Unsere 12 Vorlagen für Sicherheitsrichtlinien sind an den Kontrollen der ISO 27001:2022 (Anhang A) und den Empfehlungen des NIST CSF ausgerichtet. Sie decken die Schlüsselbereiche ab: Authentifizierung, Zugangskontrolle, Datenklassifizierung, Kryptographie, Backups, Lieferantenverwaltung und Personalwesen.

Nein — der Audit umfasst die Identifizierung, Klassifizierung und den Massnahmenplan. Die Behebung der Schwachstellen ist eine separate Leistung, die von Ihren internen Teams auf Basis des Berichts oder von Bexxo auf Kostenvoranschlag durchgeführt werden kann. Diese Trennung gewährleistet die Objektivität des Audits: Der Prüfer kann kein Interesse daran haben, mehr Schwachstellen zu finden, als tatsächlich vorhanden sind. Alle unsere Pakete beinhalten Unterstützung beim Verständnis des Berichts und bei den ersten Korrektumassnahmen.

Für ein Schweizer KMU ist die Auslagerung der CISO-Funktion (vCISO — Virtual CISO) oft rentabler als eine Vollzeitstelle. Bexxo kann diese Rolle übernehmen: Definition der Sicherheitsrichtlinie, Teilnahme an Geschäftsleitungssitzungen, Vorfallsmanagement und Reporting — zu Kosten, die Ihrer Grösse angemessen sind.

Ja, wenn Ihre Website personenbezogene Daten erhebt, Zahlungen verarbeitet oder über das Internet zugänglich ist. 73 % der Websites weisen mindestens eine kritische Schwachstelle auf (Quelle: Bexxo, interne Daten). Das nDSG (Schweizer Datenschutzgesetz) verpflichtet Unternehmen zur Dokumentation ihrer Sicherheitsmassnahmen — ein Audit liefert diesen Nachweis. Bei einem Datenleck kann das Fehlen von Sorgfalt zu Bussen von bis zu 250 000 CHF führen.

Ja. WordPress betreibt 43 % der Websites weltweit und ist das am häufigsten von Angreifern angegriffene CMS. Schwachstellen entstehen oft durch Drittanbieter-Plugins, nicht aktualisierte Themes und Fehlkonfigurationen. Ein Bexxo-Audit prüft all diese Punkte, nicht nur den WordPress-Core.

Ja. Die nDSG-Konformität (neues Datenschutzgesetz, Schweiz) ist in alle unsere Beratungsmissionen integriert. Wir analysieren Ihre Datenverarbeitungen, identifizieren Lücken, implementieren die erforderlichen technischen und organisatorischen Massnahmen und stellen Ihnen die im Falle einer EDÖB-Kontrolle notwendige Dokumentation bereit.

Ja. Unsere Audits folgen den Kontrollen der ISO 27001:2022 (Anhang A — technologische Kontrollen) und dem NIST CSF als Referenzrahmen. Der Auditbericht kann als Nachweis der Sorgfaltspflicht bei einer EDÖB-Kontrolle im Rahmen des nDSG dienen.

Ja. Das nDSG (neues Datenschutzgesetz, in Kraft seit September 2023) schreibt angemessene technische Sicherheitsmassnahmen für alle verarbeiteten Personendaten vor. Ein Netzwerkeinbruch, der zu einem Datenleck führt, kann Bussen von bis zu 250 000 CHF und eine Meldepflicht beim EDÖB nach sich ziehen.

Ja, es gibt mehrere berühmte Zero-Day-Exploits, die die Geschichte der Cybersicherheit geprägt haben. Einer der bekanntesten ist Stuxnet, eine Malware, die 2010 entdeckt wurde und dazu diente, Nuklearz trifugen im Iran zu sabotieren. Sie nutzte mehrere Zero-Day-Schwachstellen in Windows aus und offenbarte das hohe Niveau bestimmter offensiver Cyberoperationen.

Ein weiteres Beispiel ist WannaCry, eine Ransomware, die 2017 Hunderttausende von Computern befallen hat und eine Windows-Schwachstelle ausnutzte, die von der Gruppe Shadow Brokers aufgedeckt wurde. Obwohl kurz vor dem Angriff ein Patch veröffentlicht wurde, waren viele Systeme nicht auf dem neuesten Stand, was zeigt, dass das Patch-Management ein schwaches Glied bleibt. Diese Beispiele verdeutlichen die verheerenden Auswirkungen, die ungepatchte Schwachstellen haben können.

Wenn Sie mit einem Konflikt konfrontiert sind (z. B. mit einem Lieferanten) oder mit Ransomware, die die Zahlung eines Lösegelds fordert. Der Verhandlungsservice ermöglicht es, die rechtlichen und operativen Optionen zu prüfen.

Bexxo ist hauptsächlich in der Westschweiz tätig, mit Fern- oder Vor-Ort-Einsätzen in der ganzen Schweiz. Mit Sitz in Ins (Kanton Bern), an der Schnittstelle der Schweizer Sprachregionen, begleitet unser Team KMU auf Französisch, Deutsch und Englisch.

Ja. Mit Sitz in Ins (Kanton Bern) betreut unser Team KMU in der ganzen Westschweiz und darüber hinaus. Unsere Audits können remote oder vor Ort durchgeführt werden, auf Französisch, Deutsch und Englisch.

Ja, unser Service CVE Find ist kostenlos online zugänglich. Alle Benutzer können die CVE-Einträge einsehen, Filter anwenden und auf die angereicherten Informationen (Scores, Exploitation-Status, KEV/EPSS-Daten) zugreifen. Ziel der Website ist es, den Zugang zu Informationen über Schwachstellen ohne finanzielle Barrieren zu demokratisieren.

Erweiterte Funktionen (z. B. API-Integration, automatischer Export, personalisierte Benachrichtigungen) werden in Form von Optionen oder Premium-Diensten angeboten, aber die Basisfunktionalität bleibt für alle offen.

Die Abfrage der CVE-Find-Datenbank auf www.cvefind.com ist kostenlos und für alle zugänglich. Die erweiterten Funktionen (personalisierte Warnmeldungen, Überwachung bestimmter Produkte, SMS-Benachrichtigungen) stehen Bexxo-Kunden im Rahmen unserer Audit- und Überwachungspakete zur Verfügung.

Das revidierte DSG (Datenschutzgesetz, in Kraft seit September 2023) schreibt organisatorische Massnahmen zum Datenschutz vor, einschliesslich der Sensibilisierung der Mitarbeiter für Risiken. Wenn eine Datenverletzung auftritt und das Unternehmen nicht nachweisen kann, dass es seine Teams geschult hat, riskiert es Bussen bis zu 250 000 CHF. Die von Bexxo Akademie erstellten Schulungsberichte dienen als Sorgfaltsnachweis bei EDÖB-Kontrollen.