er) Wert auf Sicherheit. Deshalb gilt: Markenprodukte sind hier nicht die schlechteste Idee. Denn die Hersteller haben immerhin einen Ihren Ruf zu verlieren. Viele weitere Tipps und Einschätzungen wie gewohnt von Andreas Wisler und Sandro Müller

Im Jahr 2021 gab es viele Ransomware-Angriffe. Auch kleinere Firmen gelangen immer mehr in den Fokus der Hacker. Die Zeit mit „An meinen Daten hat eh Niemand Interesse“, ist damit definitiv vorbei. Diese Folge gibt einen kleinen Rückblick auf das zu Ende gehende Jahr und wagt einen Ausblick in das neue Jahr.

Die ISO 27001 ist bereits vielen bekannt. Sie deckt die Informationssicherheit ab. Die ISO 27701 hingegen kennen erst wenige. Mit dieser Norm kein gezeigt werden, dass auch der Datenschutz auf einem hohen Niveau ist und regelmässig von einer externen Stelle überprüft wird. Die goSecurity durfte die SERAFE AG zu dieser Zertifizierung begleiten. Die SERAFE ist damit das erste Schweizer Unternehmen mit dieser „Auszeichnung“.

Emerging Technologies, zu Deutsch "aufstrebende Technologie" ist ein Begriff, der im Allgemeinen zur Beschreibung einer neuen Technologie verwendet wird, sich aber auch auf die Weiterentwicklung einer bestehenden Technologie beziehen kann. Es handelt sich in der Regel um Technologien, die sich derzeit in der Entwicklung befinden oder voraussichtlich in den nächsten fünf bis zehn Jahren verfügbar sein werden. Über dieses spannende Thema unterhält sich Andreas Wisler mit Rainer Kessler, CEO der Swisstec 3D Akus AG.