Die Schlacht der CIOs gegen Facebook und Co.: Und Sie meinen, Ihre Admins haben es leicht?
Rund 82 Prozent der IT Security-Administratoren sind davon überzeugt, dass Social Networking, Internet- Applikationen und Widgets die Sicherheitslage ihrer Organisationen signifikant verschlechtert haben. Das das Ergebnis der Studie "Web 2.0-Sicherheit am Arbeitsplatz" des amerikanischen Ponemon Instituts.
Dazu wurden im Juni 2010 mehr als 2100 IT Security-Administratoren aus 12 verschiedenen Branchen, einschliesslich Finanzen, Industrie, Behörden, Einzelhandel, Gesundheits- und Bildungswesen in den USA, Grossbritannien, Frankreich, Japan und Australien befragt. Die Mehrheit der Befragten glaubt, dass die Mitarbeiter selten bis niemals eventuelle Sicherheitsbedrohungen für das Unternehmen bedenken, wenn sie im Rahmen ihrer täglichen Geschäftskommunikation Internet-Applikationen herunter laden, im Web surfen, Links öffnen, Video Streaming und Peer-to-Peer (P2P) File Sharing-Seiten nutzen oder soziale Netzwerke pflegen.
"Unsere Studie belegt, dass Sicherheit für die Anwender von Web 2.0-Applikationen offensichtlich erst an zweiter Stelle steht", so Dr. Larry Ponemon, Chairman des Ponemon Instituts. "Die wachsende Anzahl und zunehmende Raffinesse von Sicherheitsbedrohungen, gekoppelt mit der steigenden Verbreitung einfach zu nutzender und herunter zu ladender Online-Tools, verschärft die Anforderungen an den Schutz sensibler Geschäftsinformationen. Dies ist ein Problem, das durch strategische Investitionen in Technologie und Bewusstseinsbildung adressiert werden muss."
Einige weitere Untersuchungsergebnisse:
Fast 50 Prozent der Befragten sehen eine starke Notwendigkeit in der Reduzierung von Sicherheitsrisiken, die mit der Nutzung von Internet-Applikationen und Widgets einhergehen.
Die Mehrheit der Befragten sieht die Hauptverantwortung für die Minimierung von Web 2.0-Sicherheitsrisiken im Unternehmen bei den Mitarbeitern.
Durchschnittlich 20 Prozent der Befragten glauben, dass die Mitarbeiter selten bis nie an mögliche Sicherheitsprobleme denken, wenn sie in ihrer täglichen Geschäftskommunikation Social Networking- und Internet- Applikationen nutzen.
Arbeitsproduktivität, Malware und Datenverlust werden als die Hauptprobleme bei der Nutzung von Internet-Applikationen am Arbeitsplatz genannt.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Silicon.de; Dietmar Müller; 03.08.2010
< zu den Themen
Daten-Schlamperei bei Firmen und Behörden: Abwarten und Tee trinken scheint die Devise zu sein
In Unternehmen und Behörden herrscht nach wie vor ein schlampiger Umgang mit Mitarbeiter- und Kundendaten. Trotz zahlreicher Skandale und teils hoher Schutzmassnahmen gehen noch immer zu viele persönliche Informationen verloren.
Allein in den letzten beiden Jahren sind mehr als zwei Drittel der Gesellschaften personenbezogene Daten abhanden gekommen, wie das Beratungsunternehmen Accenture aufzeigt. Häufig handelt es sich dabei nicht einmal um einmalige Vorfälle. Beinahe einem Drittel ist der Datenverlust in dem Zeitraum sechsmal oder sogar noch öfter passiert. Die Organisationen nehmen das Thema Datenschutz durchaus ernst. "Aus Kostengründen wurden im Zuge der Finanzkrise aber sehr viele Sicherheitsprojekte zurückgestellt", erklärt ein Accenture-Sprecher. Der überwiegende Grossteil hält die Mitarbeiter- und Kundeninformationen ausserdem für angemessen geschützt.
Neben Namen und Adressen kommen in Firmen und Behörden aber oft Angaben über Familienstand, Beruf und körperliche Merkmale oder sogar Fotos abhanden. Oft ist der Datenverlust durch blosse Unachtsamkeit, Unwissenheit oder "unzulängliches Verhalten" von Mitarbeitern begründet, wogegen auch technische Massnahmen wie Firewalls oder verschlüsselte Festplatten keinen Schutz liefern können.
Persönliche Informationen verlassen eine Organisation etwa auf unverschlüsselten Datenträgern wie USB-Sticks, Laptops oder als Ausdrucke, die häufig verloren werden. In jeder vierten Gesellschaft lässt sich der Verlust von Informationen darauf zurückführen. Von Datendiebstahl durch Hacker waren bereits 36 Prozent der Unternehmen und Behörden betroffen.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Tecchannel.de; pte, cvi; 13.08.2010
< zu den Themen
Brüsseler Datenbank-Bestandsaufnahme lobt Vorratsdatenspeicherung: Mal sehen, was die EU als nächstes aus dem Hut zaubert
Die Europäische Kommission hat die deutsche Fassung der Bestandsaufnahme über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht veröffentlicht, die in Brüssel vorgestellt wurde. Das Dokument "bietet den Bürgern einen Überblick darüber, welche Informationen über sie erhoben, gespeichert und ausgetauscht werden, und zu welchem Zweck und durch wen dies geschieht."
Neben der Darstellung der einzelnen Datenbanken finden sich erstmals Beispiele zu den Fahndungserfolgen, die dank der aufgelaufenen Daten erzielt worden seien. Je nach Lesart sind es siebzehn bis zwanzig Datenbanksysteme, die in Europa Daten speichern und den europäischen Strafverfolgern, Grenz- und Zollbehörden zur Verfügung stellen oder in Kürze stellen werden. Die Spannbreite reicht vom bekannten Schengener Informationssystem SIS über das Finanzinformationssystem FIU.net bis zum europäischen Strafregisterinformationssystem ECRIS, das sich noch im Aufbau befindet, genau wie das Visa-Informationssystem VIS oder die europäische Fluggastdatenbank.
Das informative Dokument erläutert auf 60 Seiten, welche Daten zu welchem Zweck mit welchen Speicherfristen wo gespeichert werden. Dazu gibt es einen tabellarischen Überblick der Systeme und eine Übersicht der Fahndungserfolge, die aus der Speicherung bestimmter Daten abgeleitet wurden. Wer sich etwa von der Wirksamkeit der von den Verfassern gelobten Technik der Vorratsdatenspeicherung überzeugen lassen will, wird auf Seite 39 fündig. Die in Deutschland und Rumänien wegen verfassungsrechtlicher Bedenken nicht eingesetzte und von weiteren sechs Mitgliedsstaaten nicht umgesetzte Technik hat demnach geholfen, Schwerverbrechen aufzuklären: "Der Polizeibehörde eines Mitgliedstaates ist es gelungen, eine Personengruppe aufzuspüren, die aus rassistischen Motiven sechs Menschen ermordet hatte. Die Täter hatten versucht, durch Austauschen ihrer SIM-Karten zu entkommen, konnten jedoch anhand ihrer Ruflisten und Mobiltelefon-Gerätenummern identifiziert werden."
"Eine Polizeibehörde konnte zwei Tatverdächtigen die Beteiligung an einem Tötungsdelikt nachweisen, nachdem sie die Mobilfunkdaten des Opfers ausgewertet hatte. So gelang es den Ermittlern, den Weg zu rekonstruieren, den das Opfer mit den zwei Verdächtigen gemeinsam zurückgelegt hatte."
Bei der Lektüre des Überblicks erfahren die Bürger nicht nur, welche Daten gespeichert werden, sondern auch, was künftig an Datenbeständen noch aufgebaut werden soll. Besonders erwähnenswert ist hier die europäische Fluggastdatenbank, die nach dem Vorbild der abgeschlossenen Vereinbarungen mit den USA und Kanada eingerichtet werden soll. Die US-Vereinbarung bewertet das Papier als datenschutzmässig vorbildlich, weil die Daten nur sieben Jahre in einer aktiven Datenbank gespeichert sind und dann für acht Jahre in eine "ruhende Datenbank" kommen, die nur durch eine Sondergenehmigung "entriegelt" werden kann.
Auch Kanada bekommt Lob: "Ein gutes Beispiel ist die Verwendung von PNR-Daten aus der EU durch Kanada: Die Information muss nach 72 Stunden anonymisiert werden, bleibt jedoch für ermächtigte Beamte dreieinhalb Jahre lang verfügbar." Unter den Fahndungserfolgen, die mit der Speicherung von Fluggastdaten erzielt wurden (S. 47), finden sich Beispiele aus den Bereichen Kinder- und Menschenhandel, Kreditkartenbetrug und Drogenhandel, jedoch kein Hinweis auf Kontrolle möglicher Täter mit terroristischen Absichten.
Das EU-Dokument spricht sich dafür aus, nach Vorbild dieser Datenbanken eine eingemottete Initiative für eine europäische Fluggastdatenbank wieder zu aktivieren. Dies erfolgt auch vor dem Hintergrund, dass das bereits eingeführte europäische API-System (Advanced Passenger Information) nicht unbedingt erfolgreich ist: "Das API-System ist in allen Mitgliedstaaten in Betrieb, wird jedoch nur von wenigen genutzt." Zu den neu einzurichtenden Datenbanken gehört auch ECCP, die European Cyber Crime Platform, die von Europol unterhalten wird, dessen Rolle als Daten-Drehscheibe in Zukunft eine wichtige Rolle spielt. Als Erfolg dieser noch in der Umsetzung befindlichen Massnahme werden Fälle aus dem französischen Pharos- System genannt, einem Internet-Warnsystem für die Verfolgung von Kinderpornografie.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Heise.de; Detlef Borchers; 29.07.2010
< zu den Themen
Obama will Internet-Überwachung ausweiten: Andere Partei, doch gleiches Gedankengut wie Bush?
US-Präsident Barack Obama will die Internet-Überwachung in seinem Land offenbar erheblich ausweiten. Nach Medienberichten soll das FBI künftig ohne Gerichtsbeschluss unter anderem Details zum E-Mail-Verkehr abfragen dürfen. Die New York Times spricht von einem "unnötigen und enttäuschenden Schritt rückwärts".
Im Wahlkampf hatte Obama versprochen, gegen exzessive und missbräuchliche Verfolgung im Internet Front zu machen. Der Kampf gegen Terrorismus sei möglich, ohne Beschneidung der Bürgerrechte, hatte er als Kandidat in einem Papier aus dem Jahr 2008 versprochen. Die jetzigen Pläne gehen in eine andere Richtung. Demnach darf die Bundespolizei FBI künftig einsehen, wohin E-Mails geschickt wurden, Empfangs- und Absendezeitpunkte der elektronischen Post sowie möglicherweise auch das Verzeichnis besuchter Internet-Seiten.
Inhalte von E-Mails sollen indes weiterhin vor dem Blick der Behörden geschützt sein. Nach einem Bericht der Washington Post weigern sich bislang viele Anbieter von Internet-Diensten in den USA, dem FBI diese Daten auszuhändigen. Ihre Begründung: Die Gesetze seien nicht eindeutig. Nach ihrer Lesart darf das FBI ohne die Billigung eines Richters lediglich Name, Adresse, Dauer des Internet-Abos und Rechnungen abfragen. Die angestrebte Änderung solle Zweifel ausräumen, argumentiert das Justizministerium.
Die bisherige Formulierung "schafft Verwirrung und kann Grund für unnötige Rechtsstreitigkeiten sein", sagte Sprecher Dean Boyd dem Blatt. Mit dem Schritt sollen "neue Kategorien von Informationen" gesammelt werden. Rechts- und Datenschutzexperten sehen das anders. Die Vollmachten der Ermittlungsbehörden würden ausgeweitet, meint Stewart Baker, früherer Mitarbeiter des Ministeriums für Heimatschutz.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Silicon.de; Sibylle Gassner; 02.08.2010
< zu den Themen
Swift und Co.: Wie Europas Bürger überwacht werden: Und natürlich dürfen wir uns darauf verlassen, dass die Daten sicher sind
Das Swift-Abkommen ist in Kraft getreten und die Kritik an der Übermittlung von Bankdaten verdächtiger EU-Bürger an US-Behörden reisst nicht ab. Doch die Europäer werden auch durch weitere Datenbanken überwacht, von denen viele kaum bekannt sind.
Das EU-Parlament hatte dem umstrittenen Abkommen Anfang Juli nach monatelangem Tauziehen zugestimmt, am 1. August ist es in Kraft getreten. Datenschützer hatten bis zuletzt dagegen protestiert. Das Swift-Abkommen gewährt US-Behörden Zugriff auf Bankdaten Millionen europäischer Bürger, die Geld in Länder ausserhalb der EU überweisen oder Zahlungen von dort erhalten. Peter Hustinx, oberster Datenschützer der EU, lehnt das Abkommen nach wie vor ab. Es sei "alles andere als zufriedenstellend". Sein Hauptargument: Die USA wollen zwar Terroristen auf die Schliche kommen. Es werden aber auch die Daten unbescholtener Bürger übermittelt - und zwar in grossem Stil.
Ein Beispiel: Max M. hat Geld aus dem Libanon erhalten. Gerät er unter Terrorismusverdacht, übermittelt Swift nicht nur die Daten von Max M., sondern "aus technischen Gründen" ein Paket mit allen Daten von Bürgern aus M.s Stadt, Region oder Land, die Zahlungen aus dem Libanon erhielten. Dass die EU keine Lösung gefunden habe, um bei solchen Anfragen die Bankdaten unbescholtener Bürger herauszufiltern und nur die Daten der Verdächtigen an die USA zu übermitteln, hält Hustinx für eine "Blamage" - zumal die Datenpakete in den USA fünf Jahre lang gespeichert werden.
Auch Peter Schaar, Bundesbeauftragter für den Datenschutz, fordert eine Begrenzung auf die Daten von Verdächtigen. Die Begründung, das belgische Unternehmen Swift, das zentral alle europäischen Zahlungen abwickelt, könne solche Daten nicht liefern, habe ihn nicht überzeugt. Dann müsse man ein entsprechendes Programm eben entwickeln, meint Schaar. Auch bei der praktischen Durchführung des Abkommens gebe es noch jede Menge Ungereimtheiten, sagen Kritiker. So können Bankkunden bei den nationalen Datenschutzbehörden zwar Auskunft über die Verwendung ihrer Daten verlangen. Die Behörden leiten die Anfragen an das zuständige US-Finanzministerium weiter. Doch ist offenbar noch unklar, welche Personengruppen ein solches Auskunftsrecht bekommen sollen.
Die EU-Kommission will innerhalb der nächsten fünf Jahre ein eigenes System zum Durchleuchten von Swift-Daten entwickeln. Damit soll es möglich werden, in den Millionen Swift-Überweisungen gezielt nur nach Bankdaten verdächtiger Personen zu fahnden. Datenschützer bleiben skeptisch. Sie fürchten, dass die Überwachung von EU-Bürgern mit dem neuen System um eine zusätzliche Dimension erweitert wird. Denn schon jetzt verfügen die Länder der EU über ein umfangreiches Arsenal an Datenbanken, in denen Millionen Daten von EU-Bürgern zu finden sind.
EU-Innenkommissarin Cecilia Malmström hat kürzlich Inventur gemacht und eine Liste aller Datenbanken zusammengestellt, die im Namen von innerer Sicherheit und Terrorbekämpfung Informationen über EU-Bürger sammeln. Herausgekommen ist eine lange Liste mit Datenbanken, die bereits jetzt viele Lebensbereiche erfassen. Die wichtigste Datenbank ist das Schengener Informationssystem, ein automatisiertes Personen- und Sachfahndungssystem zur Aufklärung von Straftaten. Andere Datenbanken erfassen Asylanträge oder enthalten die Daten von Flugreisenden. Auch die umstrittene Vorratsdatenspeicherung taucht in der Liste auf. Sie speichert die Telekommunikationsdaten der EU-Bürger lückenlos ab.
"Die Bürger haben das Recht zu erfahren, welche ihrer Daten gespeichert und weitergegeben werden", sagte Malmström bei der Vorstellung ihrer Datenbankbilanz und zeigte sich über das Ergebnis selbst überrascht. "Es gibt vieles, was ich gar nicht kannte."
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Heute.de; Alfred Krüger; 01.08.2010
< zu den Themen
IMSI-Catcher für 1500 Euro im Eigenbau: Gerda Conzetti wäre wahrscheinlich beeindruckt
Auf der Hackerkonferenz Defcon hat Chris Paget erstmals seinen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen öffentlich auf ein Mobilfunknetz losgelassen. Der britische Hacker liess seine Konstruktion, bestehend aus einer programmierbaren Funkhardware (USRP, Universal Software Radio Peripheral) und der Open-Source-Software OpenBTS, das Netz von AT&T nachahmen. Nach wenigen Minuten waren bereits über 30 Mobiltelefone mit seiner Basisstation verbunden.
In früheren Demonstrationen erzeugte der Hacker jeweils Netze mit Fantasienamen. Bis zuletzt war unklar, ob Paget seine Demonstration so praxisnah gestalten kann. Erst kurz vor seinem Vortrag erreichte ihn eine lange Auflagenliste der FCC (Federal Communications Commission). Einer der zu erfüllenden Punkte war, dass die lediglich knapp 1500 Euro teure Hardware – kommerzielle IMSI-Catcher kosten mindestens einen sechs-, manchmal auch siebenstelligen Betrag – nicht auf einer Frequenz senden darf, die in den USA von Mobilfunknetzen verwendet wird. Also behalf er sich mit einem Trick: Das in Europa übliche Mobilfunk-Frequenzband 900 MHz ist in den USA für den Amateurfunk reserviert. Da moderne Handys auf allen vier gebräuchlichen Frequenzbändern (850 MHz, 900 MHz, 1800 MHz, 1900 MHz) funken, verbanden sich die Endgeräte klaglos mit dem Pagets Funkmast im Glauben, eine europäische Mobilfunk-Basisstation vor sich zu haben.
Zu Beginn der Vorführung liess Paget die Hardware ein Funknetz mit der Kennung „Defcon18“ – von manchen iPhones nur mit der dahinter liegenden nummerischen Kennung „00101“ angezeigt – erzeugen, um die prinzipielle Funktionstüchtigkeit zu beweisen. Danach wechselte er den Namen auf „AT&T“. Durch Blick aufs Handy-Display war nicht mehr zu unterscheiden, ob es sich um ein legitimes oder ein bösartiges Funknetz handelt. Ironischerweise schreiben die US-Auflagen vor, dass eine von Funkamateuren betriebene Infrastruktur unverschlüsselt arbeiten muss. Somit konnte das mit dem USRP verbundene Linux-Notebook alle über die Basisstation geführten Gespräche prinzipiell mitschneiden. Paget verzichtete natürlich darauf und zerstörte im Anschluss auch den USB-Stick, von dem er das Notebook gestartet hat.
Um die von den gekaperten Handys aufgebauten Telefonate zum gewünschten Gesprächspartner zu leiten, verband Paget ein Mobiltelefon per USB mit dem Notebook. Das Gerät vermittelte die Gespräche dann per VoIP. Möglich ist der komplette Angriff, da sich Mobiltelefone automatisch mit der Basisstation verbinden, die das kräftigste Funksignal ausstrahlt. Nachdem Pagets Aufbau im Zweifel immer näher an den Endgeräten ist als die Funkmasten der Netzbetreiber, gewinnt die Hacker-Hardware das Rennen. Simuliert wird ein 2G-Netz, um der bisher nicht geknackten 3G-Verschlüsselung aus dem Weg zu gehen. Nachdem selbst topmoderne Handys nach wie vor 2G-komptibel sind, machen sie das Herunterstufen einwandfrei mit.
Dazu Paget: „Das ist, als würde ein PC versuchen, eine SSH-Verbindung aufzubauen und sich dabei automatisch auf Telnet zurückstufen lassen. GSM ist das Telnet unter den Mobilfunknetzen.“
Auch beim Lauschopfer eingehende Telefonate lassen sich abbilden. Die OpenBTS-Software liest dazu die IMSI des Opfers aus und schickt sie an das eigentliche Mobilfunknetz weiter. Das Netz reagiert mit der Anfrage, das Telefon – in diesem Fall die bösartige Basisstation – möge doch bitte den auf der SIM-Karte hinterlegten Secret Key übermitteln. Nachdem der Key nicht im Klartext auslesbar ist, müsste das Hacker-Equipment den vom Handy geschickten Key erst mit Hilfe von Rainbow Tables knacken.
Paget geht davon aus, dass dies nur eine Verzögerung von wenigen Sekunden bedeuten würde. Noch ist eine solche Funktion nicht in OpenBTS implementiert. Chris Paget ist sich jedoch sicher, dass dies machbar ist. Prinzipiell sieht der GSM-Standard vor, dass Handys bei unverschlüsselten Verbindungen eine Warnung anzeigen. Laut Chris Paget ist diese Option aber bei allen SIM-Karten durch das Setzen eines entsprechenden Bits deaktiviert. Die deutschen Netzbetreiber wussten auf Nachfrage auch nach längerer Recherche nichts zu dieser Option zu sagen. Als Grund, warum das Bit nicht gesetzt ist, nennt Paget die Netze in Ländern wie Indien. Dort darf das Handynetz nicht codiert werden. Wäre die Warn-Funktion aktiviert, würde bei jedem Wechsel der Funkzelle erneut eine Meldung auf dem Display ausgegeben – was wiederum für reichlich Support-Anrufe beim Provider sorgen würde.
Wirksamen, praxistauglichen Schutz vor dem Lauschangriff sieht Paget nicht. Einzig teure Krypto-Telefone oder die für manche Nokia-Modelle und Blackberrys angebotene Verschlüsselung zum Nachrüsten versprechen Abhilfe – vorausgesetzt, beide Seiten nutzen die gleiche Hard- oder Software. Für Android-Smartphones gibt es seit kurzem ebenfalls eine Gratis-Krypto-Software. Ansonsten kann nur der konsequente Umstieg auf 3G/UMTS Schluss machen mit dem Lauschangriff. Einen solch radikalen Schritt hält der Hacker aber in absehbarer Zeit für ausgeschlossen.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Heise.de; Uli Ries; 01.08.2010
< zu den Themen
Verizon erstellt Studie mit US-Geheimdienst: Man sollte eben die Sicherheitsstandards beachten
Beim Data Breach Investigations Report hat Verizon erstmals mit dem US-Geheimdienst zusammengearbeitet. Dabei kam heraus, dass Datensätze vermehrt von Insidern gestohlen würden, ein grosses Risiko von Social Engineering ausgehe und das organisierte Verbrechen nach wie vor im grossen Stil mitmische. Die Summe der Datendiebstähle sei im Vergleich zum Vorjahr jedoch rückläufig. Berechtigungsnachweise seien der am häufigsten genutzten Weg, um Zugriff auf Unternehmensnetzwerke zu erhalten.
Im letzten Jahr seien nach Angaben des Reports 85 Prozent der gestohlenen Daten bei Gruppierungen des organisierten Verbrechens gelandet. Die meisten Angriffe hätten abgewendet werden können, wenn Sicherheitsstandards befolgt worden wären, sagen die Autoren der Studie. Nach ihrer Meinung hätten nur vier Prozent der analysierten Datenverletzungen komplexe und teure Schutzmassnahmen erfordert.
Unternehmen würden Vorfälle meist zu spät entdecken und dann auch noch zögerlich reagieren. 60 Prozent der Angriffe würden weiterhin von externen Parteien und erst nach geraumer Zeit aufgedeckt. Der aktuelle Report beinhaltet auch alle Fälle der Studie aus 2009 und die analysierten Fälle von Wirtschaftskriminalität des U.S. Secret Service. Insgesamt sind mehr als 900 Datendiebstähle und über 900 Millionen kompromittierte Datensätze dokumentiert.
Verizon und der US-Geheimdienst kamen im Data Breach Report 2010 zu folgenden Ergebnissen:
Die meisten untersuchten Datenverletzungen gingen von Dritten aus: 69 Prozent der Datendiebstähle seien auf externe Quellen zurückzuführen; nur 11 Prozent gingen auf das Konto von Geschäftspartnern, 49 Prozent seien Mitarbeitern zuzurechnen – mehr als im Bericht 2009.
Zugriffsberechtigungen in fast der Hälfte der Fälle missbraucht: 48 Prozent der Datendiebstähle seien Anwendern zuzuschreiben, die Zugriffsrechte auf Unternehmensinformationen missbraucht hätten. Weitere 40 Prozent der Angriffe gingen auf Hacker zurück, 28 Prozent seien „Social-Engineering-Taktiken“ und 14 Prozent physikalische Angriffe.
85 Prozent der Angriffe wurden als nicht schwierig in der Durchführung eingestuft. In 87 Prozent der Fälle hätten bereits erste Hinweise in den Protokolldateien vorgelegen, die jedoch von den Betroffenen übersehen wurden.
79 Prozent der Betroffenen, die dem PCI-DSS-Standard unterliegen, hätten im Vorfeld des Angriffs die Compliance-Kriterien nicht erfüllt. Laut der Studie sei die Gesamtzahl der Datendiebstähle im Vergleich zum Vorjahr rückläufig. Die Autoren lobten in diesem Zusammenhang die bessere Effizienz bei der Strafverfolgung. Am schlimmsten betroffen von Angriffen seien Finanzdienstleister, das Gastgewerbe und der Einzelhandel. Ein Zusammenhang zwischen der Grösse eines Unternehmens und der Wahrscheinlichkeit, einem Cyberangriff zum Opfer zu fallen gebe es nicht.
„Angreifer wählen ihre Ziele eher nach dem von ihnen angenommenen Wert der Daten und nach den Kosten des Angriffs aus, weniger anhand der Grösse des Unternehmens”, so die Ermittler von Verizon Business.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Computerwoche.de; Patrick Hagn; 29.07.2010
< zu den Themen
Es ist Sommer und die Experten warnen vor Datenverlust: Ein kühles Bier für die Festplatte?
Drei Jahre lang haben die Datenretter von Kroll Ontrack ihre Auftragsanfragen beobachtet und ausgewertet – jetzt hat sich der Verdacht offiziell bestätigt: Der Sommer ist der Tod der Festplatte. Für ihre interne Untersuchung haben die Datenretter von Kroll Ontrack die Daten aus den Jahren 2007 bis 2009 ausgewertet. Jeweils vom zweiten auf das dritte Quartal stiegen die Anfragen weltweit um zwölf Prozent an. Anders ausgedrückt: Im Juni, Juli und August gehen besonders viele Daten verloren.
"Auch in diesem Jahr verzeichnen wir einen Anstieg der Anfragen und der erteilten Aufträge. Dies mag zum Teil auch auf eine Erholung der Wirtschaft zurückzuführen sein. Doch auch wenn nun eventuell mehr Unternehmen wieder Geld für Datenrettung haben: Der Trend der witterungsbedingten Ausfälle bestätigt sich weiter", sagt Peter Böhret, Managing Director bei Kroll Ontrack. Die grösste Gefahr für Rechenzentren geht aber anscheinend nicht von der Hitze aus, sondern von den sommertypischen Unwettern. Kürzlich erst habe ein Unternehmen bei den Datenrettern mehrere Server eingereicht, die durch Hochwasser beschädigt wurden. Gewitter-bedingte Stromausfälle seien ein weiteres Problem. Oft werde ein solcher Blackout aber auch von den Firmen selber durch den intensiveren Stromverbrauch durch Klimaanlagen oder Kühlungssysteme verursacht. Hinzu kommen nach Angaben des Unternehmens "wartungsbedingten IT-Problemen und Unterbrechungen – etwa durch urlaubsbedingte Personalengpässe".
Die Datenretter empfehlen allen IT-Chefs deshalb, sich gerade in den Sommermonaten sorgfältig um die Themen Klimaregulierung, Ressourcenplanung und Datensicherung zu kümmern.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Silicon.de; Sibylle Gassner; 11.08.2010
< zu den Themen
Von wegen diskret: Der Porno-Modus funktioniert nicht: Also, Hände weg von den scharfen Hausfrauen oder was Sie sonst noch so anmacht
Anonymität gibt es nicht im Web: Seit sich das herumgesprochen hat, steigt die Nachfrage nach Diensten, die das trotzdem gewährleisten sollen. Auch Browser bieten einen - im Web-Jargon salopp "Porno-Modus" genannten - Grundschutz. Der aber, zeigt eine aktuelle Studie, ist weitgehend wirkungslos.
In den Anfangstagen des Webs genossen seine Nutzer den vermeintlichen Schutz einer scheinbar völligen Anonymität. In den frühen Communitys des Internet, Usenet und später WWWs hiess man plötzlich Tarzan652 oder NotBlonde@All, suchte soziale Kontakte oder tobte sich thematisch in Bereichen aus, in denen man sich sonst nie offen gezeigt hätte - und das auch noch mit Gleichgesinnten interagierend ("Biancas Smut Shack"). Parallelleben zu leben, mit Rollen zu spielen, die eigene Identität so weit wie möglich zu verschleiern, gehörte zu den Verhaltensstandards der frühen Internet-Community.
Eineinhalb Jahrzehnte später ist der Mythos gründlich entzaubert. Kein Geschäftsbereich der internetbasierten Wirtschaft wächst schneller als der der Surfer-Erfassung, Überwachung, der Datensammlung und Vermarktung. Wir wissen inzwischen, dass wir an etlichen Stellen beobachtet werden, dass man weder anonym Web-Seiten besuchen noch unbemerkt Filesharing betreiben kann. Wer in Deutschland vermeintlich anonym Musikdateien aus dem Internet fischt, riskiert Abmahnungen der Musikindustrie, wer in China versucht, die falschen Web-Seiten zu lesen oder dort Informationen zu posten, nicht selten Lagerhaft.
Das Konzept der "Datenspur" haben wir alle verinnerlicht, seit dem Boom der Social Networks legen wir sie sogar selber aus: Dienste wie Facebooks basieren auf der Auflösung von Privatsphäre. Nicht jedem behagt das, und manchem zumindest nicht immer: Nicht von ungefähr hat der Web-Volksmund die Standard-Anonymisierungseinstellungen der Browser auf den Namen "Porno-Modus" getauft. Es sind sogenannte Datenschutzeinstellungen, die gewährleisten sollen, dass man beim Surfen weniger gut beobachtet werden kann. Sicherheitsexperten warnten vom ersten Tag der Veröffentlichung eines Browsers mit "Private Browsing", dass das so nicht wirklich funktionieren könne. IT-Experten der Stanford University dokumentierten nun in einer aktuellen Studie, wie löchrig der Privatsphärenschutz der Browser wirklich ist.
Was heisst eigentlich Private Browsing?
Einige der erfassten Schwächen sind schon im Grundkonzept von "Private Browsing" (Firefox und Safari), von "Incognito mode" (Google Chrome) und "InPrivate Browsing" (Microsoft Internet Explorer) angelegt. Die Privat-Modi nehmen keinen Einfluss auf den Datenweg zwischen besuchter Web-Adresse und besuchendem Rechner. Sowohl für den Betreiber der Web-Seite oder Filesharing-Börse, als auch für alle dazwischen liegenden Routingpunkte bleibt also klar, dass zum Zeitpunkt X der Besucher mit der IP-Adresse XY beispielsweise die Musikdatei XYZ heruntergeladen hat.
Was der Privatmodus leistet, sind nur zwei Dinge: der Browser übermittelt weniger Informationen an den besuchten Web-Dienst; der Browser "merkt" sich nichts von dem, was der Nutzer dort getan hat: Er löscht Cookies und die History-Datei, in der normalerweise ein Protokoll der besuchten Seiten gespeichert wird. Eine weitergehende Anonymisierung ist nur dann möglich, wenn man auch den Datenweg verändert, indem man alle Daten über einen Proxyserver der einen oder anderen Art leitet: Systeme wie die bekannte TOR-Anonymisierung beruhen darauf, zahlreiche kommerzielle Anonymisierdienste im Internet setzen auch darauf. Selbst bei denen aber gilt, dass zumindest der Dienstleister durchaus mitbekommen kann, was der um Anonymität bemühte Surfer da treibt.
Die Anonymisierungsfunktionen der Browser hingegen wirken nur insofern, als dass weniger Merkmale des besuchenden Rechners übermittelt werden, dessen klare Identifizierung im Netz also schwerer wird: Daten von Hardware und Software lassen sich nämlich durchaus zu einer Art digitalem Fingerabdruck von einiger Aussagekraft summieren. Sie sorgen zudem dafür, dass über die automatische Löschung von Cookies keine Chronologie entsteht, die der Web-Seiten-Betreiber beim nächsten Besuch wieder abrufen könnte. Und sie sorgen dafür, dass auf dem eigenen Rechner weniger Spuren bleiben - so dass man am PC selbst schwerer nachvollziehen kann, was mit dem Rechner alles unternommen wurde.
Doch selbst dieser Grundschutz, zeigt die Studie der IT-Experten, ist höchst löchrig. Schuld daran haben vor allem Plug-ins und Erweiterungen, die zum Teil selbst über das Verhalten des Surfers Buch führen und entsprechende Informationen übermitteln. Sünder Nummer eins ist hier das Flash-Plug-in von Adobe: Der von allen Browsern unterstützte Player legt eigene Cookie-Dateien an, die deutlich über das hinausgehen, was in den browsereigenen Cookie-Dateien erfasst wird. Flash speichert diese aber zudem in eigenen Verzeichnissen auf der Festplatte ab, über die man über die Privatsphäreneinstellungen des Browsers aber gar nicht herankommt.
Wer löschen will, was Flash beim Ansehen von Web-Videos so alles gespeichert hat, muss dies über die Einstellungen des Programms selbst tun - und an die kommt man regulär nur über das Internet heran. Für die meisten Surfer ist das ein Schock: Auch wo Sie sich in der Zeit seit der letzten Flash-Cookie-Löschung Videos angesehen haben, weiss das Plug-in und meldet es nicht nur dem betreffenden Web-Seiten-Anbieter, sondern im Extremfall auch allen mit diesem kooperierenden Anbietern ähnlicher Services. Im Extremfall lassen sich so Profile eines persönlichen Netz-Nutzungsverhaltens erstellen. Wer das nicht glaubt, schaue sich die Flash-Cookie-History des eigenen Browsers an.
Insgesamt dokumentiert die Stanford-Studie mindestens 16 solche Lücken in der Browser-Anonymisierung. Einige davon - wie beispielsweise Flash - stellen darüber hinaus immer wieder auch Sicherheitsrisiken dar. So werden die Sicherheitslücken und Speichermöglichkeiten des Flash-Plug-ins seit einigen Jahren immer wieder auch für Drive-by-Infektionen und andere Methoden der Virenverbreitung genutzt.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Spiegel.de; pat; 09.08.2010
< zu den Themen
Der IT-Forensiker, das unbekannte Wesen: Was tun, wenn es zu einem IT-Zwischenfall gekommen ist?
Wenn es zu einem IT-Zwischenfall in Ihrer Firma kommt, gilt zunächst: Keine Panik. Anschliessend sollten Sie nicht selbst Detektiv spielen, sondern einen IT-Forensiker beauftragen. Wenn es um Computersicherheit geht, denken die meisten Menschen zuerst an Begriffe wie „Firewall“ oder „Virenscanner“ - „IT-Forensik“ hingegen, auch bekannt als Computer- oder Digital-Forensik, ist noch immer eine recht unbekannte Disziplin im Security-Sektor. Ein Grund dafür ist häufig das tiefe Vertrauen in bereits vorhandene Sicherheitsvorkehrungen: Vertrauliche Dokumente werden durch ein durchdachtes User Rights Management, Passwörter, Türschlösser und wachsames Personal geschützt. Zusätzlich wachen Virenscanner darüber, dass sich keine Malware an den Systemen gütlich tun.
In vielen Fällen reichen diese Sicherheitsvorkehrungen aber nicht, in noch mehr Fällen sind die genannten Massnahmen nicht konsequent umgesetzt – wenn also alle Stricke reissen und ein Angriff bereits erfolgt ist, liegt in der IT-Forensik die letzte Hoffnung, entstandenen Schaden zu begrenzen. Dabei geht es auch darum, den Angriff nachzuvollziehen, um Sicherheitslücken zu schliessen oder die Schuldigen zu finden.
In der öffentlichen Diskussion sind Viren ein beliebtes Thema - über gezielte Angriffe auf Unternehmen liest man jedoch recht wenig. Dabei sind gezielte Angriffe auf Firmen keine Ausnahmeerscheinung. Das Problem ist hier, dass viele Unternehmen gar nicht wissen, dass sie bereits ein Sicherheitsleck haben – ein gestohlenes Notebook ist ein offensichtliches Problem, die heimliche, verschlüsselte Übertragung kritischer Betriebsgeheimnisse hingegen wird vielleicht nie entdeckt.
Zudem haben betroffene Firmen in den meisten Fällen kein grosses Interesse daran, solche Vorfälle an die grosse Glocke zu hängen und dadurch einen erheblichen Imageschaden zu riskieren. Letztlich sind die Medien vornehmlich an grossen Meldungen interessiert, wo es um Millionenbeträge geht – was für ein mittelständisches Unternehmen eine Katastrophe sein kann, ist der Presse oft nur eine Meldung im Lokalteil wert.
Dennoch werden immer wieder Fälle bekannt, die aufhorchen lassen: Im Jahr 2002 rächte sich ein unzufriedener Administrator der renommierten Schweizer Bank UBS an seinem Arbeitgeber, indem er eine ganze Reihe von Servern lahm legte. Entstandener Schaden: rund drei Millionen Dollar. Letztes Jahr sorgte die Geschichte eines deutschen Programmierers für Schlagzeilen, der mit vermeintlichen Werbe-CDs Trojaner in zahlreiche israelische Unternehmen einschleuste. Die im Hintergrund gesammelten Daten (inklusive Screenshots) wurden für monatlich 1.500 britische Pfund an Mitbewerber verkauft.
Woher weiss man aber, ob eine forensische Untersuchung überhaupt Sinn macht? Bei direkter Erpressung oder dem plötzlichen, gleichzeitigen Ausfall wichtiger Systeme ist die Situation klar. Oft sind es aber nur Indizien, die auf Schlimmeres hindeuten. Ist ein Mitbewerber bei Ausschreibungen plötzlich viel erfolgreicher? Wurde nach dem Wechsel auf einen anderen Virenscanner Malware gefunden, es ist aber unklar, wie lange sich das Programm schon im Netzwerk befindet? Oder wurde kürzlich ein Mitarbeiter entlassen, der Zugriff auf wichtige Systeme oder Daten hatte, und dem eine Racheaktion zuzutrauen wäre? In sicherheitskritischen Bereichen kann auch eine routinemässige forensische Untersuchung Sinn machen, ohne dass ein konkreter Verdacht besteht.
Nehmen wir an, Sie haben einen Verdacht und ziehen eine entsprechende Untersuchung in Betracht. In jedem Fall sollten Sie einige Grundregeln beachten. Der Grund, warum IT-Forensik immer von einem externen Dienstleister durchgeführt werden sollte, ist simpel: In vielen Fällen kommt ein Angriff aus den eigenen Reihen. Wird nun also ein Administrator mit der Lösung des Falls beauftragt, für den er vielleicht selbst verantwortlich ist, wird der Schuldige nie gefunden. Und selbst wenn man seinem Mitarbeiter hundertprozentig vertraut, besteht doch die Gefahr, dass er mangels Erfahrung relevante Spuren übersieht oder sogar unbeabsichtigt verwischt und damit eine spätere professionelle Untersuchung erschwert.
Sind Sie der Entdecker des Zwischenfalls, dann sind folgende Punkte zu beachten:
Wenden Sie sich direkt an den Geschäftsführer
Erzählen Sie niemandem sonst von Ihrem Verdacht
Kontaktieren Sie einen professionellen IT-Forensik-Dienstleister
Versuchen Sie keinesfalls, selbst Spurensuche zu betreiben
Erstellen Sie eine Liste der möglicherweise betroffenen Systeme
Nun nehmen die Dinge ihren Lauf. Im ersten Schritt wird sich ein professioneller Dienstleister ein genaues Bild über die Situation machen und prüfen, welche Systeme eventuell betroffen sind, bevor er diese überhaupt untersucht. In manchen Fällen ist es sinnvoll, mit weiteren Schritten bis zum Wochenende zu warten, damit Mitarbeiter nicht in die laufenden Untersuchungen involviert werden und aus Angst oder Unbehagen hastig potentielle Spuren verwischen.
Die Wichtigkeit einer Situationsanalyse wird deutlich, wenn man sich vor Augen hält, wie viele Datenträger – und damit potentielle Beweismittel – sich durchschnittlich in einem Unternehmen befinden: Festplatten, USB-Sticks, CD-ROMs, PDAs, Mobiltelefone etc. Bei 500 Rechnern mit jeweils 80 GByte kämen alleine hier schon 40 TByte zusammen – das vollständige Kopieren dieser Datenmassen würde Tage dauern, weshalb es so wichtig ist, Prioritäten zu setzen. Ein Profi wird zudem berücksichtigen, dass Spuren nicht nur in digitaler Form vorliegen können, und – wenn es die Situation erfordert – seinem Kunden empfehlen, die Polizei zur Sicherung und Auswertung physischer Spuren.
Achten Sie ausserdem darauf, dass der Dienstleister all seine Schritte sorgfältig protokolliert – und zwar von Anfang an. Am Ende der Untersuchung wird dann ein Abschlussbericht stehen, der idealerweise in zwei Fassungen angeboten wird: einmal für technisch versierte Personen, zum anderen in einer auch für Laien verständlichen Form. Denn sollte es nach der Untersuchung zu einem Gerichtsverfahren kommen, werden Richter und Anwälte Einsicht in die Ergebnisse nehmen und natürlich auch verstehen wollen.
Schliesslich wird ein Notfallplan erstellt: Welche Systeme sollten umgehend mittels eines Backups wiederhergestellt werden? Welche Computer müssen vorerst komplett abgestellt werden? Ist es notwendig, einzelnen Mitarbeitern den Zugang zu bestimmten Bereichen vorerst nicht mehr zu gestatten? Der Sinn des Notfallplans ist es, weitere Risiken zu minimieren, dabei aber den Betrieb des Unternehmens sicherzustellen.
Sind diese Punkte abgeschlossen, geht es an die Sicherung der Beweismittel zur anschliessenden Analyse. Es wird zwischen Live- und Dead-Analyse unterschieden. Live-Analyse bedeutet, dass im laufenden System analysiert wird. Bei der Dead-Analyse hingegen wird nur mit den Daten gearbeitet, die auf einem Datenträger gespeichert sind, nachdem der eigentliche Computer abgeschaltet wurde. Sind die wichtigsten Beweismittel gesichert, erhält der Kunde eine Kopie der gesammelten Daten. Die weitere Untersuchung findet in der Regel aber beim Dienstleister statt.
Bei allen Spuren gilt es nun, folgende Fragen zu klären: Wer hat es getan? Warum wurde es getan? Wann wurde es getan? Was genau wurde getan? Von welchem Ort aus wurde es getan? Welche Programme und Hilfsmittel wurden dabei verwendet?
Der Analyst versucht also, den genauen Tathergang möglichst lückenlos nachzustellen beziehungsweise Auffälligkeiten in der Datenflut aufzuspüren. Als Datenquelle dienen ihm dabei komplette Kopien von Datenträgern, Logdateien oder Memory dumps. Vormals gelöschte Dateien werden wieder hergestellt, es wird nach Schlüsselwörtern und Verletzungen von Zugriffserlaubnissen gesucht. Wichtig ist dabei, dass grundsätzlich nie mit den Originaldatenträgern gearbeitet wird. Alle Untersuchungen werden immer an Kopien durchgeführt, nicht zuletzt, weil die Originaldatenträger im Unternehmen meist benötigt werden, während die Untersuchung läuft.
Am Ende der Analyse steht schliesslich der Abschlussbericht. Im Idealfall konnte festgestellt werden, wer der Angreifer war, was seine Motive waren, was genau passiert ist, in welchem Zeitraum der Angriff stattfand und auch, wie hoch das Restrisiko einzuschätzen ist. Natürlich sollte ein Hinweis nicht fehlen, wie das Unternehmen ähnliche Vorfälle in Zukunft vermeiden kann.
Nicht immer können alle Fragen abschliessend geklärt werden. Darüber hinaus gibt es aber noch weitere Probleme, über die sich ein Unternehmen im Klaren sein sollte, bevor man eine Untersuchung in Auftrag gibt: IT-Forensik kann nur dann funktionieren, wenn der Analyst auf wirklich alle Daten Zugriff erhält. Dies erfordert ein hohes Vertrauen in den Dienstleister, bedeutet es doch, dass er unter Umständen brisante Geschäftsgeheimnisse erfährt oder auf Daten stösst, die dem Auftraggeber vielleicht unangenehm sein könnten.
Gleiches gilt für die Mitarbeiter selbst – dem IT-Forensiker ist es egal, ob ein Angestellter zum Beispiel Privatbilder seiner Freundin auf dem Arbeitsrechner hat, da diese mit dem eigentlichen Fall nicht viel zu tun haben dürften. Versuchen Mitarbeiter aber nun voller Panik, solche „Spuren“ zu löschen, machen sie sich unnötig verdächtig, und dem Forensiker entsteht zusätzliche Arbeit. Auch sollte sich der Auftraggeber vor Augen halten, dass ein Analyst zwar feststellen kann, von welchem PC aus ein Angriff erfolgte – dies aber keinesfalls automatisch bedeutet, dass der entsprechende Mitarbeiter auch wirklich der Schuldige ist.
Ein weiterer Grund, einen erfahrenen Dienstleister zu wählen, damit durch Übereifer aus einer Untersuchung keine Hexenjagd wird.
IT-Forensik ist ein unverzichtbarer Bestandteil der IT-Sicherheit, erfordert aber von allen Beteiligten ein hohes Mass an Vertrauen, Verantwortungsbewusstsein und Fingerspitzengefühl. Wenn diese Voraussetzungen gegeben sind, können Schäden zumindest begrenzt und weitere Risiken für das betroffene Unternehmen minimiert werden.
Bereits vor einem Zwischenfall sollte daher jedes Unternehmen gültige IT-Policies definieren (und diese auch durchsetzen!) sowie einen Ablaufplan für den Notfall bereit halten.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Tecchannel.de; Magnus Kalkuhl; 12.08.2010
< zu den Themen
Skype abhörsicher?: Allem Anschein nach kann sogar die Polizei zuhören
Udo Vetter, Fachanwalt für Strafrecht, berichtet in seinem Law Blog, dass Behörden in Deutschland mittlerweile in der Lage seien, mit Skype geführte Telefongespräche abzuhören. Die Kriminalisten vom Zoll hatten Ende 2008 bis Mitte 2009 die Telefongespräche eines Mandanten von Vetter präventiv abgehört, was bei schwerwiegenden Delikten mit Auslandbezug erlaubt sei. Der Mandant benutzte in der Zeit auch Skype für Telefongespräche. Der Ermittlungsbeamte sagte am Dienstag aus, dass die Behörden damals keinen Zugriff auf Skype gehabt hätten und diese Gespräche daher nicht abgehört wurden. Vetter hakte beim Ermittlungsbeamten nach und fragte ihn, ob sich dies mittlerweile geändert habe. Diese Frage bejahte der Ermittlungsbeamte.
"Seine Behörde könne Skype - auch Gespräche von Skype zu Skype - heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten", schreibt Vetter in seinem Blog und fügt hinzu: "Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen."
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Pcwelt.de; Panagiotis Kolokythas; 18.08.2010
< zu den Themen
Tausende Kundendaten im Netz frei zugänglich: Und dies über Monate hinweg
Auf einem Server der deutschen Versicherung Alte Leipziger standen bis zum Nachmittag des 26. August 2010 rund 3600 Versicherungsanträge in einem Unterverzeichnis ungeschützt zum Download bereit. Die Anträge wurden über den Tarifrechner der Sparte Rechtsschutz-Union aufgenommen und enthielten vertrauliche Daten wie etwa Bankverbindung, Beruf, Fahrzeuge, eventuelle Vorschäden sowie den bisherigen Versicherer des Antragsstellers. Auch Geburtsdatum, Nationalität, Familienstand und Angaben zu den Kindern fanden sich in den Anträgen.
Nachdem die Versicherung auf das Problem aufmerksam gemacht worden war, beseitigte sie die Lücke innerhalb weniger Stunden. Laut Unternehmenssprecher Manfred Kühlmeyer entstand der Fehler wohl schon Anfang des Jahres, als die Versicherung den Rechner an einen neuen Tarif angepasst hat. Als Konsequenz habe man die Umstellung auf ein anderes Vermittlerportal vorzeitig durchgeführt und auch die "regelmässige Überprüfung der Zugriffsmöglichkeiten auf unsere Vermittlerportale wird aufgrund dieses Anlasses vorgezogen", so der Sprecher. Der Konzern will die betroffenen Kunden zeitnah informieren.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Heise.de; rei, 20.08.2010
< zu den Themen
Security-Risiken beim Cloud Computing: Wie man ihnen begegnen kann
Damit sie mit der Wolken-IT nicht plötzlich im Regen stehen, scheuen grosse Unternehmen nach einer aktuellen Studie der amerikanischen Information Technology Intelligence Corporation (ITIC) den Schritt zum Cloud Computing. Die Marktforscher befragten international 300 Firmen mit bis zu 10‘000 Mitarbeitern.
Lediglich 15 Prozent von ihnen wollen in absehbarer Zeit entsprechende Technologien einsetzen, nur acht Prozent tun es bereits. Die grössten Ängste existieren hinsichtlich der Sicherheit: Zum einen ist meist nicht genau bekannt, wo auf dem Erdball die sensiblen Daten gespeichert sind. Wie steht es da zum Beispiel mit der Compliance? Welchem Landesrecht unterliegen die Informationen? Zum anderen besteht die Sorge, dass das Geschäft durch einen längeren Netzausfall zum ruinösen Stillstand kommt.
Wie so oft entstehen Ängste durch Skepsis vor dem Neuen: Gerüchte kursieren und es herrscht mangelhafte Aufklärung. Wer aber weiss, welche Sicherheitslücken drohen und wie er sich schützen kann, muss sich weniger fürchten, denn die Risiken lassen sich auf ein Minimum reduzieren. Hier sind die Cloud Computing Provider in der Pflicht, ihre Kunden über die für sie am besten geeigneten Sicherheitsmassnahmen zu informieren. Welche davon er nutzt, bleibt jedem Anwender dann selbst überlassen. Aber nur wer das persönliche Sicherheitsniveau richtig einschätzen kann, entdeckt für sein Geschäft in der Wolke mehr als ominösen Nebel.
Privat oder öffentlich?
Schon die unterschiedlichen Definitionen der Cloud führen zu gravierenden Missverständnissen: Meist geht es um ein Verlagern der ICT-Ressourcen von lokalen Rechnern ins öffentliche, unsichere Internet. Aber muss das zwangsläufig so sein? Hier gilt es, grundsätzlich zwischen öffentlichen ("public") Clouds à la Amazon und Google sowie dedizierten ("private") Clouds für Unternehmen zu unterscheiden.
Erstere eignen sich primär für private Nutzer, um zum Beispiel Mails überall zu empfangen und zu versenden oder um Dateien und Urlaubsfotos bequem auf Festplatten im Netz abzulegen. Sie kosten meist nichts, ihre Betreiber verpflichten sich aber auch zu nichts. Bei einem Server-Ausfall müssen die Anwender eben warten. Geht ein Mailserver oder eine Festplatte kaputt, sind die Daten weg. Sicherheit und Servicevereinbarungen - Fehlanzeige.
Was sich im privaten Umfeld mehr und mehr durchsetzt, widerspricht deutlich den Anforderungen der Geschäftswelt. Von der Datensicherheit, dem Schutz gegen Manipulationen und einer hohen Verfügbarkeit hängt oft das Überleben eines Unternehmens ab. Weltweit stünden die meisten Firmen nach gut einer Woche ohne ihre IT-Daten vor dem Ruin. Und neben einem hohen finanziellen Verlust leidet meist auch das Image, wenn Informationen über eine neue Produktentwicklung schon vor ihrer offiziellen Publikation nach aussen dringen. Sollten Unternehmen also trotz der hohen Flexibilität und der rein verbrauchsabhängigen Bezahlung lieber auf die Wolke verzichten? Die Antwort liegt in der "privaten" Cloud, einem Kompromiss aus Wolke und eigener Anbindung an ein Data Center. Hier fliessen die Daten nicht über das öffentliche Internet, sondern über das getunnelte Netz des Providers.
1. Dienstleister auswählen
Die wohl grösste Herausforderung für Unternehmen beim Cloud Computing besteht darin, den geeigneten Dienstleister zu finden. Sie müssen sich hierzu intensiv mit den von ihm angebotenen Services und seiner tatsächlichen Leistungsfähigkeit befassen. Kann er zum Beispiel individuelle Bedürfnisse bedienen? Wie gut kennt er sich mit branchenspezifischen Anforderungen aus? Grosse ICT-Anbieter erbringen identische Leistungen für eine Vielzahl von Kunden. Durch die sich daraus ergebenden Skaleneffekte können sie Technologien einsetzen, die für ein einzelnes Unternehmen kaum erschwinglich wären. Es müsste darüber hinaus Personal mit den richtigen Fachkenntnissen vorhalten und das Wissen der Mitarbeiter regelmässig in Schulungen aktualisieren. Über den Provider kaufen sie das Fach- und Branchen-Know-how gleich mit ein. Das macht sich insbesondere bei der Sicherheit schnell bezahlt. Die Angreifer kennen sich meist mit den neuesten Werkzeugen perfekt aus. Hier mitzuhalten, erfordert einen beträchtlichen finanziellen und personellen Aufwand.
2. Security-Anforderungen definieren
Gleichwohl sollten Unternehmen nicht sofort die ganze Sicherheit einfach auf den Provider schieben, sondern sich mit ihm zunächst intensiv über das nötige Schutzniveau auseinandersetzen. Der Dienstleister muss seinem Kunden die bestehenden Risiken erläutern und ihm sagen, was er konkret dagegen unternimmt. Erst aus einer gründlichen Gefahrenanalyse lässt sich eine individuelle Lösung ableiten, die sämtliche Sicherheitsanforderungen erfüllt. Genau wie bei klassischen ICT-Umgebungen reicht beim Cloud Computing das punktuelle Stopfen von Security- Lücken nicht aus.
Andererseits braucht ein Unternehmen auch nicht zwangsläufig alle am Markt vorhandenen Sicherheitstechnologien einzusetzen, sondern kann diese von einem seriösen Provider modular ganz nach Bedarf beziehen. Spätere regelmässige Risikobewertungen und Audits, etwa in Form von Penetrationstests, ergänzen diese ganzheitliche Sichtweise. So lassen sich neue Schwachstellen herausfinden und Massnahmen schnell anpassen. Die genaue Auswahl und kontinuierliche Aktualisierung der Sicherheitsmassnahmen ist gerade beim Cloud Computing sehr wichtig, da mit der hochgradigen Dezentralisierung und Verteilung von Anwendungen und Daten auch die Zahl der Angriffsvektoren und Gefahren steigt.
Sind die Sicherheitsanforderungen exakt festgelegt, lassen sie sich über Service Level Agreements durchgängig vertraglich vereinbaren, also von der Produktion im Rechenzentrum über die Netze bis zum PC oder mobilen Endgerät beim Anwender im Unternehmen. Im eigenen Netz kann der Dienstleister das Einhalten der SLAs auch in der Cloud gewährleisten. So kann der Kunde die Qualität und die Verlässlichkeit des ICT-Service objektiv beurteilen. Die Tatsache, dass eine spezialisierte, zentrale Stelle alle Vorgänge - Implementierung, Konfiguration, Release-, Update- und Patch-Management, Backup etc. - kontrolliert und steuert, erleichtert das Einhalten der Sicherheitsmassnahmen zusätzlich. Erst dadurch können diese auf sämtlichen Ebenen wie Zahnräder wirksam ineinander greifen. Das ermöglicht letztlich sogar das sichere Einbinden mobiler Endgeräte in die Wolke.
3. Anwendungen und Daten trennen
Trotz vieler Gemeinsamkeiten bei der Sicherheit stellt die virtuelle Wolke gegenüber dem klassischen Outsourcing einige besondere Anforderungen. Das betrifft zum Beispiel den Datenschutz: Da sich im Rechenzentrum mehrere Unternehmen Server teilen, die ihnen die jeweils benötigten Ressourcen zuweisen, muss sicher sein, dass niemand in die Daten des anderen einblicken kann. Hierzu kommt es auf eine saubere Trennung von Anwendungen und Daten der einzelnen Kunden an. Möglich machen das sogenannte virtuelle lokale Netzwerke (VLANs). Dabei erhält jeder neue Cloud-Kunde automatisch einen separaten Anschluss an den Server. Der Rechner verfügt somit am Ende über beliebig viele individuelle Zugangswege.
Die Administration von VLANs erfolgt mit einer zentralen Weiche (Switch). Hier laufen alle Netzwerkkabel zusammen. Der Switch ordnet jedes VLAN automatisch einem bestimmten Kunden zu. Dieser darf nur in seinem eigenen Bereich arbeiten. Die VLANs sind komplett voneinander isoliert. Jemand mit bösen Absichten käme so über den Switch gar nicht auf einen anderen Zugang. Die Rechner selbst sollten in mehrere Einheiten partitioniert sein, von denen jeder Kunde eine Scheibe mitsamt VLAN-Zugang bekommt. Sie können somit nicht von ihrer Partition auf die eines anderen Unternehmens springen. Dadurch können zum Beispiel SAP- und Oracle-Anwendungen gemeinsam auf einem Server laufen - strikt voneinander getrennt. Zudem sollten die Rechner vom öffentlichen Internet komplett entkoppelt sein. Webanwendungen, zum Beispiel für Online-Rechnungen, laufen dann in gesonderten Servicebereichen. Das unterbindet Angriffe übers Web auf geschäftskritische Anwendungen. Letztlich sind die Informationen auch auf der Storage-Ebene voneinander zu isolieren. Sie lassen sich ausserdem von der Technologie unveränderbar ablegen und sind damit revisionssicher archiviert.
4. Cloud-Systeme sicher integrieren
Einzelanwendungen liegen im Idealfall also im Data Center für jeden Kunden sicher voneinander isoliert vor. Gerade für Unternehmen kommt es aber oft darauf an, dass Applikationen miteinander kommunizieren. Die Mitarbeiter sollen beispielsweise E-Mails direkt aus SAP bearbeiten. Der Cloud-Provider kann hierzu getrennte Anwendungen eines Kunden in der Wolke wieder so zusammenführen, dass sie nach vorgegebenen Regeln gemeinsam funktionieren. Ein anderes Unternehmen bekommt hiervon nichts mit. Genauso ist auch eine Integration in die bestehende, nicht dynamische Anwendungslandschaft eines Kunden möglich, ohne dass für Angreifer Tür und Tor weit offenstehen. Selbst individuelle Einzelsysteme lassen sich einbinden, damit etwa unterschiedliche Fachabteilungen reibungslos miteinander arbeiten können.
Doch nicht nur andere Unternehmen sollten keinen Einblick in vertrauliche Informationen erhalten. So sollte ein Cloud-Nutzer auch seinen Provider fragen, wie er es selbst mit Zugriffsrechten hält. Besonders kritische Daten sollten im Rechenzentrum so abgelegt sein, dass auch Mitarbeiter des Dienstleisters sie nicht einsehen, verändern oder löschen können. Lässt es sich für eine bestimmte Operation nicht vermeiden, auf die Informationen zuzugreifen, muss der Dienstleister seinen Kunden vorher um Erlaubnis fragen. Nur er besitzt den Schlüssel zu den Daten. Sollte der Kunde irgendwann aus der Wolke aussteigen wollen, müssen die Informationen lückenlos an ihn zurückfliessen. Aus diesem Grund sollten Unternehmen vor der Auftragsvergabe auch auf die wirtschaftliche Stabilität des Dienstleisters achten. Unter Umständen leidet unter einer Insolvenz die Verfügbarkeit der Daten.
5. Identitäten prüfen und managen
Aber auch beim Kunden dürfen nach dem "Need to know"-Prinzip nur berechtigte Mitarbeiter die Informationen einsehen, die sie für ihre Arbeit tatsächlich brauchen. Aus dem klassischen Outsourcing bekannte Verschlüsselungs- und Zugangsmechanismen unterstützen solch ein Rollen- und Rechtemanagement. Public Key-Infrastrukturen (PKI) stellen zum Beispiel sicher, dass sich der richtige Mitarbeiter am System anmeldet. Sie schalten den Zugang erst nach erfolgreicher Identifikation frei, zum Beispiel über Chipkarten mit Signaturfunktion, biometrische Verfahren oder über die mit einem Einmalpasswort versehene SIM-Karte (Subscriber Identity Module) im Handy. Damit verhindert eine PKI das Mitlesen oder Umlenken von Kommunikationsbeziehungen beziehungsweise das Einspielen von Schadsoftware ins Netz.
Grosse Cloud-Provider besitzen eigene Trust Center, die Zertifikate zur Authentisierung an einem System herausgeben. Erst mit diesen digitalen Ausweisen erhält der berechtigte Nutzer Zugang. Auf der anderen Seite können sich Mitarbeiter mit den ihnen zugeteilten Zertifikaten auch gegenseitig zuverlässig erkennen. Nach dem Austausch der Ausweise weiss jeder, dass auf der anderen Seite tatsächlich der erwartete Ansprechpartner mit ihm kommuniziert. So lassen sich auch in Cloud-Beziehungen sichere abteilungs- und unternehmensübergreifende Netzwerke für die Zusammenarbeit einrichten.
6. Wo liegen die Daten?
Zu grosser Unsicherheit im Cloud Computing führt auch ein Faktor, der sich vom klassischen Outsourcing grundsätzlich unterscheidet: Der Nutzer weiss im Normalfall nicht, auf welchen Systemen, in welchem Rechenzentrum und - vor allem - in welchem Land der Provider seine Daten speichert. Diese Katze im Sack kann sich fürs Geschäft fatal auswirken. Überschreiten die Daten Ländergrenzen, erfüllen sie möglicherweise wichtige Anforderungen an die Sicherheit oder rechtliche und branchenspezifische Auflagen nicht. So ist es in Frankreich und Polen nicht erlaubt, Finanzdaten ausserhalb des Landes zu betreiben. In den USA und anderen Ländern fallen Sicherheitstechnologien wie Verschlüsselung unter das Kriegswaffenkontrollgesetz und sind daher nur in Ausnahmefällen zulässig. Häufig ist auch nicht geregelt, wer im Fall eines Datenverlusts im Staat XY die Haftung trägt und wie diese aussieht.
Weiterhin bestehen Risiken durch unterschiedlich gestaltete Gesetzgebungen, zum Beispiel beim Abhören oder bei unbemerkten Zugriffen. In einigen Staaten können Behörden jederzeit ohne Vorwarnung die Herausgabe vollständiger Backups verlangen. Die Liste der Unterschiede in Bezug auf den Datenschutz lässt sich nahezu unendlich weiterführen. Manch ein internationaler ICT-Dienstleister verzichtet deshalb bewusst darauf, in bestimmten Ländern ein eigenes Rechenzentrum zu errichten.
7. EU-Datenschutz erleichtert Cloud-Nutzung
Für Cloud-Services im geschäftlichen Umfeld eignen sich besonders Anbieter aus der Schweiz oder der Europäischen Union. Mit der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr hat die EU einen Mindeststandard für den Datenschutz und die Datensicherheit eingeführt. So setzt zum Beispiel jede Übermittlung personenbezogener Informationen die vorherige Einwilligung des Betroffenen voraus. Auftragsdaten dürfen nur in den Grenzen der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) verarbeitet werden.
Erstaunlicherweise gibt es selbst in den USA bislang keine festgeschriebenen Richtlinien zum Datenschutz. Dort sind nur spezielle Arten der Verarbeitung verboten. Behördenakten beispielsweise sind von jedem Bürger problemlos abrufbar. Das Wissen, wo die Daten liegen, hat darüber hinaus noch einen anderen Aspekt: Manche Grossunternehmen wollen ihre Daten und Anwendungen in einem ausfallsicheren Rechenzentrum wissen, das auch von der geographischen Lage her vor Naturkatastrophen - Erdbeben, Stürme, Überschwemmungen etc. - gut geschützt sind.
8. Datentransport absichern
Das Rückgrat jeder Cloud bilden stabile, breitbandige Netze. Die Informationssicherheit lässt sich hier auf zwei Wegen gewährleisten. Den höchsten Schutz bieten dedizierte Punkt-zu-Punkt-Verbindungen, vom Rechenzentrum zum Kunden. In MPLS-Netzen lässt sich für jeden Kunden eine vollständig isolierte Leitung einrichten. Die zweite Möglichkeit sind verschlüsselte Verbindungen, entweder über getunnelte Verbindungen im öffentlichen Internet (VPN, Virtual Private Networks24) oder über SSL (Secure Socket Layer).
Aber wie auch immer die Netzverbindung konkret realisiert wird, sie sollte genau wie beim normalen Outsourcing doppelt ausgelegt sein und über zwei voneinander getrennte physikalische Verbindungen laufen. Fällt dann eine der beiden Leitungen aus, kann die andere nahtlos den Dienst der anderen übernehmen. Zudem empfiehlt es sich, alle Informationen gespiegelt in zwei verschiedenen Rechenzentren vorzuhalten. Das ist kein Widerspruch zur Cloud, wenn an beiden Standorten die Möglichkeit besteht, Server zwischen mehreren Unternehmen aufzuteilen.
9. Firewalls schützen Netzsegmente
Zum Schutz der verschiedenen Netzsegmente dienen Firewalls. Sie kontrollieren den Datenverkehr und bestimmen regelbasiert, welche Pakete sie durchs Netzwerk schleusen und welche nicht. Das bietet Schutz vor unerlaubten Zugriffen. Zusätzlich erstellen sie Status- und Kontexttabellen aller Netzwerkverbindungen und erkennen so Korrelationen zwischen den Paketen (Stateful Inspection). Dadurch erkennen sie nach einem Verbindungsaufbau, ob ein System unaufgefordert Daten sendet und blockieren diese. Viele Pakete gleichen Typs weisen etwa auf eine Denial of Service-(DoS)-Attacke hin, die das Netzwerk lahmlegen soll. Firewalls sind damit auch ein wichtiger Erkennungsmechanismus, um die Verfügbarkeit von Daten und Anwendungen sicherzustellen. Sogenannte Computer Emergency Response Teams (CERT) achten im Rechenzentrum unter anderem darauf, dass sie jederzeit korrekt konfiguriert sind.
Einen Schritt weiter gehen Deep Inspection Firewalls, die Angriffe auf der Anwendungsebene erkennen. Sie blockieren Protokollverletzungen, Viren, Spam und weitere schädliche Inhalte wie etwa Trojaner. Das erschwert auch sogenannte Man in the Middle-Attacken, bei denen Dritte die Kommunikation zwischen zwei Kommunikationspartnern abfangen und eine von beiden Parteien zu ungewollten Aktionen verleiten, indem sie sich als der vermeintliche Partner ausgeben. Mitarbeiter von Cloud Providern führen solche Angriffe in regelmässigen Abständen durch, um die Wirksamkeit der Firewall zu testen.
10. Monitoring und Frühwarnsysteme nutzen
Damit Sicherheit zu einem integralen Bestandteil aller Geschäftsprozesse im Cloud Computing wird, müssen sie kontinuierlich auf sicherheitsrelevante Komponenten überprüft und aktualisiert werden. In grossen Rechenzentren sorgen spezielle Module auf den Servern automatisiert dafür, dass die vorgegebenen Sicherheitseinstellungen sich nicht verändern. Auch alle Firewalls, Virenscanner und Intrusion Detection Systeme (IDS) befinden sich unter ständiger automatischer Überwachung. Frühwarnsysteme spüren auf der Basis von Data-Mining-Verfahren Schwachstellen auf, bevor sie sich gefährlich auswirken. Angreifer nehmen sich oftmals viel Zeit, um über mehrere Stationen eine Lücke zu finden und einzudringen. Intelligente Analysesysteme (Security Information und Event Management) erkennen hierzu unter anderem anhand von Logfiles auffällige Muster und unterbinden solche Langzeitangriffe rechtzeitig.
Auch nach bestimmten Regularien lässt sich die IT-Infrastruktur im Rechenzentrum automatisiert überwachen, beispielsweise nach dem Sarbanes-Oxley Act (SOX). Dieses Kapitalmarktgesetz ist für an US-Börsen kotierte Unternehmen relevant. Sie müssen ihr Internes Kontrollsystem (IKS) jährlich anhand seiner Richtlinien überprüfen, dokumentieren und von Wirtschaftsprüfern testieren lassen.
11. Security beginnt in den Köpfen
Trotz aller Sicherheit, die ein grosser Cloud-Provider bieten kann: Am Ende beginnt Security in den Köpfen der Mitarbeiter. Regelmässige Workshops und Schulungen können die generelle Wachsamkeit im Umgang mit ICT-Lösungen steigern. Nur wer mögliche Sicherheitsprobleme kennt, kann sie durch richtiges Verhalten umgehen. Einige Dienstleister veranstalten interne und externe Programme, um das allgemeine Schutzniveau zu steigern und die richtige Sicherheitspolitik für ein Unternehmen zu entwickeln.
12. Mobile Cloud-Zugänge absichern
Bezieht ein Unternehmen alle Dienste und Daten über ein IP-Netz aus einem Cloud-Rechenzentrum, können Mitarbeiter mit einem beliebigen Endgerät überall und jederzeit sicher auf ihre persönliche Nutzeroberfläche zugreifen. Sie melden sich hierzu mittels einem USB-Stick mit integrierter Smartcard am zentralen Server im Rechenzentrum an und können das Endgerät genauso nutzen wie einen klassischen Laptop - im Hotel, am Flughafen, beim Geschäftspartner oder im Internetcafe. Stecken die Anwender den Stick in den USB-Anschluss des mit dem Internet verbundenen Rechners, stellt er über den integrierten Client automatisch eine verschlüsselte Verbindung zu einer Gegenstelle im Rechenzentrum her. Nach erfolgreicher Authentifikation erhält der Nutzer dann den Zugriff auf seine Daten und Applikationen. Zieht er den Stick wieder aus dem Desktop heraus, verbleiben auf dem Rechner keine Datenspuren.
Handys, PDAs und Smartphones, auf denen Applikationen installiert sind, lassen sich genauso zuverlässig verschlüsseln. Auch hier muss sich der Nutzer über eine Kryptokarte zunächst identifizieren. Kommt ihm das Endgerät abhanden, lässt es sich von Mitarbeitern im Rechenzentrum aus der Ferne in seinen Auslieferungszustand zurückversetzen. So gelangen Daten nicht in fremde Hände. Gleichzeitig gehen dem Unternehmen keine wertvollen Informationen verloren, da diese vollständig im Rechenzentrum gespeichert vorliegen. Während des normalen Betriebs findet automatisch eine regelmässige Synchronisation aller Daten auf dem Endgerät mit den zentralen Servern statt. Sicherheitsrichtlinien eines Unternehmens sind somit in der Wolke auch mobil umsetzbar: So lassen sich bestimmte Funktionen von Endgeräten in bestimmten Bereichen automatisiert abschalten, beispielsweise integrierte Kameras. Auf diese Weise gelangen in der Fertigungsindustrie keine Bilder von neuen Produkten ungewollt in fremde Hände oder ins Internet.
Auch das Qualitätsmanagement erleidet keine Einbussen: Die Security-Experten im Rechenzentrum können neuen Patches in Ruhe prüfen, bevor sie sie auf die Rechner aufspielen. Ist für eine Sicherheitslücke, die eine akute Bedrohung für Laptops & Co bedeutet, noch kein elektronischer Patch vorhanden ("Day-Zero-Problem"), können sie die entsprechenden Zugänge kurzfristig per Knopfdruck aus der Ferne blockieren.
Haben Sie Fragen zu diesem Fall? Gerne stehen wir Ihnen unverbindlich zur Verfügung.
Sie erreichen uns telefonisch +41 (0)41 984 12 12 oder per E-Mail infosec@infosec.ch
Quelle: Computerwoche.de; Rene Reutter, Thorsten Zenker; 26.08.2010
< zu den Themen
Special Event mit Prof. Dr. Ulrich Zwygart am 23. September 2010: Wie trifft man Entscheidungen in schwierigen Situationen?:
Intensivseminar mit Prof. Dr. Ulrich Zwygart, Managing Director bei der Deutschen Bank in London und Professor an der Executive School der Universität St. Gallen, ehemaliger Divisionär der Schweizer Armee
Wie trifft man Entscheidungen in schwierigen Situationen?
Erfolgsfaktoren in der Entscheidungsfindung
Ihr nächster Termin: 23. September 2010 (Durchführung garantiert!)
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit lic. Iur. Bernhard Stoll am 28. Oktober 2010: Keine unerwünschten Überraschungen:
Intensivseminar mit lic. iur. Bernhard Stoll, Berater für Competitive Intelligence und Counterintelligence
Keine unerwünschten Überraschungen
Wie Sie mit Competitive Intelligence und Counterintelligence dazu beitragen können
Ihr nächster Termin: 28. Oktober 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Prof. Dr. Toni Wäfler vom 4. - 5. November 2010: Mensch, Technik und Organisation – Optimierung eines komplexen Zusammenwirkens:
Intensivseminar mit Prof. Dr. Toni Wäfler,
Professor an der Hochschule für Angewandte Psychologie (APS) der Fachhochschule Nordwestschweiz (FHNW), Gründungsmitglied, Partner und Senior Consultant des Instituts für Arbeitsforschung und Organisationsberatung
Mensch, Technik und Organisation – Optimierung eines komplexen Zusammenwirkens
Der Beitrag des Menschen zur Zuverlässigkeit komplexer, technisierter Arbeitsprozesse – und die Voraussetzungen dafür, dass der Mensch seinen Beitrag leisten kann
Ihr nächster Termin: 4. - 5. November 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Werner Blessing am 23. November 2010: Biometrische Authentisierung:
Intensivseminar mit Werner Blessing, Spezialist für biometrische Authentisierung
Biometrische Authentisierung
Sicherheit, Komfort und Kosten? Welche Anwendung ist ausgereift?
Ihr nächster Termin: 23. November 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Dr. Urs E. Zurfluh und Prof. Dr. Hannes P. Lubich am 24. Februar 2011: Die Rolle der ICT in Corporate Governance und Compliance:
Intensivseminar mit
Dr. Urs E. Zurfluh, Präsident und CEO der Ad Vantis Innovation AG, Mitglied des Verwaltungsrates der CSS Versicherung Luzern
und Prof. Dr. Hannes P. Lubich, Professor für IT System Management an der Fachhochschule Nordwestschweiz (FHNW)
Die Rolle der ICT in Corporate Governance und Compliance
Ein Erfahrungsbericht und Richtlinien über die Umsetzung von Corporate Governance und Compliance in und mittels ICT
Ihr nächster Termin: 24. Februar 2011
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Informations- und IT-Sicherheitsbeauftragter (IT-SIBE): Lehrgang für Informations- und IT-Sicherheitsbeauftragte
Aus der Praxis für die Praxis!
Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch – laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen jahrelanger Erfahrung.
Nächste Lehrgänge: 20. - 24. September 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
-- Teilnehmeraussage --
«Umfassende Informationen zur IT-Sicherheit, welche von den Referenten kompetent vorgetragen wurden. Besonders für mich hervorzuhebende Eigenschaften an diesem Lehrgang:
• kleine Gruppe der Teilnehmer, so dass speziell auf Fragen eingegangen werden konnte
• das Auflockern des Stoffes durch Einfügen von Beispielen aus der Praxis
• die Einplanung der Zeit für Fragen und den daraus entstehenden Diskussionen unter den Teilnehmern, die grösstenteils zu gewinnbringendem Meinungsaustausch führten.»
Gottlieb Marth, IT-Sicherheitsbeauftragter, Leica Geosystems AG
Teilnehmender am Lehrgang „IT-SIBE“
Erfahren Sie hier mehr.
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
IT-SIBE Vertiefung: Praktischer Vertiefungslehrgang für Informations- und IT-Sicherheitsbeauftragte
Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.
Nächster Lehrgang: 29. November - 3. Dezember 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
BS 25999 Lead Auditor: Lehrgang mit Zertifizierung als BS 25999 Lead Auditor
Dieser Lehrgang führt Sie umfassend in das Auditing des BS 25999 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als BS 25999 Lead Auditor.
Nächster Lehrgang: 18. - 22. Oktober 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Betrieblicher Datenschutzverantwortlicher: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz
In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen.
Nächster Lehrgang: 13. - 17. September 2010; 8. - 12. November 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
-- Teilnehmeraussage --
«Es wurde auf alle Fragen praxisorientiert eingegangen und diese wurden sehr gut beantwortet. Vielen Dank.»
Sarah Kannappel, Leiterin Recht und Datenschutz, innova Versicherungen
Teilnehmende am Lehrgang „Betrieblicher Datenschutzverantwortlicher“
Erfahren Sie hier mehr.
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Business Continuity Manager/Krisenmanager: Lehrgang für BCM-Verantwortliche und Krisenmanager
Vorbereitung, Training und Voraussicht sind sinnvoller als "nur reagieren" und Schadensbehebung! Wenn sich Beinahevorfälle einstellen oder Ihre Sicherheitsmassnahmen im Bereich Ihrer wichtigsten Business-Prozesse effektiv versagen, wenn die eruierten Topereignisse Ihres Risk Managements nun tatsächlich eintreten, dann sind Sie als BCM-Verantwortlicher und Krisenmanager gefordert!
Nächster Lehrgang: 22. - 26. November 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
ISO 27001 Lead Auditor --> NEU: Durchführung in Deutsch! <--: IRCA-zertifizierter Lehrgang
Wissen und Know-how zu ISO 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO 27001 und ISO 27002 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als ISO 27001 Lead Auditor. Dies ist ein IRCA-zertifizierter Lehrgang.
Nächster Lehrgang: 8. - 12. November 2010
Weitere Informationen und Anmeldemöglichkeiten |
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit
Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.
Nächster Lehrgang: 15. - 18. November 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Integraler Sicherheitsmanager: Lehrgang für Sicherheitsbeauftragte mit offizieller SAQ-Zertifizierung
Sicherheit ganzheitlich betrachtet! Mit der fünftägigen Ausbildung zum Integralen Sicherheitsmanager lernen Sie alles über die Einführung und Anwendung aus organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, personellen, arbeitssicherheits- und gesundheitstechnischen Aspekten der Integralen Sicherheit. Sicherheit: umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten.
Nächster Lehrgang mit offizieller SAQ-Zertifizierung: 27. - 29. September und 15. - 16. November 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Vorbereitung CISSP: Lehrgang für die Prüfungsvorbereitung
Erfolgreiche CISSP-Zertifizierung dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.
Nächster Lehrgang: 9. - 10. und 13. - 15. September 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Datenschutzgesetz und dessen Umsetzung: Überblick, Grundlagen und prakt. Umsetzung des rev. Datenschutzgesetzes der Schweiz
Datenschutz und rechtliche Aspekte
Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmenden, Fragen aus dem Alltag zu diskutieren und zu beantworten.
Nächster Themenkurs: 21. September 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
SCADA Security: Schützen Sie Ihre Infrastrukturen!:
Zu den kritischen Infrastrukturen eines Landes gehören die Anlagen, welche die Bereitstellung von Dienstleistungen und Gebrauchsgüter zum Beispiel in den Bereichen Elektrizität, Wasser, Erdgas, Benzin, Abwasserbehandlung und Transport sicherstellen. Der Überwachung und Steuerung dieser Anlagen kommt eine Schlüsselfunktion zu. SCADA (supervisory control and data acquisition) ist hier der Begriff, der sich in den letzten Jahren durchgesetzt hat.
Die Sicherheit spielt in SCADA Netzwerken meist noch eine untergeordnete Rolle. Diese Tatsache ist vor allem geschichtlich bedingt. Bei der Entwicklung einer System-/Anlagensteuerung stand und steht die Maximierung der Funktionalitäten im Vordergrund. Leistung, Zuverlässigkeit, Flexibilität und Sicherstellung der dezentralen Bedienung sind in diesem Zusammenhang zu nennen. Sicherheit wird vor allem auf die Anlage bezogen umgesetzt (Sicherheitsabschaltungen bei undefinierten oder riskanten Betriebszuständen) und weniger gegenüber Bedrohungen von aussen.
Hier erfahren Sie mehr
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
eLEARNING plug & learn: Jetzt Wissenslücken effizient und gezielt schliessen!: Für die gezielte und effiziente Schulung und Sensibilisierung Ihrer Mitarbeitenden
Wir bieten Ihnen gerne bereits ausgearbeitete oder auf Ihre individuellen Bedürfnisse angepasste eLearning-Systeme und -Module zu den Themen Informationssicherheit, IT-Sicherheit und Datenschutz an.
Das Swiss Infosec eLearning-Angebot ergänzt Ihre Aktivitäten im Bereich der Sensibilisierung und Ausbildung optimal und kosteneffizient.
Ihre Vorteile
+ Kosteneffizient: Keine Systeminvestitionen notwendig, tiefe Kosten pro Mitarbeitendem
+ Schneller, gezielter und effizienter Wissenstransfer
+ Idealer Bestandteil einer umfassenden Awareness-Kampagne
Unsere Lernplattform basiert auf der Open Source-Lösung „Moodle“: keine Lizenz- und Systemkosten!
Hier erfahren Sie mehr
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
So schützen Sie Ihr Unternehmen vor Informationsabfluss!: Social Engineering - testen Sie die "Schwachstelle Mensch" in Ihrer Organisation
«Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?»
Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen.
Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können.
Mehr Wissen über Social Engineering
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Security Awareness - Ihre Mitarbeitenden beeinflussen Ihre Sicherheit: Faktor Mensch: Förderung der Awareness als zentrales Instrument
Mitarbeitende haben einen grossen Einfluss auf die Sicherheit von Systemen und Daten. Unabhängig von der Unternehmensgrösse sind daher Mitarbeitende aller Stufen auf mögliche Gefahren und Risiken hin zu sensibilisieren. Die Swiss Infosec AG bietet ihren Kunden individuell auf ihre Bedürfnisse abgestimmte Themenkurse und Lehrgänge bis hin zu umfassenden Security Awareness-Kampagnen an.
Ihre Vorteile
1. Sie profitieren von über 20 Jahren Erfahrung, Ideen und Resultaten
2. Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden
3. Sie aktivieren den „Faktor Mensch“ – Ihre Mitarbeitenden werden als zentrale Faktoren Ihrer Sicherheitsaktivitäten behandelt.
Erfahren Sie hier mehr.
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Wir schulen Sie - auch firmenindividuell: Firmenindividuelle Durchführung von Swiss Infosec-Themenkurse und -Lehrgänge
Beliebte firmenindividuelle Themen sind bspw. ISO 27001/27002 für IT-Mitarbeitende oder interne Auditoren, Archivierung, Datenschutz, Sicherheit am Arbeitsplatz, Umgang mit Bedrohungen, Krisen- und Evakuationsübungen.
Gerne führen wir die Themenkurse und Lehrgänge auch direkt bei Ihnen im Unternehmen durch. Bei firmenindividuellen Schulungen profitieren Sie, nebst der optimaleren Atmosphäre und Organisation, kostenmässig bereits ab vier Teilnehmenden.
Ihre Vorteile
+ Zeit- und Kostenreduktion
+ Vertraulichkeit
+ Steigerung der Effizienz
+ Auf Wunsch abgestimmt auf Ihre spezifischen Anforderungen
Hier erfahren Sie mehr
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Neuerscheinungen: Datenschutz: Im Kampf gegen Street View, Nacktscanner, Video- und Telefonüberwachung (Taschenbuch): Paul Nilok
 |
|
Paul Nilok
Datenschutz: Im Kampf gegen Street View, Nacktscanner, Video- und Telefonüberwachung (Taschenbuch)
ISBN: 613010801X
bestellen |
Quelle: www.amazon.de
< zu den Themen
Neuerscheinungen: Google Analytics und Co: Methoden der Webanalyse professionell anwenden (Broschiert): Heiko Haller, Markus Hartwig, Arne Liedtke
 |
|
Heiko Haller, Markus Hartwig, Arne Liedtke
Google Analytics und Co: Methoden der Webanalyse professionell anwenden (Broschiert)
ISBN: 3827329469
bestellen |
Quelle: www.amazon.de
< zu den Themen
Neuerscheinungen: Aufbau und Ablauf einer IT-Integration unter Berücksichtigung spezifischer rechtlicher Aspekte: Phasenmodell und Vorgehenskonzept (Broschiert): Jana Maria Guggenberger
 |
|
Jana Maria Guggenberger
Aufbau und Ablauf einer IT-Integration unter Berücksichtigung spezifischer rechtlicher Aspekte: Phasenmodell und Vorgehenskonzept (Broschiert)
ISBN: 3834924962
bestellen |
Quelle: www.amazon.de
< zu den Themen
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.
Swiss Infosec AG unterstützt Sie bei
- Erarbeitung und Umsetzung umfassender Security Frameworks
- Vorbereitung und Zertifizierung nach ISO/IEC 27001
- Aufbau eines Information Security Management System (ISMS)
- Ereignis- und Krisenvorsorge inkl. Business Continuity Planning (BCP)
- Durchführung von Social Engineering Audits
- Durchführung von Audits in organisatorischen, rechtlichen und technischen Bereichen
- Konzeption und Umsetzung von Awarenesskampagnen
- Unterstützung und Überbrückung von Ressourcenengpässen
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.
|
