Innorox Blog

Kategorie: Compliance & Security
Vom Plan zur Praxis – ISO 27001 richtig angehen und umsetzen

Vom Plan zur Praxis – ISO 27001 richtig angehen und umsetzen

,

Mit der Einführung von ISO 27001 schaffen Sie nicht nur einen klaren Rahmen für Informationssicherheit, sondern stärken zugleich aktiv den Schutz Ihres Unternehmens vor immer raffinierteren Cyberangriffen.

In diesem Webinar zeigt Giovanni Cauterucci, Head of Security & Compliance von Innorox AG -Lead Auditor des SSC und Cristian Ulmer, Partner von CySafe GmbH, wie Sie mit überschaubarem Aufwand die Anforderungen meistern – und dabei den Wert Ihres Unternehmens nachhaltig steigern.

👉Melden Sie sich jetzt an und profitieren Sie von praxisnahen Insights, um ein robustes und zukunftsfähiges Informationssicherheitsmanagement aufzubauen – effizient, verständlich und zielgerichtet.

Schadenersatzanspruch bei Datenverlust

Schadenersatzanspruch bei Datenverlust

,

Bisher war es schwierig im Falle von Datenschutzverstössen als Betroffener Schadenersatzansprüche geltend zu machen. Zumindest für deutsche Staatsbürger (von denen es vermutlich bei Schweizer Unternehmen einige als Kunden hat) ist das in Zukunft einfacher, denn es hat ein Urteil des höchsten deutschen Gerichts, welches besagt, dass bereits der Kontrollverlust über persönlichen Daten einen immateriellen Schaden darstellt, der Schadenersatzfähig ist.

Eine deutsche Rechtsanwaltskanzlei hat nun für einen Betroffenen einen Schadenersatzanspruch von 5.000 EUR durchgesetzt → Lookiero-Datenleck: 5.000 € Schadensersatz – Jetzt Ansprüche prüfen lassen

Dies ist für uns ein guter Zeitpunkt unseren Kunden bewusst zu machen, dass Datenschutz nun auch teuer werden kann, insofern man in den Geltungsbereich der DSGVO fällt (was bei nicht wenigen Schweizer Unternehmen der Fall sein dürfte).

Spotlight: Halbjahresbericht Bundesamts für Cybersicherheit (BACS)

Spotlight: Halbjahresbericht Bundesamts für Cybersicherheit (BACS)

Der Halbjahresbericht 2024/II des Bundesamts für Cybersicherheit (BACS) beschreibt die Cyberbedrohungslage in der Schweiz und international für die zweite Jahreshälfte 2024. Hier die Kernaussagen:

  1. Zunahme der Cybervorfälle:
    • 2024 wurden 62’954 Meldungen zu Cybervorfällen registriert, ein Anstieg um 13’574 gegenüber dem Vorjahr. Im zweiten Halbjahr gingen 28’165 Meldungen ein, etwas weniger als im ersten Halbjahr (34’789).
    • 90 % der Meldungen stammen von Privatpersonen, 10 % von Unternehmen.

  2. Dominante Bedrohungen:
    • Betrug: Mit 18’270 Meldungen das häufigste Phänomen (zwei Drittel der Meldungen). Besonders Fake-Anrufe im Namen von Behörden (21’903 Meldungen) und betrügerische Gewinnspiele (Verdreifachung der Meldungen) sind prominent. CEO-Betrug nahm bei Gemeinden und Kirchen zu.
    • Phishing: Zweithäufigste Kategorie mit 12’038 Meldungen (+2’623 gegenüber 2023). Neue Kanäle wie RCS-Nachentrichten und QR-Codes auf Parkuhren werden genutzt. 9’355 Phishing-Webseiten wurden identifiziert.
    • Schadsoftware: Ransomware bleibt die größte Bedrohung für Unternehmen, mit 92 Meldungen 2024. Kreative Verteilungsmethoden wie gefälschte CAPTCHAs oder QR-Codes auf Briefsendungen wurden beobachtet.
    • DDoS-Angriffe: Überlastungsangriffe, z. B. durch das Botnetz „Gorilla“, trafen Websites von Kantonen, Gemeinden und Finanzdiensten. Am 24. November 2024 war die Website des Kantons Schwyz betroffen.

  3. CrowdStrike-Vorfall:
    • Am 19. Juli 2024 führte ein fehlerhaftes Softwareupdate von CrowdStrike zu einem globalen IT-Ausfall, der über 8,5 Millionen Windows-Systeme lahmlegte. Besonders die Luftfahrt war betroffen. Der Schaden wird auf Milliarden USD geschätzt.

  4. Datenabflüsse und Erpressung:
    • Datenlecks, z. B. bei OneLog und Temenos, zeigen die Bedeutung sicheren Datenmanagements. Ransomware-Angriffe gehen oft mit Datenabflüssen einher, die auf Plattformen wie BreachForums verkauft werden.
    • Hacktivisten nutzen „Hack-and-Leak“-Taktiken, um sensible Daten zu veröffentlichen.

  5. Cyberspionage und -sabotage:
    • Staatliche Akteure wie „Salt Typhoon“ (China) und „APT29“ (Russland) führten gezielte Spionagekampagnen durch. Nordkoreanische Akteure nutzen gefälschte IT-Mitarbeiterprofile für Spionage und Finanzbetrug.
    • Angriffe auf industrielle Kontrollsysteme (z. B. FrostyGoop in der Ukraine) zeigen wachsende Risiken für operative Technologie.

  6. Empfehlungen:
    • Einführung von Multi-Faktor-Authentifizierung (MFA), regelmäßiges Patch-Management und Schulungen zur Reaktion auf IT-Ausfälle.
    • Vorsicht bei QR-Codes, gefälschten Anrufen und E-Mails. Meldung verdächtiger Vorfälle an antiphishing.ch.
    • Sicheres Datenmanagement durch die 5Ws (Wer, Was, Wo, Wie, Wann) und regelmäßige Überprüfung auf Datenlecks.
    • Schutz industrieller Systeme durch Branchenstandards und den Cyber Resiliency Act.

FAZIT

Die Cyberbedrohungslage hat sich 2024 verschärft, mit einem Anstieg von Betrug, Phishing und Schadsoftware. Technische und organisatorische Maßnahmen sind entscheidend, um Resilienz zu erhöhen. Nicht nur Cyberangriffe, sondern auch technische Fehler wie der CrowdStrike-Vorfall können massive Auswirkungen haben.

helpdesk@innorox.com

+41 43 844 44 35

info@innorox.com