Hacker arbeiten an unabhängigem Satellitensystem:
Einfache Bodenstationen sollen Satelliten verfolgen, die in eine niedrige Umlaufbahn gebracht wurden

Das Projekt Hackerspace Global Grid (HGG) verfolgt das utopisch anmutende Ziel, mit einem eigenen Satellitensystem und kostengünstigen einfachen Bodenstationen eine Internetkommunikation zu ermöglichen, die von keinem Land der Welt zensierbar ist. Aktivist Nick Farr rief schon im August 2011 zur Mitarbeit an dem Projekt auf, das er mit drohender Zensur wie etwa durch das in den USA vorbereitete Gesetz "Stop Online Piracy Act" (SOPA) begründet: "Das erste Ziel ist ein nicht zensierbares Internet im Weltraum. Lasst uns das Internet aus der Kontrolle terrestrischer Institutionen holen."
Farr und weitere Mitstreiter verkündeten ihre Pläne offensiv auf dem 28. Chaos Communications Congress 28C3. Nicht zu übersehen ist aber auch eine ausgeprägte Selbstironie in ihrer Präsentation, mit der sie zu erkennen geben, dass ihnen die praktischen Hindernisse durchaus bewusst sind.

Das Projekt arbeitet mit der Forschungsplattform Constellation zusammen, die über Internet verbundene Computer nutzt, um die Forschung für Luft- und Raumfahrt voranzutreiben. Die Hackerspace-Planer können nicht auf Satelliten setzen, die mit Raketen ins All geschossen werden und in einer festen Position im Orbit verharren. Es gelang aber privaten Enthusiasten in den letzten Jahren bereits, zu weit geringeren Kosten Satelliten mit Nutzlast in den Weltraum zu bringen. Sie mussten allerdings Ballons für den Transport in den Orbit einsetzen, und es ist schwierig, diese beweglichen Satelliten vom Boden aus genau zu lokalisieren.
Als Lösung dafür sehen die HGG-Aktivisten ein Netz von Basisstationen vor, die zu einem Selbstkostenpreis von rund 100 Euro gebaut werden: "Der erste Schritt besteht darin, die präzise Synchronisation für das verteilte Netzwerk zu schaffen." Als realistische Grundlage sieht Armin Bauer, ein 26-jähriger Teilnehmer aus Stuttgart, den bestehenden GPS-Standard an. "Es ist so etwas wie ein umgekehrtes GPS", erklärte er gegenüber der BBC. "GPS setzt Satelliten ein, um zu berechnen, wo wir uns befinden. Wir wollen GPS-Koordinaten nutzen, aber es erweitern, indem wir von festen Positionen an präzise bekannten Orten ausgehen." Bauer und seine Helfer wollen Prototypen der ersten drei Bodenstationen noch in der ersten Hälfte des Jahres 2012 fertigstellen. Sie hoffen, die ersten funktionsfähigen Modelle beim nächsten Kongress des Chaos Computer Club in einem Jahr verteilen zu können. Experten halten das Satellitenprojekt für grundsätzlich machbar, sehen aber auch technische Einschränkungen. "Satelliten in niedriger Umlaufbahn, wie sie bislang von Amateuren gestartet wurden, bleiben nicht an einer bestimmten Position", zitiert die BBC Professor Alan Woodward von der Universität Surrey. "Das heisst nicht, dass sie nicht für Kommunikationszwecke genutzt werden können, aber offensichtlich nur für die relativ kurzen Zeiträume, in der sie im Sichtbereich sind."
Kleinere Probleme wie diese halten die Weltraum-Hacker nicht davon ab, noch weit grössere Pläne anzukündigen. Sie erklären als Ziel ihres "Hacker Space Program", bis zum Jahr 2034 einen Menschen auf den Mond zu befördern, was zuletzt mit Apollo 17 im Jahr 1972 unternommen wurde. Mit ihrem "bescheidenen Vorschlag für die nächsten 23 Jahre" demonstrieren sie ungebremsten Enthusiasmus: "Phase eins ist die Einführung eines offenen, freien und weltweit zugänglichen satellitenbasierten Netzwerks als bestmöglichem Schutz gegen terrestrische Zensur des Internets. Sollte das zu einfach erscheinen, lasst uns Phase zwei angehen: einen Hacker in den Orbit zu bringen. Bis 2034 planen wir die Landung eines Hackers auf dem Mond."



Quelle: Zdnet.de; David Meyer, Bernd Kling; 03.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

EU-Datenschutz soll von Brüssel aus gesteuert werden:
Neue Legislation steht an

EU-Kommissarin Viviane Reding will Europas Datenschutzrecht radikal vereinheitlichen. Die derzeitigen EU-Regularien aus dem Jahr 1995 seien "einfach nicht mehr auf der Höhe der Zeit", sagte Reding bei der von der Burda-Gruppe ausgerichteten Konferenz DLD in München. Ein neues Regelwerk soll noch im Januar verabschiedet werden.
"Persönliche Daten sind die Währung des digitalen Marktes von heute", sagte Reding. Und eine Währung sei auf Vertrauen angewiesen. Den anwesenden Vertretern diverser grosser und kleiner Internetunternehmen versuchte Reding die geplanten Neuerungen als Geld sparende Vereinfachung schmackhaft zu machen. Die Tatsache, dass in Europa derzeit 27 unterschiedliche Datenschutzgesetze zu beachten seien, koste Unternehmen im Jahr insgesamt 1,3 Milliarden Euro, so Reding. Die Vielfalt werde nun ersetzt durch "einheitliche und direkt anwendbare Regeln für alle 27 Staaten". Dies aber würde dazu führen, dass Datenschutz nun an den nationalen Gesetzgebern vorbei direkt auf EU-Ebene geregelt würde, was noch für Diskussionen sorgen wird.
Alle Unternehmen würden nun verpflichtet, einen Datenschutzbeauftragten zu benennen, wie man das in Deutschland bereits gewohnt sei, kündigte Reding an. Die Datenschützer der einzelnen Staaten müssten mit der Autorität ausgestattet werden, Unternehmen zu kontrollieren und bei Bedarf Sanktionen auszusprechen. Die Datenschützer müssten unabhängig sein, auch unabhängig von Regierungen. Wenn ein Unternehmen in einem Land eine Genehmigung für einen bestimmten Umgang mit Daten erhalten habe, müsse diese Genehmigung auch in den 26 übrigen EU-Staaten Gültigkeit haben. Verbrauchern sollen diverse Rechte eingeräumt werden. Sie sollen jederzeit die Möglichkeit haben, auf über sie selbst gespeicherte Daten zuzugreifen. Dazu soll auch die Möglichkeit gehören, Daten aus einem Unternehmen abzuziehen und sie einem anderen Unternehmen zu übergeben. Diese Regel dürfte den Betreibern sozialer Netzwerke wie Facebook missfallen, die es ihren Nutzern derzeit sehr schwer machen, einmal abgelegte Daten mitzunehmen oder auch nur zu löschen.

Reding will ausserdem ein "Recht, vergessen zu werden" einführen. Nutzer sollen die Möglichkeit bekommen, eine einmal erteilte Erlaubnis zur Speicherung und Verarbeitung persönlicher Daten jederzeit zurückzuziehen. Dieses Recht sei aber "kein absolutes", so Reding, weil sonst die Möglichkeit geschaffen werde "Geschichte auszulöschen". Für Zeitungsarchive etwa müssten Ausnahmen gelten. Das Recht vergessen zu werden dürfe "keinen Vorrang gegenüber Meinungs- und Informationsfreiheit bekommen". Wie diese widersprüchlich erscheinenden Forderungen vereinbart werden sollen, spezifizierte Reding nicht. Auch wie man mit kopierten und andernorts wieder online gestellten Daten umgehen will, führte sie nicht aus.
Zuletzt ging Reding auf Datenlecks und Hacks in der jüngeren Vergangenheit ein. In diversen Fällen "hat es ernsthafte Sicherheitsverletzungen gegeben, die Betroffenen wurden aber nicht informiert". Die EU-Kommissarin spielte damit auf Datenskandale wie den Hackerangriff auf Sonys Playstation Network an, in denen grosse Mengen persönlicher Daten kopiert wurden, die Nutzer jedoch tagelang im Unklaren darüber gelassen wurden. Reding sagte, sie habe für die neue EU-Regelung die Formulierung "ohne unangemessene Verzögerung" gewählt, und spezifizierte anschliessend, was sie darunter verstehe: eine Benachrichtigung innerhalb von 24 Stunden nach einem Datenverlust.



Quelle: spiegel.de; Christian Stöcker; 22.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Hacker-Risiko im Maschinenbau wird oft unterschätzt:
Auch Baupläne können von Interesse sein

Produktpiraterie und Know-how-Verlust kostet deutsche Maschinen- und Anlagenbauer viel Geld: „In Summe beträgt der Schaden durch Plagiate, Produktfälschungen und illegalen Vertrieb von Produkten jährlich 6,4 Mrd. € oder 4 % Umsatzverlust “, betonte Steffen Zimmermann, beim Verband Deutscher Maschinen- und Anlagenbau (VDMA), Frankfurt, zuständig für Produkt- und Know-how-Schutz. „Gerade die vielen Weltmarktführer aus unserer Branche benötigen Unterstützung, sowohl um das Kern-Know-how im Unternehmen selbst zu sichern als auch in den zu exportierenden Produkten“, so Zimmermann kürzlich auf der VDMA-Podiumsdiskussion „Know-how-Schutz in Automation und Produktion“ während der Messe SPS/IPC/Drives 2011 in Nürnberg.
Deshalb habe der Verband einen Leitfaden zur Informationssicherheit erstellt, dessen Risikoabschätzungen und -minimierungsmethoden speziell auf die Branche zugeschnitten worden seien. „Auch versuchen wir, mit der Arbeitsgemeinschaft ‚Produkt- und Know-how- Schutz‘ die Unternehmen zu sensibilisieren, zu beraten und herstellerunabhängig Lösungsmöglichkeiten anzubieten“, so der Produktschutzexperte. „Gleichzeitig sollte man aber die technischen Massnahmen für die Mitarbeiter so gestalten, dass sie einfach anzuwenden sind“, ergänzte Oliver Winzenried, Vorstand bei Wibu-Systems, Karlsruhe. Denn immer mehr sensible Daten befänden sich auf einem ganzen „Zoo“ höchst unterschiedlicher mobiler Geräte. Da genüge es nicht, einfach alle USB-Ports zu sperren. Sinnvoller sei es, so Winzenried, für Dokumente temporäre Schlüssel zu vergeben, nach deren Ablauf der Servicetechniker das Dokument nicht mehr nutzen kann.
Eine weitere Möglichkeit sei, die USB-Sticks durch eine individuelle Seriennummer nur einem bestimmten Benutzer zuzuordnen. Eine Schwachstelle für Know-how-und Datensicherheit aber sind die Maschinen selbst: „Bei Stickmaschinen liegen die Programme für Fadenschaltung und Stickmuster in aller Regel im Klartext vor“, sagte Winzenried. Man könne einfach in der Fabrik oder auf dem Datenweg dorthin diese Daten abfangen und damit Plagiate herstellen. Gleiches gelte auch im Werkzeugmaschinenbau, da hier auch die CNC-Daten griffbereit vorliegen.

„Wir müssen das Know-how, das in der Maschine steckt, wirkungsvoll vor Reverse Engineering schützen“, so Winzenried weiter. Als Beispiel nannte er in Nürnberg die neue Version des Programmiersystems Codesys von 3S-Smart Software Solutions, Kempten. Mit diesem System könnten Maschinenbauer beim Erzeugen der Steuerungssoftware angeben, ob die Steuerungssoftware als verschlüsselter Code und für eine einzige Zielplattform erzeugt werden soll. So sei sichergestellt, dass der Code nicht mehr von einer Plattform auf die nächste übertragen werden kann. Allerdings bereitet dieses Konzept Probleme im Anlagenbau:
„Wir können unsere Anlagen nicht mit hochkomplexen Verschlüsselungsalgorithmen ausstatten. Dies geht schon aus Performance- Gründen nicht“, so Rolf Strehle, bei Voith in Heidenheim, zuständig für die weltweite IT-Sicherheitsorganisation. Deshalb schütze man seine technischen Anlagen mit Firewalls zwischen den Produktionsnetzen, zwischen Entwicklungssystemen und zwischen den Internetverbindungen. Gemessen würden Anomalien im Netzwerk und die Rechenzentren würden rund um die Uhr überwacht: „Gleichzeitig hacken wir unsere eigenen Produktionsmaschinen, um Schwachstellen schon im Vorfeld zu beseitigen.“ Doch die grössten Informationsträger seien auch die grössten Risikoträger, ergänzte Peter Mnich, Senior Consultant für internationalen Know-how-Schutz bei der Viccon Unternehmensberatung, Ettlingen: „Das sind Mitarbeiter, vor allem älteren, die das Unternehmen verlassen. Sie nehmen Know-how mit, das man nicht wiederbekommt.“ Deshalb gebe es nichts Sicheres in einem Unternehmen als zufriedene, motivierte und sensibilisierte Mitarbeiter. Und hier sei das Management gefragt, nicht nur technisch, sondern auch organisatorisch zu reagieren.



Quelle: Vdi-nachrichten.com; Roland Hensel; 23.12.2011

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Hackerangriff auf die deutsche Bundespolizei:
Wenn das Töchterchen Probleme macht

Ein spektakulärer Hackerangriff auf die Bundespolizei geht nach SPIEGEL-Informationen offenbar auf ein kompliziertes Vater-Tochter-Verhältnis zurück. Kölner Fahnder ermitteln gegen einen hohen Beamten der Bundespolizei aus Frankfurt am Main. Der Mann hatte seiner Tochter einen Trojaner auf den Rechner gespielt, um ihr Treiben im Internet zu überwachen. Die Tochter hatte allerdings einen Freund aus der Hackerszene, dem die Spionage auffiel. Um es dem neugierigen Vater heimzuzahlen, drang der Hacker in dessen Computer ein. Dort sah er, dass der Polizist dienstliche Mails an seinen Privatrechner umgeleitet hatte. Das ebnete dem Hacker den Weg ins Innere der Bundespolizei. Als Folge des Angriffs musste der "Patras"-Server abgeschaltet werden, über den die Polizei Verdächtige observiert. Bundesinnenminister Hans-Peter Friedrich (CSU) erklärte die Computersicherheit zur Chefsache. Im Netz beanspruchten mehrere Hacker den Ruhm für die Aktion. Vielleicht zu Recht: Der Server wurde zweimal geknackt.



Quelle: Spiegel.de; 08.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Cloud Computing und Sicherheit:
Weitere Informationen zu einem vieldiskutierten Thema

Mit der steigenden Nutzung von Cloud Computing wächst mehr denn je die Notwendigkeit, wirksame Security- und Compliance-Praktiken einzuführen und diese auf dem neusten Stand zu halten. "Die Absicherung einer Cloud-basierten Rechnerumgebung ist entscheidend für die Erstellung eines robusten Compliance- Programms", sagt Bart Vansevenant, Executive Director, Global Security Solutions bei Verizon. "Die grundlegenden Elemente – Planung, Design und Betrieb – sind für traditionelle wie für Cloud-Plattformen identisch. Mit bewährten Best Practices für Security sowie besonderem Augenmerk auf den speziellen Eigenarten und Merkmalen der Cloud sind Unternehmen in der Lage, Compliance-Programme zu entwickeln und aufrechtzuerhalten. Gleichzeit machen sie sich die Agilität, Flexibilität und Wirtschaftlichkeit der Cloud zunutze."
Verizon hat die folgenden Best Practices und Tipps zusammengestellt, damit Unternehmen, die sich die Vorteile der Cloud zunutze machen, compliant bleiben und gleichzeitig für die Sicherheit ihrer Netzwerke, Anwendungen und Daten sorgen:

Physische Sicherheit:
Die technischen Einrichtungen sollten mit Klimaanlage sowie Rauchmelde- und Brandschutzequipment ausgerüstet werden, ergänzt durch eine unterbrechungsfreie Stromversorgung und Sicherheitspersonal rund um die Uhr. Wählen Sie einen Provider, der mit Biometriedaten umgehen kann, d.h. Fingerabdruck- und Gesichtserkennung beherrscht und diese auch zur Zugangskontrolle einsetzt. Die gesamte Einrichtung sollte von Videokameras überwacht werden.
Netzwerksicherheit und logische Trennung:
Es sollten virtualisierte Versionen von Firewalls und Intrusion Prevention- Systemen zum Einsatz kommen. Die Teile der Cloud Computing-Umgebung, in denen sich sensible Systeme und Daten befinden, sollten isoliert werden. Es sollten regelmässig Audits durchgeführt werden, die sich branchenweit anerkannter Methoden und Standards bedienen wie etwa SAS 70 Type II, Payment Card Industry Data Security Standard, ISO 27001/27002 und Cloud Security Alliance Cloud Controls Matrix.
Inspektion:
An den Gateways sollten Antivirus- und Anti-Malware-Anwendungen sowie Content-Filtering eingesetzt werden. Wo mit sensiblen Informationen wie etwa Finanz- und personenbezogenen Daten und geistigem Eigentum umgegangen wird, sollten Data Loss Prevention-Vorkehrungen in Betracht gezogen werden.
Administration:
Besondere Aufmerksamkeit sollte den Cloud-Hypervisoren gewidmet werden, also jenen Servern, auf denen mehrere Betriebssysteme gleichzeitig laufen. Sie bieten die Möglichkeit, eine komplette Cloud-Umgebung zu verwalten. Zahlreiche Sicherheits- und Compliance-Anforderungen sehen verschiedene Netzwerk- und Cloud- Administratoren vor, um so für eine Trennung der Pflichten und zusätzlichen Schutz zu sorgen. Der Zugang zu virtuellen Umgebungsmanagement-Interfaces sollte stark eingeschränkt sein und Application Programming Interfaces oder APIs sollten komplett unzugänglich oder deaktiviert sein.

Umfassendes Überwachen und Protokollieren:
In nahezu sämtlichen Standards wird die Fähigkeit zur Überwachung und Kontrolle von Zugängen zu Netzwerken, Systemen, Anwendungen und Daten gefordert. Eine Cloud-Umgebung, ganz gleich ob inhouse oder outgesourced, muss ebenfalls diese Möglichkeit bieten.
Systemsicherheit
Virtual Machines oder VMs sollten durch Cloud-spezifische Firewalls, Intrusion Prevention-Systeme und Antivirenprogramme geschützt werden, ergänzt mit durchgängigen und in Programmen organisierten Patch- Management-Prozessen.
Anwendungs- und Datensicherheit:
Wo immer möglich, sollten die Anwendungen dedizierte Datenbanken nutzen, auch sollte der Zugriff von Anwendungen auf Datenbanken Beschränkungen unterliegen. Zahlreiche Security-Compliance- Standards fordern, dass Anwendungen und damit verbundene Datenbanken überwacht und Vorgänge protokolliert werden.
Authentifizierung und Autorisierung
Für Usernamen und Passwörter sollte Two-Factor Authentication wie etwa digitale Authentifizierung verwendet werden; sie sind für den Remote-Zugriff und jede Art von Zugangsprivilegien unverzichtbar. Dabei sollten die Rollen autorisierter User klar umrissen sein und auf dem Minimum gehalten werden, das zur Erfüllung der zugewiesenen Aufgaben erforderlich ist. Passwortverschlüsselung ist ebenfalls ratsam. Darüber hinaus sollten Authentifizierungs-, Autorisierungs- und Accounting-Pakete nicht zu sehr individualisiert sein, da dies häufig zu einer Schwächung der Sicherheitsmassnahmen führt.
Vulnerability Management:
Anwendungen sollten so konzipiert sein, dass sie gegenüber verbreiteten Exploits, wie sie in der Open Web Application Security Project (OWASP) Top 10 aufgelistet sind, keine Schwachstellen aufweisen. Anwendungen, die in der Cloud laufen, müssen regelmässig gepatcht werden, ebenso sind Vulnerability Scanning, unabhängige Sicherheitstests und kontinuierliche Überwachung erforderlich.
Datenspeicherung:
Ein Unternehmen sollte die Arten von Daten kennen, die in einer Cloud-Umgebung gespeichert werden, und je nach Erfordernis nach Datentypen trennen. Zusätzlich sollte mit Blick auf potenzielle Sicherheits- und Datenschutzerwägungen der physische und logische Speicherort bekannt sein.
Change Management:
Es ist dringend ratsam, die Change Management-Richtlinien für Netzwerke, Systeme, Anwendungen und Daten-Administratoren explizit zu dokumentieren und zu vermitteln, um so unbeabsichtigte Probleme und mögliche Datenverluste zu vermeiden.
Verschlüsselung:
In einer Cloud-Umgebung kann die Verschlüsselung von Daten komplexere Ausmasse annehmen und erfordert daher besondere Aufmerksamkeit. In zahlreichen Standards wird gesonderte Behandlung von im Umlauf befindlichen und abgelegten Daten gefordert. Beispielsweise sollten Finanzdaten und persönliche Gesundheitsinformationen immer verschlüsselt werden.



Quelle: Compliancemagazin.de; ra; 13.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Cyber-Attacken besser erkennen, vorhersagen und abwenden:
IT-Sicherheitsverantwortliche definieren Vorgehen zum Schutz vor AT

RSA, die Security Division von EMC, hat die Empfehlung von 17 Sicherheitsexperten veröffentlicht, wie sich Unternehmen und Regierungsinstitutionen gegen hochentwickelte Sicherheitsbedrohungen schützen können. Im Einzelnen wird beleuchtet, wie Unternehmen Informationen über Sicherheitsbedrohungen gewinnen, mit denen sie Cyber-Attacken besser erkennen, vorhersagen und abwenden können.
Die Studie ist die neunte Veröffentlichung des Security for Business Innovation Council (SBIC). Der Rat legt in seinem neuen Bericht eine sechsstufige Roadmap zur Umsetzung eines informations-basierten Sicherheitskonzepts vor:
Schritt 1: Beginnen Sie mit den Grundlagen
Inventarisieren Sie die strategischen Vermögenswerte, überprüfen Sie die Incident-Response- Prozesse und nehmen Sie eine umfassende Risikobewertung vor.
Schritt 2: Informieren Sie über die Vorteile
Erklären Sie der Geschäftsleitung die Vorteile eines informationsbasierten Sicherheitsansatzes. Erzielen Sie schnell Erfolge - dies ist wesentlich für eine breite organisatorische Unterstützung und Finanzierung.
Schritt 3: Identifizieren Sie die richtigen Mitarbeiter
Suchen Sie Fachleute, die in der Lage sind, technisches Sicherheitswissen mit analytischem Denken zu verbinden und die gute Beziehungen zu anderen aufbauen können.
Schritt 4: Bauen Sie sich Quellen auf
Überprüfen Sie, welche Daten aus externen oder internen Quellen Ihnen helfen, gezielte Angriffe zu erkennen, vorherzusagen und abzuwenden; werten Sie diese Quellen regelmässig aus. Schritt 5: Definieren Sie einen Prozess
Legen Sie standardisierte Methoden fest, mit denen Sie verwertbare Informationen erheben, schnell und angemessen reagieren und Gegenmassnahmen zu einem Angriff entwickeln können. Schritt 6: Automatisieren Sie die Abläufe
Suchen Sie nach Wegen, um grosse Datenmengen aus verschiedenen Quellen weitgehend automatisiert zu analysieren und zu verwalten.

Die Gruppe der Sicherheitsexperten plädiert für eine neue Verteidigungsdoktrin zur Bekämpfung von hochentwickelten Sicherheitsbedrohungen, deren informationsgetriebener Ansatz folgendes umfasst:
Die konsistente Erfassung von Cyber-Risiko-Daten aus einer Reihe von Quellen, z.B. von Regierungen, der Industrie, dem Handel sowie internen Quellen, um ein besseres Verständnis der potenziellen Risiken zu erhalten.
Die Sammlung von Erkenntnissen über potenzielle Cyber-Angreifer, um ihre Motivation, bevorzugten Angriffstechniken und ihre Aktivitäten zu verstehen.
Ausbau der Fähigkeiten des eigenen Sicherheitsteams in Bezug auf die Auswertung und Sammlung von Informationen.
Etablierung von Verfahren zur effizienten Analyse, Zusammenführung und Management von Cyber-Risiko-Daten aus einer Vielzahl von Quellen, um verwertbare Informationen zu gewinnen.
Überwachung des Zustands der IT-Umgebungen, um normales und anormales System- und Nutzer-Verhalten unterscheiden zu können.
Bessere Kenntnis der Risikolage als Basis für Entscheidungen und Anwendung von Verteidigungsstrategien auf Basis von umfassenden Informationen über Gefahren und den Sicherheitsstatus der eigenen Organisation.
Entwicklung von Verfahren, um nützliche Informationen über Bedrohungen wie Merkmale von Angriffen anderen Organisationen zur Verfügung zu stellen.
"Cyber-Risk-Intelligence müssen Unternehmen heute genauso einsetzen wie Regierungsbehörden - es ist für sie überlebensnotwendig", sagt Art Coviello, Executive Chairman von RSA. "Das Tempo und die Qualität der jüngsten Angriffe fordert dringend stärkere Gegenmassnahmen. Unternehmen müssen nicht nur in der Lage sein, hochentwickelte Sicherheitsbedrohungen zu erkennen, sondern sie müssen auch vorhersehen können, wie Angriffe ausgeführt werden. Die Bekämpfung von Advanced Threats erfordert eine neue Sicherheitsmentalität und ausgefeilte Verfahren zur Sammlung und zum Austausch relevanter Informationen und neue Handlungsweisen auf Basis von Cyber-Risk-Intelligence."



Quelle: Itseccity.de; RSA, EMC, ma; 23.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Fahrlässiger Umgang mit Kundendaten einer Schweizer Bank:
Anzeige wegen Bankgeheimnisverletzung

Einem Bericht der Neuen Zürcher Zeitung zufolge wurde die Schweizer Grossbank Credit Suisse von einer auf Wirtschaftsrecht spezialisierten Kanzlei wegen Verletzung des Bankgeheimnisses angezeigt, nachdem sie im Rahmen eines Amtshilfegesuchs der USA weit mehr Kundendaten offengelegt hatte als nötig.
Offensichtlich fing alles damit an, dass US-Behörden im vergangenen Jahr bei der Eidgenössischen Steuerverwaltung (ESTV) um Amtshilfe wegen Abgabebetrugs durch US-Bürger ansuchten. Dabei hätten die US-Behörden in ihrem Antrag keine konkreten Namen genannt, sondern um Auskunft über all jene US-amerikanischen Kunden der Bank gebeten, die in das Raster des Abgabebetrugs fallen. Schliesslich sollten die Daten, die Credit Suisse auf Anweisung der ESTV hin auf USB-Sticks zusammengetragen hatte, zur Einsicht zunächst an die ESTV und anschliessend an die Anwälte der betroffenen US-Bürger gesendet werden, bevor man sie den USA übergeben wollte. So erwartete die international agierende Schweizer Kanzlei auf dem erhaltenen Datenträger lediglich die Daten der fünf betroffenen US-Bankkunden vorzufinden, doch statt dessen musste sie feststellen, dass der USB-Stick auf 4812 Seiten umfassende Finanzinformationen, samt Eröffnungsunterlagen, Korrespondenz und Transaktionen, von 130 Kunden unterschiedlicher Nationen enthielt.
Offensichtlich hatte die Bank darauf verzichtet die Daten der fünf betroffenen Kunden zu filtern und statt dessen Informationen sämtlicher Mandanten der Anwaltskanzlei, die ein Konto bei der Credit Suisse hatten, verschickt. Die ESTV, die diese Daten noch vor der Kanzlei gesichtet habe, habe diesen durchaus fahrlässigen Umgang mit Kundendaten nicht kritisiert, berichtet die NZZ. Vielmehr habe die Steuerverwaltung den Umfang der Daten damit zu begründen versucht, dass die Daten Dritter, die nicht vom Amtshilfegesuch betroffen sind, nötig seien, um bestimmte Konstrukte, wie etwa Querverbindungen zwischen den US-amerikanischen und anderen Kunden zu überprüfen. Doch da sich die Anfrage der USA ausschliesslich an US-amerikanische Steuerpflichtige richte, habe die Bank mit ihrer Vorgehensweise eindeutig gegen das Bankgeheimnis verstossen, sind Rechtsexperten überzeugt.
Schweizer Banken seien ohnehin bekannt dafür besonders rasch auf US-Forderungen zu reagieren, berichtet die NZZ. Letztendlich habe die betroffene Anwaltskanzlei nicht nur eine Anzeige gegen die Credit Suisse eingereicht, sondern auch bei der ESTV beantragt, dass die entsprechenden USB-Sticks an die Bank retourniert und die Daten von Nicht-US-Bürgern nicht an die USA übermittelt werden sollten.



Quelle: Unwatched.org; sac; 11.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Stratfor-Hack offenbart schwache Passwörter:
Alle Informationen scheinen nichts gefruchtet zu haben

An der Utah Valley University sind derzeit 120 Computer daran, die verschlüsselten Passwörter aus dem Datenklau bei Stratfor Global Intelligence zu dechiffrieren. Über Weihnachten hatte die Hackergruppe Anonymous Namen, Kreditkartennummern sowie E-Mail-Adressen und Passwörter von Tausenden Abonnenten des in Texas beheimateten Think Tank veröffentlicht. Dem Datenklau sind auch zahlreiche hochkarätige Schweizer Personen zum Opfer gefallen. Diese stammten unter anderen aus Diplomaten- und Regierungskreisen sowie aus der Finanzindustrie.
Während die vielen Kreditkartennummern - viele von ihnen waren veraltet - höchstens Cyberkriminellen für kurze Zeit von Nutzen sein werden, sind die veröffentlichten Passwörter wesentlich sensibler. Könnten doch mit deren Hilfe sehr gezielte Cyberattacken auf internationale Firmen und Staaten gestartet werden. Umso schockierender sind denn die ersten Ergebnisse der US-Forscher, die von zum Teil sehr simplen Passwörtern sprechen. Diese liegen zwar nicht als Klartext vor, sondern als MD5-Hash. Trotzdem sind auch so verschlüsselte Wörter schneller geknackt, wenn sie einfacher Natur sind. Wie Kevin Young von der Utah Valley University ausführt, habe man schon gegen 160'000 Passwörter entschlüsseln können. Darunter seien diverse Losungen von Leuten wie etwa aus dem US-Militär, «die es besser wissen sollten» und von denen erwartet wird, dass sie nicht so einfach zu knackende Passwörter einsetzen.
Young verwendet für seine Analysen das bekannte Cracking-Tool «John the Ripper», das auf einem regulären PC betrieben werden kann, und «Oclhashcat», ein Programm, das die höhere Rechenleistung von Grafik- Prozessoren nutzt. Laut Young könnten so 62 Milliarden Passwortkombinationen pro Sekunde erzeugt und ausprobiert werden. Daneben verwendete Young Passwörter von früheren Hacks wie jene gegen Sony (17'000 Passwörter), Rockyou (14 Millionen), PHPBB (278'000) und MySpace (36'000). Dabei stellte sich heraus, dass viele Passwörter viel zu einfach gewählt wurden oder sogar aus genannten Listen wiederverwendet werden konnten. Als Beispiele nannte Young «jasper10», «swordfish» oder «green101». Staaten oder andere hochkarätige Organisationen könnten somit die Passwörter in kurzer Zeit knacken, warnt Young. «Meine 120 Computer sind nichts gegen die Rechenleistung, die eine Nasa, China oder Nordkorea in kürzester Zeit aufbieten könnte», gibt er zu bedenken.



Quelle: Pctipp.ch; Jens Stark; 04.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Empfehlungen zur Passwort-Security:
Nur jedes vierte Passwort ist sicher

Unternehmens-Datenbanken sind durch mangelhafte Passwörter hochgradig gefährdet. Das zeigt der neueste HII-Report 95 des Datensicherheits-Spezialisten Imperva. Die Studie hat 167 Passwörter untersucht, die durch ein aktuelles Datenleck an die Öffentlichkeit kamen. Betroffen davon waren die Zugangsdaten der Webseite FilmRadar.com. Die Daten waren durch die SHA1-Hashfunktion - eine übliche Verschlüsselungstechnik für Passwörter - gesichert. Die Verschlüsselung ist allerdings in der Praxis irrelevant, wenn die hinterlegten Informationen einfach zu erraten sind - was bei den untersuchten Passwörtern erstaunlich oft der Fall war: Die meisten der 100 populärsten Passwörter liessen sich mit Hilfe sogenannter Rainbow-Tabellen innerhalb von wenigen Minuten erraten. Zusammen machen sie rund zehn Prozent des gesamten Datenbestandes aus. Immerhin fünf Prozent der Passwörter hielten einem Wörterbuchangriff nicht einmal zwei Minuten stand – bei einer Datenbasis von 100.000 Benutzer sind dies 2.000 Zugangsdaten, auf die Hacker praktisch frei zugreifen können. Die meisten der 15 populärsten Passwörter liessen sich durch solche Methoden extrem einfach entschlüsseln.

Und so schützen Sie Datenbanken und andere unternehmensrelevante Informationen:
Rainbow-Tabellen "versalzen":
Unternehmen, die sich für den Schutz von Kundenpasswörtern nur auf die SHA-1-Hashfunktion verlassen, machen es Hackern einfach. Die simple Verschlüsselung lässt sich mit Rainbow-Tabellen, die teilweise frei im Internet verfügbar sind, leicht überwinden. Ein effektiver - wenn auch nicht unüberwindbarer - Schutz dagegen ist "Salting". Ein sogenannter Salt-Wert ist eine zufällige Zahl, die dem Passwort vor der Verschlüsselung hinzugefügt wird. Das Ergebnis: Der Entschlüsselungsaufwand steigt exponentiell.
Lange Passwörter erlauben:
Die Verwendung längerer Passwörter - im besten Fall sogenannter "Pass- Phrasen" - verbessert die Sicherheit. Gleichzeitig erlauben längere Zugangsdaten leichter zu merkende Kombinationen, so dass die Mitarbeiter sich keine Zettel schreiben und an ihren Bildschirm kleben müssen.
Eine starke Passwort-Richtlinie vorgeben:
Diese sollte nicht nur bestimmte Zeichentypen vorgeben, sondern die gewählten Kombinationen auch mit Hacker-Wörterbüchern vergleichen. Hotmail beispielsweise erlaubt seit kurzem keine verbreiteten Passwörter mehr. Auch seitenspezifische Begriffe sollten überprüft und eingeschränkt werden. "Unternehmen können sich bei der Wahl sicherer Passwörter nicht auf Mitarbeiter und Kunden verlassen", heisst es in der Studie. "Unsichere Passwörter bergen immer das Risiko eines Imageverlustes - daher sollten entsprechende Richtlinien die Endanwender dabei unterstützen, ihre eigenen Daten ausreichend abzusichern. Wir empfehlen Unternehmen, Passwörter als sehr wertvolle Informationen zu betrachten - und diese Einschätzung in ihren Datensicherheitsrichtlinien auch praktisch umzusetzen."



Quelle: Computerwoche.de; Klaus Manhart; 05.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Compliance und Sicherheit der Geschäftsdaten:
Leitfaden für die Implementierung einer effizienten Configuration- und Audit Control-Lösung

Change- und Configuration Management (CCM)-Tools werden in modernen Unternehmen als effektive Lösungen für die Kontrolle dynamischer IT-Umgebungen angesehen und eingesetzt. Doch, so warnen Analysten des amerikanischen Marktforschungsinstituts EMA (Enterprise Management Associates), traditionelle Change- und Konfigurationsmanagement-Tools adressieren in der Regel nicht alle Aspekte der zahlreichen Konfigurationsdetails, wie sie komplexen IT-Infrastrukturen zugrunde liegen. So können Veränderungen aus einer Vielzahl von Quellen heraus initiiert werden, jedoch ist jedes einzelne CCM-Tool auf die Bewertung seiner eigenen Disziplin beschränkt. Liegen dem Unternehmen beim Auftreten von Problemen nicht die detaillierten forensischen Daten für eine schnelle Ursachenerkennung und Fehlerbehebung vor, kann dies zu einschneidenden Störungen in den Geschäftsabläufen führen.
Zudem machen sowohl interne, als auch industriell und gesetzlich getriebene Compliance-Anforderungen eine Lösung unerlässlich, die eine unternehmensweite Konformität und Sicherheit der Geschäftsdaten garantiert. Hierfür bietet Configuration Audit und Control, so die IT-Berater von EMA, die geeignete, unabhängige Basis. Unter Configuration Audit und Control versteht man den Prozess, mit dessen Hilfe sichergestellt wird, dass sämtliche Infrastrukturkomponenten der IT-Umgebung in einem bekannten und vertrauenswürdigen Status gehalten werden. Um die Vorteile von Configuration Audit und Control in vollem Umfang nutzen zu können, sind bei der Auswahl potentieller Lösungen einige grundlegende Kriterien zu beachten. EMA hat diese Kriterien in zehn Hauptsegmente eingeteilt, aus denen sich je nach Geschäftsanforderungen und Ablauf der Geschäftsprozesse sieben Tipps und Massnahmen für eine effiziente Produktevaluierung ableiten lassen:

1. Stellen Sie sicher, dass Ihre Konfigurationen den organisatorischen Standards entsprechen.
Das erfolgreiche Verwalten und Einhalten von Konfigurations-Settings ist nur dann möglich, wenn die grundlegenden Einstellungen für die jeweilige IT-Infrastruktur und deren besondere Anforderungen optimiert sind. Neben rein funktionalen Konfigurationen für die Optimierung der Performance, des Load Balancing und der Security sind vor allem auch Konfigurationen entscheidend, die internen Audit-Anforderungen, dokumentierten Best Practices (CIS, ISO 27001) und gesetzlichen Compliance-Vorschriften (PCI-DSS, SOX, HIPAA) entsprechen. Auf welche IT-Anforderungen Ihr Unternehmen auch immer standardisiert hat – es ist entscheidend, dass alle IT-Komponenten mit diesen Standards konform gehen und bleiben.

2. Erkennen Sie alle Änderungen über die gesamte IT-Landschaft hinweg.
Den EMA-Untersuchungen zufolge, die im Auftrag der auf automatisierte Security und IT-Compliance spezialisierten durchgeführt wurden, werden durchschnittlich mehr als 60 Prozent aller kritischen System- und Applikationsausfälle durch fehlerhafte Änderungen an der IT-Umgebung verursacht. Da Veränderungen von unterschiedlichsten Quellen ausgehen können, müssen die diversen, im Unternehmen agierenden Change-Agenten wie automatisierte Konfigurationstools, semiautomatisierte Skripts und natürlich auch manuelle Änderungen identifiziert werden. Angesichts so zahlreicher Interaktionspunkte kann das Management von Change-Monitoring schwierig und mühsam sein. Zur Vereinfachung dieses Prozesses sollte innerhalb einer zentralisierten Lösung ein einziger "Point of Control" implementiert werden. Für die meisten Unternehmen gehört diese Komponente zu den wichtigsten Elementen von Configuration Audit und Control, da sie direkten Einfluss darauf hat, inwieweit die Unternehmens-IT auftretende Fehler schnell identifizieren und beheben kann.

3. Halten Sie rechtzeitig detaillierte Daten zu Konfigurationsänderungen fest.
Das manuelle Sammeln und Korrelieren von Daten zu Konfigurationsänderungen ist - angesichts der IT-Komplexität – heute selbst in kleineren Unternehmen nicht mehr praktikabel. Für das zentralisierte Sammeln und Darstellen dieser Change- Informationen sind automatisierte Tools erforderlich, die der IT-Administration eine rasche Analyse und rechtzeitige Fehlerbehebung ermöglichen. Die Werkzeuge müssen auf granularer Ebene detaillierte Informationen zu Change-Fehlerbehebung ermöglichen. Die Werkzeuge müssen auf granularer Ebene detaillierte Informationen zu Change- Ereignissen bereitstellen, so dass jederzeit nachverfolgt werden kann, was genau wann passiert ist und wer dafür verantwortlich zeichnet. Dabei muss eine solche, automatisierte Lösung diese umfassenden Informationen bereit stellen können, ohne Ihre System- und Netzwerkressourcen zu kompromittieren.

4. Prüfen Sie Ihre Konfigurationsänderungen unabhängig von automatisierten Tools.
Automations-Tools eignen sich exzellent für das Management heutiger, komplexer IT-Umgebungen. Der unbeabsichtigte oder fehlerhafte Einsatz solche Tools kann jedoch erheblichen Schaden in Ihrer IT-Infrastruktur anrichten. Da mit solchen Tools durchgeführte Änderungen immer "autorisiert" sind, ist eine unabhängige Prüfung und Analyse dieser Änderungen erforderlich, die sicher stellt, dass die Änderungen mit den festgelegten Policies konform gehen. Auch erkennt das Change Tracking – also die Nachverfolgung von Änderungen mit diesen automatisierten Tools – oft nicht diejenigen Änderungen, die mit anderen Tools, Skripts oder durch manuelles Eingreifen verursacht wurden. Nur ein unabhängiges und unternehmensweites Change- und Auditing-Tool kann die Compliance sicherstellen.

5. Gleichen Sie Änderungen mit Ihren organisatorischen Change-Policies ab.
Das Erkennen ungeeigneter Änderungen ist nur dann effektiv, wenn ein Abgleich mit den vordefinierten Konfigurations- und Change-Policies erfolgen kann. Vorher festgelegte Policies helfen dabei, das aus der Nachverfolgung sehr vieler, oft nicht geschäftsrelevanter Änderungen entstehende "Informations-Sammelsurium" zu entwirren. So genannte "Business-as usual"- Changes werden ganz automatisch bearbeitet und durch die Einbindung einer automatischen Abgleichfunktion in eine Prioritätenliste können die meisten, wichtigen Änderungen schnell identifiziert werden.

6. Erlauben Sie Change Management-Systemen den Abgleich mit Change-Tickets.
Wird bereits ein automatisiertes Change Management-System eingesetzt, sollte die Configuration Audit- und Control- Lösung mit diesem System integriert werden. Der daraus entstehende, geschlossene Change Management-Prozess ermöglicht den Abgleich erkannter Änderungen mit genehmigten Change-Tickets. So wird sichergestellt, dass alle Änderungen geplant und genehmigt sind und nur an denjenigen Systemen vorgenommen werden, für die sie vorgesehen sind. Alle nicht autorisierten Changes werden kenntlich gemacht.

7. Ermöglichen Sie umfassendes, mehrstufiges Reporting und sofortige Alarmierung.
Ebenso wichtig wie die Qualität und Quantität der gesammelten Daten ist die Art und Weise, wie sie präsentiert und analysiert werden. IT-Verantwortliche benötigen anschauliche Dashboards und Reports, die ein klares Bild vom "Gesundheitsstatus" der gesamten IT-Infrastruktur zeichnen. Für die Anforderungen an gesetzliche Compliance sind detaillierte Audit-Reports zum aktuellen Konfigurations- und Change-Status erforderlich. Zudem müssen alle Änderungen, die zu einer Regelverletzung führen, entsprechende Meldungen an die richtigen Adressaten und Teams generieren, so dass sofortige Korrekturmassnahmen möglich sind. Als unverzichtbares Werkzeug für den Nachweis von Compliance und die Darstellung des unternehmensweiten IT-Status muss umfassendes Reporting ein integraler Bestandteil jeder Configuration Audit- und Control-Lösung sein.



Quelle: Compliancemagazin.de; ra; 11.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Datensicherheit:
Regeln für mehr IT-Effizienz

Wenn Arbeitszeit für vermeidbare und unnötige Aufgaben verloren geht, kostet das dem Unternehmen nicht nur wertvolle Ressourcen, sondern auch Geld. Dies ist in vielen IT-Abteilungen der Fall: Wie das US-amerikanische IT Process Institute (ITPI) in einer Studie herausfand, sind IT-Abteilungen bis zu 80 Prozent ihrer Zeit damit beschäftigt, Bedrohungen abzuwehren und Probleme zu beheben, anstatt Unternehmenssoftware weiter zu entwickeln und Prozesse zu vereinfachen.
In den meisten Fällen ist dies vermeidbar: Mit dem richtigen Konzept können 95 Prozent der Arbeitszeit in die Weiterentwicklung von Systemen investiert werden. Gerade der Schutz der Unternehmensdaten und die Wahrung der Systemintegrität nimmt oft unnötig viel Zeit in Anspruch. Aus der Vielzahl der täglich auftretenden Datenänderungen und Prozessvorgänge muss eine IT-Abteilung die potenziell gefährlichen herausfiltern, um auf sie reagieren zu können. Das Hinzufügen neuer Nutzerdaten eines Mitarbeiters stellt im Gegensatz zu einer Hackerattacke von aussen oder fahrlässigem Missachten von internen Sicherheitsstandards kein Risiko dar – um das Bedrohungspotenzial einer Änderung einschätzen zu können und Datensicherheit zu gewährleisten, muss allerdings jeder Vorgang dokumentiert werden.
Die folgenden sieben Schritte sollen helfen, das Hauptaugenmerk auf Neuentwicklungen zu richten und nicht mehr nur reaktiv Probleme zu beheben.

1. Richtlinien schaffen:
Stabile Betriebsabläufe beruhen auf der Fähigkeit, Änderungen im gesamten Unternehmen effektiv zu verwalten. Während geplante, autorisierte Veränderungen wie das Anlegen neuer Nutzerprofile, regelmässige Updates und prozessoptimierende Programme offensichtliche Vorteile für Systeme oder Benutzer haben, können Hackerangriffe oderfahrlässige interne Verstösse gegen Sicherheitsvorschriften grossen Schaden im IT-Systemanrichten. Stellen Sie deshalb sicher, dass Richtlinien in Bezug auf Datensicherheit genau eingehalten werden.

2. Regelmässig prüfen:
Die besten Richtlinien sind nutzlos, wenn sie nicht eingehalten werden. Nehmen Sie umfassende interne Audits aller durchgeführten Änderungen vor, um potenzielle Probleme schnell identifizieren zu können.

3. Verantwortung teilen:
Von gesetzlicher Seite werden zunehmend Autorisierungsprozesse vorgeschrieben. Übertragen Sie die Verantwortung für Änderungen und deren Autorisierung grundsätzlich auf verschiedene Mitarbeiter, damit diese Kontrollmechanismen greifen und Ausfallzeiten des Systems vermieden werden.

4. Null Toleranz:
Stellen Sie sicher, dass sie über Kontroll-Tools verfügen, die sämtliche im Unternehmen vorgenommenen Änderungen registrieren und auf Compliance-Verletzungen prüfen. Diese Tools dienen auch als Abschreckung gegenüber fahrlässigen Änderungen von Seiten der Mitarbeiter und erleichtern es ihnen, bestehende Richtlinien einzuhalten.
Durch den Einsatz eines entsprechenden Tools können Unternehmen unautorisierte Änderungen eliminieren und so die Kontrolle behalten. Dies zeigen die Untersuchungen des ITPI. Der Hauptunterschied zwischen umsatzstarken und eher umsatzschwachen Unternehmen besteht in der Verwaltung von Änderungen der IT-Infrastruktur. 93 Prozent der umsatzstarken Unternehmen überwachen ihre Systeme hinsichtlich unautorisierter Änderungen, im Vergleich zu nur 21 Prozent der umsatzschwächeren Unternehmen. Diese verbringen deshalb immer noch 15–35 Prozent ihrer Zeit mit Arbeiten an unvorhergesehenen Events; bei Spitzenunternehmen sind es weniger als 5 Prozent.

5. Testen, testen, testen:
Simulieren Sie alle geplanten Konfigurations-Änderungen zunächst in einer Testumgebung, bevor sie in die Produktionsumgebung übernommen werden. Dadurch lassen sich Systemausfälle vermeiden. Durchgeführte Änderungen sollten zudem ein entsprechendes Ereignis-Protokoll beinhalten. So können Sie die Ursache des Vorfalls nachvollziehen.

6.
Auswirkungen von Änderungen vorhersehen:
Falls Änderungen eine Systeminstabilität verursachen, ist eine störungsfreie Basiskonfiguration Grundlage für die Ursachenforschung. So lassen sich alle Veränderungen innerhalb der IT-Infrastruktur identifizieren und gegebenenfalls rückgängig machen.

7. Aus Fehlern lernen:
Die als risikoreich eingestuften Änderungen sollten Sie danach sorgfältig auswerten. So lernen Sie aus Fehlern und die Leistungsfähigkeit der Abteilung verbessert sich. Eine kontinuierliche Verbesserung des IT-Systems kann Arbeit sparen, Prozesse vereinfachen und so bis zu 95 Prozent der Ressourcen, die zur Problembehebung nötig waren, freimachen.



Quelle: Computerwoche.de; Rob Warmack; 16.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Sicherheit im Rechenzentrum:
Mancher Aspekt wird ignoriert

Schützenswert ist das Datacenter in zweierlei Hinsicht: Es liefert IT-Services wie E-Mail oder SAP mit geschäftskritischen Daten für Fachabteilungen, Partner oder Lieferanten. Dann ist das Datacenter natürlich auch ein physisches Gebäude mit sensiblen IT-Komponenten und Haustechnik. Beide Einheiten müssen mit entsprechenden Security-Massnahmen geschützt werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Daten zu schützen.
Folgende Massnahmen sorgen für eine Grundsicherheit im modernen Rechenzentrum. Sie stellen aber nur einen Teil der notwendigen Schritte dar, die in der Praxis durch weitere individuelle Massnahmen ergänzt werden müssen.

1. Schutzbedarfsanalyse: Unternehmen, die ihre Daten, Infrastrukturen und IT-Prozesse mit den richtigen Massnahmen effizient schützen wollen, sollten eine genaue Analyse des Schutzbedarfs im Rechenzentrum durchführen. In der Vergangenheit wurde die Verfügbarkeit der IT häufig durch teure redundante Komponenten und Ausfallstandorte unverhältnismässig stark abgesichert. Bei näherer Betrachtung muss nicht jede Applikation tatsächlich zu annähernd 100 Prozent verfügbar sein, nicht alle Informationen auf drei Speicherebenen vorgehalten werden. Die Basis für die Analyse des individuellen Schutzbedarfs liefert ein funktionierendes Risiko-Management. Es betrachtet unter anderem den möglichen Schaden, wenn IT-gestützte Prozesse, Daten, physische und virtuelle Instanzen nicht ordnungsgemäss funktionieren oder ausfallen.
Dieser theoretische Schaden wird mit der Eintrittswahrscheinlichkeit für eine Störung gewichtet. Weiss ein Unternehmen, was es im Schadensfall verlieren kann, so weiss es auch, welche Systeme und Umgebungen besonders schützenswert sind. Es lohnt sich in jedem Fall, den Schutzbedarf der Services und des Rechenzentrums in regelmässigen Abständen zu überprüfen, um die Infrastruktur kosteneffizient und sicher betreiben zu können.

2. Verantwortlichkeiten neu und richtig definieren: Eine sinnvolle organisatorische Massnahme, die die steigende Bedeutung von Security würdigt, ist die Einsetzung eines Verantwortlichen für IT-Sicherheit. Dieser sollte als zentraler Ansprechpartner rund um die Themen Datenschutz und Sicherheit allen Mitarbeitern bekannt sein. Neue Systeme, die bereichsübergreifende Technologien in einer Komponente vereinen, oder Querschnittsthemen wie die Virtualisierung lassen sich nur schwer in den klassischen Verantwortungsbereichen Client-/Server, Netzwerk und Storage abbilden. Ist der Desktop-Verantwortliche für die Sicherheit virtueller Clients zuständig? Oder ist es vielleicht doch der Chef des Rechenzentrums, der das Client-Image verwaltet? Um Verantwortlichkeiten richtig definieren zu können, muss die traditionelle IT-Organisation überprüft und gegebenenfalls angepasst werden.

3. Physikalischer Aufbau und Prozessalternativen: Auch wenn die Grenzen der Rechenzentren durch die Virtualisierung und das Einbinden von Cloud-Diensten durchlässiger werden, ist der Zugangsschutz immer noch ein wichtiger Baustein der Security-Strategie. Dazu gehören beispielsweise zwei getrennte, nicht öffentlich erkennbare Standorte mit Mindestentfernungen, redundante Komponenten, abgesicherter Zutritt, ausreichende Notstrom- und Klimaversorgung, Brandfrüherkennung und moderne Löschsysteme. Es ist zudem unerlässlich, den Betrieb eines Rechenzentrums und damit den Ablauf betrieblicher Prozesse durch ein umfassendes Business Continuity Management garantieren zu können, etwa bei Krankheit der Mitarbeiter oder technischen Störungen. Fallen in einer Bank die Server aus, die die Überweisungsterminals betreiben, müssen manuell ausgefüllte Überweisungsträger den Zahlungsverkehr weiter sicherstellen.

4. Intelligente Segmentierung der Netze: Die Architektur moderner Rechenzentren muss eine strikte Trennung zwischen öffentlichen, nicht öffentlichen und sogar geheimen Bereichen ermöglichen. Web-Server, die einen Zugriff von aussen erlauben, müssen beispielsweise durch Firewalls von allen Firmendaten abgeschottet werden. Mail-Server gehören ebenfalls in das öffentliche Segment und müssen gesondert geschützt werden. Durch die Sende- und Empfangsfunktion verbinden sie vertrauenswürdige und nicht-vertrauenswürdige Bereiche.
Die Segmentierung kann natürlich auch nach funktionalen Kriterien erfolgen. So sollte ein Automobilhersteller die Bereiche Produktions-IT, Bürokommunikation und strategische Abteilungen wie HR, und F&E voneinander abkoppeln, um etwa den Produktionsprozess im Fall von Angriffen auf einen anderen Bereich aufrecht zu erhalten.

5. Basisschutz für Netze und Daten: Firewalls fungieren als Barrieren zwischen getrennten Segmenten im Datacenter und den Übergängen zu externen Netzen. Ergänzend hierzu erkennt Intrusion-Detection Angriffe. Intrusion Prevention-Systeme gehen einen Schritt weiter und unterbrechen unbefugte Datenübertragungen sogar aktiv. Zusätzlich sollte die Kommunikation auf Web- und Mail-Servern mittels URL-Filtern und Anti-Spam-Gateways überwacht werden.
Verschlüsselung verleiht den übermittelten Daten eine Schutzhülle gegen unbefugten Zugriff, egal in welchem Netzwerk sie unterwegs sind. Diese Massnahmen sollten schliesslich mit einer starken Authentifizierung gekoppelt werden, mit der Administratoren, Mitarbeiter, Lieferanten oder Partner berechtigten Zugriff zu den Unternehmensressourcen erhalten. Ein übergeordnetes Identity- und Access Management verwaltet diese Identitäten mit den zugehörigen Rollen von der Einrichtung, Änderung, Suspendierung bis zur Archivierung und erhöht so auch langfristig die Zugriffssicherheit.

6. Virenschutz und Verschlüsselung für Systeme: Neben Netzen und Daten müssen natürlich auch Server- und Storage-Systeme im Rechenzentrum gegen Datendiebstahl, unberechtigten Zugriff sowie „Verschmutzung“ und Angriffe durch Viren und Würmer geschützt werden. Das gilt im Übrigen genauso für virtualisierte Systeme. Ein stets aktueller Schutz gegen Schad-Software für alle Maschinen und mobilen Geräte im Rechenzentrum ist Pflicht. Eine lokale Verschlüsselung von Dateien und Ordnern ist ebenfalls unerlässlich. Für die Server empfiehlt sich eine konsequente Systemhärtung. Das heisst, alle Instanzen im Datacenter liefern nur die benötigten Dienste und alle anderen Funktionen müssen abgeschaltet werden. Speichersysteme, die noch auf Fibre Channel (FC)-Basis arbeiten, sind gegen die gängigen TCP/IP-Netze gut abgeschottet.
Unterschiedliche Protokolle liefern hier die grösste Sicherheit, bedeuten aber auch einen höheren Betriebsaufwand. Die Archivdaten und Ordner auf den Speichersystemen müssen zusätzlich unbedingt verschlüsselt werden. Dabei sollten Möglichkeiten der Entschlüsselung, die auch nach Aufbewahrungszeiträumen von 30 und mehr Jahren noch gelten, mit eingeplant werden.

7. Kontrolle privilegierter Benutzer: Ein weiteres Risiko für die Verfügbarkeit der Ressourcen im Datacenter stellen Fehlkonfigurationen durch die RZ-Mitarbeiter dar. Oft nutzen mehrere Administratoren gemeinsam einen Root-Account mit sämtlichen Rechten. Unternehmen, die menschliches Versagen an dieser Stelle vermeiden möchten, sollten jedem Account nur einen Nutzer zuweisen. Sie sollten bestehende Berechtigungskonzepte genau hinterfragen und die Administration für spätere Nachvollziehbarkeit protokollieren: Was darf ein Administrator wann auf welchem System tun? Wie wird die Berechtigung auditiert?
Nur wenn alle Aktionen genau nachvollziehbar sind, können Fehler rückgängig gemacht werden. Ausserdem sollte ein Administrator sein Passwort nicht selber auswählen dürfen. Moderne Stellvertretersysteme generieren beispielsweise Passwörter, die der Benutzer selber nicht kennt. Wie in vielen anderen Bereichen auch, ist das Vier-Augen-Prinzip ein hilfreicher Schutz: Änderungen dürfen nur durchgeführt werden, wenn zwei authentifizierte User zustimmen.

8. Einhaltung von Richtlinien: IT-Verantwortliche sollten das Compliance-Risiko, also die Nicht-Einhaltung von internen und gesetzlichen Richtlinien sowie Branchenstandards nicht unterschätzen. Insbesondere wenn Cloud-Dienste bezogen werden, muss genau geprüft werden, ob die nationalen oder speziellen Compliance-Anforderungen vom Anbieter eingehalten werden können. Besondere Vorsicht ist bei der Auslagerung personenbezogener Daten an Cloud-Betreiber im Ausland geboten. Konflikte mit dem Bundesdatenschutzgesetz sind dann vorprogrammiert. GRC-Lösungen (Governance, Risk, Compliance) können sicher stellen, dass alle definierten Security-Massnahmen umgesetzt werden. Diese Systeme bilden eine zentrale Plattform für einen dauerhaften Überblick über die bestehenden internen und gesetzlichen Richtlinien sowie Branchenstandards, verwalten diese in einem integrierten Dokumenten-Management-System und dokumentieren die Umsetzung der technologischen und organisatorischen Massnahmen mit Hilfe von Verlinkungen.

9. Detektion und Reaktion: Es ist absehbar, dass die kriminelle Energie von Datendieben künftig eher zu- als abnehmen wird. Auch ausgeklügelte präventive Schutzmassnahmen werden Einbrüche in das Unternehmensnetz oder Schäden durch Würmer, Trojaner & Co. nicht zu hundert Prozent abwehren können. Daher spielt die schnelle reaktive Security eine zentrale Rolle für die Sicherheitsstrategie in modernen, dynamischen Rechenzentren. Um Angriffe aufzuspüren und abzuwehren, müssen sicherheitsrelevante System-Logs zentral gesammelt, aufbewahrt, korreliert und ausgewertet werden.

10. Schwachstellen- und Patch-Management: Zu den sicherheitsrelevanten Ereignissen gehören auch Schwachstellen der Software. Diese können automatisiert mittels regelmässiger Scans erkannt werden. Die IT-Organisation muss zudem für ein funktionierendes Patch Management Sorge tragen, um die erkannten Schwachstellen schnellstmöglich zu schliessen.

11. Information Protection: Industriespione, aber auch die eigenen Mitarbeiter, zeigen leider oft ein grosses Interesse an sensiblen Firmendaten. Gegen den unerlaubten Abfluss von Informationen kann an dedizierten Stellen ein Data Loss Prevention (DLP) System helfen. Zur organisatorischen Vorarbeit gehört die Klassifizierung von Informationen nach ihrer Relevanz. Data Discovery-Werkzeuge helfen dann dabei, die schützenswerten Daten innerhalb der Infrastruktur zu orten.
Schliesslich definiert ein Information Rights Management (IRM)-System die zugriffsberechtigten Personen und sorgt für die Verschlüsselung von Daten. Das IRM legt genau fest, ob bestimmte Informationen von den Berechtigen, zum Beispiel per E-Mail versandt, kopiert, verändert oder nur angesehen werden dürfen.

12. Backup & Recovery: Eine wichtige Massnahme gegen den Verlust von Daten im Katastrophenfall, versehentliche Löschung oder Verfügbarkeitseinschränkungen durch logische Fehler ist die regelmässige Sicherung des Datenbestands. Damit die Informationen nach einem Ausfall tatsächlich wieder zeitnah verfügbar sind, muss auch die Rücksicherung turnusmässig getestet werden. Werden Backup-Tapes ausserhalb des Unternehmens gelagert, können die Daten mit Hilfe von Backup-Software verschlüsselt werden. Mittlerweile gibt es auch schon Bandlaufwerke mit hochwertiger Verschlüsselung. In der virtuellen Welt ist der Backup- und Recovery-Prozess ungleich komplexer als in traditionellen Umgebungen. Ein wichtiges Thema ist die Konsistenz von Applikationen im virtuellen Umfeld.
Hier gilt es, die vorhandenen Schnittstellen genau auf Tauglichkeit für die Backup-Instanzen zu prüfen. Wer plant, seine Infrastruktur mittelfristig in grösserem Rahmen zu virtualisieren, sollte mit leistungsfähigen Enterprise Backup Tools arbeiten, die Backup Services automatisieren, Applikationen konsistent sichern und den Betrieb zentral administrieren.



Quelle: Computerwoche.de; Jan-Frank Müller, Dirk Schiller; 05.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Zwei Möglichkeiten, Ihre Informationssicherheit zertifizieren zu lassen:
ISO 27001 und der IT-Grundschutz nach BSI auf Basis des ISO 27001

ISO 27001 – International anerkannte ISMS-Zertifizierung

ISO/IEC 27001:2005 (im Folgenden ISO 27001) wurde aus dem britischen Standard BS 7799-2:2002 entwickelt und als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht. Inhaltlich besteht die Norm aus einem Katalog von Anforderungen, die ein ISMS (Information Security Management System) beschreiben und detaillierte Anforderungen definieren, die eine Zertifizierung ermöglichen. ISO 27001 ist Teil einer Normenfamilie, die aus diversen Normen und Subnormen besteht. Mit Ausgabe 9.2008 liegt der Standard auch als DIN-Norm DIN ISO/IEC 27001 vor. Dieser Artikel beantwortet in kompakter Form die wichtigsten Fragen zum Thema „Zertifizierung nach 27001“.
Hierzu zählen: Da ISO 27001 international als Methode für Informationssicherheit anerkannt ist, stellt sie ein wichtiges Instrument zum Nachweis der Einhaltung von gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Aufsichtsbehörden oder Banken dar. Hierzu zählen neben gesetzlichen Regeln wie SOX, Basel II oder andere nationale oder internationale Regulative. Beachtenswert ist aber noch ein weiterer Punkt: Zunehmend werden Zertifizierungen zur Teilnahme an Ausschreibungen verlangt. Da in gewissen Ländern öffentliche Auftraggeber an die für diesen Bereich gültigen europäischen Richtlinien gebunden sind, ist ein nationaler Ausweis nicht ausreichend. Damit erfüllt praktisch derzeit nur die ISO 27001 die Anforderungen öffentlicher Auftraggeber.
Ein weiterer Vorteil einer Zertifizierung betrifft den Bereich der Haftung. Bei haftungsrelevanten Problemen geht es immer auch um die Frage, ob die verkehrsübliche gebotene Sorgfaltspflicht eingehalten wurde. Die Einhaltung von Normen und Standards ist hierbei ein wichtiges Kriterium. Der Nachweis einer Zertifizierung wird dann in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltsplicht eingehalten wurde. Und auch Kunden, Partnern und Dienstleistern gegenüber kann sie als Nachweis der entsprechenden Kompetenz im Bereich Informationssicherheit dienen. Derzeit sind weltweit gut 7.300 Unternehmen zertifiziert.

Wer führt die Zertifizierung durch? Damit ein Unternehmen den Nachweis einer Zertifizierung auf Basis von ISO 27001 erbringen kann, muss ein externer Audit durchgeführt werden. Interne Audits, welche durch internes Personal durchgeführt werden, können nicht für eine Zertifizierung auf Basis von ISO 27001 verwendet werden. Die externen Auditoren müssen von einer Zertifizierungsstelle anerkannt sein, die auch für die Durchführung der Audits und deren Abnahme verantwortlich zeichnet. Welche Zertifizierungsstelle gewählt wird, ist dem zu zertifizierenden Unternehmen freigestellt. Hierbei ist zu beachten, dass sich auch Zertifizierungsstellen akkreditieren können. Eine solche Akkreditierung dient als Nachweis, dass die betreffende Stelle normgerecht agiert, die externen Auditoren qualifiziert und die Prozesse der Prüfung und Zertifizierung transparent und nachvollziehbar sind.

Welche Nachweise sind erforderlich? Der ISO Standard 27001 spezifiziert die Anforderungen für die Konzipierung und Einführung sowie für den Betrieb, die Überwachung und die Verbesserung eines dokumentierten Informationssicherheits- Managementsystems unter Berücksichtigung der organisationsweiten Risiken. Kernpunkt der ISO 27001 ist das Verständnis von Informationssicherheit als geplanter, gelebter, überwachter und sich kontinuierlich verbessernder Prozess. Dem zugrunde liegt das „Plan-Do-Check-Act“-Modell, auch bekannt unter den Namen PDCA-Modell oder Deming-Cycle. Grundsätzlich gilt es nachzuweisen, dass ein solcher Prozess implementiert wurde und nachhaltig im Unternehmen gelebt wird. Hierbei ist hervorzuheben, dass die Norm nicht die IT im Fokus hat, sondern die Informationssicherheit in den Geschäftsprozessen eines Unternehmens adressiert.
Die Überprüfung umfasst sowohl eine Dokumentenprüfung, als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmassnahmen vor Ort. Als Nachweise fordert der Standard eine umfassende Dokumentation der Ergebnisse aus den vier Phasen des PDCA-Modells. Von grösster Bedeutung sind in diesem Zusammenhang eine Beschreibung von Inhalt und Umfang des ISMS sowie das Vorgehen und die Ergebnisse des Risikomanagements. Hierbei ist darauf zu achten, dass die Dokumente geordnet abgelegt werden, Änderungen kontrolliert erfolgen und zeitnah den betroffenen Personen kommuniziert werden. Zusätzlich ist die Umsetzung der Massnahmen und Kontrollen aus dem Anhang A des Standards zu dokumentieren.
Dabei handelt es sich um Ziele für die elf folgenden thematische Bereiche: 1. Information Security Policy – Richtlinien zur Informationssicherheit 2. Organising Information Security – Organisatorische Sicherheitsmassnahmen und Managementprozess 3. Asset Management – Verwaltung von Informationswerten 4. Human Resources Security – Personelle Sicherheit 5. Physical and Environmental Security – Physische Sicherheit 6. Communications and Operations Management – Netzwerk- und Betriebssicherheit 7. Access Control – Zugriffskontrolle 8. Information Systems Acquisition, Development and Maintenance – Systementwicklung und Wartung 9. Information Security Incident Management – Umgang mit Sicherheitsvorfällen 10. Business Continuity Management – Notfallmanagement 11. Compliance – Einhaltung rechtlicher und interner Vorgaben

Inhalt Handlungsempfehlungen und Re-Zertifizierung: Der ISO-27001-Standard beschreibt weder spezifische Verfahren, noch definiert er Implementierungsmethoden zum Erlangen einer Zertifizierung. Für eine konkrete Umsetzung der Ziele und dafür erforderlichen Massnahmen verweist er stattdessen auf den ISO Standard 27002, der daher bei einer Zertifizierung zwingend berücksichtigt werden muss.

Was ist erforderlich, um die Zertifizierung aufrecht zu halten? Abhängig von der Zertifizierungsstelle können Zertifikate mit einer Gültigkeit von bis zu drei Jahren ausgestellt werden. Nach Ablauf der Gültigkeitsdauer ist eine Re-Zertifizierung möglich. Zusätzlich sind, abhängig von der Zertifizierungsstelle und der Gültigkeitsdauer des Zertifikates, ggf. jährliche Überwachungsaudits notwendig. Manche Stellen vergeben Zertifikate mit einer zwei- oder dreijähriger Gültigkeit, verlangen aber in diesem Intervall jährliche Audits. Andere Stellen beschränken die Gültigkeit von vorneherein auf ein Jahr.

IT-Grundschutz nach BSI auf Basis von ISO 27001

Um Unternehmen bei der Beantwortung der Frage zu helfen, wie viel Schutz eigentlich notwendig ist, hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 1994 das erste IT-Grundschutzhandbuch veröffentlicht. Mittlerweile sind daraus die Grundschutzkataloge erwachsen, die durch die BSI-Standards ergänzt werden und an der ISO Norm 27001 ausgerichtet sind.
Die Idee von IT-Grundschutz aber ist immer noch die gleiche: Typische IT-Komponenten und Abläufe sind überall ähnlich. Diese unterliegen typischen Gefährdungen, Schwachstellen und Risiken. Ziel von IT-Grundschutz ist es, durch eine geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmassnahmen ein Sicherheitsniveau zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist. Die Vereinfachung liegt vor allem im Verzicht auf eine detaillierte initiale Risikoanalyse. Seit 2006 können Unternehmen ihre IT vom BSI nach ISO 27001 auf der Basis von IT-Grundschutz zertifizieren lassen. Doch lohnt eine solche Zertifizierung und wie viel Aufwand ist dafür erforderlich?

Welchen Nutzen bringt eine Zertifizierung? Eine IT-Grundschutz-Zertifizierung schliesst immer eine Zertifizierung nach ISO 27001 ein. Damit bietet sich Unternehmen grundsätzlich die Möglichkeit, ihre Kompetenz im Bereich Informationssicherheit nach aussen hin transparent zu machen. Darüber hinaus stellt die ISO 27001 als international anerkannter Standard ein wichtiges Instrument zum Nachweis der Einhaltung von nationalen und international gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Dienstleister, Auftraggeber, Aufsichtsbehörden oder Banken dar. In den IT-Grundschutz- Katalogen erläutert das BSI grundlegende IT Security-Massnahmen.
Hierzu zählen nicht nur gesetzliche Regeln wie SOX oder Basel II, sondern auch eine Reihe nationaler und internationaler Vorschriften, die ein ISMS (Information Security Management System) fordern. Zu beachten ist jedoch, dass die ISO 27001 zwar die Elemente eines ISMS definiert, es jedoch dem Unternehmen überlässt, detaillierte Prozesse und Einzelmassnahmen auszuwählen. Bei einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz wird für das zu zertifizierende System auch die konkrete Umsetzung von Sicherheitsmassnahmen auf der Basis von IT-Grundschutz geprüft, was die Aussagekraft eines solchen Zertifikats deutlich erweitert.

Wer führt die Zertifizierung durch? Eine Zertifizierung auf der Basis von IT-Grundschutz kann nur durch einen lizenzierten Auditor durchgeführt werden, der persönlich beim BSI registriert ist. Auf seiner Website veröffentlich das BSI regelmässig eine aktualisierte Liste aller lizensierten Auditoren. Bei den vom BSI anerkannten Auditoren ist zu unterscheiden, ob sie Audits für das ISO-27001-Zertifikat erstellen dürfen oder ob sie sich auf IT-Grundschutzzertifikate beschränken müssen. Zwar vergibt das BSI seit 2006 nur noch Berechtigungen für die Durchführung von IT-Grundschutz-Audits auf der Basis von ISO 27001. Einige der bereits vor 2006 lizenzierten Auditoren erfüllen die ISO 27001-Zertifikatsbegleitung auf der Basis von IT-Grundschutz jedoch nicht.

Welche Nachweise sind erforderlich? Die Überprüfung umfasst sowohl eine Dokumentenprüfung, als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmassnahmen vor Ort. Hierbei wird die in den BSI-Standards beschriebene Vorgehensweise zur Implementierung eines ISMS und die Anwendung der in den IT-Grundschutz- Katalogen empfohlenen Massnahmen geprüft. Als Nachweis dienen die gemäss Zertifizierungsschema zu erstellenden Referenzdokumente. Nach Abschluss der Prüfung erstellt der Auditor einen Auditbericht und reicht diesen zur Überprüfung und Abnahme beim BSI ein, das über die Erteilung des Zertifikats entscheidet.

Wie viel Aufwand erfordert die Zertifizierung? Die Umsetzung der Massnahme aus den Grundschutzkataloge und die Erstellung der geforderten Dokumente erfordert einen erheblichen finanziellen und personellen Aufwand, der bedeutend höher ist, als bei einer nativen ISO 27001-Zertifizierung. Hierzu trägt auch bei, dass es bisher nur wenig Freiheitsgrade hinsichtlich der Umsetzung der geforderten Massnahmen gab. Mit der im November 2011 erschienenen 12. Ergänzungslieferung der IT-Grundschutzkataloge hat das BSI auf die zunehmende Komplexität reagiert und den zusätzlichen Katalog „Elementare Gefährdungen“ eingeführt. Damit wird nun erstmalig zwischen elementaren, d.h. zertifizierungsrelevanten und vertiefenden Bausteinen unterschieden, was die Zertifizierungsanforderungen reduziert. Ausserdem bietet das BSI Vorstufen des eigentlichen ISO-27001-Zertifikates an, um Behörden und Unternehmen eine schrittweise Umsetzung zu ermöglichen. Abhängig davon, welche Massnahmen bereits umgesetzt wurden, können zwei Arten von Auditor-Testaten ausgestellt werden: Für beide Qualifizierungsstufen ist ebenfalls eine Prüfung durch einen vom BSI zertifizierten Auditor erforderlich.

Erhaltung der Zertifizierung: Das Zertifikat hat eine Gültigkeit von zwei Jahren. Nach Ablauf dieser zwei Jahre ist eine Re-Zertifizierung notwendig. Bei grösseren Änderungen innerhalb der Organisation (wie Outsourcing, Standortwechsel etc.) sind dem BSI die Änderungen schriftlich mitzuteilen. Das BSI entscheidet darüber, ob eine vorzeitige Re-Zertifizierung notwendig ist. Diese Testate sind zwei Jahre gültig und können, da sie Vorstufen zum Zertifikat sind, nicht verlängert werden.



Quelle: Searchsecurity.de; Stephan Augsten, Manuela Reiss, Marco Sportelli; 28.12.2011

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

Pflicht zur Entschlüsselung:
In den USA muss man alles offenlegen

US-Bürger können per richterlicher Anweisung dazu verpflichtet werden, verschlüsselte Dateien für die Polizei zu entschlüsseln. Dies beschloss ein US-Bundesrichter aus dem Bundesstaat Colorado. Der Fall könnte zum Präzedenzfall für die Zukunft werden. Im US-Recht haben frühere Richtersprüche eine erhebliche Bedeutung. Dementsprechend könnte sich gesprochene Urteil von Richter Robert Blackburn zum Massstab für zukünftige, ähnlich gelagerte Fälle entwickeln.
Blackburn ordnete an, dass eine Frau, die des Betrugs verdächtigt wird, die Festplatte ihres Toshiba-Laptops bis zum 21. Februar 2012 entschlüsseln und der Polizei Zugriff gewähren muss. Anderenfalls könnte sie unter anderem wegen Missachtung des Gerichts angeklagt werden. Die Verdächtige, Ramona Fricosu, verwendet die Software "PGP Desktop" des Unternehmens Symantec. Der dabei verwendete AES-Algorithmus ist nach heutigen Erkenntnissen nicht in realistischer Zeit zu knacken, weswegen ein Zugriff auf die verschlüsselten Daten nur mit dem richtigen Passwort möglich ist. Fricosus Anwalt, Phil Dubois, bezeichnete den Fall als Angelegenheit von "nationaler Bedeutung".
Dubois hat Erfahrung mit der Materie: er vertrat einst den PGP-Erfinder Phil Zimmerman in einem Gerichtsverfahren. Blackburn argumentierte in seinem Urteil, dass der fünfte Verfassungszusatz, der festlegt, dass sich niemand vor Gericht selbst belasten muss, einer Verpflichtung, möglicherweise belastende Daten entschlüsseln zu müssen, nicht im Wege steht. Der Richter erklärte ausserdem, dass ein Gesetz aus dem Jahr 1789, der All Writs Act, der auch herangezogen wird, um Verbindungsdaten von Telefonanbietern anzufordern, auch auf den vorliegenden Fall anwendbar sei und eine Entschlüsselung der Daten rechtfertige. Damit schloss er sich einer Argumentation des US-Justizministeriums aus dem vergangenen Jahr an.

Auch in England gilt seit einigen Jahren mit dem "Regulation of Investigatory Powers Act" (RIPA) ein Gesetz, dass es den Ermittlungsbehörden ermöglicht, die Entschlüsselung verschlüsselter Daten anzuordnen. Zuwiderhandlungen können dort mit bis zu fünf Jahren Haft bestraft werden. In beiden Ländern sind diese Rechtsauslegungen höchst umstritten und werden von Bürgerrechts-Aktivisten massiv kritisiert. Die Staatsanwaltschaft erklärte in einer offiziellen Stellungnahme, öffentliche Interessen seien gefährdet, wenn es keine Möglichkeit gebe, verschlüsselte Inhalte unter bestimmten Umständen verfügbar zu machen. Werde Frau Fricosu nicht zur Entschlüsselung verpflichtet, gleiche dies "einem Zugeständnis an sie und potentielle Kriminelle (sei es im Bereich Kindesmissbrauch, nationale Sicherheit, Wirtschaftskriminalität oder Drogenschmuggel), dass die Verschlüsselung aller belastenden digitalen Beweise die Bemühungen der Ermittlungsbehörden, solche Beweise durch richterlich genehmigte Durchsuchungsbeschlüsse zu erlangen, erfolgreich bekämpfen und dadurch ihre Anklage unmöglich macht."



Quelle: Gulli.de; Annika Kremer; 24.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top

In der EU steht eine neue Datenschutzgesetzgebung vor der Tür:
Aber erst muss noch verhandelt werden

Die Europäer sollen einen Anspruch auf die Löschung von im Internet oder anderswo verwendeten persönlichen Daten bekommen. Ein solches „Recht auf Vergessen“ hat EU-Justizkommissar Viviane Reding in Brüssel im Rahmen eines umfassenden neuen Datenschutzpakets vorgeschlagen. Der Kommissionsvorschlag zielt insbesondere auf die Nutzung persönlicher Daten in „sozialen Netzwerken“ wie Facebook.
Reding will die sozialen Netzwerke dazu verpflichten, auch die Löschung von persönlichen Daten bei anderen Parteien durchzusetzen, wenn diese die Daten des sozialen Netzwerkes genutzt haben. Jeder soll das Recht haben, eine Kopie der von einem solchen Netzwerk gesammelten persönlichen Daten zu bekommen und die Daten zu anderen Netzwerken mitzunehmen. Das Recht auf Vergessen gilt nicht, wenn die Daten aus historischen oder statistischen Gründen gesammelt werden. Auch Journalisten sind von der Regelung weitgehend ausgenommen.
Die Kommission reagiert mit ihrem Vorschlag auf die wachsende Sorge in der Bevölkerung über den Schutz ihrer Privatsphäre im Internet. 72 Prozent aller Europäer und 81 Prozent der Deutschen sehen darin nach einer Eurobarometer-Umfrage ein Problem. Deshalb sei es an der Zeit gewesen, die bisherigen, von 1995 stammenden Datenschutzregeln zu überarbeiten, sagte Reding. Hinzu komme, dass sich die Datenschutzregeln in der Europäischen Union durch nationale Sonderregeln in den vergangenen Jahren zu einem Flickenteppich entwickelt hätten. Das behindere die Entwicklung des Binnenmarkts. Reding will die neuen Regeln deshalb in Form einer Verordnung erlassen. Die EU-Staaten müssten sie dann eins zu eins anwenden.

Die Pläne Redings sind schon im Vorfeld auf Kritik gestossen. So hatte der deutsche Bundesinnenminister Friedrich (CSU) kritisiert, er sehe es kritisch, eigenes EU-Recht an die Stelle von nationalen Vorschriften zu setzen. Die Vereinigten Staaten wehren sich dagegen, dass amerikanische Behörden von Internetanbietern nicht mehr so leicht wie bisher die Herausgabe persönlicher Daten erzwingen können sollen. Verbraucherministerin Aigner (CSU) hat die Pläne indessen ebenso wie die meisten Datenschützer grundsätzlich befürwortet. Letztere warnen aber auch davor, dass der Schutz in einzelnen Feldern verglichen mit dem heutigen deutschen Niveau gesenkt werden soll.
Die neuen Regeln sollen nicht nur für europäische Unternehmen gelten, sondern für alle Unternehmen, die ihre Dienste in der EU anbieten. Hält ein Unternehmen sich nicht an die Datenschutzregeln, sollen die Bürger dagegen fortan bei ihrer nationalen Datenschutzbehörde vorgehen können. Bisher muss jemand, der etwa Schwierigkeiten mit Facebook hat, das eine Niederlassung in Irland hat, auch in Irland dagegen vorgehen. Bei Verstössen gegen die EU-Regeln sieht der Vorschlag Strafen von bis zu 2 Prozent des Jahresumsatzes oder maximal 1 Million Euro vor. Weiter sollen Unternehmen verpflichtet werden, ihre Kunden bei einem Verlust persönlicher Daten etwa durch einen Angriff von Hackern möglichst innerhalb von 24 Stunden darüber zu informieren. Solche Regeln gibt es schon für Telekomkonzerne. Jedwede Einwilligung zur Weitergabe persönlicher Daten soll explizit erteilt werden. Bei Einwilligungserklärungen zum Datenschutz soll zudem die datenschutzfreundlichste Variante voreingestellt werden müssen. Das Erstellen von Nutzerprofilen durch soziale Netzwerke, Internethändler oder auch die Kreditauskunftei Schufa soll erschwert und für Kinder verboten werden.
Für Unternehmen habe die Neuregelung vor allem den Vorteil, dass sie sich nicht mehr mit 27 verschiedenen Rechtssystemen auseinandersetzen müssten, sagte Reding. Auch sie sollten nur noch mit einer Datenschutzbehörde, der ihrer Hauptniederlassung, zusammenarbeiten müssen. In Streitfällen mit Bürgern anderer Staaten müssten dann die jeweils zuständigen Behörden in Kontakt treten. Auch sollen kleine Unternehmen entlastet werden. So sollen Unternehmen mit weniger als 250 Mitarbeitern keinen Datenschutzbeauftragten mehr haben müssen.



Quelle: Faz.de; Hendrick Kafsack; 25.01.2012

Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch

top