Was im Web ist, beeinflusst Ihre Job-Chancen: 16 Prozent der Personalentscheider haben Bewerber wegen Daten im Internet abgelehnt
Anlässlich des 4. Europäischen Datenschutztages hat Microsoft eine Studie über den Einfluss von Online-Informationen auf das Berufs- und Privatleben veröffentlicht. Demnach suchen in Deutschland 59 Prozent der Personalentscheider Informationen zum Bewerber im Internet. 16 Prozent haben sogar schon einmal einen Kandidaten aufgrund dieser Online-Angaben abgelehnt. Trotzdem berücksichtigt weniger als die Hälfte der Internetnutzer ihre Online-Reputation, wenn sie Inhalte hochladen.
Da das Internet inzwischen die weltweit grösste öffentlich verfügbare und am häufigsten genutzte Datenbank darstellt, hat das ermittelbare Persönlichkeitsprofil einen immer grösseren Einfluss auf das Berufs- und Privatleben von Einzelpersonen.
"Während sich die Nutzung des Internets im vergangenen Jahrzehnt grundlegend verändert hat, haben wir unser Verständnis, wie Online-Persönlichkeitsprofile das reale Leben beeinflussen, nicht im selben Masse weiterentwickelt", sagt Tom Köhler, Director Security Strategy & Communication bei Microsoft Deutschland. "Die heutige Erwachsenengeneration besitzt noch eine Art digitale Unschuld, weil nicht jeder Jugendstreich auf YouTube und Co. dokumentiert ist. Deshalb müssen die neuen 'digital natives' wachsam sein, aber gleichzeitig eröffnen sich neue Chancen, das eigene Image zu pflegen."
"Ob als Schüler, Elternteil, Job-Bewerber oder Rentner, für jeden ist das Online-Auftreten wichtig", ergänzt Marsali Hancock, Präsidentin von iKeepSafe. "Bei ihren Online-Aktivitäten hinterlassen Nutzer bewusst oder unbewusst jeden Tag Spuren, die langfristige Folgen haben können."
Die Mitte Dezember 2009 durchgeführte Studie zeigt deutliche Unterschiede in der Wahrnehmung des Online-Rufs durch Privatpersonen und Personalmitarbeiter. So glaubt in allen vier untersuchten Ländern die Mehrheit der Nutzer nicht, dass Unternehmen häufig Informationen über die Persönlichkeit nutzen oder nutzen sollten, um Personalentscheidungen zu treffen. Doch in Deutschland kontrollieren 22 Prozent der Personalentscheider immer und 37 Prozent meistens die Bewerber online, obwohl nur in 21 Prozent der Unternehmen dies ein formaler Teil des Auswahlprozesses ist. 16 Prozent haben schon einen Bewerber wegen negativer Online Reputation abgelehnt. Die häufigsten Ursachen dafür waren unpassende Kommentare des Kandidaten, unpassende Fotos oder Videos, Bedenken bezüglich des Lebensstils und die Aufdeckung falscher Angaben in der Bewerbung.
Demgegenüber fürchten nur 13 Prozent der Nutzer, dass ihr Online-Profil bereits einer Bewerbung geschadet hätte. Auch bei der privaten Nutzung gibt es einen deutlichen Widerspruch. So berücksichtigt in jedem Land weniger als die Hälfte der Befragten die eigene Online Reputation jedes Mal, wenn sie Inhalte hochladen. Trotzdem haben jeweils 70 Prozent noch nie bereut, etwas online gestellt zu haben, und mehr als drei Viertel denken, dass sie ihren Online-Ruf zu einem gewissen Grad unter Kontrolle haben. Dabei ist ihnen die Gefahr durchaus bewusst, denn in Deutschland gehen mehr als 70 Prozent davon aus, dass Online-Informationen zumindest gelegentlich für Entscheidungen in Bewerbungsverfahren genutzt werden. Doch am meisten Angst haben die deutschen Nutzer, dass ihre Online-Persönlichkeit für Betrug (61 Prozent) missbraucht wird, gefolgt von Belästigung (55 Prozent), Identitätsdiebstahl (54 Prozent) und übler Nachrede (46 Prozent).
Quelle: Compliancemagazin.de; ra; 04.02.2010
< zu den Themen
CSOs sollten schnell handeln können: Prozesse und Conficker und Konsorten
Die Prozesse im IT-Sicherheitsmanagement sind oftmals zu langwierig, als dass Verantwortliche angemessen auf akute Bedrohungen reagieren können. Teilweise vergehen mehrere Wochen bis Sicherheitslücken geschlossen sind. Das bestätigt eine aktuelle Kurzumfrage des Security-Herstellers AMPEG unter Security Verantwortlichen. Im Falle des gefährlichen Conficker-Wurmes gibt es über ein Jahr nach der Veröffentlichung des Patches noch Unternehmen, die schutzlos sind. Erst vor Kurzem wurde die britische Polizei prominentes Opfer des Wurms.
Um mehr als 90 Prozent der Rechner eines grossen Unternehmens mit einem neuen Patch zu sichern, vergehen laut Umfrage bis zu vier Wochen. Viel Zeit wird für langwierige Prüfungen im Vorfeld eines Patch-Updates aufgewendet. „Um akute Risiken – wie die derzeitige Lücke im Internet Explorer - zu minimieren, ist ein schnelles Handeln erforderlich“, sagt Peter Graf, Geschäftsführer von AMPEG.
Vor dem Hintergrund der aktuellen Bedrohungen durch die Sicherheitslecks im Internet Explorer befragte AMPEG 40 IT-Sicherheitsverantwortlichen grosser Unternehmen zu ihren Update-Prozessen.
Rund 90 Prozent der Befragten unterziehen demnach Updates einer internen Prüfung, bevor sie im Unternehmen ausgerollt werden. Nur 32 Prozent der Unternehmen schaffen diese Prüfung in wenigen Stunden. Mehr als die Hälfte benötigt dafür einen kompletten Tag oder länger. In manchen Fällen kann allein die Prüfung bis zu einer Woche dauern. Bis die Patches im gesamten Unternehmen ausgerollt sind, vergehen teilweise bis zu vier Wochen. Gerade wenn es sich um hochkritische Updates handelt, ist dieser Zeitraum zu lang.
Aber auch wenn Prüfung und Rollout schnell erfolgen, können nur 59 Prozent der Befragten überhaupt sicher beantworten, ob der Rollout erfolgreich war. So kommt zum Problem der fehlenden Schnelligkeit noch zusätzlich das Problem der mangelnden Transparenz. Dadurch kann die Qualität der Updateverteilung und somit der IT-Sicherheit nicht überprüft werden. Viele Unternehmen wissen nicht, wie aktuell der Schutz auf ihren Systemen tatsächlich ist. Eine funktionierende Qualitätssicherung in der IT-Sicherheit ist somit nicht möglich. „Je schneller Schwachpunkte im Netzwerk festgestellt werden, desto schneller und präziser können die Security-Verantwortlichen Verbesserungsmassnahmen einleiten“, so Peter Graf.
Wie schlecht es um das IT-Sicherheitsmanagement in deutschen Unternehmen bestellt ist, zeigt unter anderem der Verlauf der Verbreitung des Conficker/Downadup. Der Wurm hat seit Erscheinen vor einem Jahr bis heute 6,5 Mio. IP-Adressen weltweit infiziert. Da die Zahl weiterhin ansteigt, zeigt dies, dass noch immer nicht alle Institutionen gepatcht haben: „Erst vor Kurzem haben wir zwei Hilferufe von Unternehmen erhalten, die sich den Conficker-Wurm eingefangen haben. Ein Jahr nach Bekanntwerden der Computerwurms“, berichtet Graf aus seinem Arbeitsalltag.
Quelle: All-about-security.de; pat; 04.02.2010
< zu den Themen
US-Polizisten fordern schnellen Zugang zu Providern: Provider sollen Kundendaten länger speichern
Eine aktuelle Umfrage unter US-Polizisten bietet einen Einblick in die Arbeitsweise der Strafverfolger. Die Ergebnisse der Umfrage präsentierte ein Polizist aus Arizona bei einem Treffen der Online Safety and Technology Working Group, das vom US-Handelsministerium organisiert wird, berichtet der US-Branchendienst Cnet.
Danach fordern Polizeieinheiten sehr häufig personenbezogene Daten von Providern an. Mehrere tausend Mal pro Jahr verschickten sie Aufforderungen an Unternehmen, personenbezoge Daten herauszugeben. Eine etwa 100 Mann starke Einheit zur Bekämpfung von Online-Straftaten brachte es sogar auf 22'800 Anfragen in einem Jahr. "Den meisten Internetnutzern ist nicht klar, wie oft die Regierung personenbezogene Daten von Unternehmen anfordert und wie oft sie ausgehändigt werden. Und das ohne richterliche Aufsicht", sagte Nicole Ozer von der Bürgerrechtsorganisation American Civil Liberties Union (ACLU) Cnet.
Anders als bei der Überwachung von Telefonen müssen Verfügungen auf Herausgabe von Daten, die an Internetprovider verschickt werden, nicht veröffentlicht werden. Die Unternehmen verschweigen deshalb meist, wie viele Anfragen sie von den Behörden bekommen. "Es scheint, als frage die Regierung nach so vielen personenbezogenen Daten, dass die Internetunternehmen nicht hinterher kommen", schliesst Ozer. Die Polizisten sind allerdings in mehrfacher Hinsicht unzufrieden mit dem Vorgehen. Derzeit müssen sie ihre Verfügungen per Fax, Brief oder E-Mail zustellen. Entsprechend lange dauert es oft, bis die Unternehmen die angefragten Daten per Fax zurückschicken. Eine grosse Zahl der Polizisten (89 Prozent) fordert deshalb die Einrichtung eines polizeieigenen Netzes für die die Kommunikation mit den Providern. Über einer Webschnittstelle sollen sie dann ihre Verfügungen direkt verschlüsselt an die Provider schicken, und diese übermitteln darüber dann die angeforderten Daten. Zudem sprachen sich die Polizisten dafür aus, dass die Provider die Daten ihrer Nutzer, Adresse oder Kreditkartennummer, länger speichern sollen. Eine Mehrheit ist dabei für eine Speicherdauer von einem bis fünf Jahren. Einen Monat oder ein halbes Jahr hingegen halten nur wenige für ausreichend.
Aus ihrer Sicht sind diese Forderungen auch begründet: Knapp zwei Drittel der Strafverfolger gaben an, Ermittlungen seien dadurch, dass Daten nicht mehr verfügbar waren, behindert worden. Knapp die Hälfte gab an, deswegen schon Ermittlungen eingestellt zu haben.
Der Autor der Umfrage, Frank Kardasz, ist Polizist in Phoenix im US-Bundesstaat Arizona und leitet die dortige Arbeitsgruppe "Internet Crimes Against Children". An der Umfrage, die Kardasz im Oktober 2009 durchgeführt hat, beteiligten sich 100 Polizisten. Die Umfrage sei Teil einer grösseren Kampagne der US-Strafverfolger, die neue Bedingungen für Ermittlungen im Internet fordern, sagten zwei eingeweihte Quellen dem Branchendienst. Jedoch war kürzlich auch bekannt geworden, dass sich Beamte der US-Bundespolizei FBI zwischen 2002 und 2006 in mehreren tausend Fällen mit falschen Dringlichkeitsverordnungen Telefonverbindungsdaten verschafft hatten.
Quelle: Golem.de; wp; 04.02.2010
< zu den Themen
AWD streut wieder Daten: Dabei sollten Geld UND Informationen sicher sein, würde man meinen
Das Datenleck beim Finanzdienstleister AWD ist offenbar grösser als angenommen. Der Radiosender NDR Info meldete, er habe Kenntnis von weiteren 12'000 Personendatensätzen erhalten. Darin aufgelistet seien sowohl persönliche Details über Kundenverträge als auch Angaben über ehemalige und noch aktive AWD-Mitarbeiter. Bereits im vergangenen Herbst lagen dem Sender 27'000 sensible Kundendaten aus dem Unternehmensbestand vor.
Die Kundendatensätze enthalten dem Sender zufolge persönliche Angaben, Telefonnummern, Berufsbezeichnung und Einzelheiten zu den mit AWD abgeschlossenen Versicherungsverträgen. Diese haben grösstenteils noch eine lange Laufzeit. Auch das Volumen der Verträge sei aufgelistet, zum Beispiel wie hoch eine Lebensversicherung ist, berichtete NDR Info. Bei mehreren Hundert Kunden seien darüber hinaus auch die Bankverbindungen angegeben. Telefonische Stichproben von NDR Info bei Kunden hätten ergeben, dass es sich um echte Daten handle.
Die Daten der AWD-Mitarbeiter enthalten nach Angaben des Senders neben den persönlichen Angaben auch Details der Versicherungsverträge. Darüber hinaus gibt es Informationen zum Arbeitsverhältnis, zum Beispiel, ob ein Mitarbeiter ein Seminar bestanden hat oder nicht, oder ob eine fristlose Kündigung erfolgt ist.
Der Finanzdienstleister bestreite die Echtheit der Daten nicht, erklärte der Sender. AWD habe mitgeteilt, dass es nach derzeitigen Erkenntnissen aber keinen Datenschutzverstoss gegeben habe. Vielmehr seien die Daten veraltet und offenbar mit krimineller Energie weitergegeben worden. Dies liege ausserhalb des Einflussbereichs von AWD. Der Datenschutzexperte Nikolaus Forgó sagte allerdings, dass sich Unternehmen sehr wohl gegen kriminelle Energien schützen könnten: "Das ist das Schlimmste für ein Unternehmen, wenn man ein Glaubwürdigkeitsproblem durch Sicherheitsmängel hat." Daher müsse ein Unternehmen alles für einen systematischen Schutz tun.
Quelle: Spiegel.de; mik, ddp, apn; 08.02.2010
< zu den Themen
ISO Security-Kennzahlen für mehr Informationssicherheit: Kennzahlen können Informationssicherheit messbar und damit für das Management kalkulierbar machen
Das ist das Ziel der neuen »ISO/IEC 27004 Richtlinie«, einer Subnorm des bekannten Standards für Informationssicherheit ISO 27001. Damit setzen die ISO-Gremien starke Signale in Richtung Kennzahlenkultur, denn bisher standen Messmethoden weniger im Mittelpunkt. »Das für Nicht-Experten nebulose Security-Thema wird mit Kennzahlen greifbar und erhält künftig einen breiteren Stellenwert im Unternehmen«, prognostiziert Erich Scheiber, Geschäftsführer des Zertifizierungsanbieters CIS. Denn durch Erfolgsmessung werde auch für andere Abteilungen sichtbar, in welch hohem Grad die Informationssicherheit alle betrieblichen Bereiche durchdringe – vom Einkauf über das Marketing bis zur Personalverwaltung.
Mit der kürzlich veröffentlichten Subnorm erhalten Unternehmen einen Leitfaden für quantitative Erfolgskontrollen und Berichte in der Informationssicherheit (IS). Damit soll Prozessverbesserung nach »Plan-Do-Check-Act« noch wirksamer und fokussierter ausfallen. Der Standard bietet Messmethoden, mathematische Formeln, Definitionen für Basismasse und abgeleitete Masse, Analysetechniken sowie Entscheidungskriterien für aussagekräftige IS-Indikatoren.
»Insgesamt ist die sehr methodische ISO 27004 nicht für die Eins-zu-Eins-Umsetzung konzipiert. Unternehmen profitieren, wenn sie Inhalte selektiv anwenden und mit ausgesuchten Kennzahlen beginnen«, erklärt CIS-Auditor Herfried Geyer. Teilweise lehnt sich der Inhalt am US-amerikanischen Gegenstück NIST SP 800-55 an, der allerdings mehr Raum für qualitative Bewertungen lässt. »NIST SP 800-55 ist gut mit ISO 27004 kombinierbar und gilt salopp formuliert als praktikable Funktionalisierung des Bauchgefühls«, so Geyer.
Wesentliche Security-Forderungen der Dachnorm ISO 27001 wie Monitoring von Sicherheitsmassnahmen, Dokumentation von Messmethoden oder Evaluierung durchgeführter Schulungen werden mit ISO 27004 bestens erfüllt. Welche Arten von Kennzahlen sinnvoll sind, bleibt dabei je nach Policies und Situation dem Anwender überlassen. Beispiele sind die Kundenstammdaten-Integrität oder der Schulungserfolg in Form des Mitarbeiteranteils in Awareness-Programmen sowie deren Verständnis von vermittelten Inhalten in Prozent (Multiple Choice via Intranet). Ebenso gehören Third-Party-Agreements mit IS-relevantem Zulieferverträgen dazu wie auch die Account-Kontrolle (Fehlerquote bei User Accounts). Ausschlaggebend sind auch Sicherheitsvorfälle (Anzahl/Rückgang pro Jahr mit Klassifizierung der Fälle nach ISO 27001).
»Die Erfolgsmessung mittels Kennzahlen wird künftig zu einer steigenden Anerkennung von Security-Anliegen und IS-Verantwortlichen in Unternehmen führen«, erwartet Geyer. Das eher »IT-lastige« Thema Informationssicherheit könne dadurch auch in den Augen der Mitarbeiter mehr und mehr zu einem ganzheitlichen Anliegen werden, das massgeblich zum Unternehmenserfolg beitragen könne.
Quelle: Computerwelt.at; Edmund E. Lindau; 10.02.2010
< zu den Themen
Datenleck bei deutscher Krankenkasse: Die BKK Gesundheit wird erpresst
Bei der BKK Gesundheit, der mit 1,5 Millionen Versicherten grössten deutschen Betriebskrankenkasse, hat es einem Bericht des TV-Magazins "Kontraste" zufolge ein Sicherheitsleck gegeben. Möglicherweise seien hochsensible medizinische Daten in die Hände von Unbefugten gelangt, berichtet "Kontraste" in seinem Beitrag für die ARD.
Nach Recherchen des TV-Magazins hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefon-Hotline betraut. Diese habe einen Subunternehmer angeheuert, der ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten mit privaten Computern oder Laptops Daten wie medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei offensichtlich beim Schutz personenbezogener Daten vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen. Schaar bezeichnete den Vorgang als "skandalös".
Die BKK Gesundheitskasse hat nach eigenen Angaben die Staatsanwaltschaft eingeschaltet. Ein unbekannter Mann habe in der vergangenen Woche telefonisch nicht konkret bezeichnete Unterlagen zum Kauf angeboten, sagte ein Sprecher der Krankenkasse. Der Mann habe damit gedroht, die Unterlagen zu veröffentlichen. Die BKK Gesundheitskasse sei darauf nicht eingegangen. Wie viel Geld der Unbekannte für die Unterlagen fordert, sei nicht bekannt.
Ob tatsächlich Daten in unbefugte Hände gelangt sind, sei derzeit nicht bewiesen. Allerdings habe die Krankenkasse der Firma, die mit der Betreuung der Telefon-Hotline beauftragt war, den Zugang zu ihrem Rechner entzogen. Das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte und das Bundesversicherungsamt seien informiert worden. Wegen des Erpressungsversuchs wurde laut BKK bereits Strafanzeige gegen Unbekannt erstattet.
Quelle: Spiegel.de; mak, dpa; 11.02.2010
< zu den Themen
Berufseinsteiger gefährden IT-Sicherheit: Arbeitgeber müssen sich mit den Erwartungen ihrer Mitarbeiten auseinandersetzen
Wenn die heutigen Schüler und Studenten in den Job starten, bleibt am PC-Arbeitsplatz kein Bit auf dem anderen. Die Berufsanfänger erwarten modernste IT-Ausstattung und unbeschränkten Zugriff auf soziale Netzwerke und Chatprogramme. Auch wollen sich die Juniors nicht von rigiden Sicherheitsvorgaben gängeln lassen. Diese Prognosen macht die Beartungsfirma Accenture aufgrund einer weitweiten Umfrage unter circa 5600 Personen im Alter zwischen 14 und 27 Jahren.
Die Ergebnisse: Für mehr als jeden dritten Berufseinsteiger (37%) ist ein schlecht ausgerüsteter Computerarbeitsplatz ein Grund, einen Job nicht anzutreten. Mehr als jeder Zweite (55%) will auch im Beruf per Instant Messenger chatten, 45 Prozent ein soziales Netzwerk wie Facebook für die Kommunikation mit Kunden und Kollegen nutzen. Im weltweiten Vergleich fordern die Befragten aus dem asiatisch-pazifischen die meisten Freiheiten, gefolgt von den Nordamerikanern und Brasilianern. Europäische Schüler und Studenten geben sich bescheiden; der Anteil, der hohe Anforderungen an den Bürorechner und die Internetanwendungen stellt, liegt bei allen drei Fragen unter dem weltweiten Durchschnitt.
Die gewünschte Freizügigkeit der Internetgeneration am Arbeitsplatz steht im Gegensatz zu den strikten IT-Sicherheitsvorgaben von Unternehmen. Zwei von drei Berufsanfängern ist das allerdings gleichgültig. Sie verstossen aus Unverständnis oder Unwissenheit gegen Security-Richtlinien. «Den veränderten Umgang mit Technologie können Unternehmen nicht ignorieren», mahnt Gary Curtis, oberster Technologie-Stratege bei Accenture. «Organisationen, die sich nicht darauf einstellen, schrecken qualifizierten Nachwuchs ab. So geht ihnen Potenzial für technologische Innovation durch die Lappen und sie riskieren den Verlust von Wettbewerbsvorteilen.»
Quelle: Computerworld.ch; Mark Schröder; 11.02.2010
< zu den Themen
Cloud Computing: Quo vadis Datenschutz?: Vorsicht ist die Mutter der Porzellankiste
Per Trojaner schleusten sie sich ein und lasen die E-Mails von Dissidenten und Journalisten. Der jüngst von Google gemeldete Angriff mutmasslich chinesischer Cracker auf dessen Webmail-Dienst führte eines deutlich vor: Daten, die im Netz gespeichert sind, sind angreifbar.
Immer mehr Unternehmen setzen aus Kostengründen auf die Datenverarbeitung in der Cloud: "Rechnen in der Wolke" bedeutet, dass Rechenkapazitäten nicht mehr vom Anwender selbst unterhalten, sondern extern zugekauft und über das Netz verwendet werden. Die Anwendungen und Daten befinden sich nicht mehr auf dem lokalen Rechner des Unternehmens, sondern "in der Wolke", also auf irgendeinem Rechner des Anbieters, der in einem beliebigen Land stehen könnte. Amazon, HP, Microsoft, IBM, EMC, Oracle und Google verschieben täglich Daten in Millionen Servern von den USA über Asien nach Europa und wieder zurück - je nach den derzeit verfügbaren Rechenkapazitäten.
Noch vor wenigen Jahren war es für Unternehmen undenkbar, sensible Geschäftsdaten ausserhalb ihrer Firewall zu verarbeiten. Inzwischen ist jedoch das Vertrauen in die Cloud-Computing-Anbieter gewachsen. Über zwei Millionen Unternehmen nutzen bereits Google Apps, darunter Motorola und die Stadt Los Angeles. Jüngst entschied sich auch der Schweizer Ringier-Verlag für Google Apps.
Das heisst: Seine weltweit 8.000 Mitarbeiter arbeiten künftig mit Anwendungen und Daten, die irgendwo im Netz gespeichert sind. Google soll eine Verfügbarkeit von 99,9 Prozent zugesichert haben. Google-Manager Steve Rogers sagte kürzlich in einem Interview mit ORF.at: "Ich persönlich weiss, dass die Wahrscheinlichkeit, dass ein Google-Datencenter down ist, quasi gegen null geht. Es ist viel wahrscheinlicher, dass meine Festplatte defekt wird." Aber sind die Daten deshalb auch sicher?
Das Beratungsunternehmen Pew Research geht in einer aktuellen Trendstudie jedoch davon aus, dass immer häufiger Nutzer künftig über kleine mobile Geräte mit grossen Datensets und -anwendungen in der Cloud hantieren werden. Der aktuelle Cisco-Sicherheitsbericht empfiehlt jedoch Unternehmen und Organisationen dringend, die Sicherheitsmassnahmen bei Anbietern für Cloud-Computing zu klären. Denn gerade weil viele Unternehmen sich nun bei einem Anbieter tummeln, bietet dieser für Angreifer ein umso attraktiveres Ziel. Grosse Cloud-Anbieter wie Amazon, Google und Microsoft können ihre Kunden nur überzeugen, wenn sie nicht nur eine nahezu hundertprozentige Verfügbarkeit garantieren können, sondern auch Vertraulichkeit und Integrität der Daten.
Marit Köhntopp, stellvertretende Landesdatenschützerin in Schleswig-Holstein, schrieb jüngst in einem Kommentar der Datenschutzzeitschrift DANA: "Selbst wenn man unterstellt, dass die Betreiber selbst keinen Blick in die verarbeiteten Daten werfen, ist ein Schutz vor unerwarteten Zugriffen nicht gewährleistet - beispielsweise wenn nationale Geheimdienste aus Gründen der vielfach als Argument angeführten 'inneren Sicherheit' die Daten analysieren oder sogar explizit Industriespionage- Aufgaben ausüben."
Köhntopp sieht im Datenschutz daher einen "Cloud-Enabler, nicht Verhinderer". Ähnlich scheint das auch die amerikanische Handelsbehörde Federal Trade Commission (FTC) zu bewerten. Sie untersucht im Moment Sicherheits- und Datenschutzprobleme des Cloud-Computing, um Auswirkungen auf den Verbraucherschutz festzustellen. Betroffen sind nicht nur Anbieter reiner Rechenleistung, sondern auch Anbieter von Web-Diensten wie den Online-Office-Anbieter Zoho. Unter anderem wird die FTC dabei zwischen den Rechten von Verbrauchern sowie den Rechten und Pflichten von Unternehmen unterscheiden. Die allermeisten Cloud-Computing-Anbieter kommen aus den USA.
Interessant ist daher die vor wenigen Tagen von Microsoft angeschobene Gesetzesinitiative zum Schutz von Verbrauchern in der Cloud. Microsoft-Anwalt Brad Smith sagte zu diesem Anlass: "Wessen Gesetze gelten denn, wenn Sie in einem Land leben, aber Ihre Daten in einem anderen Land gespeichert werden?" Microsoft fordert daher ein internationales Abkommen, um starke Datenschutzregeln durchsetzen zu können. Auf diese Weise soll der grenzüberschreitende Datenaustausch für Unternehmen rechtssicher werden.
Derzeit sei nämlich die Lage so unklar, meint Microsoft, dass mögliche Fallen und Gefahren den globalen Handel beeinträchtigten. US-Provider müssten sich bereits in Brasilien, Belgien und anderen Ländern vor Gericht für Datenverluste rechtfertigen. Das bestätigt auch der schleswig-holsteinische Landesdatenschützer Thilo Weichert gegenüber ORF.at: "Die Lage ist völlig unübersichtlich und intransparent gegenüber dem Nutzer. Und es gibt bislang keinen brauchbaren Regulierungsansatz." Wirtschaftsspionage sei dabei ein "riesiges Problem".
Die Europäische Datenschutzrichtlinie verbietet das Speichern personenbezogener Daten in Ländern, die keinen adäquaten Datenschutz garantieren können. US-Unternehmen müssen dem Safe-Harbor- Abkommen beitreten, wollen sie Daten von Europäern verarbeiten. Es soll einen "angemessenen Schutz" garantieren – doch seit zehn Jahren gibt es trotz zahlreicher Verstösse erst einen Fall, der tatsächlich vor einem US-Gericht gelandet ist. Der Microsoft-Vorschlag sieht bezeichnenderweise denn auch gar keine Sanktionen vor. Marit Köhntopp ist sich jedenfalls sicher: "Das Prinzip der 'freien Cloud' wird nur dann den jetzigen Kinderschuhen mit 'Spielapplikationen' entwachsen, wenn 'trusted und trustworthy Clouds' - also mit integrierten Datenschutz- und Datensicherheitsgarantien, wie die Kunden es brauchen - auf dem Markt verfügbar sind."
Quelle: Futurezone.orf.at; Christiane Schulzki-Haddouti; 19.02.2010
< zu den Themen
Kritische Infrastrukturen in der Cyberwar-Ära: Infrastruktur-Anbieter vernachlässigen IT-Sicherheit
Gross angelegte Angriffe auf Infrastruktur-relevante Unternehmen sind keine Seltenheit. Rund 600 IT-Sicherheitsbeauftragte von Infrastruktur-Anbietern hat McAfee zu diesem Thema befragt. 54 Prozent davon gaben an, bereits einer Attacke durch kriminelle Banden, Terroristen oder ausländische Staaten zum Opfer gefallen zu sein. Die dadurch verursachten Ausfälle verursachen einen finanziellen Schaden von durchschnittlich 6,3 Millionen US-Dollar (etwa 4,45 Mio. Euro) pro Tag. Eine kurz- bis mittelfristige Besserung der Gefahrenlage ist den Befragten zufolge nicht in Sicht. Gut 40 Prozent erwarten noch im Jahr 2010 schwere Angriffe auf ihre IT. Nur 20 Prozent der Umfrage-Teilnehmer glauben, dass sie in den kommenden fünf Jahren ausreichend vor schweren Cyberangriffen geschützt sind.
Demgegenüber meint ein Drittel der Befragten, dass der Infrastruktur-Sektor nicht ausreichend auf gross angelegte Angriffe oder die heimliche Infiltration der Netzwerke vorbereitet ist. Dies ist laut McAfee darauf zurückzuführen, dass viele Infrastrukturen auf Zuverlässigkeit und Verfügbarkeit ausgelegt sind und nicht auf Sicherheit.
Bislang hätten Infrastruktur-Anbieter vor allem bauliche Sicherheitsvorkehrungen und den traditionellen Werkschutz vorangetrieben. Gegen Cyberattacken seien sie hingegen wenig bis gar nicht gewappnet, obwohl ihre Netze durch Internet-Anbindung von überall erreichbar sind.
Aufgrund der Wirtschaftskrise ist aber auch hier vorerst nicht mit Fortschritten zu rechnen: Zwei Drittel der IT-Verantwortlichen müssen in diesem Jahr mit einem beschnittenen Sicherheitsbudget auskommen. Bei einem Viertel betrug die Kürzung 15 Prozent oder mehr. Besonders sind davon die Strom-, Öl- und Gasversorgung betroffen.
Interessant ist auch die Einschätzung staatlicher Aktivitäten: 60 Prozent der Befragten glauben, dass Vertreter ausländischer Staatsorgane bereits in fremde Infrastrukturen eingedrungen sind. Die Befragten meinen, dass das grösste Risiko von den USA (36 Prozent) und China (33 Prozent) ausgeht.
Quelle: Searchsecurity.de; Stephan Augsten; 01.02.2010
< zu den Themen
US-Repräsentantenhaus verabschiedet Cybersecurity-Gesetz: Besserer Schutz für Regierung und Behören - Aber zu welchem Preis?
Das US-amerikanische Repräsentantenhaus hat mit 422 zu 5 Stimmen das Gesetz "Cybersecurity Enhancement Act of 2009" zur Verbesserung der IT-Sicherheit des Landes verabschiedet. Mit dem vom republikanischen Abgeordneten Daniel Lipinski eingebrachten Gesetzesvorhaben soll erreicht werden, dass Regierung und Behörden durch Schulungen, Forschung und Koordination besser gegen Attacken aus dem Cyberspace gewappnet sind. Das Gesetz muss noch die zweite Kammer des US-Parlaments, den Senat, passieren.
Laut dem Gesetzentwurf muss das US-amerikanische National Institute of Standards and Technology (NIST) innerhalb eines Jahres Pläne für die Beteiligung der USA an der Entwicklung internationaler Standards für Cybersicherheit vorlegen. 90 Tage Zeit soll das NIST dafür bekommen, Entwürfe für Schulungen zur Verbesserung der Cybersicherheit auszuarbeiten. Darüber hinaus soll jede Behörde der US-Regierung einen Plan zur Verbesserung der Cybersicherheit durch Forschung und Entwicklung sowie für ihre Finanzierung vorlegen. Dabei sollen offizielle Stellen mit der Privatwirtschaft kooperieren, wie es US-Präsident Barack Obama im Mai 2009 gefordert hatte.
Mit dem Gesetz reagieren die Abgeordneten auf Bedenken, die USA seien gegen Angriffe auf ihre IT-Infrastruktur nur unzureichend geschützt. Das hatte beispielsweise der US-Rechnungshof Government Accountability Office wiederholt angemahnt. Die Befürworter des Gesetzes sehen eine zunehmende Bedrohung durch Kriminelle, die das Internet für ihre Zwecke nutzen. Repräsentantenhaus-Abgeordnete hatten berichtet, ihre Computer seien von China aus kompromittiert worden.
Bisher investieren US-Bundesbehörden jährlich 6 Milliarden US-Dollar in den Schutz der IT-Infrastruktur, zusätzlich wurden jährlich 356 Millionen US-Dollar in die IT-Sicherheitsforschung eingebracht. Für die Umsetzung des Cybersecurity Enhancement Act of 2009 werden für 2010 bis 2014 zusätzliche Kosten von bis zu 1 Milliarde US-Dollar veranschlagt.
Quelle: Heise.de; anw; 05.02.2010
< zu den Themen
Ab ins Puff? Passen Sie auf, wer Ihnen zuschauen könnte: Liveübertragung vom Bordelleingang dank fehlender Verschlüsselung
Wer in eine Apotheke geht, um sich zu informieren, macht dies im Vertrauen darauf, dass die Informationen nicht nach aussen dringen. Das ist aber nicht immer so, denn dank der Verbreitung kostengünstiger Überwachungstechnik kann es durchaus möglich sein, dass das Gespräch jemand anderes unbemerkt vom Auto aus abhört.
Mit einem handelsüblichen Empfangsgerät für bestimmte Modelle von Überwachungskameras ist es möglich, die Kameraüberwachung von Geschäften oder anderen Unternehmen anzuzapfen, ohne Passworteingaben. Das hat das NDR-Fernsehen herausgefunden.
Die Kameras funken auf dem 2,4-GHz-Band und - so NDR Das Magazin und die Tagesthemen - können ihre Daten nicht verschlüsseln, was anscheinend an der verwendeten Funktechnik, nicht aber an der Frequenz liegt. Damit steigt die Gefahr einer unbemerkten Überwachung.
Pikant an der Sache ist die Verbreitung dieser unsicheren Sicherheitskameras. Auf einer Testtour entdeckte das NDR-Team der Sendung Das Magazin unter anderem einen Supermarkt, der einfach angezapft werden konnte. So war es möglich, sich anzuschauen, was die Kunden kauften. Auch ein Sanitätshaus und ein Kiosk konnten drahtlos angezapft werden. Und das sind noch harmlose Beispiele. Es war auch möglich, an die Audioaufzeichnungen heranzukommen. Die Entfernung zwischen Sicherheitskamera und dem Abhörwagen erreichte in einem Fall sogar einen halben Kilometer, so die Angaben der Reporter. Das Potenzial solcher Sicherheitslücken, die wohl häufig anzutreffen sind, ist enorm: Mit Überwachungskameras, die es Kriminellen ermöglichen, die PIN beim Einkauf auszuspionieren, muss ein Kunde wohl rechnen. Eine überwachte Apotheke kann Informationen über Krankheiten eines Kunden leicht verfügbar machen und damit das Vertrauensverhältnis zwischen Apotheker und Kunde schwer schädigen.
Sogar der Eingang eines Bordells konnte von Fremden aus der Ferne mitbeobachtet werden. Derartige Versuche sind natürlich strafbar. Das ist dann allerdings die einzige Hürde, denn der Angriff selbst, das zeigte Das Magazin, ist viel zu einfach und schwer aufzudecken. Auch Ladenbesitzer, die unerlaubt zum Bild Tonaufzeichnungen zulassen, müssen mit Geldbussen rechnen. Wie viele dieser Kameras im Einsatz sind, konnte das NDR-Team nicht erfahren. Auf den gemachten Erfahrungen beruhend wird mit mehreren tausend Kameras gerechnet. Dagegen wehren kann sich der Kunde beispielsweise, indem er das Geschäft, das er besucht, genauer auf Überwachungskameras hin untersucht und beispielsweise bei der Eingabe einer PIN nicht nur den Mitmenschen den Blick aufs Zahlenfeld unmöglich macht.
Quelle: Golem.de; as; 29.01.2010
< zu den Themen
Datenschutz in Unternehmen: Wollen die User keine Ahnung haben?
Europäer möchten umfassender über die Nutzung ihrer personenbezogenen Daten durch Unternehmen informiert werden. Nur 15 Prozent der Europäer fühlen sich gut oder sehr gut darüber informiert, wie ihre personenbezogenen Daten durch Unternehmen oder Behörden verwendet und verarbeitet werden.
In Deutschland sind dies sogar nur 12 Prozent. Dies sind die Ergebnisse einer Strassenumfrage bei 367 Personen, die im Januar 2010 in Deutschland, Frankreich, Grossbritannien, Italien, den Niederlanden, Schweden und Spanien durchgeführt wurde. Auftraggeber der Umfrage war SafeNet, ein Lösungsanbieter für Unternehmenssicherheit und Software-Rechte-Management.
Mehr als die Hälfte aller Befragten beklagte einen Mangel an Informationen in Bezug auf die Verwendung von personenbezogenen Daten. Gleichzeitig gaben weniger als 10 Prozent an, stets zu überprüfen, wie der Schutz der personenbezogenen Daten erfolgt. Deutschland ist eine positive Ausnahme, denn hier prüfen 26 Prozent aller Befragten vor der Weitergabe ihrer Daten immer zunächst deren Verwendung. Weitere 26 Prozent gaben an, dies zumindest häufig zu tun.
In anderen europäischen Ländern wird weniger kontrolliert: Mehr als zwei Drittel aller Europäer lesen sich eigenen Angaben zufolge selten oder nie die Datenschutzrichtlinien durch, bevor sie vertrauliche Informationen weitergeben. In den Niederlanden gaben 59 Prozent an, Datenschutzrichtlinien niemals zu lesen. Dies deckt sich mit dem Ergebnis, dass sich 34 Prozent der in den Niederlanden befragten Personen ausreichend informiert fühlen.
Auf die Frage, wie viel Vertrauen sie in sechs verschiedene Unternehmensarten in Bezug auf den Schutz personenbezogener Daten hätten, gaben die Europäer ein einheitliches Bild ab, denn Social Networking-Websites wurden durchweg negativ bewertet. Auf einer Skala von 1 (vollstes Vertrauen) bis 5 (überhaupt kein Vertrauen) schnitten Social Networking-Webseiten mit durchschnittlich 4,09 Punkten am schlechtesten ab, gefolgt von Telekommunikationsanbietern mit 3,50 Punkten und eCommerce-Unternehmen mit 3,26 Punkten. Interessanterweise erhielten Ärzte/Krankenhäuser hier mit 1,94 Punkten die beste Bewertung, gefolgt von Banken mit 2,02 Punkten und Behörden mit 2,30 Punkten.
Während die Ergebnisse für andere Unternehmen von Land zu Land variierten, erhielten soziale Netzwerke in allen Ländern die schlechtesten Bewertungen. Noch negativer als in den anderen Ländern fiel die Bewertung für die sozialen Netzwerke in Deutschland aus – mit einem Schnitt von 4,54 Punkten bleibt wenig Spielraum nach unten. Die Daten-Skandale der vergangenen Monate dürften wesentlich zu dieser schlechten Beurteilung beigetragen haben. Obwohl Banken in allen Ländern zu den vertrauenswürdigsten Unternehmen zählten, sahen viele der Befragten (36 Prozent) durchaus dringenden Nachbesserungsbedarf beim Schutz von personenbezogenen Daten und Kontodaten im Bankwesen. In Schweden und Italien forderte etwa jede zweite befragte Person einen besseren Datenschutz durch die Banken, während diese Forderung in Frankreich nur von 22 Prozent der Befragten geäussert wurde.
Dabei ist der Wunsch nach besserem Datenschutz scheinbar nicht auf mangelnde Informationen zurückzuführen. Denn drei von vier Befragten wussten zumindest im Wesentlichen darüber Bescheid, auf welche Sicherheitsmassnahmen die eigene Bank zum Schutz von Kundendaten setzt. Insbesondere in Deutschland kennen sich die Kunden vergleichsweise sehr gut mit den Sicherheitsmassnahmen ihrer Banken zum Schutz von personenbezogenen Daten aus. So konnten 70 Prozent der Befragten einige dieser Massnahmen aufzählen, während in Frankreich nur 14 Prozent dazu in der Lage waren.
"Diese Strassenumfrage zeigt, dass es bei den Bürgern offensichtlich eine grosse Unsicherheit in Bezug auf den Datenschutz gibt. Die Menschen möchten sich einerseits nicht durch komplizierte Datenschutzrichtlinien kämpfen, andererseits sind sie sehr daran interessiert, dass ihre personenbezogenen Daten gut geschützt sind", sagt Ansgar Dodt, Director Sales EMEA bei SafeNet. "Es überrascht nicht, dass das Vertrauen gerade bei den Unternehmen sehr gering ist, die in der Vergangenheit Sicherheitslücken zugeben mussten und grosse Mengen an Kundendaten verloren haben. Für diese Unternehmen sollte die Sicherung von Kundendaten höchste Priorität haben, denn das Vertrauen der Kunden kann nur dann wieder hergestellt werden, wenn die Serie schlechter Nachrichten über Sicherheitslücken aufhört. SafeNet kann auf eine langen Erfolgsgeschichte beim Schutz sensibler Daten und personenbezogener Informationen verweisen unb berät Unternehmenskunden seit vielen Jahren erfolgreich, wenn es um maximale Sicherheit für Kundendaten geht."
Würde ein Unternehmen ihre persönlichen Daten verlieren, würde mehr als die Hälfte der Befragten nach eigenen Angaben sofort die Geschäftsbeziehungen mit diesem Unternehmen abbrechen, in Grossbritannien sogar 70 Prozent. Weitere 30 Prozent würden die Polizei, eine Verbraucherschutzorganisation oder beides einschalten, und 14 Prozent würden sogar rechtliche Schritte einleiten. In Deutschland würde sich rund ein Drittel der Befragten an eine Verbraucherschutzorganisation wenden, etwa doppelt so viele wie im europäischen Durchschnitt.
Quelle: Compliancemagazin.de; ra; 12.02.2010
< zu den Themen
Safe Harbor-Abkommen: Freibrief für amerikanische Datenschutz-Sünder?: Schauen Sie genau hin, bevor Sie Ihre Daten in die USA schicken
Der deutsche Datenschutz stellt das sogenannte Safe-Harbor-Abkommen, das die Europäische Union vor einem Jahrzehnt mit den USA geschlossen hat, auf den Prüfstand. Im April 2010 werden sich die Datenschützer des Düsseldorfer Kreises in Hannover treffen und eine entsprechende Entschliessung diskutieren. Das Safe-Harbor-Abkommen sollte eigentlich garantieren, dass personenbezogene Daten, die von Europa aus an Unternehmen in den USA übermittelt werden, dort auf Basis der höheren EU-Datenschutzstandards verarbeitet werden.
Ein Gutachten des US-Beratungsunternehmens Galexia mit dem Titel "The US Safe Harbor - Fact or Fiction?" habe jedoch "gewaltige Vollzugsdefizite" aufgezeigt, verdeutlicht der schleswig-holsteinische Landesdatenschützer Thilo Weichert. Die Studienverfasser hatten unter anderem festgestellt, dass 206 Unternehmen zwar behaupteten, Mitglied von Safe Harbor zu sein, es aber in Wirklichkeit gar nicht waren. Lediglich 348 Unternehmen hatten die Mindestvoraussetzungen des Abkommens erfüllt. Die in der Studie aufgedeckten Missstände blieben weitgehend ohne Konsequenzen. Nur ein einziges Unternehmen ist bislang wegen Falschangaben von einem kalifornischen Gericht verurteilt worden, das jedoch keine Sanktionen wie etwa Bussgelder verhängt hatte.
"Immer häufiger werden den Datenschützern Fälle und Beschwerden bekannt, die sich in den USA abspielen", kritisiert Weichert. Doch wie die Galexia-Studie gezeigt habe, würden dort keine Schutzmassnahmen getroffen. Für Weichert steht daher fest: "Das Safe-Harbor-Abkommen ist zu einer Art Freibrief für die Amerikaner geworden." Eine Fortschreibung des Abkommens sei daher nicht möglich, da es seinen Sinn und Zweck nicht erfülle.
Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, der für die Unternehmen Google und Facebook zuständig ist, sieht das ähnlich: "Die Aussagekraft des Abkommens ist sehr kritisch anzusehen", sagte er heise online. Es gebe keine Zertifizierung oder Evaluierung der Anbieter. Sie müssten lediglich Geld zahlen, damit wäre die Mitgliedschaft abgegolten. Es sei daher an der Zeit, sich "grundsätzlich Gedanken über den Sinn des Abkommens zu machen".
Quelle: ct.de; Christiane Schulzki-Haddouti, pmz; 17.02.2010
< zu den Themen
Kneber: Mehr als 75'000 Computer infiziert?: Angeblich 75 Gigabyte Daten beschafft
Im Internet läuft nach Informationen des "Wall Street Journal" eine weltumspannende Attacke auf Computer, in deren Verlauf binnen 18 Monaten rund 75'000 Geräte in 196 Ländern geknackt wurden. Die Zeitung berichtet unter Berufung auf das Cyber-Sicherheitsunternehmen NetWitness, dass die Attacke von osteuropäischen Hackern ausgeht. Sie soll in Deutschland 2008 gestartet worden sein und inzwischen mehr als 2400 Unternehmen oder Organisationen erreicht haben, darunter auch zehn US-Regierungsstellen.
Insbesondere über soziale Netzwerke würden gefährliche Angebote zum Herunterladen angeblicher Sicherheitsprogramme verbreitet. Als Einfallstor seien Schwachstellen in den Windows-Programmen XP und Vista genutzt worden. Den Crackern, so die korrekte Bezeichnung für kriminelle Hacker, gelang es NetWitness zufolge, auf die Daten geknackter Computer zuzugreifen und unter anderem Banküberweisungen mitzulesen. NetWitness will das Abfischen von insgesamt rund 75 Gigabyte Daten nachgewiesen haben, darunter vertrauliche Dokumente und Zehntausende Zugangspasswörter zu verschiedenen Formen von Online-Accounts, darunter Bankkonten.
Unter den Geschädigten befänden sich grosse Unternehmen auch im Bankensektor sowie Verwaltungen. Als konkrete Opfer werden in dem Zeitungsbericht die Filmstudios Paramount, das Pharmaunternehmen Merck & Co und ausserdem Cardinal Health genannt. Die beiden letzteren Firmen hätten mitgeteilt, sie hätten das Problem eingegrenzt.
Den NetWitness-Experten zufolge ist bei der Attacke ein "Kneber" getauftes sogenanntes Botnet am Werk. Unter einem Botnet versteht man ein Netzwerk aus ferngesteuerten Rechnern, die von einem sogenannten Bot-Herder kontrolliert werden. Die Spähattacke soll über den hinlänglich bekannten Zeus- oder auch Zbot-Trojaner aufgebaut worden sein. Trojaner dringen in Rechner ein, öffnen eine Hintertür in deren Absicherung und kommunizieren dann Informationen von den befallenen Computern an die Angreifer. Zum Botnet werden solche Rechner, wenn sie auf Befehle von aussen reagierend dazu bewegt werden können, koordiniert Aufgaben wie Spam-Versand oder Attacken auf Websites auszuführen.
Der Zeus-/Zbot-Trojaner geht seit dem Sommer 2007 um und war bisher vor allem als Keylogging- Trojaner berüchtigt, der per Drive-by oder Phishing-E-Mail verbreitet wurde. Beim Keylogging protokolliert der Trojaner Tastatureingaben des Nutzers und sendet sie an die Angreifer. So können diese sogar Passwörter verschlüsselter Seiten mitlesen.
Mit Bot-Netzen wurde Zeus erstmals 2008 in Verbindung gebracht - insofern ist die Entdeckung von NetWitness nichts wirklich Neues. Der Trojaner machte im Mai 2009 Schlagzeilen, als sein damals rund 100'000 Computer umspannendes Botnet abrupt abgeschaltet wurde - was auch die befallenen Rechner lahmlegte. Zu ersten Verhaftungen angeblicher Zeus-Botnet-Betreiber kam es dann im November 2009 im britischen Manchester. Allerdings setzte das den Aktivitäten des Zeus-Botnets kein Ende.
Schon Ende 2009 wurde das wieder aktive Netz auf rund 75'000 befallene Rechner geschätzt. Die Erklärung dürfte sein, dass Zeus kein von einer einzelnen Gruppe vertriebenes oder genutztes Schadprogramm ist. Wahrscheinlich ist, dass Trojaner und Botnet-Steuersoftware als sogenanntes Toolkit auf dem kriminellen Markt angeboten werden und mehrere Organisationen oder Kriminellengruppen die Software gleichzeitig einsetzen - und das zeitweilig in offener Konkurrenz zueinander. So wird vermutet, dass die Abschaltung des damals grössten Zeus-Botnets Anfang 2009 auf die Attacke eines Konkurrenten zurückgehen könnte.
Auch aktuell steht das Zeus-Botnetz unter Druck. Anfang Februar 2010 gelangte Spy Eye in Umlauf, ein eng verwandtes Schadprogramm, das zum einen darauf abzielt, Zeus auf befallenen Rechnern zu löschen - und zum anderen seinen Platz einzunehmen. Seine Funktionen scheinen deckungsgleich mit denen von Zeus zu sein. Der Trojaner verdrängt seinen Konkurrenten nur, führt die Ausschnüffelung des Systems aber fort und übernimmt auch dessen Botnet-Strukturen.
Auch das ist nicht ungewöhnlich, sondern ein seit mehr als einem Jahrzehnt immer wieder beobachtetes Muster. Es erschwert nur die Zuordnung einer Attacke zu einem Angreifer. Es ist, als klauten sich Kriminelle gegenseitig ihre Waffen und begingen damit dann weiter Verbrechen. So ist der aktuelle Zeus/Kneber-Fall wahrscheinlich weit weniger spektakulär, als NetWitness glauben machen will - argumentiert zumindest der renommierte IT-Journalist John Markoff in der "New York Times". Er verweist darauf, dass der noch immer aktive Conficker-Computerwurm nicht 75'000 Rechner befallen, sondern zeitweilig 15 Millionen habe. Aktuell soll es sechs Botnets mit mehr als 100'000 befallenen Rechnern geben. Conficker ist mit angeblich noch immer zehn Millionen nach wie vor das grösste.
Doch Grösse allein ist kein Massstab. Conficker wird zurzeit vor allem für die Selbstverbreitung eingesetzt. Als weit gefährlicher wird das Storm-Botnet eingeschätzt, das nur leicht grösser als das nun entdeckte Zeus/Kneber-Netz sein dürfte, das es von seiner Grösse her nur knapp in die Top 10 der grössten aktiven Botnetze schaffen würde. Storm wird mit einer Vielzahl verschiedener krimineller Angriffe in Verbindung gebracht, vom Spam-Versand über Passwort- und Identitätsdiebstahl bis hin zu koordinierten Attacken gegen Webserver. Es ist damit ein typisches kommerziell genutztes Botnet, dessen Dienstleistungen man sich auf dem kriminellen Markt regelrecht mieten kann. Als Betreiber des Botnets steht unter anderem das berüchtigte Russian Business Network in Verdacht. So wie bei Zeus/Kneber? Noch gibt es keine konkreten Hinweise, wer da im Botnet die Fäden zieht. NetWitness wagt sich zumindest soweit vor, auch die Betreiber dieses kriminellen Netzes in Russland zu vermuten.
Immerhin gibt es Indizien, die darauf hindeuten, dass die Verbreiter von Zeus/Kneber in der etablierten Netzkriminellen-Szene bestens verdrahtet sind. Mehr als die Hälfte der Rechner, auf denen NetWitness das Kneber-Botnet fand, waren auch mit dem Botnet Waledac befallen. NetWitness deutet das als Indiz für eine Kooperation. Auch Waledac ist ein alter Bekannter, von dem man sehr genau weiss, wie er verbreitet wurde: Huckepack per Conficker. Wo der herkommt, ist nach wie vor unbekannt - obwohl hohe Belohnungen auf sachdienliche Hinweise ausgesetzt wurden. Wenn NetWitness mit der vermuteten Kooperation recht hat, sieht es so aus, als hätten die Verbreiter von Zeus/Kneber sich zumindest einen Teil ihres Botnet-Aufbaus beim selben kriminellen Dienstleister gemietet.
Quelle: Spiegel.de; Frank Patalong, afp; 18.02.2010
< zu den Themen
Erst die Banken, jetzt die Tankstellen: Was wird als nächstes geskimmt?
Laut US-Medien Kriminelle in grösserem Umfang die Lesegeräte für Bezahlkarten an Tankstellensäulen manipuliert, um an Kartendaten zu gelangen. Bis jetzt kannte man solche Angriffe eher von Bankautomaten, bei denen Betrüger mit sogenannten Skimming-Aufsätzen vor dem Eingabeschlitz die Kartendaten auslesen, um damit später Kopien anzufertigen. Die PIN spähen sie mit einer versteckten Kamera oder einem zusätzlichen PIN-Pad aus, das sie über das Original-Tastenfeld legen.
In den neuen Fällen sendeten die an den Terminals der Säulen angebrachten Skimming-Geräte die ausgelesenen Daten per Bluetooth an die Kriminellen, die sich in der Nähe aufhalten. Mit den nachgemachten Karten konnten diese dann später laut Bericht Geld an Automaten abheben. Rund 180 Zapfsäulen mit Bezahlfunktion sollen die bislang unbekannten Täter manipuliert haben. Auch in Europa trifft man immer häufiger auf Tankstellen, auf denen man direkt an der Zapfsäule bezahlen kann.
Quelle: Heise.de; dab; 23.02.2010
< zu den Themen
Wollen Sie Ihre Daten der Cloud übergeben?: Einige Tipps, was Sie bei Vertragsabschluss beachten sollten
Viele Unternehmen fürchten, mit Cloud Computing juristische Risiken einzugehen – etwa beim Datenschutz. "Cloud Computing hat in der IT-Welt eine leidenschaftliche Debatte ausgelöst – auch bei den Juristen. Viele warnen vor den Risiken bei Vertragsabschluss. Doch wer unsere 'Tipps und Tricks' beachtet, ist auf der sicheren Seite", erklärt Stefan Wendt, Senior Expert und Jurist bei microfin. Wendt empfiehlt, aus den Erfahrungen bei der Gestaltung von IT-Outsourcing- und ASP-Verträgen zu lernen: "Die vertragsrechtlichen Fallstricke beim Cloud Computing sind keineswegs neu; die juristischen Fragestellungen sind im Grunde dieselben wie bei den etablierten Angeboten zum Auslagern von IT-Services", so der microfin- Experte. Wendt ist davon überzeugt, dass auch bei Cloud-Computing-Verträgen die Allgemeinen Geschäftsbedingungen angewandt werden, sobald das Rechnen in der Wolke zum Massengeschäft geworden ist. Doch bis es soweit ist, sollten sich die Auftraggeber von Outsourcing- und ASP-Projekten abschauen, wie sich Cloud Computing-Verträge vorteilhaft gestalten lassen. Die folgenden Punkte sollten genau unter die Lupe genommen werden :
1. Leistungsbeschreibung:
Achten Sie auf eine differenzierte und vollständige Leistungsbeschreibung, die einen bedarfsgerechten Bezug der Leistungen aus der Cloud sicher stellt.
Dies bedeutet: Treffen Sie klare Vereinbarungen über Zugangszeiten und Datenvolumina und zahlen Sie nur für tatsächlich genutzte Kapazitäten. Nur so lassen sich künftige Diskussionen um Regelungslücken vermeiden.
2. Service Level:
Vereinbaren Sie für die Verfügbarkeit eindeutige Service Level und regeln Sie, in welchen Fällen Unterbrechungen, etwa bei Wartungen, zulässig sind.
3. Datenschutz:
Die Kunden bleiben in letzter Konsequenz für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten verantwortlich. Lassen Sie sich deshalb einen ausreichenden Datenschutz vom Provider zusichern. Es ist empfehlenswert, im Zweifelsfall nach Sicherheitszertifikaten wie ISO 27001 zu fragen und diese als vertragliche Bestandteile aufzunehmen.
4. Transparenz:
Mitunter wird den Kunden verschleiert, wo und von wem ihre Daten tatsächlich verarbeitet werden. Deshalb sollten Sie im Detail festlegen, ob und unter welchen Bedingungen Drittprovider zum Zuge kommen. In jedem Fall sollte der Kunde eine Weisungsbefugnis in den Vertrag aufnehmen.
5. Gesetzliche Standards:
Vorsicht bei vorgesehenen Datentransfers über die Landesgrenzen der Schweiz oder der EU hinweg. Der Vertrag muss dann deutlich regeln, ob und welche mit dem Datenschutzniveau der Schweiz oder der EU vergleichbare gesetzliche Standards gelten, und sollte alle Phasen der Datenverarbeitung beschreiben.
6. Gerichtsstand:
Werden Services im Ausland erbracht, beachten Sie bei Vertragsschluss, welche Rechtsordnung gelten und welcher Gerichtsstand vereinbart werden soll. Wer den Dienstleister verklagen will, sollte dies schon aus Kostengründen in der Schweiz tun können.
7. Eskalationsstufen:
Stützen die Cloud-Services kritische Unternehmensbereiche, gehört in den Vertrag zwingend eine Vereinbarung für Eskalationen und Notfälle.
Quelle: Compliancemagazin.de; 24.02.2010
< zu den Themen
Special Event mit Prof. Dr. Toni Wäfler vom 23. - 24. April 2010: Mensch, Technik und Organisation – Optimierung eines komplexen Zusammenwirkens:
Intensivseminar mit Prof. Dr. Toni Wäfler,
Professor an der Hochschule für Angewandte Psychologie (APS) der Fachhochschule Nordwestschweiz (FHNW), Gründungsmitglied, Partner und Senior Consultant des Instituts für Arbeitsforschung und Organisationsberatung
Mensch, Technik und Organisation – Optimierung eines komplexen Zusammenwirkens
Der Beitrag des Menschen zur Zuverlässigkeit komplexer, technisierter Arbeitsprozesse – und die Voraussetzungen dafür, dass der Mensch seinen Beitrag leisten kann
Ihr nächster Termin in Zürich: 23. - 24. April 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Werner Blessing am 5. Mai 2010: Biometrische Authentisierung:
Intensivseminar mit Werner Blessing, Spezialist für biometrische Authentisierung
Biometrische Authentisierung
Sicherheit, Komfort und Kosten? Welche Anwendung ist ausgereift?
Ihr nächster Termin in Zürich: Mittwoch, 5. Mai 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Dr. iur. Ulrich Zwygart am 27. Mai 2010: Wie trifft man Entscheidungen in schwierigen Situationen?:
Intensivseminar mit Dr. iur. Ulrich Zwygart, ehemaliger Divisionär und Kommandant der Höheren Kaderausbildung der Schweizer Armee, Global Head Learning and Development der Deutschen Bank in London
Wie trifft man Entscheidungen in schwierigen Situationen?
Erfolgsfaktoren in der Entscheidungsfindung
Ihr nächster Termin in Zürich: Donnerstag, 27. Mai 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Dr. Jens Hoffmann vom 31. Mai - 1. Juni 2010: Gewalt und Drohungen am Arbeitsplatz:
Intensivseminar mit Dr. Jens Hoffmann, Diplom-Psychologe und Mitbegründer der Partnerschaftsgesellschaft „Team Psychologie & Sicherheit“ (TPS)
Gewalt und Drohungen am Arbeitsplatz
Gefahren erkennen, einschätzen und entschärfen
Ihr nächster Termin in Zürich: 31. Mai - 1. Juni 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit Dr. Urs E. Zurfluh und Prof. Dr. Hannes P. Lubich am 11. Juni 2010: Die Rolle der ICT in Corporate Governance und Compliance:
Intensivseminar mit
Dr. Urs E. Zurfluh, Präsident und CEO der Ad Vantis Innovation AG, Mitglied des Verwaltungsrates der CSS Versicherung Luzern
und Prof. Dr. Hannes P. Lubich, Professor für IT System Management an der Fachhochschule Nordwestschweiz (FHNW)
Die Rolle der ICT in Corporate Governance und Compliance
Ein Erfahrungsbericht und Richtlinien über die Umsetzung von Corporate Governance und Compliance in und mittels ICT
Ihr nächster Termin in Zürich: 11. Juni 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Special Event mit lic. Iur. Bernhard Stoll am 28. Oktober 2010: Keine unerwünschten Überraschungen:
Intensivseminar mit lic. iur. Bernhard Stoll, Berater für Competitive Intelligence und Counterintelligence
Keine unerwünschten Überraschungen
Wie Sie mit Competitive Intelligence und Counterintelligence dazu beitragen können
Ihr nächster Termin in Zürich: Dienstag, 28. Oktober 2010
Hier finden Sie weitere Informationen und Anmeldemöglichkeiten
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Informations- und IT-Sicherheitsbeauftragter (IT-SIBE): Lehrgang für Informations- und IT-Sicherheitsbeauftragte
Aus der Praxis für die Praxis!
Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch – laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen jahrelanger Erfahrung.
Nächste Lehrgänge: 15. - 19. März 2010 (Durchführung garantiert!)
Weitere Informationen und Anmeldemöglichkeiten
-- Teilnehmeraussage --
«Umfassende Informationen zur IT-Sicherheit, welche von den Referenten kompetent vorgetragen wurden. Besonders für mich hervorzuhebende Eigenschaften an diesem Lehrgang:
- kleine Gruppe der Teilnehmer, so dass speziell auf Fragen eingegangen werden konnte
- das Auflockern des Stoffes durch Einfügen von Beispielen aus der Praxis
- die Einplanung der Zeit für Fragen und den daraus entstehenden Diskussionen unter den Teilnehmern, die grösstenteils zu gewinnbringendem Meinungsaustausch führten.»
Gottlieb Marth, IT-Sicherheitsbeauftragter, Leica Geosystems AG
Teilnehmender am Lehrgang „IT-SIBE“
Erfahren Sie hier mehr.
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
IT-SIBE Vertiefung: Praktischer Vertiefungslehrgang für Informations- und IT-Sicherheitsbeauftragte
Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.
Nächster Lehrgang: 14. - 18. Juni 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
BS 25999 Lead Auditor: Lehrgang mit Zertifizierung als BS 25999 Lead Auditor
Dieser Lehrgang führt Sie umfassend in das Auditing des BS 25999 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als BS 25999 Lead Auditor.
Nächster Lehrgang: 26. - 30. April 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Betrieblicher Datenschutzverantwortlicher: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz
In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen.
Nächster Lehrgang: 17. - 21. Mai 2010
Weitere Informationen und Anmeldemöglichkeiten
-- Teilnehmeraussage --
«Es wurde auf alle Fragen praxisorientiert eingegangen und diese wurden sehr gut beantwortet. Vielen Dank.»
Sarah Kannappel, Leiterin Recht und Datenschutz, innova Versicherungen
Teilnehmende am Lehrgang „Betrieblicher Datenschutzverantwortlicher“
Erfahren Sie hier mehr.
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Business Continuity Manager/Krisenmanager: Lehrgang für BCM-Verantwortliche und Krisenmanager
Vorbereitung, Training und Voraussicht sind sinnvoller als "nur reagieren" und Schadensbehebung! Wenn sich Beinahevorfälle einstellen oder Ihre Sicherheitsmassnahmen im Bereich Ihrer wichtigsten Business-Prozesse effektiv versagen, wenn die eruierten Topereignisse Ihres Risk Managements nun tatsächlich eintreten, dann sind Sie als BCM-Verantwortlicher und Krisenmanager gefordert!
Nächster Lehrgang: 28. 06. - 02. 07. 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
ISO 27001 Lead Auditor --> NEU: Durchführung in Deutsch! <--: IRCA-zertifizierter Lehrgang
Wissen und Know-how zu ISO 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO 27001 und ISO 27002 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als ISO 27001 Lead Auditor. Dies ist ein IRCA-zertifizierter Lehrgang.
Nächster Lehrgang: 14. - 18. Juni 2010
Weitere Informationen und Anmeldemöglichkeiten |
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit
Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.
Nächster Lehrgang: 22. - 25. Juni 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Integraler Sicherheitsmanager: Lehrgang für Sicherheitsbeauftragte mit offizieller SAQ-Zertifizierung
Sicherheit ganzheitlich betrachtet! Mit der fünftägigen Ausbildung zum Integralen Sicherheitsmanager lernen Sie alles über die Einführung und Anwendung aus organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, personellen, arbeitssicherheits- und gesundheitstechnischen Aspekten der Integralen Sicherheit. Sicherheit: umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten.
Nächster Lehrgang mit offizieller SAQ-Zertifizierung: 17. - 19. Mai und 14. - 15. Juni 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Vorbereitung CISSP: Lehrgang für die Prüfungsvorbereitung
Erfolgreiche CISSP-Zertifizierung dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.
Nächster Lehrgang: 08. - 09. 04. und 12. - 14. 04. 2010
Weitere Informationen und Anmeldemöglichkeiten
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG
< zu den Themen
Wir unterstützen Sie: Überbrückung von Ressourcen- oder Kompetenzengpässen: Kompetent, unkompliziert und flexibel
Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken?
Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen?
Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss.
Kompetenz, Erfahrung und Erfolg. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT-Sicherheit zu ihren Kompetenzen.
Wir unterstützen Sie. Seit über 20 Jahren bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. Aus dem Pool der Swiss Infosec AG werden Projektleitende mit mehrjähriger Projektleitungserfahrung eingesetzt:
+ zur Überbrückung von Kapazitäts- und Know-how-Engpässen
+ zur Verstärkung Ihrer Projektteams
+ zur Beschleunigung von Projekten
+ für den Know-how-Transfer.
Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer.
Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild.
Unsere Fachleute zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch.
Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden.
Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen.
Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung.
E-Mail infosec@infosec.ch; Telefon +41 (0)41 984 12 12.
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
ISO 27001 / ISO 27002:
Führendes Know-how und über 20 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1
Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme - eigene wie fremde - steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen.
Der ISO 27002 beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach ISO 27001 auditiert und zertifiziert werden. Die Norm ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie.
Mit ISO 27001 wird der Aufbau eines Information Security Management System (ISMS) beschrieben. Die Norm ISO 27001 hilft mittels Empfehlungen und einfach formulierten Regeln - sog. Controls - dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht zu werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitssystems ist hier die Antwort.
Profitieren Sie von über 20 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater - einige davon lizenzierte ISO 27001 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI - helfen Ihnen gerne weiter!
Beispiele rund um ISO 27001 und 27002:
- Erarbeitung und Umsetzung ISO 27001-konformer Security Frameworks
- Durchführung von ISO 27001-Sicherheitsaudits
- Vorbereitung einer Zertifizierung nach ISO 27001
- Toolunterstützung bei der Umsetzung von ISO 27001-Anforderungen
- Ausbildungen zu ISO 27001 und ISO 27002
Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel.
Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse.
Erarbeitung eines Security Frameworks
Die Swiss Infosec AG erarbeitet zusammen mit den Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Lösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit ISO 27001 und ISO 27002:
- die Security Policy als oberstes Strategiepapier
- das Security Concept mit den Anforderungen und der Sicherheitsorganisation
- das Security Regelwerk (Regelkatalog) mit Sicherheitsregeln
Durchführung von Sicherheitsaudits
Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen.
Beratung im Vorfeld einer Zertifizierung
Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich ISO 27001.
Unterstützung durch ISMS Tool Box
Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Tool Box bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Praxis Forum.
www.ismstoolbox.com
Ausbildung zu ISO 27001 und ISO 27002
Nur Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand. Das ISO 27001- und ISO 27002-Ausbildungsangebot:
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
SCADA Security: Schützen Sie Ihre Infrastrukturen!:
Zu den kritischen Infrastrukturen eines Landes gehören die Anlagen, welche die Bereitstellung von Dienstleistungen und Gebrauchsgüter zum Beispiel in den Bereichen Elektrizität, Wasser, Erdgas, Benzin, Abwasserbehandlung und Transport sicherstellen. Der Überwachung und Steuerung dieser Anlagen kommt eine Schlüsselfunktion zu. SCADA (supervisory control and data acquisition) ist hier der Begriff, der sich in den letzten Jahren durchgesetzt hat.
Die Sicherheit spielt in SCADA Netzwerken meist noch eine untergeordnete Rolle. Diese Tatsache ist vor allem geschichtlich bedingt. Bei der Entwicklung einer System-/Anlagensteuerung stand und steht die Maximierung der Funktionalitäten im Vordergrund. Leistung, Zuverlässigkeit, Flexibilität und Sicherstellung der dezentralen Bedienung sind in diesem Zusammenhang zu nennen. Sicherheit wird vor allem auf die Anlage bezogen umgesetzt (Sicherheitsabschaltungen bei undefinierten oder riskanten Betriebszuständen) und weniger gegenüber Bedrohungen von aussen.
Hier erfahren Sie mehr
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Social Engineering – testen Sie die "Schwachstelle Mensch" in Ihrer Organisation: Schützen Sie Ihr Unternehmen vor Informationsabfluss
«Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?»
Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen.
Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können.
Mehr Wissen über Social Engineering
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Security Awareness – Ihre Mitarbeitenden beeinflussen Ihre Sicherheit: Faktor Mensch: Förderung der Awareness als zentrales Instrument
Mitarbeitende haben einen grossen Einfluss auf die Sicherheit von Systemen und Daten. Unabhängig von der Unternehmensgrösse sind daher Mitarbeitende aller Stufen auf mögliche Gefahren und Risiken hin zu sensibilisieren. Die Swiss Infosec AG bietet ihren Kunden individuell auf ihre Bedürfnisse abgestimmte Themenkurse und Lehrgänge bis hin zu umfassenden Security Awareness-Kampagnen an.
Ihre Vorteile
1. Sie profitieren von über 20 Jahren Erfahrung, Ideen und Resultaten
2. Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden
3. Sie aktivieren den „Faktor Mensch“ – Ihre Mitarbeitenden werden als zentrale Faktoren Ihrer Sicherheitsaktivitäten behandelt.
Erfahren Sie hier mehr.
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Wir schulen Sie – auch firmenindividuell: Firmenindividuelle Durchführung von Swiss Infosec-Themenkurse und -Lehrgänge
Beliebte firmenindividuelle Themen sind bspw. ISO 27001/27002 für IT-Mitarbeitende oder interne Auditoren, Archivierung, Datenschutz, Sicherheit am Arbeitsplatz, Umgang mit Bedrohungen, Krisen- und Evakuationsübungen.
Gerne führen wir die Themenkurse und Lehrgänge auch direkt bei Ihnen im Unternehmen durch. Bei firmenindividuellen Schulungen profitieren Sie, nebst der optimaleren Atmosphäre und Organisation, kostenmässig bereits ab vier Teilnehmenden.
Ihre Vorteile
+ Zeit- und Kostenreduktion
+ Vertraulichkeit
+ Steigerung der Effizienz
+ Auf Wunsch abgestimmt auf Ihre spezifischen Anforderungen
Hier erfahren Sie mehr
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee
< zu den Themen
Neuerscheinungen: Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären (Broschiert): Alexander Geschonneck
 |
|
Alexander Geschonneck
Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären (Broschiert)
ISBN: 3898646580
bestellen |
Quelle: www.amazon.de
< zu den Themen
Neuerscheinungen: Anonym im Netz. Wie Sie sich und Ihre Daten schützen (Broschiert): Jens Kubieziel
 |
|
Jens Kubieziel
Anonym im Netz. Wie Sie sich und Ihre Daten schützen (Broschiert)
ISBN: 3937514953
bestellen |
Quelle: www.amazon.de
< zu den Themen
Neuerscheinungen: Der Chief Information Officer (Broschiert): Christoph Pietsch
 |
|
Christoph Pietsch
Der Chief Information Officer (Broschiert)
ISBN: 3640533453
bestellen |
Quelle: www.amazon.de
< zu den Themen
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Consulting- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.
Swiss Infosec AG unterstützt Sie bei
- Erarbeitung und Umsetzung umfassender Security Frameworks
- Vorbereitung und Zertifizierung nach ISO 27001
- Aufbau eines Information Security Management System (ISMS)
- Ereignis- und Krisenvorsorge inkl. Business Continuity Management (BCM)
- Durchführung von Social Engineering Audits
- Durchführung von Audits in organisatorischen, rechtlichen und technischen Bereichen
- Konzeption und Umsetzung von Awarenesskampagnen
- Unterstützung und Überbrückung von Ressourcenengpässen
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.
|
