Nr. 2 / Februar 2010
ISSN 1424-4217
|
|
||||||||||||||||||||||||||||||||||
 |
|||
|
|||
 |
|||
|
|||
 |
|||
|
|||
 |
|||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nr. 2 / Februar 2010 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ISSN 1424-4217 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 Wer hat die meisten infizierten URLs?: Sie finden Sie ‚ennet' der Grenze Unser Nachbarland Deutschland kann mit einem traurigen Rekord aufwarten: Die Sicherheitsanalysten von Trend Micro haben festgestellt, dass Deutschland mit heute 226'430 infizierten URLs die drittgrösste Quelle für diese Bedrohung ist. Den ersten Platz belegen die Niederlande mit 371'606 infizierten URLs und danach folgt Russland mit 257'395 schädlichen URLs. Weltweit rangiert Deutschland damit auf Platz fünf hinter den USA (2'038'513), China (1'104'691) den Niederlanden und Russland. Erstaunlicherweise stellt Deutschland auch die zweitgrösste Quelle von Spam in Europa dar mit 1'765'695 E-Mails pro Tag nach Russland mit täglich 2'427'844 Mails. Weltweit sind die deutschen Rechner damit für drei Prozent des gesamten Spamaufkommens zuständig, erklärt Alice Decker, Senior Threat Research bei Trend Micro. Gleichzeitig aber ist es auch das Land, das nach Frankreich die meisten Angriffe bezüglich der Anzahl der infizierten Links in Europa zu verzeichnen hat – sei es über E-Mail oder über tagtägliche Internetaktivitäten. Dabei ist nicht nur die schiere Masse beunruhigend - Dave Rand, Chief Technologist bei Trend Micro, stellte für das erste Halbjahr 2009 fest, dass die kompromittierten Maschinen durchschnittlich 300 Tage lang infiziert bleiben – manche sogar bis zu drei Jahren. In China sei eine Infektionsdauer von bis zu zehn Jahren nicht ungewöhnlich, erklärt Rand. Aber auch in Deutschland gibt es Computer, die bis zu zwei Jahren infiziert waren. Quelle: Silicon.de; Anja Schütz; 14.01.2010 zu den Themen ISO 31000 – Was ist das denn jetzt?: Ein Standard für das Risikomanagement in Ihrem Unternehmen! Risikomanagementsysteme nach ISO 31000 verringern das Risikopotenzial selbst. Unterzieht man Abläufe und Verfahren regelmässig einer Bewertung und leitet daraus ständig Konsequenzen ab, so werden risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht, die ein geringeres Risiko bergen. Folgen dieser Risikoabsenkung sind beispielsweise ein verbesserter Datenschutz oder eine erhöhte IT-Sicherheit. Anfangs der Neunziger des letzten Jahrhunderts hat eine Entwicklung begonnen, die mit dem Zeitalter der Managementsysteme beschrieben werden kann. Struktur und Aufbau von Managementsystemen Der Ursprung dieser Ideen ist auf den US-Amerikaner William Edwards Deming zurückzuführen. Bereits in den 1940er-Jahren entwickelte er die prozessorientierte Sicht auf die Tätigkeiten eines Unternehmens, die später auch Eingang in die diversen Qualitätsnormen und Qualitätsmanagementlehren fanden. Eng verknüpft ist diese Entwicklung mit Deming und der nach ihm benannten Reaktionskette des PDCA-Zyklus (Plan-Do-Check-Act). Dieser Zyklus ist Kernstück aller modernen Managementsysteme. Dennoch herrschen in der Praxis meist mehrere Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch steigt die Komplexität auf Managementebene, Synergien können nicht realisiert werden und die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar. Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt. Schutzfunktion der Managementsysteme Managementsysteme haben mit dem PDCA-Zyklus einen im Grunde genommen vergleichbaren Aufbau. In einer Analyse werden die für die Politik und das Umfeld (Datenschutz, IT-Sicherheit, Arbeitsschutz, Umweltschutz etc.) wichtigen Aspekte identifiziert. Hierbei werden, meist auf Basis vorhandener Erfahrungen, Abweichungen zu dem „normalen Betrieb“ festgestellt. Um die Aufgaben der Managementsysteme für Umweltschutz (ISO 14000 ff.), Qualitätsmanagement (ISO 9000 ff.), Arbeitsschutz (OHSAS 18001) oder IT-Sicherheitsmanagement (ISO 27000 ff.) und weitere Managementsysteme auf einer abstrakten Ebene zu beschreiben, bedeutet dies: Alle Managementsysteme beschäftigen sich mit der Zielabweichung. Risikomanagement ist ein integraler Bestandteil aller organisatorischen Abläufe Managementsysteme haben die Verbesserung der Prozesse zum Ziel. Treten aber unterschiedliche Risiken aus unterschiedlichen Sektoren auf, so sind die im Einzelnen erzielten Lösungen oft nicht vollständig miteinander vereinbar, zum Teil können sie auch gegenläufig sein. Was z.B. den Datenschutz verbessert, kann die IT-Sicherheit vordergründig negativ verändern. Zunehmend versucht man in Arbeitsgruppen diesem Problem entgegenzuwirken und bei der Lösung eines Problems ein interdisziplinäres Team zu bilden. Dies hat jedoch immer noch den Nachteil, dass man mit verschiedenem Mass misst. Risikomanagement ist nicht isoliert zu betrachten. Dabei wird deutlich, dass Risikomanagement nicht nur ein weiteres Managementsystem für Organisationen ist, sondern die Schutzansätze von bestehenden Managementsystemen zusammenfassen kann. Mit Hilfe der Norm ISO 31000 kann beispielsweise ein Prozess ganzheitlich oder nur unter dem Gesichtspunkt der Risikoreduktion untersucht werden. Die Methodik ist einheitlich und das Risiko und die Risikobeurteilung inkl. der Bewertung führen zu einem Ergebnis. Dieses Ergebnis allerdings beinhaltet die optimale Lösung für das Unternehmen unter Berücksichtigung aller sektoralen Forderungen der einzelnen Schutzfunktionen. Es wird im Rahmen der Beurteilung also nicht mehr danach gesucht, welcher Weg die beste Qualität, den besten Umweltschutz, den besten Brandschutz und so weiter bringt, sondern es wird danach gesucht und auch gefunden: Was ist das Beste für das Unternehmen? Die einzelnen Managementsysteme werden einander genähert und in Form der Verwendung der ISO 31000 praktisch korreliert. Risikomanagementsysteme nach ISO 31000 verringern das Risikopotenzial selbst Werden Abläufe und Verfahren regelmässig einer Bewertung unterzogen und werden daraus Verbesserungen kontinuierlich abgeleitet, so wird sich die Organisation dahingehend wandeln, dass risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht werden, die ein geringeres Risiko bergen. Folgen dieser Risikoabsenkung sind ein verbesserter Datenschutz, ein verbesserter Arbeits- und Gesundheitsschutz, eine bessere Schadensverhütung oder qualitätsbezogene Produktverbesserungen. Alle diese genannten Verbesserungen führen zu einer robusten und belastbaren Organisation, die somit langfristig über ein stabiles Fundament für weitere Geschäftsaktivitäten verfügt. Risikomanagement ist ein iterativer Prozess, in dem schrittweise die Identifikation, Analyse und Bewertung durchgeführt werden. Mit der Behandlung schliessen sich die Massnahmen an, die wiederum zu einer Identifikation neuer Risiken führen können. Veränderungen können aufgenommen werden und hinsichtlich ihrer Wirkung auf die Zielerreichung und die damit verbundene Unsicherheit geprüft werden. Risikomanagement als Bindeglied aller Managementsysteme Vielleicht, und das wird die weitere Entwicklung erweisen, ist mit dem Risikomanagement das fehlende Bindeglied zur Integration aller Managementsysteme gefunden worden. Die Liste der zu erwartenden Vorteile eines Risikomanagementsystems ist lang. Doch wird deutlich, dass hier viele Parallelen zu einem Managementsystem für Sicherheit, Qualität, Umweltschutz, Managementsystemen im Allgemeinen auftreten. Ein weiterer Vorteil ist, dass das Vertrauen in die Leistungsfähigkeit und Verlässlichkeit der Organisation erhöht wird. Quelle: datenschutz-praxis.de; Udo Weis; 20.01.2010 zu den Themen Deutsche Firmen von Spionage bedroht: Glauben Sie nicht, dass die Situation in der Schweiz besser ist Sensible Daten frisiert, vertrauliche Informationen gestohlen - in deutschen Unternehmen haben Gauner und Bösewichte oft leichtes Spiel. Obwohl aber das Problem des Datendiebstahls längst bekannt scheint, hapert es besonders in mittelständischen Unternehmen häufig an einer ersten Sicherheitsvorkehrung - der Vergabe von Zugriffsrechten. Das legt eine aktuelle Studie von KPMG unter 300 Unternehmen aus allen Branchen nahe: Rund 80 Prozent der Betriebe sehen ein ernstes Problem in der betriebsinternen Gaunerei. Ein Drittel der befragten Unternehmen gab an, schon einmal Opfer von Kriminellen in der eigenen Belegschaft geworden zu sein. Thomas Reeb von econet kann ein Lied davon singen: "Oft hapert es schon daran, Risikofaktoren und Compliance-Schwachstellen aufzuspüren." Allzu oft erhielten Mitarbeiter Zugriff auf unternehmenskritische Informationen, bemängelt der Experte. Das Thema Risikoprävention bei IT-Rechten steht in deutschen Betrieben zum Glück ganz oben auf der Agenda 2010, wie die KPMG-Studie zeigt: 87 Prozent der Befragten wollen ihr Berechtigungskonzept überarbeiten. Dabei müssen Berechtigungen, die unter Umgehung des Provisioning-Systems vergeben wurden, über Kontrollmechanismen wie Soll-Ist-Abgleiche identifiziert und automatisch deaktiviert werden. Mit Erfolg, wie die KPMG-Studie zeigt: Bis zu 68 Prozent der wirtschaftkriminellen Handlungen werden von einem internen Kontrollsystem durch Schwachstellenerkennungen aufgedeckt. In mittelständischen Betrieben existierte häufig ein weiteres Problem, so Reeb. Familiäre Vertrauensverhältnisse führten hier oft zum laxen Umgang mit Daten und Rechten. "Hier muss die über Jahre gewachsene Intransparenz bei Berechtigungen beseitigt und mögliche Risiken rasch durch ein Identitätsmanagement entschärft werden", so Reeb. Selbst im Mittelstand kommt es schnell zu Millionen von Berechtigungen, die organisiert werden müssen. Eine gute Kontrolllösung hilft bei einer lückenlosen Dokumentation der Zugriffberechtigungen und bei der Identifikation von Schwachstellen im Dateisystem. Und das scheint dringend notwendig: Laut der KPMG-Studie rechnen zwei Drittel der befragten Unternehmen in den nächsten Jahren mit einer Zunahme der Kriminalität im eigenen Betrieb. Quelle: Silicon.de; Dietmar Müller; 21.01.2010 zu den Themen Die Wölfli und die Bienli als terroristische Staatsgefahr: Der computerisierte Amtsschimmel wiehert Arme rauf, Arme runter, die Beine auseinander. Mikey Hicks aus New Jersey kennt das Prozedere. Im Alter von zwei Jahren habe die „Sonderbehandlung“ am Check-in-Schalter begonnen, berichtete derStandard.at am 15.01.2010: Seither wird Mikey jedes Mal, wenn er mit seiner Mutter fliege, von der Heimatschutzbehörde aufgehalten, zur Seite genommen, von Kopf bis Fuss gefilzt, sein Name im Computer überprüft. Dann dauere es auch nicht mehr lange, bis ihm die Heimatschutzbehörde erkläre, dass er im Visier der Terrorbekämpfer stehe. Mikey, heute acht Jahre alt, trage einen von 13'500 Namen, die sich auf der „Terror-Watchlist“ der Transportation Security Administration (TSA) befänden, schreibe die New York Times (NYT). Der Pfadfinder stehe dort, seitdem ein anderer „Mikey Hicks“ nach dem 11. September 2001 bei der Heimatschutzbehörde aufgefallen sei; auch sein Vater, der denselben Namen trage, sei kürzlich aufgehalten worden. Seine Eltern hätten alles versucht, um ihn von der Liste zu streichen, schreibe die NYT. Sie hätten Anträge gestellt und Senatoren angerufen - geholfen habe keine der versuchten Massnahmen. Mikey Hicks sei kein Einzelfall. Laut NYT hätten in den vergangenen drei Jahren 81'793 Reisende formal darum ersucht, von der TSA-Liste gestrichen zu werden. Die Datenbank des „Terrorist Screening Centers“ umfasse eine Million Einträge über 400'000 Namen von Personen, die der Unterstützung von Terroristen verdächtigt würden. 3'400 davon stünden auch auf der „No Fly List“, weil sie als Gefahr für die Luftfahrt oder die Nationale Sicherheit eingeschätzt würden. Quelle: derStandard.at; Hans Schürmann; 15.01.2010 zu den Themen Persönliche Daten von Zehntausenden von Jugendlichen zugänglich: Die betroffene Firma steht nicht das erste Mal am Pranger Sicherheitsexperten haben bei der Online-Community von Ruf-Jugendreisen in Deutschland ein Datenleck entdeckt, über das personenbezogene Details von etwa 50'000 Benutzerkonten offen zugänglich waren. Entsprechende Hinweise auf mehrere Sicherheitslücken sind den Bloggern von Netzpolitik.org nach eigenen Angaben vor einer Woche zugespielt worden. Der Reiseveranstalter sei daraufhin kontaktiert und mit allen relevanten Informationen zu den ausgemachten Angriffsstellen und einer Datenbank-Kopie versorgt worden. Das Unternehmen habe sofort reagiert und die mit der Firmen-Homepage verlinkte Community-Seite vom Netz genommen. Das Forum ist derzeit noch immer offline. Ruf beklagte gemäss den Bloggern, dass bei den Angriffen "in grossem Umfang Daten manipuliert wurden" und der Firma "somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde". Die Angriffe wurden laut Netzpolitik.org mit gängigen Methoden wie Cross-Site-Scripting oder SQL Injection geführt. Darüber hinaus seien die Passwörter der hauptsächlich jugendlichen Benutzer unverschlüsselt in der Datenbank gespeichert worden. So hätten weitere personenbezogene Angaben wie Geburtsdaten, Mail-Adressen, Namen, Pseudonyme, eigene Webseiten oder Adressen ausgelesen werden können. Auch das Lesen privater Nachrichten der Community-Mitglieder sei möglich gewesen, heisst es. Wie lange die Daten zugänglich waren, ist derzeit nicht klar. Allerdings wurden bereits in einem Kurzvortrag des 23. Chaos Communication Congress – also vor 3 Jahren – Sicherheitsprobleme bei Ruf thematisiert. Der Ruf-Jugendreisen-Fall weist Parallelen zu den Schwachstellen beim Schülernetzwerk haefft.de auf, die der Chaos Computer Club (CCC) Anfang Dezember 2009 publik gemacht hatte. Quelle: Ct.de; Stefan Krempl; 19.01.2010 zu den Themen Social Networks, ‚Freunde', Apps und Datenschutz: Die User müssen ihre Selbstverantwortung wahrnehmen Ein kleines Software-Update verrät grossen Datenhunger: Das aktuelle Facebook-Programm fürs iPhone ermöglicht die Einbindung aller «Freunde» ins Handy-Telefonbuch. Aber Facebook verlangt den Datenaustauch auch in der Gegenrichtung, und dies wirft ein Schlaglicht auf mögliche Strategien in der Branche. «Wenn du diese Funktion aktivierst, werden alle Kontakte von deinem Handy (Name, E-Mail-Adresse, Telefonnummer) an Facebook gesendet», heisst es nach dem Update der App auf dem iPhone. Warum will Facebook die E-Mail-Adresse meiner Tante? «Je mehr man über Sie weiss, desto konkreter kann ein Werbeprofil gestaltet werden», antwortet der Medienwissenschaftler Hendrik Speck von der Fachhochschule Kaiserslautern, der sich seit langem mit Sozialen Netzwerken beschäftigt. «Durch das Einsammeln von Kontakten wird versucht, eine Netzidentität hundertprozentig abzubilden.» Bei den Datenschutzbeauftragten sind bereits Beschwerden gegen die neue Facebook-Anwendung eingegangen - von Personen, die gar nicht bei Facebook angemeldet sind, aber für eine Mitgliedschaft vorgeschlagen wurden. «Das ist eine Entwicklung, die ich für äusserst kritisch halte», sagt der Berliner Datenschutzbeauftragte Alexander Dix der Nachrichtenagentur DAPD. «Da entsteht eine Art Sog in ein Soziales Netzwerk.» Jeder Nutzer solle sein Verhalten kritisch prüfen und jede Anwendung ablehnen, die nicht genau angibt, welche Daten wohin übertragen würden. Facebook verhalte sich wie ein «blinder Passagier auf dem sozialen Graphen des Nutzers», sagt Speck und meint damit das gesamte vielfältige Gefüge der sozialen Aktivitäten im Netz. Das eigene Ich wird dort vielfältig gebrochen - je nachdem, auf welchen Plattformen man unterwegs ist. «In World of Warcraft sind Sie der Goldene Krieger, in Wer-kennt-Wen der Knuddelprinz und auf eBay der Schnäppchenkönig», erklärt der Professor für Digitale Medien. «Für die Sozialen Netzwerke ist es spannend, all diese Teilidentitäten zu aggregieren», also zusammenzuführen. «Was früher in getrennten Datensilos war, wird jetzt zusammengezogen.» Wer rund um die Uhr über sämtliche Plattformen hinweg die Nutzeraktivitäten verknüpfe, könne Werbekunden exakt die von ihnen gewünschte Zielgruppe bieten. Hinzu kommt die Möglichkeit, dank der GPS-Ortung aktueller Smartphones die Werbung auf den jeweiligen Standort des Nutzers zuzuschneiden. Die Ursachen der Entwicklung zu immer raffinierteren Werbestrategien sieht Speck darin, dass es in der traditionellen Werbung eine zunehmende Sättigung gibt. Das gilt auch schon für die klassische Banner-Werbung auf Webseiten zur Anzeige im Desktop-Browser, die entweder mit «Ad-Blockern» abgeschaltet oder gewissermassen mental ausgeblendet wird. Soziale Netzwerke wie Facebook setzen vor allem auf Werbung durch persönliche Empfehlung - wenn jemand zum «Fan» einer Marke wird, soll dies auch die Freunde und Bekannten überzeugen. Im Wettbewerb um die Onlinewerbung der Zukunft agieren Unternehmen auf vier verschiedenen Ebenen: Anbieter von mobilen Endgeräten (Nokia, Apple) Anbieter von Betriebssystemen (Microsoft, Apple) Anbieter von Suchmaschinen (Google, Microsoft, Yahoo) Anbieter von Sozialen Netzwerken (Facebook, VZ-Gruppe) Wer sich auf mehreren Ebenen gleichzeitig tummeln kann, ist besser aufgestellt als andere. Deswegen hat offenbar ein reiner Geräteanbieter wie Nokia zurzeit relativ schlechte Chancen, in diesem Geschäft mitzuhalten. Stattdessen findet das Rennen jetzt vor allem zwischen Apple und Google statt, ergänzt um Microsoft, das sich immerhin an Facebook beteiligt hat. Mit seiner streng reglementierten Plattform vertritt Apple gewissermassen eine katholische Mentalität, wie der Schriftsteller und Kulturwissenschaftler Umberto Eco schon vor Jahren festgestellt hat. Speck ergänzt: «Dann wäre Google die protestantische Richtung, die Open Source und Marktöffnung als Hebel benutzt.» Beide feilen an mobilen Betriebssystemen, die - wie das iPhone-App zeigt - immer enger mit Sozialen Netzwerken integriert werden. Wer das Betriebssystem kontrolliere, könne dann auch bestimmen, wer die Werbung auf das mobile Gerät transportieren könne, erklärt Speck. Wer sich allzu bedenkenlos auf alle Angebote der Onlineplattformen einlässt, geht das Risiko ein, dass sehr persönliche Daten auf Jahrzehnte hinaus gespeichert und in der Hand eines Privatunternehmens sind. Die Datenschutzbeauftragten in Deutschland haben daher schon 2008 die «datenschutzkonforme Gestaltung sozialer Netzwerke» verlangt. Speck gibt ausserdem zu bedenken, dass vor allem jüngere Nutzer kein Adressbuch auf Papier mehr führten, sondern sich ganz auf Facebook oder StudiVZ verliessen. «Die Repräsentation ihres sozialen Lebens findet in der Onlinekommunikation und in den Sozialen Netzwerken statt, sie haben kein physisches Backup mehr.» Wenn aber das Unternehmen die Mitgliedschaft kündige oder es aus einem anderen Grund keine Verbindung mehr gebe, breche mit einem Schlag ein grosser Teil des sozialen Beziehungsnetzes weg. Der Wissenschaftler fordert daher klare gesetzliche Rahmenbedingungen für Onlineplattformen: «Wir brauchen ein völlig neues Datenschutzmodell.» Datenschutzbeauftragter Dix stimmt zu: «Es ist hochnotwendig, über eine neue Konzeption des Datenschutzes nachzudenken.» Allerdings ist Speck skeptisch, ob die dafür erforderliche Medienkompetenz bei politischen und juristischen Entscheidungsträgern ausreicht: «Es besteht die Gefahr, dass die Systemträgheit wesentlich grösser ist als die Zeit, die wir für Entscheidungen haben, um die gesellschaft-technische Entwicklung nach den Grundsätzen einer demokratischen Gesellschaft zu gestalten.» Quelle: Derbund.ch; Peter Zschunke; 26.01.2010 zu den Themen Risiken bei „Cloud Computing“: Was ist eigentlich Cloud Computing? Kontinuierliche, hohe Verfügbarkeit wichtiger Daten und Geschäftsanwendungen allen Ortens bei gleichzeitig minimalem Administrationsaufwand und geringen Fixkosten. Das klingt verlockend und verspricht einen erheblichen Vorteil gegenüber klassischen selbst betriebenen Data Centern. Derzeit ist „Cloud Computing“ ein Hype. Welche Versprechungen Produkte „aus der Cloud“ tatsächlich halten können muss sich jedoch erst noch zeigen. Bisher sind in den meisten Unternehmen die IT-Systeme in einem eigenen Rechenzentrum untergebracht und übersichtlich in einem Netzwerkdiagramm dokumentiert. Das Internet wird in diesen Diagrammen meist nur als undurchsichtige Wolke dargestellt, gegen die man sich mit Firewalls schützt und durch die sich VPNs ihren Weg schnitten. Der Trend zum Cloud Computing versucht nun unsere IT-Aktivitäten in genau diese Wolke zu verlagern. Da ist es kaum verwunderlich, dass so mancher Bedenken äussert und ungern seine Applikationen metaphorisch „im Nebel“ verschwinden sehen möchte. In einer von THALES in Auftrag gegebenen Studie gaben 52% der Befragten Datensicherheit als primären Aspekt an, welcher ihre Organisation von der Einführung von Cloud Computing abhält. In die gleiche Richtung gehen die Zahlen der Studie „Cloud Vendor Benchmark 2010“ der Experton Group, welche ebenfalls Sicherheits- und Compliance-Bedenken zusammen mit Intransparenz und Performance-Befürchtungen als Hauptgründe für die Zurückhaltung gegenüber den Cloud Computing Technologien anführt . Den Bedenken stehen dabei enorme Kostenvorteile oder zumindest Kostentransparenz gegenüber, denn Angebote „aus der Cloud“ werden als „Software/Infrastructure/Platform as a Service“ streng nutzungsbasiert abgerechnet. Den unter ständigem Kostendruck stehenden CIOs kann daher Cloud Computing durchaus schmackhaft erscheinen. Anbieter von Cloud Services sehen den klassischen Administrator, der Betriebssysteme installiert, Patches einspielt und sich mit Hardwareproblemen herumschlägt, bereits als aussterbende Spezies an. Technisch kann Cloud Computing als Kombination aus Virtualisierung verbunden mit einem intelligenten Management der verwendeten Ressourcen verstanden werden. Die dadurch effizientere Nutzung von Hardwareressourcen und das einfache Handling virtueller Maschinen in Bezug auf Ressourcenverteilung, Datensicherung, Klonen, etc. hat mittlerweile dazu geführt, dass sich auch unternehmensintern kaum noch ein Rechenzentrum dieser Technik verschliesst. Kombiniert man dies noch mit einer Trennung zwischen Plattform und Applikation, so dass die einzelnen Fachabteilungen ihre eigenen Applikationen auf zentral bereitgestellten Plattformen laufen lassen können, spricht man bereits von einer „Private Cloud“. Zur kommerziellen Vermarktung als Dienstleistung bedarf es zusätzlich noch einer genauen verbrauchsabhängigen Abrechnung der tatsächlich genutzten Rechenleistung, des Speicherplatzes und der Übertragungskapazitäten. Auch innerhalb einer „Private Cloud“ ist dies schon bekannt. So ist es bei IBM schon lange üblich, die Rechenkapazität des Hostsystems im eigenen RZ nur noch zu mieten, statt sie zu kaufen. Wird beispielsweise am Jahresende mehr Rechenleistung für den Jahresabschluss benötigt, kann der Kunde sich diese je nach Bedarf für seine Systeme dazu mieten. Eben dieses Geschäftsmodell verfolgt IBM allerdings auch in der externen Wolke als „Computing on Demand“-Lösung, bei der entsprechende Infrastruktur „in der Cloud“ bedarfsweise hinzu gemietet werden kann. Diesen Dienst gibt es allerdings schon länger und er wurde in letzter Zeit nur aus Marketinggründen noch mit „Cloud“ Begriffen verziert. Die von den Anbietern gepriesene „Hybrid Cloud“, bei der die Kunden ihre virtuellen Maschinen „per Drag and Drop“ je nach Lastanforderungen und Kritikalität zwischen der privaten und der öffentlichen Cloud hin und her verschieben können, ist derzeit wohl eher ein frommer Wunsch des Marketings. Die hierfür benötigten Kapazitäten in den Netzwerkverbindungen liegen noch weit entfernt von denen eines üblichen Breitbandanschlusses. Bei VMware werden für „vMotion“ durchaus 10 GBit an Bandbreite veranschlagt. Von den Latenzzeiten in öffentlichen Netzen ganz zu schweigen! Wirklich innovativ wird die „Public Cloud“ vor allem bei den Anbietern von Plattformen (folgerichtig: „Platform as a service“) umgesetzt. Hierzu zählen vor allem „die Grossen“ der Branche wie Amazon mit den „Amazon Web Services“, Microsoft mit der neuen „Azure“ Plattform oder Force.com. Auf all diesen Plattformen sollen künftig Entwickler ihre eigenen webbasierten Anwendungen erstellen und dem Kunden online bereitstellen. Technisch wird jeder Applikation dabei eine eigene virtuelle Maschine zugewiesen, deren Hardwareressourcen durch einen Loadbalancer verwaltet (und zur Abrechnung protokolliert) werden. Die Anwendung steht dann automatisch weltweit bereit und kann dort entweder einer geschlossenen Benutzergruppe oder eben „jedem“ zugänglich gemacht werden. Die Administration des zugrunde liegenden Betriebssystems oder der Datenbanksoftware obliegt dabei stets dem Plattformanbieter. Streng genommen ist Cloud Computing gar nicht so neu. Im weiteren Sinne ist die Nutzung der meisten Webmailer oder die Verwendung von WebEx für Konferenzen eine Form von „Cloud Computing“, wenn der Begriff entsprechend weit gefasst wird. Die hier zugrunde liegende Technologie ist vergleichbar. Demzufolge verwundert es auch nicht, dass der Weg in die Cloud zunächst über Applikationen führt, die ohnehin oft schon webbasiert sind und es deshalb für den Anwender keine spürbaren Unterschiede gibt. Daher kann man gerade CRM-Systeme oder eben auch Mail und Online Collaboration Tools als Cloud-Pioniere bezeichnen. Dass klassische Officeanwendungen ebenfalls den Weg ins Web finden, hat Google mit seinen „Software-as-a-Service“-Angeboten wie z.B. Google Docs gezeigt. Auch Microsoft will zukünftig mit „Office Web Applications” das Office Paket als Online-Applikation anbieten und damit der Konkurrenz von Google Docs entgegentreten. Die Cloud Computing-Technologie reisst die physikalischen Grenzen nieder, die uns bisher geholfen haben, unsere informationellen Werte zu schützen. Ganz bewusst muss sich der zukünftige Cloud-Kunde vertrauensvoll in die Hände seines Providers begeben. So räumt auch Andreas von Gunten, Verwaltungsratspräsident des Cloud-Dienstleisters PARX in einem Interview ein: „Er [der Kunde] muss sich da weitgehend auf den Markt, auf die Zertifizierungen und die rechtlichen Rahmenbedingungen verlassen. Das ist ähnlich wie bei den meisten anderen Dienstleistungen. Sie können meistens nicht wirklich unter die Haube schauen.“ Dabei ist es genau das, was die Kunden davon abhält, über das Thema Cloud Computing im grösseren Umfang nachzudenken. Schliesslich gibt man die Datenverarbeitung und -speicherung in fremde Hände und niemand kann einem wirklich garantieren, dass die Daten dort ebenso sicher liegen, wie im eigenen Rechenzentrum. Denn schliesslich haben auch die Cloud-Anbieter ihre Sicherheitsprobleme, wie der Vorfall bei Google Docs vom März 2009 zeigte. Hierbei hatten Anwender, denen man bereits einmal Zugriffsrechte auf eigene Dokumente eingeräumt hatte, dieses Recht auch für andere Dokumente, ohne dass diese explizit freigegeben wurden. Aber auch Anwenderfehler innerhalb von Google Docs können dazu führen, dass private Daten in jedermanns Hände gelangen können. Sicher sind derartige Fehler auch in Unternehmensnetzwerken nichts Unbekanntes. Allerdings ist die Wirkbreite solcher Anwenderfehler hier viel geringer. Bisher noch nicht in der Presse aufgetaucht sind Vorfälle, bei denen sich Hacker unberechtigten Zugriff auf Daten in Cloud-Applikationen verschafft haben. Dies dürfte jedoch nur eine Frage der Zeit sein, wenn man davon ausgeht, dass Kreditkartendaten doch mindestens „genauso gut“ wie die Daten von Cloud Usern geschützt sein müssen und dennoch regelmässig zu Markte getragen werden. Dabei müssen es noch nicht einmal Schwachstellen bei den Anbietern sein, die zu solchen Pannen führen. Besorgniserregend ist zum Beispiel, dass Zugriffe auf die online angebotene Software überwiegend nur mit der Kombination aus Nutzername und Passwort abgesichert werden und damit die diesem System immanenten Schwachstellen nun sogar im Internet „verfügbar“ sind. Hier wurden längst etablierte Security-Mechanismen beim Remotezugriff auf das Firmennetz wieder der Angst vor möglichen Markteintrittsbarrieren geopfert. Scheinbar hat man nichts aus den Sicherheitsdebakeln bei der Einführung der WLAN Router oder anderer Technologien gelernt. Des Weiteren ist die Trennung der einzelnen virtuellen Maschinen untereinander, welche etwaige unerwünschte Querverbindungen zwischen den Applikationen einzelner Kunden unterbinden soll, essentiell für das Sicherheitskonzept eines Cloud Computing Providers. Auch hier gab es in der Vergangenheit Schwachstellen die, wenn sich die Virtualisierung innerhalb des Unternehmens abspielte, keine gravierenden Auswirkungen hatten. In einer Public Cloud wäre das der grösste anzunehmende Unfall gewesen. Wenig beachtet sind auch die Risiken auf der Client-Seite. Die Nutzung von Anwendungen in der Cloud basiert fast immer auf der Nutzung von Webbrowsern, oft ergänzt durch proprietäre Plugins. Das Risiko einer Kompromittierung des internen LAN durch eine Browserschwachstelle wächst hierdurch. Zusätzliche Risiken ergeben sich aus der viel gepriesenen Nutzung der Software Services „aller Orten“. Im Zweifelsfall heisst das für den Anwender: Super, ich kann jetzt meine Arbeit auch im Internetcafé erledigen! Risiken die sich hieraus ergeben (Daten, die im Cache des Browsers verbleiben, Ausspähen von Applikations- und Zugangsdaten über Keylogger oder SSL Proxies) werden oftmals durch den Anbieter ausgeblendet und nur in den einschlägigen Foren diskutiert. Last but not least spielt natürlich auch die Verfügbarkeit der Plattform eine entscheidende Rolle. Sicher ist die Infrastruktur der Provider hoch redundant ausgelegt und über die ganze Welt verteilt, so dass Hardwareausfälle sich höchstens, wenn überhaupt, in der Performance auswirken. Systematische Fehler hingegen können die gesamte Plattform in Mitleidenschaft ziehen. Und läuft die Plattform nicht, geht gar nichts mehr. Es könnten Millionen betroffen sein. Der Ausfall von Microsoft Azure über 22 Stunden hat dies sehr eindrücklich demonstriert, obwohl hier der Fairness halber gesagt werden muss, dass dieser Ausfall noch innerhalb des Probebetriebes geschah. Neben diesen Sicherheitsbedenken eher technischer Art spielt natürlich auch das Vertrauen in den Anbieter selbst eine Rolle. Schliesslich hätte dieser, wenn er nur will, vollen Zugriff auf die Daten seiner Kunden und auch den Einblick in die Datenverarbeitung. Hiergegen ist rein technisch auch kaum ein Kraut gewachsen. Verschlüsselungskonzepte gibt es, wenn überhaupt, bisher nur für die Datenablage. Die Datenverarbeitung innerhalb des Speichers bleibt dagegen für den Provider offen einsehbar. Abgesehen davon ist auch die verschlüsselte Datenablage nur dann wirklich ausreichend, wenn der Provider nicht selbst auch das Schlüsselmaterial verwaltet. Das wiederum ist technologisch schwer zu lösen, solange es sich bei der Dienstleistung nicht nur um eine reine Dateiablage handelt. Sobald Applikationen auf der Plattform mit den verschlüsselt abgelegten Daten arbeiten sollen, müssen diese auch irgendwie Zugriff auf den Schlüssel haben, der dann zumindest wieder im Arbeitsspeicher der virtuellen Maschine im Klartext zu finden ist. Gerade dieses Thema scheint aber die potentiellen Kunden zu bewegen. In der bereits erwähnten Studie, die von THALES bei Trust Catalyst in Auftrag gegeben wurde, gaben 45% der Befragten an, dass sie Cloud Computing erst einführen würden, wenn die Daten verschlüsselt würden. 59% der Befragten möchten nicht, dass Schlüsselmaterial vom Anbieter des Cloud Computing-Dienstes verwaltet wird. Allerdings ist „gar keine Verschlüsselung“ derzeit eher die Regel. Ungeachtet dessen kann Public Cloud Computing aber auch durchaus Sicherheitsvorteile bieten. Erfahrungsgemäss sind gerade die kleinen und mittelständischen Unternehmen betreffend IT-Sicherheit sowohl in technischer Hinsicht, als auch in den organisatorischen Abläufen, häufig überfordert. Das fängt bei geordneten IT-Betriebsprozessen (allen voran das Change Management) an und hört beim professionellen Einsatz von Sicherheitsprodukten auf. Hier kann die Verlagerung von IT-Ressourcen „in die Cloud“ durchaus auch Security-Vorteile bringen. Denn in Bezug auf die stabile Verfügbarkeit der Applikationen dürfte ein etablierter Provider hier gegenüber der internen IT die besseren Karten haben. Diese Entscheidung sollte allerdings jedes Unternehmen auf Basis einer Chancen- und Risikobetrachtung fällen und sich nicht nur von Kostenaspekten leiten lassen. Denn letztendlich verbleibt die Gesamtverantwortung für die Sicherheit der eigenen Datenverarbeitung im Unternehmen, auch wenn die Plattform nicht in den eigenen Einflussbereich fällt. Neben den Sicherheitsbedenken, die sich aus eigenen Interessen des Unternehmens ergeben, müssen auch rechtliche Aspekte in die Entscheidung Pro oder Contra von Cloud Computing einfliessen. Die Verarbeitung personenbezogener Daten, sei es die der eigenen Mitarbeiter oder im Auftrag Dritter, muss sich den rechtlichen Anforderungen unterwerfen. Für die Einhaltung dieser Richtlinien ist der Auftraggeber, in diesem Fall also der Kunde des Cloud Computing Providers verantwortlich. Gerade durch die Virtualisierung innerhalb der Cloud, kann es vorkommen, dass ein Provider nicht genau beeinflussen kann, auf welchem Server und in welchem Land Daten eines bestimmten Kunden verarbeitet werden. Im Sinne des Datenschutzes ist dies jedoch nicht zulässig, da eine Übermittlung personenbezogener Daten in das nicht-europäische Ausland („Drittstaaten“) nur zulässig ist, wenn der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Angemessenheit des dortigen Datenschutzniveaus bestätigt hat. Dies ist zum Beispiel für die USA nicht der Fall (ausgenommen sind Unternehmen, die dem „Safe Harbor“ Abkommen beigetreten sind). Unabhängig von den allgemeinen datenschutzrechtlichen Aspekten erfolgt der Zugriff von Behörden auf einen Server immer nach lokalem Recht. Im Zweifelsfall müsste ein Provider daher Kundendaten (oder auch Schlüsselmaterial) an Behörden in einem Drittstaat herausgeben, falls diese den Zugriff auf die Daten des Kunden verlangen. Dies gilt natürlich auch dann, wenn der Zugriff nach hiesigem Rechtsverständnis nicht zulässig ist. In diesem Fall unterbleibt in der Regel auch eine Information des Betroffenen. Die Einsichtnahme amerikanischer Behörden in die Banktransaktionen über SWIFT in den USA ist ein prominentes Beispiel hierfür. Trotz der ausführlich betrachteten Sicherheitsaspekte ist Cloud Computing kein Teufelswerk, sondern eine zukunftsweisende Technologie, die durchaus ihre Existenzberechtigung hat. Dienstleistungen aus der Cloud können daher eine sinnvolle Alternative zur inhouse-Bereitstellung von Anwendungen sein, wenn folgende Bedingungen erfüllt sind: Es handelt sich um weniger geschäftskritische Anwendungen, bei denen die zugesicherte Gesamtverfügbarkeit des Providers zusammen mit der Verfügbarkeit der Internetanbindung eine entsprechende Verlagerung als vertretbar erscheinen lassen. Es werden keine vertraulichen Daten verarbeitet und es stehen keine gesetzlichen oder vertraglichen Auflagen der Verarbeitung in der Cloud entgegen. Die Anwendung verlangt keine nennenswerte Bandbreite zwischen Client und Server. Der Anbieter legt transparent dar, wie die Informationssicherheit in seinem Unternehmen gehandhabt wird (lediglich ein ISO 27001- oder SAS70-Zertifikat ist hierfür nicht ausreichend). Idealerweise räumt er dem Kunden ein Auditrecht vor Ort ein. Quelle: All-about-security.de; Holm Diening; 15.01.2010 zu den Themen Immer mehr ungeschützte Endgeräte im Unternehmen: Dies resultiert in immer mehr ungeschützten Unternehmensdaten Der Sicherheitsspezialist Check Point hat die Ergebnisse einer weltweiten Unternehmensbefragung vorgelegt, die in erster Linie auf Trends bei Endpoint-Security-Lösungen abhebt. Danach beschäftigten im vergangenen Jahr über 40 Prozent der Unternehmen eine höhere Anzahl remote arbeitender Angestellter als 2008. Für die Untersuchung wurden 224 IT- und Security-Administratoren befragt. Bei der überwiegenden Mehrheit der Unternehmen (77 Prozent) besteht bis zu einem Viertel der Belegschaft aus mobil arbeitenden Kollegen, die regelmässig von zu Hause aus oder während Geschäftsreisen von aussen auf das Unternehmensnetzwerk zugreifen. Ungeachtet der wachsenden Anzahl remote arbeitender Benutzer gaben jedoch nur 27 Prozent der befragten Unternehmen an, dass sie derzeit für den Schutz der sensitiven Daten eine Lösung für die Verschlüsselung von Festplatten einsetzen. Bewegliche Speichermedien, wie zum Beispiel USB-Geräte, werden sogar nur in neun Prozent der befragten Unternehmen verschlüsselt. "Bei weniger als 30 Prozent von Unternehmen, die auf Datenverschlüsselung setzen, setzt sich folglich die Mehrheit in punkto Datenverlust und Verletzung des Datenschutzes einem hohen Risiko aus", so Jörg Kurowski von der Ismaninger Check Point Software Technologies GmbH. "Glücklicherweise zeigen die Untersuchungsergebnisse auch Unternehmen auf, die sich angesichts eines wachsenden, mobilen Mitarbeiterstamms der Adressierung dieses Themas bewusst sind." Danach planen rund 47 Prozent der befragten Anwender noch im Laufe der nächsten zwölf Monate die Anschaffung einer Endpoint Security-Lösung, wobei Festplattenverschlüsselung (24 Prozent), NAC (Network Access Control, 22 Prozent) und die Verschlüsselung von Datenträgern (Media Encryption, 13 Prozent) die populärsten Endpoint-Applikationen sind. Zu den führenden, bereits genutzten Anwendungen für die Absicherung von Endgeräten gehören Desktop-Antivirus (90 Prozent), Anti-Spyware (56 Prozent), Personal Firewalls (49 Prozent) und VPN Clients (49 Prozent). In Unternehmen mit weniger als 5000 Angestellten geben die befragten IT-Mitarbeiter ausserdem an, derzeit Endpoint-Produkte von durchschnittlich drei unterschiedlichen Herstellern einzusetzen, was Probleme im Security-Management nach sich ziehen dürfte. Grössere Unternehmen nutzten im Durchschnitt sogar Endpoint-Lösungen von fünf verschiedenen Anbietern und berichten ebenfalls über eine hohe Komplexität und Beeinträchtigungen in der Managementeffizienz. Quelle: Silicon.de; Dietmar Müller; 14.01.2010 zu den Themen Die deutsche Elena soll auch gute Seiten haben: Elena steht übrigens für ‚Elektronischer Entgeltnachweis' Die deutsche Bundesregierung hat für die neue Datenbank Elena von Datenschützern und Gewerkschaften viel Prügel bezogen. Gewarnt wird vor dem «gläsernen Bürger«. Neben berechtigten Sorgen geht aber unter: Die Datenbank kann mehr, als nur ein paar Formulare für Sozialleistungen zu ersetzen. Mit Elena kann man ab 2012 sicherer im Internet shoppen oder beim Online-Banking ohne Papierkram Geschäfte abwickeln. Jeder Bürger kann damit eine lebenslang gültige elektronische Unterschrift – digitale Signatur genannt – bekommen und sich damit im Netz ausweisen. Wer häufig seine Onlinebank wechselt, muss sich bisher mit dem Personalausweis am Postschalter identifizieren. Anstelle dieses «Postident-Verfahrens« kann sich der Kunde in Zukunft zu Hause am Rechner mit seiner auf einer Chipkarte gespeicherten persönlichen Signatur ausweisen und einen Kredit oder Kontowechsel beantragen. Die Industrie steht in den Startlöchern: Lesegeräte für die Chipkarten sollen bald serienmässig in Computern oder Tastaturen eingebaut sein. Zusätzlich muss aber wie am Geldautomat eine PIN-Nummer eingegeben werden. Das Online-Geschäft boomt. Nach Angaben des Bundesverbands des Deutschen Versandhandels (bvh) hat der Handel im Netz 2009 etwa um 15 Prozent auf geschätzte 15 Milliarden Euro zugelegt. Die neue Elena-Signatur werde den Online-Verkauf von Elektronik, Mode oder Büchern aber kaum berühren, erklärt ein bvh-Sprecher. Interessant könne die Signatur bei Geschäften sein, die für Minderjährige tabu sind. Mit der elektronischen Unterschrift soll es mehr IT-Sicherheit geben, denn Betrüger versuchen, Nutzerdaten auszuspähen. Die Nutzung der Signatur wird aber freiwillig sein. Nur wer Arbeitslosengeld I, Wohn- oder Elterngeld beantragen will, muss ab dem 1. Januar 2012 die Signatur auf dem neuen Personalausweis, der Gesundheitskarte oder einer seiner Bankkarten gespeichert haben. Sonst gibt es kein Geld vom Staat. Quelle: Nz-online.de; 11.01.2010; Tim Braune zu den Themen Die Bedeutung von Kennzahlen in der IT-Sicherheit: Wie messe ich meine Sicherheit? Gesetzliche Anforderungen und eigene Unternehmensregeln machen diverse Vorgaben zur Informationssicherheit. Bei der Ermittlung des aktuellen Sicherheitszustandes einer Infrastruktur und bei der längerfristigen Planung spielen Kennzahlen eine wichtige Rolle. Allerdings bleiben diese ohne ständige Aktualisierung und genaue Überprüfung ein zahnloser Tiger. Kennzahlen sind für verschiedenste Unternehmensbereiche von Interesse. Sie können dem Betrieb dabei helfen, zeitnahe Informationen zum Sicherheitszustand der betreuten Infrastruktur zu ermitteln. Während die Aufrechterhaltung der IT-Sicherheit vor allem in den Händen der Administratoren liegt, ist der CISO (Chief Information Security Officer) hauptsächlich an weiter verdichteten, langfristigen Kennzahlen interessiert, welche die Entwicklung der Informationssicherheit im Unternehmen widerspiegeln. Zur Ermittlung der relevanten Kennzahlen empfiehlt sich die folgende Vorgehensweise: Festlegen des Untersuchungsgegenstands Ermitteln des Schutzbedarfs Bestimmen der Messstellen Art der Messung festlegen. Festlegen des Untersuchungsgegenstands Zunächst muss der Untersuchungsgegenstand identifiziert werden. Dabei ist zu beachten, dass ein Untersuchungsgegenstand wie eine Applikation nicht nur aus der Anwendung selbst besteht. Im Allgemeinen setzt sich ein Untersuchungsgegenstand aus Komponenten auf den Ebenen Applikation, Datenbank, Plattform und Netzwerk zusammen. Hinzu kommen sowohl die Prozesse, durch welche die Applikation administriert und gewartet wird, als auch diejenigen Prozesse, die durch die Applikation unterstützt werden. All diese Komponenten stellen zusammen den Untersuchungsgegenstand dar. Ebenso lassen sich Plattformen wie Betriebssysteme oder Datenbanken als Untersuchungsgegenstand verwenden. Ermitteln des Schutzbedarfs Nach der Identifikation des Untersuchungsgegenstandes ist es wichtig, den Schutzbedarf für den Untersuchungsgegenstand festzulegen. Der Schutzbedarf spiegelt dabei die Anforderungen an die Informationssicherheit wider, die durch die Messung der Kennzahlen überwacht werden sollen. Hierbei gilt es, die klassischen Säulen der Informationssicherheit – Verfügbarkeit, Integrität und Vertraulichkeit – zu beachten. Idealerweise sind diese Ziele direkt von den Unternehmenszielen abgeleitet. Ferner ist es möglich, bei der Ermittlung des Schutzbedarfes für den Untersuchungsgegenstand auf mögliche Bedrohungen einzugehen. Denkbar sind hier beispielsweise DoS-Attacken, unberechtigte Zugriffe oder Bedrohungen, die auf Basis von Schadcode entstehen. Wichtig ist zudem, entsprechende Vererbungshierarchien zu berücksichtigen: Wenn Personaldaten als schützenswert erachtet werden, dann gilt dies auch für die Plattformen, Applikationen und Netzwerke, die diese verarbeiten. Bestimmen der Messstellen Nun gilt es, mögliche Messstellen zu identifizieren. Diese finden sich ebenfalls auf verschiedenen Ebenen des Untersuchungsgegenstandes wieder. So kann beispielsweise auf Netzwerk-, Plattform-, Applikations- oder auch Prozessebene gemessen werden. Eine ideale Messstelle bietet dabei zu jedem Zeitpunkt einen numerischen Wert an. Dies sind wichtige und notwendige Voraussetzungen für die automatisierte Ermittlung von Kennzahlen. Zur Automatisierung der Messung ist es wichtig, dass die Kennzahlen quantifizierbar sind und nicht nur qualitative Aussagen ermöglichen. Zudem ist für jede Kennzahl ein quantifizierbarer Sollwert anzugeben, mit dem eine Steuerung und Überwachung erst möglich wird. Art der Messung festlegen Weiterhin ist zu bestimmen, ob eine Kennzahl nur manuell erhoben wird oder mit welchen technischen Mitteln eine Kennzahl automatisiert gemessen werden kann. Hier ist zu klären, welche Sensoren benötigt (zum Beispiel zur Auswertung von System-Logdaten) oder welche Tools zum Einsatz kommen sollen (etwa Vulnerability-Scanner oder Integrity Checker). Des Weiteren sind aktive und passive Messgrössen zu unterscheiden. Aktive Messgrössen werden selbst verursacht; passive sind hingegen fremdverursacht. Diese Unterscheidungen sind sowohl bei der Erfassung als auch der Verarbeitung der Kennzahlen zu beachten. Wird als Untersuchungsgegenstand etwa der Treasury Process einer Bank festgelegt und der Schutzbedarf bezüglich der Verfügbarkeit hierfür mit "sehr hoch" bewertet, dann kann eine darin betriebene Web-Applikation gegenüber der Bedrohung Denial-of-Service aktiv durch ein Monitoring-Tool überwacht werden. Hierzu eignet sich beispielsweise ein Check, der die Seite der Web-Applikation ständig abruft. Der CISO hingegen interessiert sich für den Patch-Stand im Treasury-Bereich. Für ihn ist wichtig, dass die Qualität des Patch-Management-Prozesses ständig verbessert wird und etwa der Abdeckungsgrad aktueller Patches stetig steigt beziehungsweise dass die Zeit, bis die aktuellen Patches eingespielt werden, immer kürzer wird. Diese Daten lassen sich von Patch- und Vulnerability-Systemen erfassen. Meist werden Kennzahlen von verschiedene voneinander unabhängige Bereichen erhoben, so dass mehrere Systeme zur Ermittlung nötig sind. Im Beispiel liefert das Monitoring-System Informationen zur Verfügbarkeit des Treasury Process. Das Patch-Management ermittelt den aktuellen Software-Stand der Infrastruktur und ein Vulnerability-Scanner gibt Aufschluss über potentielle Verletzbarkeiten im Unternehmensnetzwerk. All diese Kennzahlenquellen arbeiten jedoch unabhängig voneinander, eine Zusammenführung und Verknüpfung unterbleibt. An diesem Punkt setzen Security Information and Event Management-Systeme (SIEM) an. Sie integrieren die verschiedensten Quellen. Dabei werden die Informationen nicht einfach nur zentral gespeichert, sondern normalisiert, also in ein gemeinsames Format gebracht. Auf Basis dieser Normalisierung lassen sich dann komplexe Auswertungen betreiben – die sowohl dem Administrator als auch dem CISO nutzen. Quelle: it-administrator.de; Thomas Mörwald, Thomas Störtkuhl; 13.01.2010 zu den Themen Richtlinien mangelhaft: Dabei nimmt ‚Mobile Working' stetig zu Vielen Unternehmen mangelt es an Kenntnis und Richtlinien für sensible Daten auf den mobilen Geräten ihrer Mitarbeiter. Experten mahnen, dass dieser Baustein der IT-Sicherheit nicht vernachlässigt werden darf. Zwei Drittel der europäischen Unternehmen wissen nicht genau, welche sensiblen Daten auf den mobilen Geräten ihrer Mitarbeiter gespeichert sind. Bei weiteren 38 Prozent ist das nicht alles: Sie kennen weder die sensiblen Daten, noch wissen sie, welche Anwendungen auf den Geräten installiert sind. Das sind noch nicht alle bedenklichen Ergebnisse, die Software-Anbieter Sybase nach einer Umfrage veröffentlicht. Denn nur 15 Prozent der Unternehmen können mit absoluter Sicherheit sagen, dass sie bei einem Verlust, Diebstahl oder Missbrauch von mobil gespeicherten Unternehmensdaten rechtlich abgesichert sind. Die Umfrage verdeutlicht, dass Unternehmen es mit den Mobility-Richtlinien häufig sehr locker nehmen - wenn sie überhaupt welche festgelegt haben. Dabei sollten die Mobility-Richtlinien genauso strikt sein wie andere Regelungen zu IT-Sicherheit und -Management. "Mobilität muss dabei ein Baustein sein, der sich nahtlos in das Gesamtbild einfügt", sagt Martin Karlowitsch von Sybase. Quelle: Cio.de; Andrea König; 05.01.2010 zu den Themen 123456: Ist dies auch Ihr Passwort? Die zehn am meisten verwendeten Passwörter sind ungemein leicht zu erraten. Das ergab eine Analyse von 32 Millionen Passwörtern durch den Sicherheitsspezialisten Imperva. Die 32 Millionen Passwörter stammen aus einem Datendiebstahl bei Rockyou.com. Das Application Defense Center (ADC) des Unternehmens wertete aus, welche Kombinationen beziehungsweise Wörter am meisten benutzt worden sind und listete sie zusammen mit weiteren Angaben dazu in dem Report "Consumer Password Worst Practices". Die Hitparade der beliebtesten Passwörter: 1. 123456 2. 12345 3. 123456789 4. password 5. iloveyou 6. princess 7. rockyou 8. 1234567 9. 12345678 10. abc123 "Jedermann und -frau sollte doch einleuchten, was die Nutzung eines armseligen Passworts in Zeiten automatisierter Cyberattacken bedeutet: Mit nur geringem Aufwand können sich Kriminelle in Sekundenschnelle über neue Accounts hermachen und sie missbrauchen", so Impervas CTO Amichai Shulman. Der CTO führte weiter aus, dass sich das Problem der "üblichen" Passwörter seit rund 20 Jahren nicht verändert hat. Bereits vor 20 Jahren sei eine ähnliche Untersuchung unter Unix-Anwendern zu beinahe denselben Ergebnissen gekommen und im Herbst 2009 hatte der TÜV Rheinland mitgeteilt, dass rund 80 Prozent der Kennwörter so gewählt werden, dass sie leicht zu erraten oder technisch zu knacken sind. "Bequemlichkeit bei der Passwortwahl ist fatal, denn Hacker können automatisiert mehrere tausend Wort- und Zahlenkombinationen pro Minute durchprobieren", so Philippe Schaeffer, IT-Experte beim TÜV. Am besten sei es, lange Kennwörter mit einer beliebigen Reihenfolge aus Buchstaben, Zahlen und Sonderzeichen zu verwenden. Eine Möglichkeit, ein solches Passwort zu generieren, bestehe darin, die Anfangsbuchstaben der Wörter eines Satzes aneinanderzureihen oder gleich einen kurzen Satz mit Tippfehlern und Zahlen zu verwenden. Wichtig sei auch: Zu jeder Anwendung, jeder Webseite und jedem Konto gehöre ein anderes Kennwort. "Wird eines geknackt oder geht man sorglos mit den Zugangsdaten um, bleiben die restlichen Daten geschützt", so Schaeffer. Quelle: Silicon.de; Dietmar Müller; 21.01.2010 zu den Themen Wie steht es um die Sicherheit Ihres RZ?: Diese Checkliste hilft Ihnen, den Sicherheitsstand zu erkennen Gebäudesicherheit, Klimatisierung, Effizienz, Skalierbarkeit, Störungsmanagement – dies sind nur einige der Kriterien, die bei der Konzeption eines sicheren Rechenzentrums Beachtung finden müssen. Es bedarf eines ganzheitlichen Konzepts, um eine den Bedürfnissen entsprechende Sicherheit zu gewährleisten. Um die eigenen Ansprüche besser evaluieren zu können, stellen wir eine Checkliste zur Rechenzentrums-Sicherheit bereit. Im Gegensatz zum aktuellen Wirtschaftswachstum verzeichnet das weltweite Datenaufkommen enorme Zuwachsraten. Der Bedarf an Rechenzentrumsfläche, Leitungskapazitäten und Datenspeicher steigt stetig. Nicht nur aufgrund von Complianceregelungen und nationalen und internationalen Gesetzen und Richtlinien sind Unternehmen und Organisationen zur Datenspeicherung gezwungen und müssen dafür Sorge tragen, dass ihre Daten ein sicheres Zuhause haben. Zudem müssen die Produktivsysteme ausfallfrei arbeiten, da ein Systemausfall Umsatzverlust bedeutet und im schlimmsten Fall die Existenz des Unternehmens bedrohen kann. Kritische Elemente und optimale Abstimmung der Faktoren Bei der Auswahl oder beim Um- und Ausbau eines Rechenzentrums steht vor allem die physische Sicherheit im Vordergrund. Als wesentliche Bestandteile der physischen Sicherheit sind Stromversorgung, Klimatisierung, Kommunikationsanbindung, Brandschutz, Gebäudesicherheit und restriktive Zutrittsregelungen zu nennen. Diese dürfen jedoch niemals losgelöst voneinander betrachtet werden, da sie voneinander abhängig und im Zusammenspiel auch als kritische Elemente anzusehen sind. So reicht eine perfekt funktionierende USV nicht aus, wenn beim Umschalten von Netz- auf Batteriebetrieb die Elektronik versagt und die Anlagen nicht kompatibel sind. Es bedarf also eines ganzheitlichen Konzepts und einer Verzahnung der einzelnen Bereiche und Systeme, um eine den Bedürfnissen entsprechende Sicherheit zu gewährleisten. Existierende Notfallpläne dürfen bei der Betrachtung eines Rechenzentrums nicht ignoriert werden. Für eine eigene Evaluierung soll die folgende Checkliste als Hilfestellung dienen. 1. Punkt: Gebäudesicherheit und Zutrittsregelung Rechenzentren müssen gewährleisten, dass IT-Systeme stets verfügbar sind und die Vertraulichkeit, Verfügbarkeit und Integrität der dort gelagerten Daten sichergestellt ist. Voraussetzung hierfür: eine ausgefeilte Zutrittskontrolle, die jeden Zutritt genauestens kontrolliert und protokolliert. Nur so haben Benutzer die Gewissheit darüber, welche Personen sich zu welcher Zeit im Rechenzentrum aufhielten. Damit auch wirklich nur autorisierte Personen Zutritt erlangen, hat sich in der Praxis eine Kombination aus Schlüsselkarten, biometrischen Zugangssystemen in Verbindung mit Personenvereinzelungsanlagen und Kameraüberwachung als zuverlässiges Zutrittssystem bewährt. Die einzelnen Punkte der Checkliste lauten hier: Wie wird sichergestellt, dass nur Befugte Zugang zum Rechenzentrum haben (zum Beispiel Absicherung durch mehrstufige Sicherheitssysteme, Abfrage von biometrischen Merkmalen zur eindeutigen Erkennung, Dokumentation der Zu- und Austritte von Personen, Personenvereinzelungsanlagen)? Ist das Gebäude entsprechend gesichert und überwacht? Die Kombination aus Sicherheitspersonal vor Ort und einer Kameraüberwachung aller kritischen und wichtigen Innen- und Aussenbereiche mit anschliessender Langzeitarchivierung der Bilddaten hat sich in der Praxis bewährt. Sind einbruchsichere Türen und Fenster sowie Einbruchmeldeanlagen im Rechenzentrum vorhanden? Haben autorisierte Mitarbeiter und Zulieferer ohne Vorankündigung rund um die Uhr an 365 Tagen im Jahr Zutritt zum Rechenzentrum – etwa durch Vorhalten der Zugangsdaten im System? Rechenzentren müssen zwar sicher sein, doch darf die Sicherheit nicht alles behindern. Kann ein unbefugter Zugang zu Ihrer Technik im Inneren des Rechenzentrums unter anderem von anderen Kunden des Rechenzentrumsanbieters vermieden werden? Gibt es hier zusätzliche Kamera- oder getrennte Zugangssysteme und Bewegungsmelder? Sind sensible Leckagesysteme, die ein Eintreten von Wasser in den Rechenzentrumskern erkennen, vorhanden? 2. Punkt: Brandschutz Brände führen immer wieder zu verheerenden und Existenz bedrohenden wirtschaftlichen Folgen für Unternehmen und zu einem unwiederbringlichen Verlust geschäftskritischer Daten. Deshalb ist es wichtig, Brände frühzeitig zu erkennen. Zur Branderkennung bieten sich sogenannte Brandfrühesterkennungssysteme an, die mit Hilfe von Lasern die Luft im Rechenzentrum permanent prüfen und bereits bei einem geringen Anteil an Russpartikeln, die beispielsweise durch ein schmorendes Kabel freigesetzt werden können, Alarm schlagen. Die Punkte der Checkliste lauten hier: Ist das Rechenzentrum in verschiedene Brandabschnitte unterteilt? Gibt es Room-In-Room-Lösungen, sind Brandschutzwände vorhanden und Brandbekämpfungssysteme nach neuestem Stand der Technik installiert? Sind Brandschutztüren und -fenster installiert und wurde auf Brandabschottung der Trassen geachtet? Werden Brandschutzvorschriften im Allgemeinen eingehalten – wie wird mit Brandlasten umgegangen? Existieren Handfeuerlöscher? Gibt es ein Brandfrühesterkennungssystem? Sind Sensoren und Detektoren auch im Doppelboden installiert, die auf Temperaturanstieg sowie auf Rauch- und Schwelgase reagieren? Wie werden intern Sicherheitsdienst und Feuerwehr im Brandfall informiert? Wird im Brandfall Löschgas verwendet, das der Technik nicht schadet? Sind Entgasungs-, Ventilations- und Druckentlastungs-Systeme vorhanden? Kann der Betrieb auf Kundenwunsch redundant ausgelegt bzw. überhaupt Brandprävention kundenspezifisch geregelt werden? Kann also der IT-Betrieb aufrechterhalten werden, wenn ein Abschnitt oder ein Raum brennt? Ist das Brandbekämpfungssystem im Allgemeinen redundant ausgelegt? Können Systeme auch im Brandfall weiter betrieben werden? 3. Punkt: Unterbrechungsfreie Stromversorgung (USV) Damit geschäftskritische Anwendungen und digitale Geschäftsprozesse auf den Produktivsystemen im Rechenzentrum reibungslos abgebildet werden können und keine Daten verloren gehen, muss auch bei Ausfällen des öffentlichen Stromnetzes für eine unterbrechungsfreie Stromversorgung gesorgt sein. Die Punkte der Checkliste lauten hier: Hat das Rechenzentrum eine Blitzschutzvorrichtung, einen Überspannungsschutz und liegt bei den Aussenleitungen eine galvanische Trennung vor? Ist eine USV vorhanden und welche Verfügbarkeit ergibt sich aus der Konfiguration? Welchen Zeitraum kann die USV unter Volllast überbrücken? Gibt es (redundante) Netzersatzanlagen, die im Falle eines länger andauernden Stromausfalls die Versorgung übernehmen können? Wie lange reicht der Treibstoffvorrat und existieren Lieferverträge mit Treibstofflieferanten, um im Bedarfsfall sofort Diesel nachgeliefert zu bekommen? Erfolgt der Übergang der Stromversorgung unterbrechungsfrei? Und zwar vom Normal- auf Notbetrieb und umgekehrt? Ist die Kompatibilität der Systeme gewährleistet oder existieren mehrere Systeme unterschiedlicher Hersteller nebeneinander? Läuft die Krisenumschaltung vollautomatisch? Ist die Stromverfügbarkeit in den Service Level Agreements verbindlich geregelt? Werden regelmässig Wartungsarbeiten durchgeführt und die Notstromversorgung überwacht, kontrolliert und getestet? Bestehen langfristige Verträge über mögliche Kapazitätserweiterungen mit städtischen, kantonalen oder regionalen Energieversorgern oder Pläne eigener Kraftwerke vor Ort? Ist eine zusätzliche Versorgung durch das bestehende Netz überhaupt möglich? 4. Punkt: Klimatisierung (Kühlung und Luftfeuchtigkeit) Da der grösste Teil der zugeführten Energie von den Geräten in Form von Wärme wieder abgegeben wird, spielt – neben der Stromversorgung – die Klimatisierung eine wichtige Rolle. Vor allem im Sommer kann es eine grosse Herausforderung sein, im Rechenzentrum Temperatur und Luftfeuchtigkeit im Idealbereich zu halten. Die immer leistungsfähigere Hardware und deren steigender Strombedarf lassen herkömmliche Klimatisierungskonzepte oftmals an ihre Grenzen stossen. Sowohl bei der Stromversorgung als auch bei der Klimatisierung müssen Überkapazitäten vorhanden sein, damit bei einem (Teil-)Ausfall der Infrastruktur sowie bei Wartungsarbeiten entstehende Versorgungslücken durch die Zuschaltung weiterer Anlagen kompensiert werden können. Die Punkte der Checkliste: Ist das Klimatisierungssystem von den Geräten bis hin zum Kaltwasserversorgungsnetz redundant aufgebaut? Sind Überwachungs- und Früherkennungssysteme installiert, die die Temperatur und die Luftfeuchtigkeit jederzeit messen und protokollieren? Sind Verfügbarkeiten und Servicebedingungen in SLAs geregelt? Laufen Alarme und Warnungen an einer zentralen Stelle auf, die 24x7 besetzt ist, damit etwa bei Überhitzung schnell reagiert werden kann? Werden umweltfreundliche Kühlsysteme mit Freikühlungsfunktion verwendet? Ist die Kühlungskapazität der IT-Dichte angemessen? Sind die Anlagen auf weiteres Wachstum ausgelegt beziehungsweise stehen noch Kapazitäten zur Verfügung? Ist die Infrastruktur so ausgelegt, dass Luftströme optimal geleitet werden können? (keine Kabelbündel im Doppelboden usw.)? Können vorhandene Klimatisierungssysteme auf den Bedarf des Kunden abgestimmt werden? 5. Punkt: Netzwerkanbindung Als essenzieller Bestandteil für den externen Datenaustausch sollte die Netzwerkanbindung redundant aufgebaut sein. Optimal ist eine zusätzliche Anbindung, die durch einen zweiten Netzbetreiber mit einer alternativen Kabelführung oder auf drahtlosen Übertragungswegen, wie Richtfunk oder Satellit, realisiert wird. Die Checklisten-Punkte sind hier: Stehen mindestens zwei separate Hauseinführungen von zwei unterschiedlichen Netzbetreibern zur Verfügung? Kann man mit Datenaustauschknoten/Carriern in Verbindung treten? Ist Carrier-Neutralität gewährleistet? Haben alle grossen Netzbetreiber ihre Anschlusspunkte in dem ausgewählten Rechenzentrum? Sind kurze Latenzzeiten gewährleistet? 6. Punkt: Skalierbarkeit Da ein Unternehmen oder eine Organisation nie genau planen und somit wissen kann, wann eine Expansion der IT- und Telekommunikationssysteme eintreten wird, ist es unerlässlich, dass das vorhandene Rechenzentrum skalierbar ist und nicht von einem Tag auf den anderen an seine Kapazitätsgrenzen stösst. Die Punkte der Checkliste: Kann die Rechenzentrumsfläche insgesamt nach aktuellen Sicherheits- und Verfügbarkeitsstandards erweitert werden? Inwieweit kann an jedem Punkt des Rechenzentrums die Gerätekapazität aufgestockt werden? Existieren Baupläne beziehungsweise Erweiterungspläne für die nächsten zehn Jahre? 7. Punkt: Energieeffizienz Rechenzentrumsanbieter können sich nicht hinter dem Argument verstecken, dass sie selbst nicht viel in Richtung Green IT tun können und ihre Energiebilanz von der Hardware und dem Stromverbrauch ihrer Kunden abhängig ist. Colocation-Anbieter können durchaus mit der richtigen Architektur und Klimatisierung für einen effizienteren Betrieb sorgen. Einige Anbieter sind sogar Mitglied bei "The Green Grid", einem Konsortium, das sich weltweit für eine Verbesserung der Energieeffizienz in Rechenzentren stark macht. Genau wie bei einer Zertifizierung nach ISO-Standard 27001, kann man bei Rechenzentrumsanbietern darauf achten, ob sie bei Organisationen wie "The Green Grid" aktiv sind. Die einzelnen Punkte: Bietet der Rechenzentrumsanbieter Beratung bei Virtualisierung und Konsolidierung Ihrer Systeme? Werden energiesparende Klimatisierungsgeräte mit Freikühlungsfunktion eingesetzt und zum Beispiel Luftströme aus Warm- und Kaltluft vollständig getrennt? Stehen auch Nachrüst-Systeme zur Trennung von Warm- und Kaltluft bei bestehenden älteren Serverschränken zur Verfügung? Bestehen nachhaltige Raumkonzepte und sind die Serverräume durch ein Room-in-Room-Konzept von äusseren klimatischen Bedingungen abgeschottet und unabhängig? Sind das Gebäude selbst als auch die Versorgungsinfrastruktur in Bezug auf Energieeffizienz aufeinander abgestimmt und bestehen auch darüber hinaus nachhaltige Verhaltensregeln für Angestellte sowie ein nachhaltiges (Kapazitäts-) Management und Wartungskonzepte? 8. Punkt: Störungsmanagement Auch Massnahmen für den Notfall dürfen nicht ausser Acht gelassen werden. In sogenannten Business Continuity-Plänen oder Disaster Recovery-Plänen muss beschrieben werden, wie im Krisenfall der Geschäftsbetrieb in kritischen Unternehmensbereichen wieder aufgenommen oder fortgesetzt werden kann. Die Punkte der Checkliste lauten hier: Wie wird bei Zwischenfällen oder gar Krisen reagiert? Liegen eine entsprechende Dokumentation und die Notfallpläne zur Einsichtnahme vor? Werden das Verhalten im Notfall und eventuelle Krisenszenarien regelmässig geprobt und durchgespielt? Welche Szenarien können den Fortbestand Ihres Unternehmens gefährden? Haben Sie im Unternehmen einen Verantwortlichen, der für Datensicherheit zuständig ist und auch in Notfallsituationen mit dem Rechenzentrumsanbieter zusammenarbeiten und vor Ort sein kann? Stellt der Anbieter eigene Büros für Ihr Personal zur Verfügung? Ist darüber hinaus bei Ihnen dokumentiert, welche Bereiche der IT im Ernstfall zuerst wiederhergestellt werden müssen? Quelle: It-administrator.de; Peter Knapp; 28.01.2010 zu den Themen
 Special Event mit Dr. Urs E. Zurfluh und Prof. Dr. Hannes P. Lubich am 12. März 2010: Die Rolle der ICT in Corporate Governance und Compliance: Intensivseminar mit Dr. Urs E. Zurfluh, Präsident und CEO der Ad Vantis Innovation AG, Mitglied des Verwaltungsrates der CSS Versicherung Luzern und Prof. Dr. Hannes P. Lubich, Professor für IT System Management an der Fachhochschule Nordwestschweiz (FHNW) Die Rolle der ICT in Corporate Governance und Compliance Ein Erfahrungsbericht und Richtlinien über die Umsetzung von Corporate Governance und Compliance in und mittels ICT Ihr nächster Termin in Zürich: 12. März 2010 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Special Event mit lic. iur. Bernhard Stoll am 16. März 2010: Keine unerwünschten Überraschungen:  Intensivseminar mit lic. iur. Bernhard Stoll, Berater für Competitive Intelligence und Counterintelligence Keine unerwünschten Überraschungen Wie Sie mit Competitive Intelligence und Counterintelligence dazu beitragen können Ihr nächster Termin in Zürich: Dienstag, 16. März 2010 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Special Event mit Prof. Dr. Toni Wäfler vom 23. - 24. April 2010: Mensch, Technik und Organisation – Optimierung eines komplexen Zusammenwirkens:  Intensivseminar mit Prof. Dr. Toni Wäfler, Professor an der Hochschule für Angewandte Psychologie (APS) der Fachhochschule Nordwestschweiz (FHNW), Gründungsmitglied, Partner und Senior Consultant des Instituts für Arbeitsforschung und Organisationsberatung Mensch, Technik und Organisation – Optimierung eines komplexen Zusammenwirkens Der Beitrag des Menschen zur Zuverlässigkeit komplexer, technisierter Arbeitsprozesse – und die Voraussetzungen dafür, dass der Mensch seinen Beitrag leisten kann Ihr nächster Termin in Zürich: 23. - 24. April 2010 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Special Event mit Werner Blessing am 5. Mai 2010: Biometrische Authentisierung:  Intensivseminar mit Werner Blessing, Spezialist für biometrische Authentisierung Biometrische Authentisierung Sicherheit, Komfort und Kosten? Welche Anwendung ist ausgereift? Ihr nächster Termin in Zürich: Mittwoch, 5. Mai 2010 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Special Event mit Dr. iur. Ulrich Zwygart am 27. Mai 2010: Wie trifft man Entscheidungen in schwierigen Situationen?:  Intensivseminar mit Dr. iur. Ulrich Zwygart, ehemaliger Divisionär und Kommandant der Höheren Kaderausbildung der Schweizer Armee, Global Head Learning and Development der Deutschen Bank in London Wie trifft man Entscheidungen in schwierigen Situationen? Erfolgsfaktoren in der Entscheidungsfindung Ihr nächster Termin in Zürich: Donnerstag, 27. Mai 2010 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Special Event mit Dr. Jens Hoffmann vom 31. Mai - 1. Juni 2010: Gewalt und Drohungen am Arbeitsplatz:  Intensivseminar mit Dr. Jens Hoffmann, Diplom-Psychologe und Mitbegründer der Partnerschaftsgesellschaft „Team Psychologie & Sicherheit“ (TPS) Gewalt und Drohungen am Arbeitsplatz Gefahren erkennen, einschätzen und entschärfen Ihr nächster Termin in Zürich: 31. Mai - 1. Juni 2010 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen
 Informations- und IT-Sicherheitsbeauftragter (IT-SIBE): Lehrgang für Informations- und IT-Sicherheitsbeauftragte  Aus der Praxis für die Praxis! Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch – laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen jahrelanger Erfahrung. Nächste Lehrgänge: 15. - 19. März 2010 Weitere Informationen und Anmeldemöglichkeiten -- Teilnehmeraussage -- • kleine Gruppe der Teilnehmer, so dass speziell auf Fragen eingegangen werden konnte • das Auflockern des Stoffes durch Einfügen von Beispielen aus der Praxis • die Einplanung der Zeit für Fragen und den daraus entstehenden Diskussionen unter den Teilnehmern, die grösstenteils zu gewinnbringendem Meinungsaustausch führten.» Gottlieb Marth, IT-Sicherheitsbeauftragter, Leica Geosystems AG Teilnehmender am Lehrgang „IT-SIBE“ Erfahren Sie hier mehr. Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen IT-SIBE Vertiefung: Praktischer Vertiefungslehrgang für Informations- und IT-Sicherheitsbeauftragte  Sichern und erweitern Sie sich Ihr Fachwissen! In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE. Nächster Lehrgang: 14. - 18. Juni 2010 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen BS 25999 Lead Auditor: Lehrgang mit Zertifizierung als BS 25999 Lead Auditor  Dieser Lehrgang führt Sie umfassend in das Auditing des BS 25999 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als BS 25999 Lead Auditor. Nächster Lehrgang: 26. - 30. April 2010 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen Betrieblicher Datenschutzverantwortlicher: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen. Nächster Lehrgang: 17. - 21. Mai 2010 Weitere Informationen und Anmeldemöglichkeiten -- Teilnehmeraussage -- Sarah Kannappel, Leiterin Recht und Datenschutz, innova Versicherungen Teilnehmende am Lehrgang „Betrieblicher Datenschutzverantwortlicher“ Erfahren Sie hier mehr. Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen Business Continuity Manager/Krisenmanager: Lehrgang für BCM-Verantwortliche und Krisenmanager  Vorbereitung, Training und Voraussicht sind sinnvoller als "nur reagieren" und Schadensbehebung! Wenn sich Beinahevorfälle einstellen oder Ihre Sicherheitsmassnahmen im Bereich Ihrer wichtigsten Business-Prozesse effektiv versagen, wenn die eruierten Topereignisse Ihres Risk Managements nun tatsächlich eintreten, dann sind Sie als BCM-Verantwortlicher und Krisenmanager gefordert! Nächster Lehrgang: 22. - 26. März 2010 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen ISO 27001 Lead Auditor --> NEU: Durchführung in Deutsch! <--: IRCA-zertifizierter Lehrgang Wissen und Know-how zu ISO 27001
Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit  Mehr Sicherheit dank sicherer Technik! Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen. Nächster Lehrgang: 22. - 25. Juni 2010 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen Integraler Sicherheitsmanager: Lehrgang für Sicherheitsbeauftragte mit offizieller SAQ-Zertifizierung  Sicherheit ganzheitlich betrachtet! Mit der fünftägigen Ausbildung zum Integralen Sicherheitsmanager lernen Sie alles über die Einführung und Anwendung aus organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, personellen, arbeitssicherheits- und gesundheitstechnischen Aspekten der Integralen Sicherheit. Sicherheit: umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten. Nächster Lehrgang mit offizieller SAQ-Zertifizierung: 17. - 19. Mai und 14. - 15. Juni 2010 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen Vorbereitung CISSP: Lehrgang für die Prüfungsvorbereitung  Erfolgreiche CISSP-Zertifizierung dank seriöser Vorbereitung! Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Nächster Lehrgang: 08. - 09. 04. und 12. - 14. 04. 2010 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2010, Swiss Infosec AG zu den Themen
 Technische Sicherheit: Technisches Swiss Infosec Know-how für mehr Sicherheit:  Um Angriffen auf Ihre Systeme und Netzwerke von innen und aussen vorzubeugen, unterstützen Sie die Fachleute der Swiss Infosec AG durch Definition, Konzeption, Überwachung und Umsetzung technischer Sicherheitsmassnahmen. Die Swiss Infosec AG ist spezialisiert auf die Analyse von Windows Servern und Workstations sowie Linux- und UNIX-Systemen, des Weiteren auch generell Firewalls, Web-, Application- und Mail-Servern sowie Datenbank-Systemen. Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Auditing: Jetzt Schwachstellen erkennen und Massnahmen identifizieren!:  Die Swiss Infosec AG bewertet Systeme und Prozessabläufe hinsichtlich der Erfüllung von Anforderungen und Richtlinien. Die Audits werden von speziell hierfür geschulten Auditoren durchgeführt. Die Bedürfnisse des Kunden werden aufgenommen und beeinflussen den Prüfplan umfassend. Gegenstand eines Audits können Konzepte, Verfahren, Systeme, Infrastruktur, Prozesse und Organisationsstrukturen sein. Bei den Auditoren der Swiss Infosec AG handelt es sich um ausgewiesene Spezialisten mit grosser Erfahrung (ISO 27001 Lead Auditoren, Lizenzierte ISO 27001 Grundschutzauditoren). Ihre Vorteile: + Schwachstellen erkennen + Mit den Schwachstellen verbundene Risiken erkennen + Massnahmen identifizieren zur gezielten Eliminierung bzw. Senkung der Risiken + Standortbestimmung + Planungsinstrument im Hinblick auf Kosten und Implementierung der vorgeschlagenen Massnahmen + Notfallvorbereitung + Umfassende Dokumentation + Sensibilisierung der Interviewpartner und Auftraggeber Wie steht es mit Ihren Prozessabläufe? Gerne unterstützen wir Sie, ein unverbindlicher Anruf auf +41 (0)41 984 12 12 genügt. Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen eLearning: Jetzt Wissenslücken effizient und gezielt schliessen!:  Wir bieten Ihnen gerne bereits ausgearbeitete oder auf Ihre individuellen Bedürfnisse angepasste eLearning-Systeme und -Module zu den Themen Informationssicherheit, IT-Sicherheit und Datenschutz an. Das Swiss Infosec eLearning-Angebot ergänzt Ihre Aktivitäten im Bereich der Sensibilisierung und Ausbildung optimal und kosteneffizient. Ihre Vorteile + Kosteneffizient: Keine Systeminvestitionen notwendig, tiefe Kosten pro Mitarbeitendem + Schneller, gezielter und effizienter Wissenstransfer + Idealer Bestandteil einer umfassenden Awareness-Kampagne Unsere Lernplattform basiert auf Opensource: keine Lizenzkosten! Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen "Guten Tag, Herr Müller …" – Social Engineering – testen Sie die "Schwachstelle Mensch" in Ihrer Organisation: Schützen Sie Ihr Unternehmen vor Informationsabfluss  «Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen. Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können. Mehr Wissen über Social Engineering Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen Faktor Mensch: Fördern Sie die Awareness als zentrales Instrument:  Die Sensibilisierung der Mitarbeitenden steht im Fokus der Integralen Sicherheit und Informationssicherheit. Organisationen müssen gezielt Massnahmen ergreifen, um ihre Mitarbeitenden zu ‚sicherem' Handeln anzuleiten und zu motivieren. Ihre Vorteile + Sie profitieren von über 20 Jahren Erfahrung, Ideen und Resultaten + Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden + Sie behandeln Ihre Mitarbeitenden als zentrale Faktoren Ihrer Sicherheitsaktivitäten Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee zu den Themen
 Neuerscheinungen: Praxiswissen COBIT - Val IT - Risk IT: Grundlagen und praktische Anwendung für die IT-Governance (Gebundene Ausgabe): Markus Gaulke
Quelle: www.amazon.de zu den Themen Neuerscheinungen: Managementorientiertes Audit der Informationssicherheit: Beschreibung eines mehrdimensionalen Verfahrens zur Analyse der Informationssicherheit in Unternehmen (Taschenbuch): Panos Zarkadakis
Quelle: www.amazon.de zu den Themen Neuerscheinungen: Computer- und Internetrecht: Vertragsgestaltung, E-Commerce und Datenschutz (Gebundene Ausgabe): Thomas A. Degen, Jochen Deister
Quelle: www.amazon.de zu den Themen
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Consulting- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit. Swiss Infosec AG unterstützt Sie bei
|
