 |
||||||||||||||||||||||||||||||||||||||||
Nr. 5 / Mai 2008 |
||||||||||||||||||||||||||||||||||||||||
ISSN 1424-4217 |
||||||||||||||||||||||||||||||||||||||||
|
 IT-Sicherheitsaudits und deutsches Recht: Dies meint die EICAR Die European Expert Group for IT Security (EICAR) stellt ihr Positionspapier zur strafrechtlichen Relevanz von Sicherheitsüberprüfungen der Öffentlichkeit vor. Kernthese des Papiers ist, dass die überwiegende Zahl der IT-Sicherheitsüberprüfungen jeweils nur dann zulässig ist, wenn zuvor durch den Rechtsgutsträger eine Gestattung der entsprechenden Tätigkeiten im vorzunehmenden Umfang erfolgt. Die Durchführung von IT-Sicherheitsüberprüfungen ist eine Voraussetzung für die Gewährleistung von Informationsschutz, Daten- und Netzwerksicherheit im eigenen Unternehmen. Sie liegt damit nicht nur im ureigenen wirtschaftlichen Interesse, sondern ist zumindest für Aktiengesellschaften aufgrund Paragraph 91 II AktG auch rechtlich geboten. Die rechtlichen Rahmenbedingungen sind allerdings mit Blick auf das 2007 erheblich ausgeweitete deutsche Computerstrafrecht alles andere als trivial. Ein hohes Mass an Rechtssicherheit für die beteiligten Fachkreise ist aber Grundvoraussetzung für die Durchführung effektiver Sicherheitsaudits. Generell gestattet sind nach neuer Rechtslage ausschliesslich rein passive Scans nach Sicherheitslücken, die ohne jegliche weitere Penetration der gescannten Systeme erfolgen. Jede darüber hinausgehende Überprüfung hingegen fällt üblicherweise in den Anwendungsbereich des Computer-strafrechts und ist damit erst bei Vorliegen weiterer besonderer Voraussetzungen zulässig. So stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne von Paragraph 202a StGB dar. Handlungen zur Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen können in den Anwendungsbereich des Paragraphen 303a StGB (Datenveränderung) fallen, der Einsatz sog. "Sniffer" schliesslich ist ein klassischer Fall des Abfangens von Daten (Paragraph 202b StGB). Zwingende Voraussetzung für die strafrechtliche Zulässigkeit obiger Aktivitäten ist somit die Gestattung durch den jeweiligen Rechtsgutsträger, soweit nicht sonstige Rechtfertigungsgründe eingreifen. Das entsprechende Positionspapier finden Sie hier. Quelle: www.itseccity.de, www.zdnet.de; Peter Marwan; 25.04.2008; < zu den Themen Erlauben Sie den Einsatz von privaten USB-Sticks und ähnlichen Speichermedien?: Drei Viertel aller Mitarbeitenden speichern Geschäftsdaten darauf ab IT-Verantwortliche sind sich nicht des Ausmasses bewusst, in dem ungesicherte, private Flash-Laufwerke in ihren Unternehmen eingesetzt werden. 77 Prozent der im Rahmen einer Studie von Sandisk befragten Mitarbeiter haben schon einmal private Flash-Laufwerke auch für berufsbezogene Zwecke genutzt. IT-Verantwortliche schätzten hingegen den Anteil der Mitarbeiter, die private Flash-Laufwerke nutzen, lediglich auf 35 Prozent. Nutzerangaben zufolge gehören zu den am häufigsten auf private Flash-Laufwerke kopierten Dateien die Folgenden: Kundeninformationen (25 Prozent), Finanzinformationen (17 Prozent), Geschäftspläne (15 Prozent), Mitarbeiterdaten (13 Prozent), Marketingpläne (13 Prozent), geistiges Eigentum (6 Prozent) und Quellcodes (6 Prozent). Die Studie argumentiert, dass die Mobilität der USB-Flash-Laufwerke ein erhebliches Risiko des Datenverlustes berge. Etwa einer von zehn Endnutzern gab an, schon einmal ein Flash-Laufwerk an einem öffentlichen Ort gefunden zu haben. Die Befragten sollten zudem drei Dinge nennen, die sie beim Fund eines Flash-Laufwerks an einem öffentlichen Ort tun würden. 55 Prozent sagten, dass sie sich die Daten ansehen würden. Quelle: www.zdnet.de; Britta Widmann; 11.04.2008 < zu den Themen Datenkontrolle nicht beliebt: Sehr leichtfertiger Umgang mit Informationen Wer ein System zum Schutz gegen Datenverluste (Data Loss Prevention) installiert, ist zunächst entsetzt über die vielen Schwachstellen, die sich dabei im Unternehmen zeigen. Die Folge davon sind Überreaktionen bei der Implementierung der Regeln – und eine anschliessende Lockerung. Das berichten die Pilotanwender dieser neuen Technologie. Bei EDS etwa musste man die Security-Abteilung „ein paar Ausnahmen für die Chefetage“ einbauen, bevor sie von dort den Segen für das Schutzsystem bekam. „Es hat uns einen eiskalten Schauer über den Rücken gejagt, als wir entdeckt haben, wie leichtfertig in unserem Unternehmen mit sensitiven Daten umgegangen wird“, sagte Catherine Gorman-Klug, Chief Information Security Officer (CISO) bei Meridian Health, einem Betreiber von vier Krankenhäusern in New Jersey. Ihr Schock war die Folge einer DLP-Installation, die alle Dateien beobachtet hat, in denen Personen- und Patientendaten gespeichert waren. Inzwischen ist sie über die Situation etwas beruhigter, denn die Speicherung und der Zugang wurde auf den neuesten Stand gebracht und das System verschlüsselt automatisch Dateien oder E-Mails in denen es sensitive Informationen entdeckt. „Was mir heute nur noch Sorge macht, sind unsere Laptops und die externen Speichermedien, wie USB-Sticks“, sagt sie. Quelle: www.computerzeitung.de; Harald Weiss; 10.04.2008 < zu den Themen Datensammelwut in den USA: Jetzt sind "Fusion Centers" angesagt "Es gibt nie genug Informationen, wenn es um Terrorismus geht." Frei nach dieser Formel versuchen in den USA Polizei- und Geheimdienstzentren, die über das ganze Land verteilt sind, an möglichst viele aussagekräftige Daten von Bürgern zu gelangen. Gegründet wurden die sogenannten Fusion Centers in der Folge der Attentate vom 11. September 2001. Gegenwärtig zählt das Heimatschutzministerium 58 solcher Zentren, welche die Zusammenarbeit und den Informationsaustausch zwischen lokalen, staatlichen und bundesstaatlichen Behörden intensivieren sollen. Das Netzwerk der Netzwerke ruft schon seit Längerem Kritiker, insbesondere Bürgerrechtsvereinigungen, auf den Plan, die den "Fusion Centers" Überwachung vorwerfen. Wie die Washington Post berichtete, haben sie dazu allerhand Grund. Nach Informationen der Zeitung haben viele dieser geheimdienstlich-polizeilichen Zentren Zugang zu sensiblen persönlichen Daten von Millionen Amerikanern. Bislang war von der Arbeit der intelligence fusion centers nur wenig bekannt, trotz vielfacher, selbst gerichtlicher Bemühungen von privaten Organisationen, die Transparenz verlangen und für besseren Datenschutz und Privatsphäre eintreten. Von höherer Stelle wurde die Arbeit der Zentren aus "Sicherheitsgründen" geheim gehalten und gut abgeschirmt. Doch ein Dokument, das der Washington Post zugespielt wurde, offenbart nun, dass die gemeinsamen Zentren mit grossen staatlichen und privaten Datenbanken und mit einer Anzahl von kommerziellen Datenhändlern in Verbindung stehen. Die Liste der in Anspruch genommenen "Data Brokers" rangiert von eher unbekannten Anbietern wie Entersect, das von sich behauptet, es habe 12 Milliarden Eintragungen von 98 Prozent aller Amerikaner, über Spezialisten im Telefon- und Versicherungsbereich bis hin zu bekannten Diensten wie Lexis Nexis. Die Informationen beinhalten laut Washington Post Berichte über Kredite, Verträge mit Autovermietungen, Daten von Führerscheinen (die in Pennsylvania mit einer Gesichtserkennungssoftware überprüft werden sollen), Versicherungsdaten, Telefonnummern und Aufenthaltsorte (in den USA gibt es keine Meldepflicht), verschiedentlich auch gerichtliche Dokumente. Die Zentren, die von den jeweiligen Bundesstaaten organisiert werden, differieren sehr nach Grösse und Aufgabenstellung. Während sich die kleineren eher auf die Aufklärung von Verbrechen konzentrieren, betreiben die grösseren Antiterror-Operationen, bei denen sie auch mit dem Pentagon kooperieren. Manche Center sollen über das FBI auch Zugang zu Top-Secret-Quellen des CIA haben. Quelle: www.heise.de; 02.04.2008 < zu den Themen Geringe Akzeptanz der elektronischen Signatur: Belgien, Finnland, Estland und die Niederlande sind die Spitzenreiter Die elektronische Signatur oder digitale Unterschrift wird von der Bevölkerung noch immer kaum angenommen. Das ist das Ergebnis einer Studie, für die EC3 Networks die Praxis in 44 europäischen Ländern untersucht hat. Neben der Akzeptanz der elektronischen Signatur wurden Faktoren wie die rechtlichen Rahmenbedingungen, Sicherheitsstandards, die Marktdurchdringung und Angebote von Behörden untersucht. Die Spitzenplätze im Ranking konnten sich Belgien, Finnland, Estland und die Niederlande sichern. "Diese Länder haben die meisten digitalen Signaturen in Umlauf. Die Technik ist in diesen Ländern ausgereift. Auf viele Fragen gibt es gesetzliche Antworten. Das erleichtert den Einsatz der elektronischen Unterschrift", sagt Michael Tremmel, Geschäftsführer von EC3 Networks. "Deutschland und Österreich liegen gleichauf im oberen Mittelfeld", so Tremmel. Die Situation in beiden Ländern sei sehr ähnlich. Österreich punkte als E-Government-Vorreiter, und Deutschland hole in diesem Bereich schnell auf. Beide Länder kämpften jedoch damit, die elektronische Signatur der Bevölkerung näherzubringen. Das System der digitalen Unterschrift ist für sichere elektronische Transaktionen gedacht. Dabei kommen eine Signatursoftware sowie ein Speicher für ein Zertifikat zum Einsatz. Zur Identifikation des Nutzers wird das Zertifikat gelesen und durch einen PIN-Code bestätigt. Ein Vorteil für die Sicherheit von Online-Transaktionen ist, dass eine beidseitige Identifikation erfolgt. Das Risiko sei deutlich geringer als etwa bei Kreditkarten-Transaktionen, so Tremmel. Unternehmen und Institutionen, die international tätig sind, könnten mit digitalen Signaturen viel Zeit und Geld sparen. Quelle: www.zdnet.de; Britta Widmann; 23.04.2008 < zu den Themen Eine Alternative zu den bisherigen Hash- und Signaturverfahren: Erleichtert auch die elektronische Archivierung Der neue Algorithmenkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) enthält zwei Empfehlungen, die eine Wende einläuten: Mit der Erhöhung der Schlüssellänge der gängigen Signaturverfahren RSA und DSA auf 2048 Bit und vor allem mit der Ankündigung von SHA-1 als sicherer Hashfunktion ist die Frage beantwortet, ob sich die bisherigen Verfahren knacken lassen. Die erfolgreichen Angriffe chinesischer Forscher auf SHA-1 haben gezeigt, dass dies viel schneller geschieht, als es bislang für möglich gehalten wurde. Deshalb reagiert der Gesetzgeber heute und empfiehlt für die Neusignatur Hashfunktionen wie RIPEMD-160 oder SHA-224. Für die Unternehmen heisst dies: Sie müssen nicht nur die neuesten Algorithmen für das Hashen und Signieren verwenden, sondern sie sollten heute schon Vorsorge für den Zeitpunkt tragen, an dem diese Verfahren an Beweiskraft verlieren. Da rechtssichere Langzeitarchivierung hierzulande immer noch am Anfang steht, bedeutet diese Zeitenwende auch eine Chance: So können Unternehmen heute schon die Prozesse für die Erneuerung elektronischer Signaturen einrichten. Einen kosteneffektiven Weg beschreibt der IETF-Standard Evidence Record Syntax (ERS). Um den mit der Signaturerneuerung verbundenen Aufwand zu minimieren, folgt ERS einer ebenso einfachen wie genialen Idee: Anstatt jedes Dokument mit einem Zeitstempel zu versehen, werden viele Dokumente in einem Hashbaum zusammengefasst; die Hashwerte der einzelnen Dokumente bilden dabei die Blätter des Baums. Nur an der Baumkrone wird ein Zeitstempel angebracht, der so die Integrität des gesamten Hashbaumes garantiert. Der Vorteil ist: Verliert das angewendete Signaturverfahren seine Rechtssicherheit und müssen die Dokumente nachsigniert werden, bleiben die Dokumente selbst unberührt. Vielmehr werden die Einträge der bestehenden Hashbäume – Hashwerte der Dokumente und Zeitstempel – in neue übertragen, die dann mit einem gültigen Zeitstempel neu signiert werden. So lassen sich selbst grösste Dokumentenbestände kostengünstig nachsignieren. Den entsprechenden RFC finden Sie hier. Quelle: securityzone.ch; Hella Horst < zu den Themen Elektronische Beweise: Anwälte solltes sich nicht zu schnell zufrieden geben Anwälte, die von der Freigabe von Computerbeweisen abhängen, bekommen oft wichtige Hinweise nicht mit. Meistens werden CDs akzeptiert, wenn elektronische Dokumente oder Emails als Teil des Verfahrens benötigt werden. Dies hat aber zum Resultat, dass wichtige Beweise, die sich auf der Harddisk befinden, nicht beachtet werden. Bekommt man als Anwalt eine CD überreicht, so erhält man nur eine Menge Dokumente. Damit gehen die Daten über die Dokumente und wo sie sich befanden, verloren. Es ist also besser, man verschafft sich einen vollständigen Scan des Harddrives. Dies wird aufzeigen, welche Dokumente gelöscht wurden und welche wohin verschoben worden sind. Quelle: www.vnunet.com; Iain Thompson; 23.04.2008 < zu den Themen Risk-Standard des amerikanischen NIST: Entwurf ist veröffentlicht worden Der neue Standard, gedacht für amerikanische Regierungsstellen, bietet auf der Grundlage von Best Practices ein Framework für die Handhabung von Risiken, die aus dem Betrieb und der Benutzung von Informationssystemen entstehen können. Den entsprechenden Standard-Entwurf finden Sie hier . Quelle: www.nist.gov; 15.04.2008 < zu den Themen 2 Jahre Aufbewahrung für ISP-Daten in den USA: Dies wünschen das FBI und viele Kongressmitglieder Der FBI-Direktor Robert Mueller sagte zu einem Komitee des Repräsentantenhauses, dass die ISP Aufzeichnungen der User-Aktivitäten für zwei Jahre aufbewahren sollten. Eine solche menge von historischen Daten würde es dem FBI erleichtern, im Falle von Kinderpornographie zu ermitteln. Basierend auf Aussagen während der Anhörung sowie früheren Rufen nach neuen diesbezüglichen Gesetzen ist der Rahmen eines solchen Datenspeicherungsgesetzes unklar. Auf der einen Seite könnte es bedeuten, dass ISPs für 2 Jahre speichern müssten, welche Internetadresse welchem Kunden gehört. Es könnte auf der anderen Seite aber soweit gehen, dass die gesamte Email- und Messenger-Korrespondenz gespeichert werden muss und welche Websites von wem besucht worden sind. Einige Politiker der Demokraten fordern sogar solche Gesetze für Domain Name Registries, Web Hosting-Firmen und Social Networking Websites. Es gibt auch Äusserungen von FBI- und Justizministeriumrepräsentanten, die meinen, dass es wünschenswert wäre, dass Suchmaschinen entsprechende Logs führen und speichern müssten. Wie sich die Situation weiter entwickeln wird und wie sie mit der bedeutend stringenteren europäischen Datenschutzgesetzgebung in Einklang zu bringen ist, bleibt abzuwarten. Quelle: www.news.com; Anne Broache; 23.04.2008 < zu den Themen Kritische Infrastruktur zunehmend in Gefahr: Cyberangriffe könnten katastrophale Folgen haben Die USA sind zunehmend verletzlich in Bezug auf Cyberattacken, die einen katastrophalen Effekt auf kritische physische Infrastrukturen haben können und die wirtschaftlichen, militärischen und strategischen Interessen schwer schädigen könnten. Das konventionelle strategische Denken, dass Verteidigungsbemühungen im letzten Jahrhundert angetrieben hat, wird in der heutigen vernetzten Welt zunehmen irrelevant. So Spezialisten der U.S. Cyber Consequences Unit (US-CCU), die auf Wunsch der US-Regierung gebildet wurde. Die Änderungen seien so weitreichend, dass keine klaren Linien mehr erkennbar seien. Als Resultat könnten Länder massiv geschädigt werden. Skalierbare Cyberattacken könnten eine grosse Anzahl von Stromgeneratoren physisch vernichten. Ein Ersatz würde Jahre dauern. Würde die Stromzufuhr eine genügend grossen Gebietes genügend lange unterbrochen, wäre es mehr als wahrscheinlich, dass der Grossteil der Wirtschaftsbetriebe schliessen müsste und sehr wahrscheinlich auch Menschen sterben würden. Laut der US-CCU ist gegenwärtig das bevorzugte Ziel solcher Angriffe die konsolidierte Firmeninformation die sich in den Informationssystemen der Unternehmen befindet. Wenige Leute mit dem nötigen Know-how könnten so z.B. exakte Imitate eines Produktes oder einer Fabrik bewerkstelligen, deren Perfektion sonst Jahre gedauert hätte. Die US-CCU hat eine Rangliste kritischer Infrastrukturgruppen nach Relevanz für die US-Ökonomie erstellt. Diese Critical Infrastructure Groups sind: 1. Strom, Gas, Öl, Telekommunikation/Internet, Finanzwesen 2. Chemie, Wasser und Entsorgung, Luft- und Bodentransport 3. Spitäler und Gesundheitswesen, Polizei und Feuerwehr 4. Elektronische, automotive und Verteidigungsindustrie 5. Nahrungsmittelverarbeitung, Agrikultur, nationale Monumente. Quelle: www.fcw.com; Ben Bain; 24.04.2008 < zu den Themen Grenzdurchsuchungen von Handy, Laptops etc. sind erlaubt: US-Berufungsgericht hat entschieden Die amerikanischen Einreisebehörden hatten immer wieder Computer und andere elektronische Geräte durchsucht. Nachdem nun ein Berufungsgericht diese Praxis bestätigt hat, entfernen nun einige Geschäftsreisende vertrauliche Firmendaten von ihren Notebooks. Die Washington Post berichtete im Februar 2008 von mehreren Fällen, wo US-Grenzer ohne konkreten Verdacht Reisende zwangen, ihnen Zugriff auf Notebook-Computer zu gewähren. So wurde eine britische Managerin vor dem Flug von Washington nach London aufgefordert, wegen Sicherheitsbedenken ihr Laptop an die Beamten zu übergeben, ansonsten sie das Flugzeug nicht besteigen dürfe. Der Officer notierte sich Benutzername sowie Passwort und verlangte von der Geschäftsreisenden, ihre E-Mail abzurufen. Da der Internet-Zugang aber nicht funktionierte, blieb dies erfolglos. Die Grenzbeamten sicherten der Britin zu, dass sie ihren Computer innert zweier Wochen zurückbekommen werde. Allerdings wurde ihr das Gerät rund ein Jahr nach dem Vorfall immer noch nicht zurückerstattet, geschweige denn dass sie eine Erklärung erhalten hätte. Der Bericht nennt zudem ein weiteres Beispiel, wo US-Grenzbeamte die Rufliste auf dem Handy einer arabischstämmigen Amerikanerin durchsucht oder die Web-Historie vom Notebook eines IT-Spezialisten kopiert haben. Ein US-Gericht hatte der Klage eines Betroffenen vor einiger Zeit stattgegeben und die Praxis der Einreisebehörden für ungesetzlich erklärt. Die Entscheidung wurde nun von einem Höchstgericht revidiert und das Durchsuchungsrecht auf alle elektronischen Geräte ausgedehnt. So dürfen US-Beamte nun auch ohne konkreten Verdacht auch die Bilder in Digitalkameras in Augenschein nehmen. Der Washington Post zufolge haben zumindest zwei global tätige Unternehmen, ein amerikanisches und ein holländisches, ihre Konsequenzen aus diesen Vorfällen gezogen. So wiesen sie ihre Manager an, keine vertraulichen Firmeninformationen bei US-Reisen auf ihren Notebooks zu transportieren. Eine kanadische Anwaltskanzlei verlangt von ihren Mitarbeitern, dass ihre Computer keinerlei Daten enthalten, wen sie in das Nachbarland einreisen wollen. Sie müssen während ihres geschäftlichen Aufenthalts über verschlüsselte Verbindungen via Internet auf die heimischen Server zugreifen, um an die benötigten Informationen zu gelangen. Quelle: www.computerwoche.de; blog.wired.com; 22.4.2008 < zu den Themen
 Special Event! 09.-10.06.2008: Sicherheitsüberprüfungen von IT-Systemen:  Intensivseminar mit Beat Lehmann, Fürsprecher Sicherheitsüberprüfungen von IT-Systemen Ethical Hacking und Social Engineering Rechtliche Grundlagen und Hürden Sie sind herzlich eingeladen, am zweitägigen Intensivseminar "Sicherheitsüberprüfungen von IT-Systemen unter spezieller Berücksichtigung von Ethical Hacking und Social Engineering" teilzunehmen. Ihr nächster Termin in Zürich Flughafen: 9.-10. Juni 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Jetzt Termin reservieren! Vorschau: Meet Swiss Infosec! 25.06.2008:
ist das Thema der aktuellen Ausgabe von Meet Swiss Infosec! vom 25. Juni 2008. Ganz im Zeichen der „EURO 08“ wird das Zusammenspiel aller Komponenten der Sicherheit betont und auch eine Verbindung zum Thema Hochverfügbarkeit ist geplant. Unter anderem wird uns Philipp Kronig, Leiter der KOBIK (Koordinationsstelle zur Bekämpfung der Internetkriminalität) zeigen, wie er mit der KOBIK kriminelle Aktivitäten ausschaltet. Hier finden Sie die aktuelle Agenda:
Melden Sie sich jetzt an! Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Vorschau: ISMS Tool Box Roadshow 11.09.2008: Jetzt Termin reservieren!  Informationsveranstaltung Möchten auch Sie Ihr ISMS (Information Security Management System) vollumfänglich intranetbasiert und toolgestützt aufbauen und verwalten? Lernen Sie die dafür unentbehrlichen Werkzeuge an der diesjährigen ISMS Tool Box Roadshow kennen. Wir stellen Ihnen im Rahmen der Demonstration der neusten Version der ISMS Tool Box erweiterte und neue Funktionalitäten vor. Reservieren Sie sich Ihren nächsten "ISMS Tool Box Roadshow"-Termin in Zürich Flughafen: 11. September 2008 Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event! 23.-24.09.2008: Sicherheit und Auditing eines SAP-Systems:  Intensivseminar mit Detlev Sachse, SAP-Berater Sicherheit und Auditing eines SAP-Systems Für Auditoren, Sicherheitsbeauftragte und Interessierte Ihr nächster Termin in Zürich Flughafen: 23.-24. September 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event! 11.-12.11.2008: Krisen erkennen, bewältigen und erfolgreich meistern:  Intensivseminar mit Frank Roselieb, Vorstandsmitglied der Deutschen Gesellschaft für Krisenmanager e.V. Krisen erkennen, bewältigen und erfolgreich meistern Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können. Krisensimulation, Fallbeispiele und Empfehlungen Krisensituationen erfordern Ruhe, Beherrschung und die Nase für das Richtige im richtigen Zeitpunkt, in der richtigen Art und Weise zu tun. Dieses trifft insbesondere auf Führungskräfte zu, die in Krisenzeiten „erst recht“ im Rampenlicht der Öffentlichkeit stehen. Sie müssen in der Unternehmung Leitbild sein und eine Persönlichkeit darstellen, die lange vor der Krisensituation zu einer solchen geworden ist. Ihr nächster Termin in Luzern: 11.-12. November 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen
 IT-SIBE: Lehrgang für Informations- und IT-Sicherheitsbeauftragte  Aus der Praxis für die Praxis! Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch – laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen jahrelanger Erfahrung. Nächster Lehrgang: 02. - 06. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen IT-SIBE Vertiefung: Praktischer Vertiefungslehrgang für Informations- und IT-Sicherheitsbeauftragte  Sichern und erweitern Sie sich Ihr Fachwissen! In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE. Nächster Lehrgang: 25. - 29. 08. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen *NEU* Betrieblicher Datenschutzverantwortlicher: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz  In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen. Nächster Lehrgang: 16. - 20. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Integrale Sicherheit: Lehrgang für Beauftragte der Integralen Sicherheit und Sicherheitsbeauftragte  Sicherheit ganzheitlich betrachtet! Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten. Nächster Lehrgang: 26. - 30. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit  Mehr Sicherheit dank sicherer Technik! Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen. Nächster Lehrgang: 22. - 25. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen ISO 27001 Lead Auditor: IRCA-akkreditierter Lehrgang mit offizieller Zertifizierung  Wissen und Know-how zu ISO 27001 Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO 27001 und ISO 27002 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als ISO 27001 Lead Auditor. Dies ist ein IRCA-akkreditierter Lehrgang. Nächster Lehrgang: 08. - 12. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Vorbereitung CISSP: Lehrgang für die Prüfungsvorbereitung  Erfolgreiche CISSP-Zertifizierung dank seriöser Vorbereitung! Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Nächster Lehrgang: 12. - 18. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen *NEU* Sicherheit am Arbeitsplatz: Grundlagen der IT-Sicherheit, sicherer Einsatz von IT-Mitteln, Schutz vor Social Engineering-Angriffen  Lernen Sie sicher mit Ihren IT-Ressourcen zu arbeiten Lernen Sie die Ihnen zur Verfügung stehenden IT-Mittel als Benutzer sicher einzusetzen und sich vor Social Engineering-Attacken zu schützen. Des weiteren lernen Sie Gefahren am Arbeitsplatz zu erkennen und aktive Notfallvorsorge zu betreiben. Zudem erhalten Sie alle Antworten auf die Frage „Was habe ich zu tun bei einem Brand, bei einem Unfall oder bei einer Gebäudeevakuation?“. Im Vorfeld haben Sie Zugriff auf ein eLearning-Modul zur Kursvorbereitung. Nächster Themenkurs: 24. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen *NEU* Professioneller Umgang mit Bedrohungen und Gewalt im Arbeitsalltag: Gefahrensituationen erkennen und Konflikte bewältigen  Gehen Sie mit Bedrohungen und Gewalt in Ihrem Arbeitsalltag professionell um Mit der zunehmenden verbalen oder körperlichen Gewaltbereitschaft einzelner Mitglieder unserer Gesellschaft gelangen wir immer häufiger in unangenehme, teilweise gefährliche Konfliktsituationen. Besonders bedroht sind Mitarbeitende, die direkten Kontakt mit gestressten, unzufriedenen oder sich falsch verstanden fühlenden, teilweise gewaltbereiten Kunden haben. Wir vermitteln Ihnen praxisorientiert sowie mit den erforderlichen Hintergrundinformationen und eindrücklichen Rollenspielen den sinnvollen Umgang mit verbalen Attacken wie Drohungen bei einem Kundengespräch oder beim Empfang, den Umgang mit einer telefonischen Bomben- oder Morddrohung gegenüber Entscheidern, Beratern, Managern usw. und das situationsgerechte Verhalten bei einer Geiselnahme oder körperlichen Auseinandersetzungen. Nächster Themenkurs: 12. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Datenschutzgesetz und dessen Umsetzung: Überblick, Grundlagen und prakt. Umsetzung des rev. Datenschutzgesetzes der Schweiz  Datenschutz und rechtliche Aspekte Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmenden, Fragen aus dem Alltag zu diskutieren und zu beantworten. Nächster Themenkurs: 15. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Elektronische Archivierung: Rechtliche Anforderungen, tech. Grundlagen und praktische Umsetzung der Archivierung  Elektronische Archivierung, eine wichtige und komplexe Materie Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen. Nächster Themenkurs: 19. - 20. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Krisenmanagement und Business Continuity Management (BCM): Überblick, Grundlagen und prakt. Umsetzung eines effizienten Ereignis- und Krisenmanagements  Mit einer guten Vorbereitung ist die Krise schon halb bewältigt! Sie lernen die Auswirkungen, Grundlagen und Begrifflichkeiten einer Krise sowie die Ziele und den Aufbau einer Krisenorganisation kennen. Anhand von Fallbeispielen aus der Praxis vermitteln wir Ihnen, wie eine gut organisierte Ereignis- und Krisenvorsorge effektiv und effizient funktioniert. Sie können so allfällige Schwachstellen in Ihrem Unternehmen erkennen und kompetent reagieren. Wertvolle Tipps und die Abgabe von Merkblättern und Mustern runden diesen eintägigen Themenkurs ab. Nächster Themenkurs: 05. 11. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Einführung ISO 27001/27002: Grundlagen und Überblick über die Normen und Standards im Bereich Informationssicherheit  Einführung und Überblick über die Norm ISO 27001 und den Standard ISO 27002 Wir geben Ihnen einen fundierten, aktuellen und praxisorientierten Überblick über die Bedeutung und den Inhalt dieser Norm und dieses Standards. Wir zeigen Ihnen die Schritte zu deren erfolgreicher Umsetzung auf. Lernen Sie die Voraussetzungen eines funktionierenden ISMS (Information Security Management System) kennen. Nächster Themenkurs: 25. 08. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Vertiefung ISO 27001/27002: Praktische Anwendung und Nutzung der Normen und Standards im Bereich Informationssicherheit  Anwendung und Nutzung der Norm und des Standards im Hinblick auf eine Zertifizierung Dieser Themenkurs vermittelt Ihnen praxisorientiert das Grundwissen zur erfolgreichen Zertifizierung Ihres Unternehmens gemäss ISO 27001. Die einzelnen Teilschritte der Einführung eines gelebten und normkonformen Information Security Management-Systemes werden u.a. im Rahmen von Gruppenarbeiten gemeinsam erarbeitet und vertieft. Eine fundierte Vertiefung für den Praktiker! Nächster Themenkurs: 26. - 27. 08. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen ITIL Security Management: Grundlagen, praktische Umsetzung eines effizienten ITIL-konformen Security Managements  Security Management in einer ITIL-orientierten IT-Organisation Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL-Disziplinen. Nächster Themenkurs: 02. - 03. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Kriminalität / Protokollierung / Ermittlung / Monitoring auf dem Internet: Themenkurs  Wann sprechen wir von Internet-Kriminalität? Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten. Nächster Themenkurs: 26. - 27. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Management-Einführung Informations- und IT-Sicherheit: Überblick, Grundlagen und praktische Umsetzung der Informations- und IT-Sicherheit  Verantwortung im Sicherheitsbereich unternehmensweit wahrnehmen! Mitglieder der Geschäftsleitung oder Verantwortliche für die Unternehmenssicherheit lernen die Bedeutung, den Aufbau, den Umfang und die verschiedenen Integrationsmöglichkeiten der Informations- und Informatiksicherheit für ihr Unternehmen kennen. Anhand von zahlreichen Praxisbeispielen erhalten die Teilnehmenden in kurzer Zeit einen umfassenden Einblick in diesen unternehmenswichtigen Bereich. Nächster Themenkurs: 23. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Security Windows Vista: Überblick, Grundlagen und praktische Umsetzung der Security-Verfahren unter Windows Vista  Lücken oder Tücken? Lernen Sie die Sicherheitsaspekte des neusten Windows-Betriebssystems kennen und damit umzugehen. In Form von ausführlich dokumentierten und erklärten Demo-Sessions lernen die Teilnehmenden Vista und die Konfigurationsmöglichkeiten der neuen Funktionen kennen. Erfahren Sie unter anderem, wie „Windows Vista“ auf Angriffe wie z.B. Viren und Spyware reagiert und welche neuen Schutzmechanismen generell zur Verfügung stehen. Nächster Themenkurs: 07. - 08. 07. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Upgrade Lead Auditor: Konvertierungskurs BS 7799 Lead Auditor zu ISO 27001 Lead Auditor  Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel in «ISO 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO 27001. Nächster Konvertierungskurs: 13. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen
 Erfolgreiche Projektunterstützung: Internationale Awareness-Kampagne Im Rahmen eines Kundenmandates durften wir während 2½ Jahren mit 2 Mitarbeitenden vor Ort ein weltweit tätiges schweizerisches Versicherungsunternehmen unterstützen. Als Projektleiter führten sie mehrsprachig eine weltweit angelegte Awareness-Kampagne (Mitarbeitersensibilisierung im Bereich der IT-Security) durch. Der Fokus lag auf der Analyse existierender und potentieller IT-Risiken, der Erarbeitung und Veröffentlichung von Awareness-Artikeln (interne Sensibilisierungs-/Informationsplattform), der Durchführung von Surveys (Quiz) und Computer-based Trainings (eLearning), inklusive Reportings und der Erarbeitung flankierender Massnahmen zur verstärkten, stufengerechten Sensibilisierung der weltweit tätigen Mitarbeitenden. Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Wir unterstützen Sie: Überbrückung von Ressourcen- oder Kompetenzengpässen: Kompetent, unkompliziert und flexibel  Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken? Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen? Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss. Kompetenz, Erfahrung und Erfolg. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT-Sicherheit zu ihren Kompetenzen. Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. Aus dem Pool der Swiss Infosec AG werden Projektleitende mit mehrjähriger Projektleitungserfahrung eingesetzt: + zur Überbrückung von Kapazitäts- und Know-how-Engpässen + zur Verstärkung Ihrer Projektteams + zur Beschleunigung von Projekten + für den Know-how-Transfer. Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer. Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild. Unsere Fachleute zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch. Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden. Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen. Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. E-Mail infosec@infosec.ch; Telefon +41 (0)41 984 12 12. Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Swiss Infosec AG sucht Sie! Security Consultant / Software Entwickler (m/w) und Sales Manager (m/w):
Für die Optimierung unseres Wachstums suchen wir eine kundenorientierte Person in der Funktion als Security Consultant / Software Entwickler (m/w) Ihr AufgabengebietAls Bindeglied der Bereiche Beratung, Produktmanagement der Swiss Infosec ISMS Tool Box und der Toolentwicklung übernehmen Sie vielseitige Aufgaben in Projekten: Als Security Consultant betreuen Sie herausfordernde IT-Security Projekte, auditieren Systeme, Netzwerke und Organisationen, begleiten die Umsetzung der von Ihnen vorgeschlagenen Massnahmen und bilden Nahtstellen zwischen Organisation und Technik. Im Produktmanagement der Swiss Infosec ISMS Tool Box erarbeiten Sie zusammen mit Consultants, Projektleiter und Kunden technologisch anspruchsvolle Lösungen für den Einsatz unserer Applikation. Als Entwickler erarbeiten Sie interessante und anspruchsvolle SW- und Web-Applikationen in VB.NET, C# und Classic ASP. Sie entwickeln und betreuen ASP.NET AJAX Technologie basierende Applikationen (Framework 3.5) unter Windows Systemen. Ihr Profil Ihr Kontakt Oder senden Sie uns Ihre Bewerbungsunterlagen wenn möglich in elektronischer Form an miro.schenker@infosec.ch oder an Swiss Infosec AG, Centralstrasse 8A, CH-6210 Sursee Tel. +41 (0)41 984 12 12 -------------------------------------------------------------------------------- Für die Optimierung unseres Wachstums suchen wir eine motivierte Persönlichkeit in der Funktion als Sales Manager (m/w) Ihr Aufgabengebiet: Idealerweise verfügen Sie über folgendes Profil: Haben wir Ihr Interesse geweckt? Oder senden Sie uns Ihre Bewerbungsunterlagen wenn möglich in elektronischer Form an miro.schenker@infosec.ch oder an Swiss Infosec AG, Centralstrasse 8A, CH-6210 Sursee, Tel. +41 (0)41 984 12 12 Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen
 Neuerscheinungen: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz. Der Weg zur Zertifizierung: Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder, Klaus-Dieter Wolfenstetter
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Krisenmanagement in der Praxis: Von erfolgreichen Krisenmanagern lernen: Frank Roselieb, Marion Dreher
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: IT-Sicherheit und Recht: Tim Reinhard , Lorenz Pohl , Hans-Christoph Capellaro
Quelle: www.amazon.de < zu den Themen
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Consulting- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit. Swiss Infosec AG unterstützt Sie bei
|
