FAQ
Auf welchen Normen basieren Ihre Vorlagen für Sicherheitsrichtlinien?
Unsere 12 Vorlagen für Sicherheitsrichtlinien sind an den Kontrollen der ISO 27001:2022 (Anhang A) und den Empfehlungen des NIST CSF ausgerichtet. Sie decken die Schlüsselbereiche ab: Authentifizierung, Zugangskontrolle, Datenklassifizierung, Kryptographie, Backups, Lieferantenverwaltung und Personalwesen.
Beinhaltet der Audit die Behebung der identifizierten Schwachstellen?
Nein — der Audit umfasst die Identifizierung, Klassifizierung und den Massnahmenplan. Die Behebung der Schwachstellen ist eine separate Leistung, die von Ihren internen Teams auf Basis des Berichts oder von Bexxo auf Kostenvoranschlag durchgeführt werden kann. Diese Trennung gewährleistet die Objektivität des Audits: Der Prüfer kann kein Interesse daran haben, mehr Schwachstellen zu finden, als tatsächlich vorhanden sind. Alle unsere Pakete beinhalten Unterstützung beim Verständnis des Berichts und bei den ersten Korrektumassnahmen.
Benötigt man einen internen CISO oder kann man auslagern?
Für ein Schweizer KMU ist die Auslagerung der CISO-Funktion (vCISO — Virtual CISO) oft rentabler als eine Vollzeitstelle. Bexxo kann diese Rolle übernehmen: Definition der Sicherheitsrichtlinie, Teilnahme an Geschäftsleitungssitzungen, Vorfallsmanagement und Reporting — zu Kosten, die Ihrer Grösse angemessen sind.
Benötigt meine Website ein Sicherheitsaudit?
Ja, wenn Ihre Website personenbezogene Daten erhebt, Zahlungen verarbeitet oder über das Internet zugänglich ist. 73 % der Websites weisen mindestens eine kritische Schwachstelle auf (Quelle: Bexxo, interne Daten). Das nDSG (Schweizer Datenschutzgesetz) verpflichtet Unternehmen zur Dokumentation ihrer Sicherheitsmassnahmen — ein Audit liefert diesen Nachweis. Bei einem Datenleck kann das Fehlen von Sorgfalt zu Bussen von bis zu 250 000 CHF führen.
Benötigt meine WordPress-Website ein Sicherheitsaudit?
Ja. WordPress betreibt 43 % der Websites weltweit und ist das am häufigsten von Angreifern angegriffene CMS. Schwachstellen entstehen oft durch Drittanbieter-Plugins, nicht aktualisierte Themes und Fehlkonfigurationen. Ein Bexxo-Audit prüft all diese Punkte, nicht nur den WordPress-Core.
Deckt das Bexxo-Consulting die nDSG-Konformität ab?
Ja. Die nDSG-Konformität (neues Datenschutzgesetz, Schweiz) ist in alle unsere Beratungsmissionen integriert. Wir analysieren Ihre Datenverarbeitungen, identifizieren Lücken, implementieren die erforderlichen technischen und organisatorischen Massnahmen und stellen Ihnen die im Falle einer EDÖB-Kontrolle notwendige Dokumentation bereit.
Entspricht das Audit den Normen ISO 27001 und nDSG?
Ja. Unsere Audits folgen den Kontrollen der ISO 27001:2022 (Anhang A — technologische Kontrollen) und dem NIST CSF als Referenzrahmen. Der Auditbericht kann als Nachweis der Sorgfaltspflicht bei einer EDÖB-Kontrolle im Rahmen des nDSG dienen.
Fällt mein Netzwerk unter das nDSG?
Ja. Das nDSG (neues Datenschutzgesetz, in Kraft seit September 2023) schreibt angemessene technische Sicherheitsmassnahmen für alle verarbeiteten Personendaten vor. Ein Netzwerkeinbruch, der zu einem Datenleck führt, kann Bussen von bis zu 250 000 CHF und eine Meldepflicht beim EDÖB nach sich ziehen.
Gibt es berühmte Beispiele für Zero-Day-Exploits?
Ja, es gibt mehrere berühmte Zero-Day-Exploits, die die Geschichte der Cybersicherheit geprägt haben. Einer der bekanntesten ist Stuxnet, eine Malware, die 2010 entdeckt wurde und dazu diente, Nuklearz trifugen im Iran zu sabotieren. Sie nutzte mehrere Zero-Day-Schwachstellen in Windows aus und offenbarte das hohe Niveau bestimmter offensiver Cyberoperationen.
Ein weiteres Beispiel ist WannaCry, eine Ransomware, die 2017 Hunderttausende von Computern befallen hat und eine Windows-Schwachstelle ausnutzte, die von der Gruppe Shadow Brokers aufgedeckt wurde. Obwohl kurz vor dem Angriff ein Patch veröffentlicht wurde, waren viele Systeme nicht auf dem neuesten Stand, was zeigt, dass das Patch-Management ein schwaches Glied bleibt. Diese Beispiele verdeutlichen die verheerenden Auswirkungen, die ungepatchte Schwachstellen haben können.
In welchen Situationen sollte man einen Verhandlungsservice in Anspruch nehmen?
Wenn Sie mit einem Konflikt konfrontiert sind (z. B. mit einem Lieferanten) oder mit Ransomware, die die Zahlung eines Lösegelds fordert. Der Verhandlungsservice ermöglicht es, die rechtlichen und operativen Optionen zu prüfen.
Ist Bexxo in der ganzen Schweiz tätig?
Bexxo ist hauptsächlich in der Westschweiz tätig, mit Fern- oder Vor-Ort-Einsätzen in der ganzen Schweiz. Mit Sitz in Ins (Kanton Bern), an der Schnittstelle der Schweizer Sprachregionen, begleitet unser Team KMU auf Französisch, Deutsch und Englisch.
Ist Bexxo in der ganzen Schweiz tätig?
Ja. Mit Sitz in Ins (Kanton Bern) betreut unser Team KMU in der ganzen Westschweiz und darüber hinaus. Unsere Audits können remote oder vor Ort durchgeführt werden, auf Französisch, Deutsch und Englisch.
Ist CVE Find kostenlos?
Ja, unser Service CVE Find ist kostenlos online zugänglich. Alle Benutzer können die CVE-Einträge einsehen, Filter anwenden und auf die angereicherten Informationen (Scores, Exploitation-Status, KEV/EPSS-Daten) zugreifen. Ziel der Website ist es, den Zugang zu Informationen über Schwachstellen ohne finanzielle Barrieren zu demokratisieren.
Erweiterte Funktionen (z. B. API-Integration, automatischer Export, personalisierte Benachrichtigungen) werden in Form von Optionen oder Premium-Diensten angeboten, aber die Basisfunktionalität bleibt für alle offen.
Ist CVE Find kostenlos?
Die Abfrage der CVE-Find-Datenbank auf www.cvefind.com ist kostenlos und für alle zugänglich. Die erweiterten Funktionen (personalisierte Warnmeldungen, Überwachung bestimmter Produkte, SMS-Benachrichtigungen) stehen Bexxo-Kunden im Rahmen unserer Audit- und Überwachungspakete zur Verfügung.
Ist Cybersicherheitsschulung für KMU gemäss DSG obligatorisch?
Das revidierte DSG (Datenschutzgesetz, in Kraft seit September 2023) schreibt organisatorische Massnahmen zum Datenschutz vor, einschliesslich der Sensibilisierung der Mitarbeiter für Risiken. Wenn eine Datenverletzung auftritt und das Unternehmen nicht nachweisen kann, dass es seine Teams geschult hat, riskiert es Bussen bis zu 250 000 CHF. Die von Bexxo Akademie erstellten Schulungsberichte dienen als Sorgfaltsnachweis bei EDÖB-Kontrollen.