Wie realistisch sind deine Security-Massnahmen wirklich? In dieser Folge sprechen Andreas und Sandro über simulierte Angriffe – vom gezielten Red-Team-Einsatz bis zum kollaborativen Purple Teaming. Sie erklären, wie strukturierte Security-Simulationen klassische Pentests und Bug-Bounties ergänzen, welche Rollen Red, Blue und Purple wirklich spielen – und warum die wahren Erkenntnisse oft erst nach dem Angriff kommen. Wer verstehen will, wie man Security im Ernstfall testet, sollte hier reinhören.

Seit dem März 2020 liefern Sandro Müller und Andreas Wisler von goSecurity mit ihrem Podcast „Angriffslustig“ spannende, praxisnahe und unterhaltsame Einblicke in die Welt der IT-Sicherheit. In dieser besonderen Folge geben Sandro und Andreas persönliche Einblicke – nach über 150 Episoden voller Fachwissen, Humor und einer ordentlichen Portion Angriffslust.

Die Verschlüsselung von sensitiven Informationen ist heute Standard. Doch die Techniken unterscheiden sich. Der Goldstandard ist die Nutzung von HSM (Hardware Security Modul). Doch was ist ein HSM? Auf was muss geachtet werden? Dazu hat Andreas Wisler Robert Rogenmoser der Firma Securosys SA interviewt.

Warum hacken Hacker? Das zu verstehen ist wichtig. Denn würden Hacker nicht hacken, lebten wir in einer friedlicheren Welt. Doch vorneweg, das ist eher unrealistisch. Das Wissen warum Hacker hacken hilft uns als eher, um uns angemessen zu schützen.

Hacking ist auch in Filmen schon seit vielen Jahren beliebt. Doch sind die Szenen, in welchen eine Hacker innerhalb einer Minuten mit einer Pistole am Kopf ein Sicherheitssystem der Regierung knackt auch realistisch? Andreas und Sandro haben sich mal ein paar Szenen klassischer Filme angesehen und versuchen einzuordnen.

Die richtige Story zur richtigen Zeit – und es kann auch DICH treffen! Im diesem Podcast spricht Sandro Müller mit Carlo Canova, langjähriger Security Consultant bei goSecurity AG. Carlo erzählt von einem Phishing, das ihn persönlich erreicht hat – und das im schlimmsten Fall der ganzen Firma erheblichen Schaden hätte zufügen können. Zum Glück wurde der Incident sofort richtig behandelt. Eine spannende und lehrreiche Episode für alle, die verstehen wollen, wie schnell jeder zum Ziel werden kann – und warum es so wichtig ist, vorbereitet zu sein.

Manchmal liest man irgendwo: Damit sind Sie sicher. / Wir können Sie vor allen möglichen Cyberattacken schützen. / Mit unserem Produkt kann Ihnen nichts mehr passieren. – Das ist Quatsch. Alle, die sich schon seriös mit dem Thema Risikomanagement auseinandergesetzt haben wissen, dass es keine 100% Sicherheit gibt. Wenn jemand im Umfeld der Cyberkriminalität behauptet, mit seiner Lösung sei man absolut sicher, ist das unseriös. Es heisst aber auch nicht, dass dieses Produkt auf jeden Fall schlecht ist. Aber es deutet darauf hin, dass die Idee von Risikomanagement nicht verstanden wurde. Eine Beratung durch solche Akteure ist deshalb mit Vorsicht zu geniessen.

Vor über 50 Jahren wurde E-Mail erfunden. Bis heute ist E-Mail-Verschlüsselung aber ein Buch mit sieben Siegeln. Das Thema ist nicht nur komplex. Die Diskussion darüber zeigt auch die Vielschichtigkeit und die daraus entstehenden Herausforderungen in der Praxis. Andreas und Sandro nehmen sich in dieser Folge dem Thema E-Mail-Verschlüsselung an. Was hat sich in den letzten 50 Jahren verändert? Und warum ist nicht alles Gold was glänzt?

Die FHNW forscht im Institut WI zum Kompetenzschwerpunkt für Digitales Vertrauen. Das Ziel ist es zu einer vertrauenswürdigen digitalen Welt beizutragen. Eine starker Themenschwerpunkt dieses Teams sind die organisatorischen Aspekte der Cybersecurity und darunter auch der Faktor Mensch. Andreas Wisler interviewt Bettina Schneider und Franka Ebai zur aktuellen Forschungsarbeit zum Thema wie die kulturelle Prägung das Verhalten einer Person beeinflusst. Sie geben auch konkrete Praxistipps für KMUs.

Wer eine Software mit Benutzerinteraktion entwickelt, macht dies am einfachsten über eine Webapplikation. Webapplikationen sind auch deshalb allgegenwärtig. goSecurity testet viele Webapplikationen im Auftrag von Kunden, um Schwachstellen zu finden. In dieser Folge spricht Sandro Müller mit der Penetration Testerin Annika Salzmann. Sie kommt ursprünglich aus dem Bereich Software-Entwicklung und arbeitet seit 2022 bei goSecurity. Annika hat Ihre Top-5 für typische Fehler bei Webapplikationen mitgebracht.

In der Welt der IT-Sicherheit bleibt man nicht lang von Hash-Funktionen verschont. Im ersten Moment wird es gerne mit Verschlüsselungsfunktionen verwechselt. Das ist zwar nicht ganz falsch. Allerdings ist eine Hash-Funktion eine spezialisierte Kryptografische Anwendung mit eigenen Aufgaben. Sandro und Andreas sprechen in dieser Folge über dieses komplexe Thema so, dass es jeder versteht.

Durch die Lockdowns während der Corona-Pandemie, mussten viele Unternehmen überstürzt ein Tool für Video-Calls zur Verfügung stellen. In vielen Fällen war dies Microsoft Teams. Damit wurde Service Microsoft 365 in einer Form gepushed, mit der niemand gerechnet hatte. Tatsächlich konnten die Projekte dadurch nicht sauber geplant werden. Einige Firmen haben dies nachgeholt und die Konfiguration anschliessend abgesichert. Das passierte aber nicht überall (konsequent). In unserem Alltag als Auditoren sehen wir viele Microsoft Cloud-Umgebungen, die nicht gut abgesichert sind. Zusammen mit Michel Hennet, dem Head of Audit bei goSecurity, spricht Sandro Müller in dieser Folge über 5 typische Fehler in M365.

Diesmal überrascht Andreas Sandro mit einer neuen Herausforderung. Dafür hat Andreas 6 Fragen vorbereitet. Er stellt diese Sandro und vergleicht die Antwort mit derjenigen von Chat GPT. Lassen wir uns überraschen, ob die Antwort von Chat GPT mit derjenigen von Sandro übereinstimmt oder ob es Unterschiede gibt.

Öfters liest oder hört man, dass Bug Bounty Modelle die bessere Möglichkeit sind, Schwachstellen zu finden. Doch ist das wirklich so? Sandro Müller und Andreas Wisler diskutieren über die Unterschiede, Vor- und Nachteile von Bug Bounty und Penetration Tests.

Sandro Müller hat einen Gast aus den eigenen Reihen. Zusammen mit Marius Hamborgstrøm rollt er die 5 häufigsten Fehler auf, welche die goSecurity-Auditoren bei ihren Audits finden.

Wer beachtet schon die “Serienmässige Ausstattung”? Seit vielen Jahren bietet praktisch jeder PC und jedes Notebook einen TPM-Chip. Kaum jemand nahm davon Notiz und noch viel weniger wusste jemand was das ist. TPM steht für Trusted Plattform Module. Es darf sich wie eine im PC fix verbaute Smart Card vorgestellt werden. Für Windows 11 schreibt Microsoft neu einen TPM 2.0 Chip vor. Das gab einen grossen Aufschrei und plötzlich kennen vielen den Begriff. Was es ist, wissen aber immer noch die wenigsten. Andreas und Sandro wollen das ändern und sprechen in dieser Podcastfolge über TPM.

Jährlich wird von der Cybersecurity and Infrastructure Security Agency (kurz CISA) die Liste der Top Sicherheitsschwachstellen veröffentlicht. Hat sich dabei die Situation gross verändert? Oder sind die bekannten Schwachstellen wieder auf den Top-Plätzen. Darüber diskutieren Andreas Wisler und Sandro Müller.

Wer in die Cloud geht, sollte das clever tun. Immer wieder erleben wir, dass wichtige Aspekte erst nach der Migration auftauchen, was natürlich nicht ideal ist. goSecurity hat die eigene Infrastruktur schon länger komplett in der Cloud. Bei der Evaluation nutzt die Firma von Andreas Wisler und Sandro Müller eine bewährte Checkliste. In der aktuellen Folge stellen sie Ihre Checkliste vor.

Nun ist auch die goSecurity AG nach ISO 27001:2022 zertifiziert. Sandro Müller und Andreas Wisler zeigen auf, wie das Vorgehen war, welche Stolpersteine im Weg standen und wie mit Nicht-Konformitäten umgegangen wird.

Oft gelesen oder gehört: alle Daten wurden nach einem Hacker-Angriff verschlüsselt. Was nun? Während viele Firmen ein grosses Geheimnis machen, erzählt Nico Guglielmo von der Griesser AG, wie sie vorgegangen sind. Wie wurde der Vorfall entdeckt? Welche Schritte waren notwendig? Wie fand die Kommunikation mit den Hackern statt? Wie lange war das Unternehmen offline? Und welche Lehren wurden aus dem Hacker-Angriff gezogen? Dies und viel mehr erfährst du in dieser Folge Angriffslustig.