Sicherheitsprüfungen für LLM, KI‑Modelle und Agenten

von

EinführungDie Technologien der künstlichen Intelligenz entwickeln sich rasant, und grosse Sprachmodelle (Large Language Models, LLM), autonome Agenten und andere IA‑Systeme finden zunehmend Eingang in Unternehmen. Diese Innovationen bringen jedoch neue Sicherheitsherausforderungen mit sich. Angriffe wie Prompt‑Injection, die Manipulation von Trainingsdaten oder die Exfiltration sensibler Informationen können die Vertraulichkeit und Integrität von Systemen gefährden. Kleine und … Read more

Wie schütze ich mich als KMU gegen Cyberangriffe? Umfassender Leitfaden

von

Einführung Cyberangriffe sind längst nicht mehr nur ein Thema für Großkonzerne oder Regierungen. Gerade kleine und mittlere Unternehmen (KMU) werden zunehmend zur Zielscheibe, weil sie oft weniger Ressourcen für ihre IT-Sicherheit aufwenden können. Ein erfolgreicher Angriff kann finanzielle Verluste, Reputationsschäden und Produktionsausfälle verursachen. Dieser Beitrag zeigt praxisnah, wie sich KMU effektiv vor Cyberangriffen schützen können. … Read more

Wie schütze ich meinen Computer vor Hackern? Ein praktischer Leitfaden

von

Einführung Computersicherheit wirkt für viele wie ein komplexes Thema, das nur Fachleute wirklich verstehen. Doch die Wahrheit ist: Jeder kann seinen Computer effektiv vor Hackern schützen – ganz ohne technisches Vorwissen, sondern mit einfachen, konsequent angewendeten Maßnahmen. Hacker nutzen häufig gar nicht hochkomplizierte Angriffsmethoden, sondern profitieren von kleinen Nachlässigkeiten im Alltag: ein unsicheres Passwort, ein … Read more

DORA Art. 26 & 27: Anforderungen und wie Zerberos dabei hilft

von

Der Digital Operational Resilience Act (DORA) der Europaeischen Union verpflichtet Finanzunternehmen dazu, ihre digitale Betriebsstabilitaet sicherzustellen. Dazu gehoeren fortgeschrittene Testprogramme, um die Widerstandsfaehigkeit gegenueber Cyberangriffen zu pruefen. In diesem Beitrag beschreibe ich die Anforderungen der Artikel 26 und 27 von DORA und erklaere, weshalb Zerberos – meine Einzelfirma unter Leitung von Andriu Isenring (CISSP) – … Read more

IT-Sicherheitsaspekte für eine Mitarbeitervereinbarung zur IT-Nutzung in der Schweiz

von

Mitarbeiterinnen und Mitarbeiter erhalten in vielen Unternehmen heute Firmenlaptops, Smartphones und Zugang zum internen Netzwerk. Eine klare Vereinbarung zur Nutzung der IT schützt sowohl das Unternehmen als auch die Belegschaft. In der Schweiz sollte eine solche Vereinbarung die rechtlichen Rahmenbedingungen und bewährte Sicherheitspraktiken berücksichtigen. Daten- und Datenschutz: Mitarbeitende müssen persönliche Daten von Kundinnen, Kunden und … Read more

OWASP Top 10 API-Sicherheitsrisiken 2023 verständlich erklärt

von

APIs bilden das Rückgrat vieler moderner Anwendungen. Sie ermöglichen es verschiedenen Diensten, miteinander zu kommunizieren und Daten auszutauschen. Gleichzeitig stellt jedes API‑Endpunkt einen potenziellen Angriffspunkt dar. Das Open Web Application Security Project (OWASP) hat daher 2023 eine aktualisierte Liste der zehn grössten API‑Sicherheitsrisiken veröffentlicht. API1: Fehlerhafte Objektzugriffskontrolle (Broken Object Level Authorization). Viele APIs verwenden Objekt‑IDs, … Read more

API-Sicherheit: Leitfaden zur OWASP-API-Tests und Best Practices

von

APIs sind das Rückgrat vieler moderner Anwendungen und Dienste. Sie verbinden Mikroservices, mobile Apps und externe Partner – und bilden damit eine attraktive Angriffsfläche. Trotz ihrer zentralen Rolle wird die Sicherheit von APIs in vielen Entwicklungsprojekten noch immer zu wenig berücksichtigt. Deshalb hat OWASP einen speziellen Leitfaden für das Testen von APIs veröffentlicht, um Unternehmen … Read more

Der Mensch als Schwachstelle – aber auch als Firewall

von

In fast jedem Sicherheitsvorfall spielt der Mensch eine zentrale Rolle. Klickt jemand auf einen Phishing-Link, nutzt ein schwaches Passwort, teilt vertrauliche Informationen oder übersieht eine Warnmeldung, ist der Schaden oft schon angerichtet. Daher heisst es in der IT-Sicherheit oft: „Der Mensch ist die grösste Schwachstelle.“ Doch diese Sicht ist zu kurz gegriffen. Denn der Mensch … Read more

Warum Angriffsoberflächen wachsen – und niemand es merkt

von

IT-Sicherheit ist kein statischer Zustand. Sie ist ein Prozess, der sich ständig verändert – und zwar nicht nur durch Angriffe, sondern vor allem durch die eigene IT. Jede neue Anwendung, jedes Cloud-Konto, jedes externe Tool, jeder zusätzliche Mitarbeiterzugang erweitert die Angriffsoberfläche eines Unternehmens. Das geschieht meist schleichend, ohne strategische Absicht, aber mit weitreichenden Folgen. Besonders … Read more

Warum unscheinbare Pentest-Ergebnisse oft die wertvollsten sind

von

Viele Unternehmen erwarten von einem Penetrationstest spektakuläre Enthüllungen. Man stellt sich vor, dass der Tester innerhalb weniger Stunden in die internen Systeme eindringt, sensible Kundendaten findet oder das gesamte Netzwerk kompromittiert. In der Realität sehen die Resultate oft ganz anders aus: keine offenen Datenbanken, kein direkter Systemzugriff, kein grosses Drama. Stattdessen liest man von veralteten … Read more