To kick off our year of security-focused events, which will culminate in SITC 2025, we hosted a SI Evening Talk with security consultant Stefan Dydak. Under the title "Cybersecurity: Beyond the Hype", Dydak explored common pitfalls in security, the mundane actions we can take to protect ourselves and why these often matter far more than we realize.
While much attention is given to the potential of blockchain and generative AI—both as tools for protection and as security risks—their implementation often lags behind. Despite advances in infrastructure and capabilities, many of the same old problems persist. At its core, cybersecurity is less about technology and more about people and processes.
In his talk, Stefan Dydak highlighted five key aspects necessary to make a system secure: Asset Management, Zero Trust, Security Processes, Supply Chain Security, and Crisis Management.
Asset management is rarely done well, and it is challenging to execute well. As systems grow and evolve, they depend on an increasing number of assets that must be properly vetted, tracked, and decommissioned when necessary. Unfortunately, these processes often take a back seat, leaving sensitive data exposed and creating opportunities for unauthorized access. It’s not enough to manage standard assets; organizations must also account for seemingly peripheral devices, such as temperature sensors in data centers or automated AC units. These devices are often not designed with security in mind, yet they require access to critical systems, making them potential vulnerabilities.
Even comprehensive asset management cannot safeguard a system without adherence to zero trust principles. Social engineering is always a significant threat, and if someone gains access to an entry point, they may exploit unsecured ports to access sensitive data. Organizations must ensure that access is both carefully granted and promptly revoked and that all users can be positively identified, ideally through two-factor authentication.
While security technology can provide valuable insights into potential vulnerabilities, these tools are ineffective if proper processes and controls are not in place. Communication and coordination among those responsible for security are essential. Processes should be designed to enable security and be resilient to circumvention.
Similar challenges exist in supply chain security, particularly with external providers. When third-party vendors are introduced, they can inadvertently introduce vulnerabilities. To ensure a truly secure system, internal security teams must be involved at every stage of the supply chain.
While preventing security breaches is critical, having a robust response plan is equally important. Effective crisis management requires a well-thought-out incident response plan that is actively tested and updated. This plan should include coordination with external resources, such as the police and their cybercrime units, and prioritize clear, proactive communication with employees. Keeping employees informed and engaged can prevent paralysis and maintain operational continuity during an incident.
At the end of his talk, Stefan Dydak summarized three essential principles for cybersecurity: basic cyber hygiene, top-down support, and a risk-based approach. By keeping these principles in mind, your systems can achieve a significantly higher level of security.
follow us
"Automatisierte Prozesse bergen viel Potenzial. Firmen und Organisation, aber auch Einzelpersonen und die Gesellschaft sind existenziell von deren Entwicklung und Qualität abhängig. Die Berufsleute, welche diese federführend planen, umsetzen und schliesslich auch den Betrieb leiten, übernehmen grosse Verantwortung. Der FSIE bietet die notwendige Plattform, damit sie diese nach der initialen Ausbildung lebenslang kompetent wahrnehmen können. Als non-profit Verein von Experten für Experten sichert der FSIE zudem den objektiven und neutral evaluierten Feedback aus der Praxis. Damit optimieren wir kontinuierlich die Best Practices und Fortbildungsanforderungen.
Deshalb engagiere ich mich intensiv und mit Freude für diese Sache."
"Ich mache beim IT Expert SI-Projekt mit, weil eine schweizweit einheitliche Zertifizierung des Berufsstandes der Informatiker sowohl für die Berufsleute als auch für die Unternehmen Transparenz schafft, die Personalselektion erleichtert und direkt die Qualität von Informatikprojekten verbessert. Damit unseren Berufsstand vorwärts zu bringen, erfüllt mich mit Stolz."
"Die IT ist ein wesentlicher Entwicklungsfaktor und Treiber in Technologie, Markt und Gesellschaft. Es ist mir ein wichtiges Anliegen, IT als Werkzeug im Dienste der Anwender zu betrachten. Für einen verantwortungsvollen Einsatz der IT sind sowohl Ethik als auch eine fundierte Ausbildung unabdingbar. Mit IT Expert SI bilden wir eine hervorragende Plattform um diese Themen wirksam zu fördern und in die Entwicklung der Schweizer IT einfliessen zu lassen.
Als Mitglied des IESCo und als Präsident der SI-Ethikkommission setze ich mich für eine faire und ethische Umsetzung der SI-Statuten ein und unterstütze aktiv die Grundwerte des IT Expert SI."
"Es ist mir ein Herzensanliegen, die Steigerung der Professionalität und die Anerkennung von IT und IT-Experten zu fördern. Als Mitglied des IESCo und der Westschweizerinnen und Westschweizer engagiere ich mich für die Umsetzung des IT Expert SI im Allgemeinen und in der Westschweiz im Besonderen.
"UX und Interface Design werden immer wichtiger, um gute und nützliche Software zu entwickeln. Ich bin fest davon überzeugt, dass alle an der Softwareentwicklung Beteiligten ein minimales Verständnis der Grundlagen benötigen und unterstütze daher die Idee einer Qualifikation und Zertifizierung in diesem Bereich. Als Dozent und Praktiker fühle ich mich qualifiziert, diese Aufgabe mitzutragen und hoffe, eine gute Lösung zu finden."
"Sicherheit und Vertrauen sind essentiell für IT, Business und Gesellschaft. Deshalb bin ich Teil der IT Expert SI-Initiative."
Zum Auftakt unseres Jahres der sicherheitsorientierten Veranstaltungen, das seinen Höhepunkt in der SITC 2025 finden wird, veranstalteten wir einen SI Evening Talk mit dem Sicherheitsberater Stefan Dydak. Unter dem Titel „Cybersecurity: Beyond the Hype“ ging Dydak auf gängige Sicherheitsfallen, die alltäglichen Massnahmen, die wir ergreifen können, um uns zu schützen, und warum diese oft viel wichtiger sind, als uns bewusst ist, ein.
Während dem Potenzial von Blockchain und generativer KI - sowohl als Schutzinstrumente als auch als Sicherheitsrisiken - viel Aufmerksamkeit geschenkt wird, hinkt ihre Umsetzung oft hinterher. Trotz Fortschritten bei der Infrastruktur und den Fähigkeiten bleiben viele der alten Probleme bestehen. Im Kern geht es bei der Cybersicherheit weniger um Technologie als vielmehr um Menschen und Prozesse.
In seinem Vortrag hob Stefan Dydak fünf wichtige Aspekte hervor, die notwendig sind, um ein System sicher zu machen: Asset Management, Zero Trust, Sicherheitsprozesse, Sicherheit der Lieferkette und Krisenmanagement.
Asset Management wird selten gut gemacht, und es ist eine Herausforderung, es gut auszuführen. Da Systeme wachsen und sich weiterentwickeln, sind sie von einer zunehmenden Anzahl von Anlagen abhängig, die ordnungsgemäss überprüft, verfolgt und bei Bedarf ausser Betrieb genommen werden müssen. Leider werden diese Prozesse oft vernachlässigt, wodurch sensible Daten ungeschützt bleiben und Möglichkeiten für unbefugten Zugriff entstehen. Es reicht nicht aus, Standardanlagen zu verwalten. Unternehmen müssen auch scheinbar periphere Geräte wie Temperatursensoren in Rechenzentren oder automatische Klimaanlagen berücksichtigen.
Diese Geräte sind oft nicht mit Blick auf die Sicherheit entwickelt worden, benötigen aber dennoch Zugang zu kritischen Systemen, was sie zu potenziellen Schwachstellen macht.
Selbst ein umfassendes Asset Management kann ein System nicht schützen, wenn nicht die Grundsätze des „Zero Trust“ eingehalten werden. Social Engineering ist immer eine grosse Bedrohung, und wenn jemand Zugang zu einem Zugangspunkt erhält, kann er ungesicherte Ports ausnutzen, um auf sensible Daten zuzugreifen. Unternehmen müssen sicherstellen, dass der Zugang sowohl sorgfältig gewährt als auch umgehend wieder entzogen wird und dass alle Benutzer eindeutig identifiziert werden können, idealerweise durch Zwei-Faktor-Authentifizierung.
Sicherheitstechnologien können zwar wertvolle Einblicke in potenzielle Schwachstellen liefern, doch sind diese Tools wirkungslos, wenn keine geeigneten Prozesse und Kontrollen vorhanden sind. Kommunikation und Koordination zwischen den für die Sicherheit Verantwortlichen sind unerlässlich. Die Prozesse sollten so gestaltet sein, dass sie Sicherheit ermöglichen und gegen Umgehungen resistent sind.
Ähnliche Herausforderungen bestehen bei der Sicherheit der Lieferkette, insbesondere bei externen Anbietern. Die Einführung von Drittanbietern kann ungewollt Schwachstellen mit sich bringen. Um ein wirklich sicheres System zu gewährleisten, müssen die internen Sicherheitsteams in jeder Phase der Lieferkette einbezogen werden.
Die Verhinderung von Sicherheitsverstössen ist zwar von entscheidender Bedeutung, aber ein robuster Reaktionsplan ist ebenso wichtig. Ein wirksames Krisenmanagement erfordert einen gut durchdachten Plan zur Reaktion auf einen Zwischenfall, der aktiv getestet und aktualisiert wird. Dieser Plan sollte die Koordination mit externen Ressourcen wie der Polizei und ihren Cybercrime-Einheiten beinhalten und eine klare, proaktive Kommunikation mit den Mitarbeitern in den Vordergrund stellen. Wenn die Mitarbeiter informiert und einbezogen werden, kann eine Lähmung verhindert und die betriebliche Kontinuität während eines Vorfalls aufrechterhalten werden.
Am Ende seines Vortrags fasste Stefan Dydak drei wesentliche Grundsätze für die Cybersicherheit zusammen: grundlegende Cyberhygiene, Unterstützung von oben nach unten und ein risikobasierter Ansatz. Wenn Sie diese Grundsätze beherzigen, können Ihre Systeme ein deutlich höheres Sicherheitsniveau erreichen.
