Der IKT-Minimalstandard ist ein Rahmenwerk, das vom BWÖL (Bundesamt für wirtschaftliche Landesversorgung) in Zusammenarbeit mit dem NCSC entwickelt wurde. Er definiert 106 Massnahmen basierend auf dem NIST CSF, angepasst an den Schweizer Kontext. Kostenlos und auf Deutsch, Französisch und Italienisch verfügbar, enthält er ein Excel-Tool zur Selbstbewertung.

Tesweb SA ist die 2006 gegründete juristische Person, die zwei Expertenbereiche betreibt: SOS Data Recovery (Datenrettung, führender Service in der Schweiz) und Bexxo (Cybersicherheit, Marke seit 2023). Bexxo ist eine eingetragene und geschützte Marke, die ausschliesslich dem digitalen Schutz von Unternehmen gewidmet ist. Diese doppelte Expertise — Datenrettung und -schutz — stellt eine einzigartige Positionierung in der Schweiz dar.

Die NVD (National Vulnerability Database) des NIST ist die offizielle amerikanische Quelle. CVE Find aggregiert diese Daten und fügt eine Schicht personalisierter Warnungen, Produktfilterung und EPSS-Scoring (tatsächliche Ausnutzungswahrscheinlichkeit) hinzu, die die NVD nicht nativ anbietet. Die Oberfläche ist auf Deutsch verfügbar.

Die von MITRE verwaltete Webseite cve.org ist die offizielle Quelle für CVE-Kennungen. Sie ist unerlässlich, um die Einzigartigkeit und Struktur der Einträge zu gewährleisten. cve.org konzentriert sich jedoch auf den administrativen Aspekt und bietet weder EPSS-Scores noch Exploit-Indikatoren oder erweiterte Sortierfunktionen.

Unser Service CVE Find übernimmt diese offiziellen Daten, reichert sie mit zusätzlichen Metriken (KEV, EPSS, CVSS) an und präsentiert sie in einer moderneren, schnelleren und filterbaren Oberfläche. Es ist somit ein praktisches Überwachungstool, das für den operativen und täglichen Entscheidungsgebrauch konzipiert ist.

Ein Sicherheitsaudit ist eine punktuelle technische Bewertung (Schwachstellen, Penetrationstests, Bericht). Das Consulting ist eine kontinuierliche strategische Begleitung: Es beginnt oft mit einem Audit, geht aber weiter, indem es die Sicherheitsrichtlinie definiert, Teams schult und Verbesserungen langfristig steuert.

Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ermöglicht die Zertifizierung. Die ISO 27002 ist ein Leitfaden für bewährte Verfahren, der die Umsetzung der 93 Kontrollen des Anhangs A detailliert. Kurz gesagt: 27001 sagt «was zu tun ist», 27002 sagt «wie es zu tun ist».

Es sind zwei komplementäre Tools:

• PhishTrainer setzt auf Praxis: Es sendet gefälschte Phishing-E-Mails an Ihre Mitarbeitenden und misst, wer klickt und wer den Angriff meldet. Dies ist der verhaltensorientierte Ansatz — Lernen durch Erfahrung. Das Dashboard zeigt die Klickrate, die Melderate und die Entwicklung im Zeitverlauf.
• Bexxo Academy setzt auf Wissen: Videolernmodule, interaktive Quizze, Lernspiele zu Cyberbedrohungen. Online rund um die Uhr zugänglich, ergänzt durch Präsenzveranstaltungen in Ins (BE). Ideal für die Integration neuer Mitarbeitender und die Aktualisierung von Kenntnissen.

Beide Tools zusammen decken den vollständigen Kreislauf ab: sensibilisieren → testen → messen → verbessern.

PhishTrainer und Bexxo Academy sind zwei komplementäre Tools: PhishTrainer testet (Angriffssimulation, Identifizierung von Schwachstellen, Messung der Klickrate), Bexxo Academy schult (E-Learning-Module, Quiz, Videos, Präsenzveranstaltungen). Sie funktionieren in Synergie: Die Ergebnisse von PhishTrainer identifizieren die gefährdeten Teams oder Profile, Bexxo Academy liefert die angepassten Schulungsverläufe. Für einen wirksamen Schutz empfiehlt Bexxo, beide Tools gemeinsam nach der Methode Simulieren → Schulen → Messen einzusetzen.

Die Sensibilisierung zielt darauf ab, eine allgemeine Sicherheitskultur zu verbreiten, die für alle Mitarbeiter zugänglich ist, unabhängig von ihrem Beruf oder ihrem technischen Niveau. Sie umfasst konkrete Themen: Phishing, Passwörter, Mobilität, soziale Netzwerke, Wachsamkeit im Homeoffice usw. Ziel ist es, jeden zu einem Akteur der Sicherheit in seinen täglichen Gewohnheiten zu machen.

Die technische Schulung hingegen richtet sich an spezialisiertere Profile (IT-Teams, Entwickler, Administratoren) und befasst sich mit spezifischen Kompetenzen wie der Härtung von Systemen, der sicheren Entwicklung oder dem Incident Management. Sie erfordert oft Vorkenntnisse und zielt darauf ab, die Sicherheit durch technische Beherrschung zu stärken.

White Box bietet Zugang zu Netzwerkplänen und Konfigurationen (am vollständigsten, ideal vor ISO-Zertifizierung). Grey Box simuliert einen Mitarbeiter oder Dienstleister mit partiellem VPN-Zugang (am ausgewogensten für KMU). Black Box testet von aussen ohne Vorkenntnisse, wie ein realer Angreifer. Bexxo empfiehlt Grey Box als Standard für KMU.

White Box analysiert den Quellcode und die interne Architektur (am vollständigsten). Grey Box simuliert einen Benutzer mit partiellem Zugang (am ausgewogensten für KMU). Black Box testet von aussen ohne Vorkenntnisse, wie ein Angreifer (am realistischsten). Bexxo empfiehlt Grey Box als Standard für KMU.

Die drei Pakete unterscheiden sich durch ihre Analysetiefe:

• Essentiel: 10 Kontrollpunkte, automatisierter Scan, vereinfachter Bericht — für kleine Websites oder erste Audits.
• Avancé: 15 Kontrollpunkte, manuelle Tests gängiger Schwachstellen, Analyse der Authentifizierung, detaillierter Bericht mit priorisiertem Massnahmenplan.
• Premium: 20 Kontrollpunkte, eingehende Penetrationstests, API- und Datenbankaudit, vollständige OWASP Top 10-Prüfung, Präsentationssitzung inklusive.

Alle Pakete umfassen eine Nachbetreuung nach dem Audit und Unterstützung bei der Umsetzung.

Die drei Pakete unterscheiden sich durch ihre Analysetiefe:

• Essentiel: 10 Kontrollpunkte, grundlegende Netzwerkkartierung, automatisierter Scan bekannter Schwachstellen, vereinfachter Bericht — für KMU, die ihre Sicherheitsstrategie beginnen.
• Avancé: 15 Kontrollpunkte, manuelle Intrusionstests, Analyse der Konfiguration aktiver Geräte, detaillierter Bericht mit priorisiertem Massnahmenplan.
• Premium: 20 Kontrollpunkte, interne und externe Penetrationstests, Angriffssimulation, vollständige Analyse der Segmentierung und Zugänge, Ergebnispräsentation vor der Geschäftsleitung.

Alle Pakete umfassen eine Nachbetreuung nach dem Audit und Unterstützung bei der Umsetzung.

Die Online-Schulung (academy.bexxo.ch) ist rund um die Uhr verfügbar, individuell und mit freiem Fortschritt — ideal für regelmässige Sensibilisierung, kontinuierliche Nachverfolgung und geografisch verstreute Teams. Präsenzsitzungen in Ins (BE) werden empfohlen, wenn Sie gleichzeitig 5 bis 20 Personen schulen, interaktive Workshops mit realen Situationen durchführen oder eine Sicherheitskultur bei einem Firmenanlass (Seminar, Thementag) verankern möchten. Für Teams mit mehr als 10 Personen empfehlen wir in der Regel eine Kombination: anfängliche Online-Sensibilisierung, gefolgt von einer Präsenzsitzung zur Festigung des Gelernten.

Der Hauptunterschied zwischen Black Box-, Gray Box- und White Box-Tests liegt im Informationsgrad, der dem Tester vor Beginn des simulierten Angriffs zur Verfügung gestellt wird.

• Beim Black Box-Test hat der Angreifer keine Vorkenntnisse über das System. Er agiert wie ein externer Hacker und versucht, ohne fremde Hilfe auf Ressourcen zuzugreifen. Diese Art von Test ist realistisch, um einen externen Angriff zu simulieren, ist aber oft auf das beschränkt, was man von außen erraten oder entdecken kann.
• Beim Gray Box-Test verfügt der Tester über einige technische Informationen oder Teilzugriffe (wie z. B. ein Benutzerkonto). Dies spiegelt ein Szenario wider, in dem der Angreifer bereits einen Teil des Systems infiltriert hat oder über internes Wissen verfügt, wie z. B. ein ehemaliger Mitarbeiter.
• Beim White Box-Test werden alle Informationen zur Verfügung gestellt: Quellcode, technische Dokumentation, Administratorzugriff. Diese Art von Test ermöglicht einen vollständigen Überblick und die Identifizierung tiefgreifender Schwachstellen, die von außen oft unsichtbar sind.

Jeder Ansatz hat seine Vorteile, und die Wahl hängt von den Zielen des Tests und dem abzudeckenden Risikograd ab.