 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nr. 6 / Juni 2009 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ISSN 1424-4217 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 Ein Terabyte Clinton-Daten entwendet: Werden wir nun endlich wissen, was er da mit Monica Lewinsky getrieben hat? Jetzt verschwand aus dem Nationalarchiv der USA eine grosse Menge an vertraulichen Daten aus der Regierungszeit des früheren Präsidenten Bill Clinton. Es handele sich unter anderem um Sozialversicherungsnummern, Adressen sowie interne Vorschriften des Geheimdienstes und des Weissen Hauses, sagte Archivsprecherin Susan Cooper am Dienstag in Washington. Auch Protokolle von Veranstaltungen seien darunter. Die Daten seien auf einer Computer-Festplatte gespeichert, die spurlos verschwunden sei. Wie immer steht nun die Frage im Raum, worauf es der Dieb wirklich abgesehen hatte: Auf die Daten oder nur auf den Datenträger? Denn wie üblich könnte daraus ein Datenskandal werden - oder wie meistens ein Fall von "Weggefunden": Was herumliegt, wird eben gern mal mitgenommen. Das Speichermedium, dessen Diebstahl nun bemerkt wurde, so Archivsprecherin Susan Cooper, sei irgendwann zwischen Oktober und März aus einem Archivgebäude im Washingtoner Vorort College Park verschwunden und enthalte ein Terabyte Daten. Terabyte-Platten gibt es so lang noch nicht, sie erzielen gute Preise. Aber wertvoll wäre auch der gespeicherte Inhalt. Cooper: "Die Festplatte enthält eine bislang unbekannte Menge an personenbezogenen Daten von Mitarbeitern und Besuchern des Weissen Hauses." Peinlich für die Archivare, aber möglicherweise gefährlich für die Personen, deren Daten auf der Festplatte abgespeichert waren. In der Regel bleibt in solchen Fällen nur Schadensbegrenzung, die Diebe werden nur sehr selten gefasst. So blieben auch die Diebstähle einer externen Festplatte aus der US-Atomsicherheitsbehörde im Juni 2006, bei dem die Daten von über 1500 Geheimnisträgern abhanden kamen, sowie in Grossbritannien der potentiell lebensgefährliche Diebstahl einer Festplatte mit Namen und Adressen von 5000 Justizbeamten im September 2008 bisher ungeklärt. Auch im aktuellen Fall werden nun zunächst die betroffenen Personen über den Datenverlust informiert werden. Darunter sei auch eine der drei Töchter des früheren Vizepräsidenten Al Gore, so Nationalarchiv-Sprecherin Cooper, deren Sozialversicherungsnummer auf der Festplatte gespeichert sei. Auch Clinton wurde informiert; es war aber zunächst nicht bekannt, ob auch persönliche Daten des Ex-Präsidenten betroffen waren. Die Bundespolizei FBI leitete Ermittlungen ein. Quelle: Spiegel.de; pat; 20.05.2009 < zu den Themen "…im Bett eine sehr einfallsreiche und aktive Sexpartnerin…": Die Deutsche Telekom will sehr viel wissen und der deutsche Geheimdienst liefert die Daten Der Schnüffelwahn der Deutschen Telekom kannte offenbar keine Grenzen. Erst durchleuchtete das Unternehmen Telefondaten, dann Bankkonten - und schliesslich auch das Sexleben sogenannter Zielpersonen. Das zeigen Unterlagen, die dem Handelsblatt vorliegen – und tief in die Abgründe der Telekom blicken lassen. Die von der Spitzelaffäre erschütterte Deutsche Telekom hat in bisher nicht bekanntem Ausmass auch das Privatleben von Bewerbern durchleuchten lassen. Zugegeben hat das Unternehmen bisher die Überwachung von Aufsichtsräten und Journalisten in Deutschland. Nun wurde bekannt, dass die Konzernsicherheit auch Bankkonten von Mitarbeitern ausforschen liess. Jetzt zeigen Unterlagen, die dem Handelsblatt vorliegen: Im Ausland machte die Telekom bei ihrer Spitzelei nicht einmal vor dem Intimleben der sogenannten Zielpersonen halt. "Maya (Name geändert) steht im Ruf, im Bett eine sehr erfahrene und erfindungsreiche Sexpartnerin zu sein", heisst es in einem Bericht mit dem Aufdruck "Konzernsicherheit Personalscreening" vom 22. April 2004. Seitenweise wird über die Managerin eines kroatischen Telekomunternehmens berichtet, welche Liebhaber sie hatte und über ihren "vorzüglichen Umgang mit älteren Männern". Sogar der Ruf ihrer Schwester als "aktive Vertreterin der freien Liebe" fand Eingang in die Telekom-Akten. Über die Frau selbst heisst es blumig: "In ihrem persönlichen Umfeld wird sie als weibliches Raubtier mit einem erheblich erhöhten Sexbedürfnis beschrieben." Die Frau, deren Intimleben in den Akten der Konzernsicherheit landete, sollte eine Führungsposition bei der kroatischen Tochter einnehmen. "Es ist doch klar, dass ein Unternehmen in diesen Ländern wissen muss, mit wem man es zu tun hat", sagt ein ehemaliger Sicherheitsberater der Telekom. Als Vorsichtsmassnahme seien Personalscreenings inklusive Ausleuchtung des Intimlebens absolut üblich. Er habe gesicherte Erkenntnisse, dass die Telekom in Ländern wie Kroatien, Mazedonien, Slowenien und Ungarn Dutzende solcher Abfragen durchführen liess. Die Telekom versichert dagegen, dass sie generell keine Analysen zum privaten Umfeld von Bewerbern anfertigen lasse. Allerdings habe die Konzernsicherheit der Personalabteilung Ende 2004 ein Bewerberprofil als Beispiel für mögliche Personalscreenings präsentiert, das auch private Informationen enthalten habe. "Der Vorschlag, diese Art Screenings als Standard einzuführen, wurde von der Personalabteilung abgelehnt", heisst es bei der Telekom. Unüblich sind Überprüfungen von Kandidaten für Führungspositionen bei deutschen Unternehmen jedoch nicht, Experten empfehlen sie sogar. "Es wird zum Beispiel überprüft, ob jemand wirklich das Diplom hat, das im Lebenslauf steht", sagt ein ehemaliger Staatsanwalt, der heute als Sicherheitsexperte bei einer grossen deutschen Unternehmensberatung arbeitet. Abgeklopft werde alles, was für das Unternehmen wichtig sein könne. Aufträge, das Intimleben einer Person auszuspähen, habe er jedoch weder je erhalten, noch würde er sie annehmen. Das Dossier über die Frau, das an die Telekom ging, hat eine deutsche Detektei erstellt. Bei der Ausforschung von Zielpersonen im Ausland setzte die Telekom im Jahr 2004 aber nicht nur auf die Privatwirtschaft. Wie die Akten der Konzernsicherheit zeigen, war auch der Bundesnachrichtendienst eine Quelle. So findet sich in den Akten eine Beschreibung einer Zielperson: "Danach ist M. ... in Zagreb als heftiger Trinker und, so D. wörtlich, als korrupte Ratte bekannt!" Die Ausführungen haben die Überschrift: "Quelle: BND". Der Bundesnachrichtendienst sagte auf Anfrage, er prüfe den Vorgang. Quelle: Handelsblatt.com; Sönke Iwersen, Sandra Louven, Christoph Nesshöver, Katharina Slodczyk; 20.05.2009 < zu den Themen Haft für die Chefs bei Datenverlust: Jetzt sollen sie auch dafür den Kopf hinhalten Wenn vertrauliche Daten bei Unternehmen verloren gehen, befürworten immer mehr Sicherheitsexperten eine Gefängnisstrafe für die Geschäftsleitung. Das ist das Ergebnis einer Umfrage von Websense unter 104 Sicherheitsprofis auf dem e-Crime Congress in London. Die Datenskandale des Jahres 2008 haben nicht den gewünschten Effekt gebracht, denn viele Unternehmen gehen unverändert fahrlässig mit dem Thema Datensicherheit um. Als Folge der Wirtschaftskrise kürzen zahlreiche Unternehmen die IT-Budgets sogar, und damit auch die Ausgaben für IT Security. Zudem hat sich in der aktuellen wirtschaftlichen Situation das Risiko des Datendiebstahls vor allem seitens entlassener Mitarbeiter verschärft. Die zwingenden Einsparmassnahmen auf der einen Seite und die Forderung nach mehr Datenschutz und Datensicherheit auf der anderen Seite sind für Unternehmen ein Balanceakt. Obwohl den Chefetagen die Tragweite von Datenverlusten und Datenklau mittlerweile bekannt sein sollte, priorisieren sie das Thema IT Security zu selten. Das werfen ihnen Sicherheitsexperten aus aller Welt vor. Websense, ein Anbieter im Bereich integrierter Web-, Messaging- und Data-Protection-Technologie, hat 104 Sicherheitsprofis auf dem e-Crime Congress 2009 in London zu diesem Thema befragt. 30% von ihnen fordern daher eine Haftstrafe für Firmenchefs, wenn vertrauliche Daten verloren gehen. Im Vorjahr waren es erst 26%. Neben der Gefängnisstrafe für den Geschäftsführer oder den Vorstandsvorsitzenden wird auch der Ruf nach Schadensersatz beim Verlust sensibler Kundendaten immer lauter: 68% der Befragten befürworten dies, im vergangenen Jahr waren es „nur" 58%. Bei der diesjährigen Umfrage reicht für 62% der Sicherheitsexperten die Verhängung eines Bussgeldes für die Geschäftsleitung. Rund drei Viertel der Sicherheitsexperten sind ausserdem der Meinung, dass Arbeitnehmer bei Verlust ihres Arbeitsplatzes bereit wären, sensible Daten zu entwenden, um daraus Kapital zu schlagen. Erleichert wird das den potenziellen Datendieben durch die mangelhafte Organisation des Datenschutzes in Unternehmen, denn 51% der Befragten sind der Meinung, dass sich die Unternehmensführung weder darüber bewusst ist, wo die sensiblen Daten gespeichert sind, noch welche Mitarbeiter auf sie Zugriff haben. Quelle: openPR.de; Tanja Klein; Mai 2009 < zu den Themen IT-Sicherheit auch in Krisenzeiten nicht vernachlässigen: Man muss sich genau überlegen, wo zu sparen ist Das beherrschende Thema ist zurzeit die weltweite Wirtschaftskrise mit ihren Auswirkungen. Als Reaktion kürzen Firmen ihre Budgets, doch der Bereich IT-Sicherheit sollte eine Sonderrolle in den Planungen einnehmen. Die IT ist in vielen Unternehmen ein massgeblicher Kostenfaktor, daher müssen auch CIOs immer häufiger den Rotstift schwingen. Im Bereich IT-Security ist das gerade in Krisenzeiten für Unternehmen gefährlich – vielleicht sogar fahrlässig. Dennoch denken viele Firmenchefs, ihr Betrieb wäre für Hacker nicht interessant, dabei ist gerade das Gegenteil der Fall. Ungeschützte Netzwerke und PCs sind für Hacker und Wirtschafts-Spione generell interessant. Und vertrauliche Daten finden sich in jedem Unternehmen. Werden diese Daten gestohlen oder zerstört, drohen unweigerlich Reputationsverlust und finanzielle Einbussen. Da in Indien und anderen Ländern durch die Krise zahlreiche hochqualifizierte Programmierer ihren Arbeitsplatz verlieren, rechnen Viren-Analysten sogar damit, dass viele dieser Spezialisten für Angebote der illegalen Seite der IT empfänglicher werden, um weiterhin ihren Lebensunterhalt verdienen zu können. Eine Flut zahlreicher aggressiver und zudem sehr gut programmierter Viren könnte die Folge sein – Conficker ist voraussichtlich nur ein Vorbote dieser neuen Schädlings-Generation. Auch die (elektronische) Wirtschafts-Spionage nimmt in Zeiten der Krise zu: Wenn in Unternehmen unter anderem bei Forschung und Entwicklung gespart wird, wächst der Reiz, sich neue Ideen bei der Konkurrenz zu holen. Quelle: Dowjones.de; Axel Diekmann; 14.05.2009 < zu den Themen Business Continuity: Abhängigkeit von IT-Spezialisten unterbewertet: Dokumentation sehr wichtig Die grassierende Schweinegrippe hat das Thema Notfall- und Business Continuity Planung wieder ins Blickfeld gerückt. Experten raten, dabei das Thema Dokumentation nicht zu vernachlässigen. Denn gerade bei Tätigkeiten von IT-Fachpersonal sind Unternehmen oft stärker abhängig von Einzelpersonen, als sie denken. „Zur Realisierung eines Business Continuity Management (BCM) gehört neben den technischen und organisatorischen Massnahmen auch die Erstellung und – besonders wichtig – die permanente Pflege der Dokumentation“, betont Günter Glessmann, Geschäftsführer des Hirschhorner Software und Beratungshauses ROG. Allerdings: „In vielen Unternehmen findet man die tollsten Dokumentationen – jeder mache irgendetwas. Mal mit Word, mal mit Excel und ergänzt mit Visio“, so Glessmann. Durch fehlende Abstimmungen könne aber im Störfall kein geregelter Ablauf der Massnahmen sicher gestellt werden: „Denn geschäftskritische Prozesse lassen sich nur dann mit hoher Priorität bearbeiten, wenn diese aus einer Dokumentation ersichtlich ist.“ Und genau hier fehle es in vielen Unternehmen. Daher würden immer mehr Wirtschaftsprüfer den Einsatz eines Tools empfehlen, das sowohl bei der Erstellung als auch bei der Pflege einer komplexen Dokumentation hilft. „Einige BCM-Tools unterstützen im Schwerpunkt die IT, andere orientieren sich mehr an Naturkatastrophen und andere dokumentieren auch die Prozesse im Detail.“ Ein Unternehmen sollte daher vor einer Entscheidung einen Anforderungskatalog erstellen und dann die Leistungen der einzelnen Tools dagegen abgleichen. Für Glessmann ist ein wesentlicher Aspekt der Notfalldokumentation die Verfügbarkeit des Tools: „Hier unterscheiden sich die Tools in Client/Server und Browser gestützte Anwendungen.“ Häufig sei aber das Management gar nicht bereit, in die Dokumentation zu investieren, da kein direkter ROI erkennbar ist, so Glessmann: „Und die Mannschaft beweist ja bei Störungen immer wieder, dass sie die Probleme immer schnell in den Griff bekommt.“ Zudem könne man eine Dokumentation einerseits nicht ohne schlüssiges Konzept und andererseits ohne ein Mindestmass an Kenntnis/Erfahrung an die Umsetzung angehen. „Häufig wird in ein Tool investiert und dann soll ja bereits alles fertig sein. Dieser Ansatz ist natürlich falsch. Wir empfehlen vor jedem Projekt einen zweitägigen Workshop, an dem alle tangierten Personen teilnehmen sollen.“ Hier würden sowohl die Ziele definiert als auch die vorhandenen Ressourcen und selbstverständlich, die vorhandenen Daten, Informationen und Dokumentationen bewertet.“ Eine oft unterschätzte Rolle spiele in dem ganzen Kontext die IT: „In über 20 Jahren Projekterfahrung habe ich gelernt, dass das Verständnis der Unternehmenslenker in Bezug auf die IT eher gering ist“, so der ROG-Geschäftsführer. Daher werde die Abhängigkeit von IT-Spezialisten vollkommen unterbewertet. In den über Jahre gewachsenen Strukturen haben sich häufig Schwerpunkte gebildet, bei denen nur bestimmte Mitarbeiter ein bestimmtes Thema bedienen können. Existiere aber eine Dokumentation für die vielen kleinen Aufgaben – etwa „wie richte ich einen Server ein“ oder „wie schalte ich eine Netzverbindung um“ – so ist auch eine Vertretung in der Lage, Probleme zu analysieren und Abhilfe zu schaffen. „Das Wissen muss aus den Köpfen in die Dokumentation. Unabhängig davon, welches Tool es ist.“ Zumal im Prinzip alle Geschäftsprozesse von der IT abhängig seien. „Selbst triviale Prozesse benötigen Informationen oder liefern diese für andere Prozesse.“ Ein Ausfall der IT wird sich somit in kürzester Zeit auf alle Geschäftsprozesse auswirken. „Hierbei ist es eigentlich unerheblich, ob bestimmte Bereiche direkt betroffen sind. Wird ein Prozess unterbrochen, so sind alle abhängigen Prozesse, zwar in der Regel zeitversetzt, ebenfalls betroffen.“ Nicht selten sei auch ein Stromausfall die Ursache des Übels, so Glessmann: „In den letzten Jahren ist zu beobachten, dass Stromausfälle von mehreren Stunden zunehmen.“ Auf Seite der IT hänge dabei die Verfügbarkeit vom Notstromkonzept ab. „Sind nur USV-Anlagen vorhanden, so ist nach 20 bis 30 Minuten häufig Feierabend. Steht ein Notstromdiesel zur Verfügung, so können auch längere Ausfälle überbrückt werden.“ In den zurückliegenden 3 Jahren ist es jedenfalls bei mehreren Glessmann bekannten Unternehmen zu Totalausfällen gekommen, weil die automatischen Schaltanlagen versagt haben. „In drei bekannten Fällen kam es zu einem harten Crash. Das dies in der Öffentlichkeit nicht bekannt wird, liegt im Interesse der betroffenen Unternehmen.“ Quelle: Computerzeitung.de; Armin Barnitzke; 11.05.2009 < zu den Themen Mehr Geld für Schnüffeleien: Die USA rüsten weiter auf Das FBI soll 234 Millionen Dollar zum Ausbau der Internet-Überwachung erhalten. Der nur in Auszügen öffentliche Budget-Entwurf der US-Regierung für den Staatshaushalt 2010 gibt Hinweise auf eine geplante Verstärkung der Internet-Überwachung durch das FBI. Laut einem Bericht des US-Senders ABC will Washington so etwa die Einrichtung eines "Advanced Electronic Surveillance"-Programms bei der Polizeibehörde mit knapp 234 Millionen US-Dollar im kommenden Jahr unterstützen. Das auch unter dem Namen "Going Dark" bekannte Vorhaben drehe sich allgemein um die Informationssammlung des FBI. Konkret gehe es darum, bessere Möglichkeiten für das Abhören der Internet- Telefonie und Programme wie Skype zu entwickeln. Auch wenn Einzelheiten wie etwa der mögliche Einsatz von Trojanern oder anderer Lauschsoftware noch nicht bekannt sind, beäugen Bürgerrechtler die Initiative skeptisch. Die Strafverfolger müssten zwar mit der technischen Entwicklung Schritt halten können, erklärte Jim Dempsey vom Center for Democracy and Technology (CDT) in Washington. Die Datenschutzbestimmungen zur Einschränkung neuer Überwachungswerkzeuge seien aber auch anzupassen, was der Gesetzgeber in den vergangenen Jahren versäumt habe. Das grösste Problem für die Sicherheitsbehörden sei es zudem nicht, an Daten zu kommen, sondern diese sinnvoll auszuwerten. Neben dem umstrittenen, hierzulande unter dem Stichwort "Quellen-Telekommunikationsüberwachung" diskutierten Abhörprogramm für Voice-over-IP (VoIP) sieht der Budget-Abriss auch den Aufbau eines "Biometric Technology Center", an dem das FBI zusammen mit dem US-Justizministerium und dem Pentagon arbeitet. Dafür sollen im kommenden Jahr 97,6 Millionen US-Dollar zur Verfügung stehen. Eingebettet ist das im Raum stehende Biometrie-Zentrum in die Entwicklung der milliardenschweren Mega-Biometriedatenbank zur "Next Generation Identification". Es soll das FBI von 2013 an befähigen, Personen innerhalb und ausserhalb der USA anhand von charakteristischen Körpermerkmalen zu identifizieren. Abgeglichen werden sollen dafür zumindest Finger- und Handflächenabdrücke sowie Iris- und Gesichtserkennungsmerkmale. Weiter umfasst der Etatplan eine finanzielle Unterstützung des Interpol-Projekts Vennlig. Dabei handelt es sich um eine internationale Datenbank zum Informationsaustausch über Terroristen. Gestartet hat sie das US-Verteidigungsministerium, um Angaben über gefangene oder getötete "Aufständische" im Irak zu sammeln. Dabei werden angeblich vor allem Daten von benutzten Mobiltelefonen oder anderen persönlichen Besitzgegenständen erfasst. Sie sollen nun auch US-Sicherheitsbehörden und Strafverfolgern in Interpol-Ländern zugänglich gemacht werden. Quelle: Heise.de; Stefan Krempl; 11.05.2009 < zu den Themen Absicherung von Laptop-Rechnern wird im Unternehmen unterbewertet: Schlamperei kann teuer zu stehen kommen Denkt man an Informationssicherheit, kommen einem oft Begriffe wie Firewall, Antivirus-Lösungen, Passwörter oder Patches in den Sinn. Traditionell liegt der Fokus der Datensicherheit nämlich auf Sicherheitsmassnahmen, die unerwünschte Eindringlinge – seien es nun Hacker oder Schadcodes – aus dem Netzwerk fernhalten sollen. Und so wird viel Geld in die Absicherung von Web-Anwendungen, die Abwehr von Malware sowie ins Server- und Datenbank-Patching gesteckt. Information Security umfasst aber mehr als nur die Netzwerk-Sicherheit, denn diese ist nur auf eine relativ kleine Umgebung ausgerichtet. Derweil befinden sich mobile Geräte wie Laptops in Zeiten der mobilen Mitarbeit und Home-Offices sowohl inner- als auch ausserhalb der Firmengrenzen – und sind damit oft vom Kontrollbereich des Administrators ausgeschlossen. Leider stellen nicht nur die Laptops selbst ein Sicherheitsproblem dar, sondern vielmehr auch die darauf enthaltenen, sensiblen Geschäftsinformationen. Die Wahrscheinlichkeit, dass jedweder Laptop einer Firma kritische Daten in irgendeiner Form enthält, liegt bei nahezu hundert Prozent. Erschwerend kommen private Geräte hinzu, auf denen möglicherweise Geschäftskontakte oder andere Daten gespeichert werden. Sämtliche dieser Informationen sind täglich einer ganzen Reihe von Risiken ausgesetzt. Neben einer rein unternehmerischen Verantwortung für diese Daten sind damit auch Compliance-Anforderungen verbunden: Ob Sarbanes-Oxley Act (SOX), Payment Card Industry Data Security Standard (PCI DSS) oder Health Insurance Portability and Accountability Act (HIPAA) – nahezu alle Compliance-Richtlinien adressieren die mobile Datensicherheit in irgendeiner Form. Doch kaum ein Security-Verantwortlicher weiss tatsächlich um die Probleme schwacher Laptop-Sicherheit. Dabei dauert es bei Verlust oder Diebstahl eines unzulänglich gesicherten Notebooks gerade einmal zehn Minuten, sich einen unauthorisierten Zugriff auf sämtliche Inhalte und Ressourcen des Geräts zu verschaffen. Dies können einerseits sensible Daten sein, andererseits aber auch eine ganze Reihe von Netzwerk- oder Online-Passwörtern. Bei der mobilen Sicherheit bzw. der Laptop-Absicherung spielt der Faktor Verantwortung eine grosse Rolle: Manager, (mobile) Mitarbeiter und Administratoren gehen oft nicht verantwortungsvoll genug mit ihrer Aufgabe zur Wahrung der Informationssicherheit um. Es gibt einfach zu viele andere Baustellen – dies ist keine Entschuldigung, aber dennoch eine reelle Gefahr. Hinzu kommt, dass IT-Abteilungen einerseits unterbewertet und andererseits unterfinanziert sind – insbesondere wenn es darum geht, jedes einzelne Firmen-Notebook anzufassen und umfassend abzusichern. In diesem Zusammenhang konzentriert sich die IT darüber hinaus gerne auf Sicherheitsbereiche, die weniger wichtig sind oder sein sollten. Dabei sagte schon Johann Wolfgang von Goethe: „Wichtige Dinge dürfen nie den unwichtigen untergeordnet werden.“ Auf die IT bezogen sollte dementsprechend abgewogen werden, welchen Erfolg die Investition in bestimmte Sicherheitsmassnahmen verspricht – und hier sollte der Laptop-Sicherheit ein weitaus grösserer Stellenwert beigemessen werden. Dafür spricht allein schon der Report „A Chronology of Data Breaches“ des Privacy Rights Clearinghouse, in dem das Wort Laptop insgesamt 300 Mal vorkommt. Die Dunkelziffer für derartige Sicherheitsvorfälle liegt vermutlich noch um einiges höher. Nimmt man die Dringlichkeit der Absicherung mobiler Rechner erst einmal zur Kenntnis, ist dies allerdings nur der erste Schritt. Quelle: Searchsecurity.de; Stephan Augsten, Kevin Beaver; 11.05.2009 < zu den Themen Social Engineering und der menschliche Faktor: Es menschelt halt überall Die Bedrohung durch Hacker-Angriffe hat in den letzten Jahren dramatisch zugenommen. Viele Firmen rüsten nach und erhoffen sich von ausgefeilten technischen Lösungen den allumfassenden Schutz vor den elektronischen Einbrechern. Dabei wird fast immer übersehen, dass die effektivste Methode, sich unberechtigt Zugang zu verschaffen, nicht im Ausnützen der zugegeben zahlreichen Sicherheitslücken liegt, sondern im Ausnützen von menschlichen Schwächen. Beim Social Engineering wird genau diese Schwachstelle ausgenutzt, indem die elektronischen Sperren „von innen“ ausgehebelt werden. Ziel der Attacke ist immer der Mensch, er ermöglicht dem Angreifer durch Erlangen von sensitiven Informationen diese anschliessend für die eigentliche Penetration zu verwenden, die dann meist auf „legalem“ Wege zum Ziel führt und deshalb erst recht kaum entdeckt wird. Das Arsenal der Angriffsmethoden beinhaltet Täuschung, Bestechung, Erpressung, Einschüchterung, Bedrohung, Appellieren an die Hilfsbereitschaft oder Ausnutzen der Arglosigkeit des Opfers. Im Gegensatz zu traditionellen Hackerattacken benötigen die Angreifer keine besonderen technischen Kenntnisse. Somit ist die Gruppe der potenziellen Angreifer ungleich grösser. Aus wirtschaftlichen Gründen wird die Informationsbeschaffung mittels Social Engineering oftmals einer aufwändigen Hackerattacke mit ungewissem Ausgang vorgezogen. Die Nutzer können jedoch für das Thema sensibilisiert werden und so auf diese spezielle Form von Angriffen vorbereitet werden. Dabei sollte man nicht unterschätzen, wie kurz die Halbwertszeit der Handlungshilfen sind, sich immer der Identität des Gegenübers zu versichern oder sensible Informationen keinesfalls einfach im Papierkorb zu entsorgen. In der Praxis hat sich herausgestellt, dass je restriktiver die Sicherheitsleitlinien gehandhabt werden, desto eher die Nutzer versuchen, sich diesem Druck zu entziehen. Es werden Passwörter auf kleinen gelben Zetteln an den Monitor geheftet, weil sich niemand die komplizierten Folgen von Buchstaben, Nummern und Sonderzeichen merken kann, die zudem auch noch in relativ kurzen Abständen wechseln. Der Mitarbeiter ist schon längst als “grösster Risikofaktor” beim Schutz der Unternehmensdaten identifiziert. Warum also ist es so schwierig, ein geeignetes Mass an Sicherheit auch hier zu erreichen? Weil die Informationssicherheit immer noch als der grosse „Verhinderer“ gebrandmarkt ist, der Zeit und Mühe kostet, aber dessen Früchte nur schwer ins Bewusstsein treten, weil im optimalen Fall eben „nichts passiert“. Wird zudem von Vorgesetzten die Einhaltung der Richtlinien durchbrochen, dann ist es nicht verwunderlich, dass Mitarbeiter dem schlechten Beispiel folgen. Selbst wenn keine offensichtlich sensiblen Informationen an Externe weitergegeben werden, so kann ein findiger Angreifer aus relativ harmlosen Informations-Schnipseln im Laufe der Kommunikation die geeignete „Munition“ zusammensetzen, die er dann dazu verwendet, um durch ein weiteren Anlauf bei seinem nächsten Opfer das Gefühl zu erzeugen, er sei ein „Wissender“, dem man dann getrost seine fingierte Rolle abnimmt. Analog dazu birgt die Mülltonne einer Firma eine wahres Füllhorn an Informationen, die richtig zusammengesetzt und angewendet, nahezu jedem vorgaukeln könnte, man habe die Befugnis nach sensiblen Informationen zu fragen. Bei Verdacht sollte nicht vorschnell gehandelt werden, weil Angreifer, welche Social Engineering betreiben, oft nicht vor körperlicher Gewalt zurückschrecken, um nicht gefasst zu werden. Bei Verdacht sollten die Sicherheitsverantwortlichen oder die Vorgesetzten informiert werden. Wer proaktiv agieren möchte, kann selbst eine Social Engineering-Attacke im eigenen Unternehmen in Auftrag geben. So zeigt sich schnell, ob es Sinn machen würde, das Sicherheitsbewusstsein der Mitarbeiter gezielt zu schulen, oder ob eine vorhergegangene Schulung den erwünschten Effekt hatte. Bei derartigen Tests ist darauf zu achten, dass die Rechte der geprüften Mitarbeiter nicht verletzt werden. Um effektive Massnahmen durchzuführen, ist es für Unternehmen ratsam zu ergründen, von welchen Personengruppen und aus welchen Beweggründen das grösste Risiko ausgeht. Unkenntnis oder Unwissenheit können Gründe sein, da das Unternehmen keine Möglichkeit bietet, relevante Inhalte zu erlernen. Schwieriger wird es schon bei Gleichgültigkeit bzw. Bequemlichkeit: Besteht ein generelles Desinteresse an der Thematik IT oder aber am Unternehmen selbst, dann bewirken noch so ausgeklügelte Awareness-Strategien keine Bereitschaft zum Mehraufwand, den Sicherheit nun mal erfordert. Eine absichtliche Verletzung der Datensicherheit stellt im einfachsten Fall nur eine Art von “Proof of concept” dar (beweisen, dass “es” funktioniert), im schlimmsten Fall jedoch eine der grössten Herausforderungen, der meist nur noch mit forensischen Mitteln begegnet werden kann. Mitarbeiter sind wegen ihres Wissens um technische und organisatorische Gegebenheiten die gefährdetste Gruppe und stellt laut den gängigen Untersuchungen auch die weitaus grösste Risikogruppe. Für den Erfolg von Awareness-Massnahmen ist es wichtig, dass die Geschäftsführung, das mittlere Management und die Personalabteilung hinter dem Projekt stehen. Nur durch Information und Transparenz schafft man die Basis für die geplanten Massnahmen. Zusätzlich bietet man dem Mitarbeiter durch eine öffentliche Sprechstunde des IT-Verantwortlichen ein Forum für konkrete Fragen und Antworten. In speziellen Workshops zum Thema haben Ziele und Inhalte des Unternehmens aber auch Meinungen, Fragen und Erfahrungen der Mitarbeiter Platz. Die Mitarbeiter jedes Tätigkeitsbereiches sollen verstehen, warum sie etwas tun müssen oder nicht tun dürfen. Über die Bedeutung und Grenzen technischer Massnahmen wie Firewall, Virenschutz oder Spam-Filter muss realistisch informiert werden. Es geht hier nicht darum, Horror-Szenarien aufzuzeigen, sondern die Mitarbeitenden zu überzeugen, dass jeder einzelne von ihnen zum Schutz der Firmeninformationen beitragen muss und in seinem Arbeitsumfeld für den korrekten Umgang mit Informationen verantwortlich ist. Der Mensch wird gerne als “Risikofaktor” dargestellt, als potenzieller Täter, als Störenfried des Informatikbetriebs. Er ist aber gleichzeitig auch Schöpfer, Anwender und Nutzniesser der Informationsverarbeitung. Sein individuelles Verhalten basiert unter anderem auf der jeweils vorherrschenden Sicherheitskultur. Um diese positiv beeinflussen zu können, braucht es die Einsicht des Managements, einen abgestimmten Massnahmen-Mix und gezielte Kommunikation. Quelle: Prcenter.de; 11.05.2009 < zu den Themen Datenverlust kann leicht Millionen kosten: Es sind nicht nur Bits und Bytes sondern auch Franken, Euro und Dollars Der Dateneinbruch bei der amerikanischen Kreditkarten- Abrechnungsgesellschaft Heartland Payment Systems (HPS) kam dem Unternehmen bereits jetzt teuer zu stehen. Über zwölf Millionen Dollar hat das Unternehmen in den ersten drei Monaten dafür ausgegeben. HPS meldet, dass man in den ersten drei Monaten dieses Jahres bereits 12,6 Millionen Dollar für den Mitte Januar entdeckten Datendiebstahl ausgegeben habe. Darin sind bereits die ersten Schadensersatzzahlungen an Visa und Mastercard in Höhe von sieben Millionen Dollar enthalten. „Das ist bei weitem noch nicht alles“, meint Larry Ponemon vom Ponemon-Institut, das Datendiebstähle und deren Folgekosten in den USA beobachtet. So sei das nur ein „Startbetrag“, doch dafür sei er schon ganz ordentlich. „HPS hat gegen verschiedene Compliance-Regeln der Kreditkarten-Industrie (PCI) verstossen und demzufolge gibt es kein Ausweichen und kein Pardon“, so Ponemon weiter. Allerdings gesteht Ponemon zu, dass die PCI-Auflagen vor allem im Zusammenhang mit Cloud-Computing und Virtualisierung schwer einzuhalten sind. HPS hat inzwischen auch selbst eingestanden, dass man als Folge des Dateneinbruchs möglicherweise Konkurs anmelden muss. „Es gibt einen Antrag auf eine Klage, deren Rechtmässigkeit aber noch nicht bestätigt ist, und wir sind nicht in der Lage das damit verbundene finanzielle und unternehmerische Risiko abzuschätzen“, sagte HPS‘ Finanzchef Bob Baldwin gegenüber Analysten. HPS hatte am 20. Januar 2009 gemeldet, dass Unbekannte in das System eingedrungen waren und sich „tausende“ Kreditkartendaten beschafft hätten. Wie viele es wirklich waren, ist nie bekannt gegeben worden. Sicherheitsexperten gehen davon aus, dass HPS die Zahl selbst nicht weiss. Am 15. Februar 2009 gab es in Florida die ersten Festnahmen in diesem Fall. Mit diesen drei Festnahmen ist der Fall aber noch lange nicht aufgeklärt. „Wir verfolgen noch viele weitere Spuren und hoffen, dass uns diese Festnahmen weiter helfen werden“, sagte damals Larry Campbell, Sheriff von Leon County wo die Festnahmen erfolgten. Quelle: Computerzeitung.de; Harald Weiss; 11.05.2009 < zu den Themen Festplatte mit Informationen zu US-Raketenabwehr bei eBay: Was machen Sie mit Ihrer ausgedienten IT-Ausrüstung? Auf gebrauchten, bei Computerbörsen oder eBay erhältlichen Festplatten befinden sich häufig noch sensible Daten. Wie sensibel, zeigt eine neue Studie aus Grossbritannien, die der Telekommunikationskonzern BT in Zusammenarbeit mit Universitäten in Wales, Australien und den USA durchgeführt hatte: Auf gebrauchten Harddisks fanden die Forscher Informationen über ein Raketenabwehrsystem der USA, vertrauliche Daten der deutschen Botschaft in Paris sowie Kontodetails und Arztdokumente. Mehr als 300 Festplatten haben die Forscher in Deutschland, Grossbritannien, Frankreich, Australien und den USA auf Auktionen, bei eBay oder Computerbörsen erstanden. Ein Drittel der Platten enthielt nach Angaben der BT-Forscher private Daten des ehemaligen Besitzers oder Informationen über Unternehmen und Organisationen. Als "überraschend gross" bezeichneten die Forscher sowohl die Menge der gewonnenen Informationen als auch deren Bandbreite. Eine Überraschung der besonderen Art enthielt eine in den USA auf eBay ersteigerte Festplatte: Ihr entnahmen die Wissenschaftler nach eigenen Angaben Details über Starttests eines US-amerikanischen Raketenabwehrsystems namens THAAD. Darüber hinaus soll der Datenträger Informationen über Sicherheitsregelungen und Mitarbeiter des US-Rüstungskonzerns Lockheed Martin sowie Blaupausen von Einrichtungen des Herstellers enthalten haben. Eine weitere Speichereinheit enthielt britischen Medienberichten zufolge vertrauliche Sicherheitsinformationen der Deutschen Botschaft in Paris. Andere Festplatten wurden mit Daten und Röntgenaufnahmen von Patienten eines schottischen Krankenhauses angeboten. Auf einem anderen Medium wurden Informationen zu einem geplanten Währungsumtausch von 50 Milliarden Dollar gefunden. Datenträger mit sensiblem Inhalt tauchen immer wieder in der Öffentlichkeit auf. In Grossbritannien war es im vergangenen Jahr zu einer regelrechten Pannenserie gekommen, bei der Informationen über Patienten, Kindergeldempfänger und Fahrschüler öffentlich wurden. Auch kam dem britischen Verteidigungsministerium eine externe Festplatte mit persönlichen Daten von rund 100‘000 Soldaten abhanden. Zuvor hatte ein nichtsahnender eBay-Kunde eine Platte mit zehntausenden Dateien der Gemeindeverwaltung Charnwood ersteigert – für knapp sieben Pfund. Quelle: Heise.de; vbr; 07.05.2009 < zu den Themen Cloud Computing und Datenschutz: Die Sicht deutscher Datenschützer „Über den Wolken muss die Freiheit wohl grenzenlos sein“, singt Reinhard Mey. Bei den IT-Wolken ist das nicht so: Beim Cloud Computing dürfen personenbezogene Daten die EU nicht verlassen, warnen Datenschützer. Ist die Cloud damit also ad absurdum geführt? Firmenkunden müssen das Privacy-Dilemma zumindest bei der Auswahl ihres Providers und bei der Vertragsgestaltung berücksichtigen. „Cloud Computing bietet Dienstleistungen mit personenbezogenen Daten, die völlig ortsunabhängig sind – also irgendwo in der Welt erbracht werden können, ohne dass die Kundin oder der Kunde wissen müsste, wo die Daten sind“, erläutert der Berliner Datenschutzbeauftragte Alexander Dix in seinem Jahresbericht. Allerdings: Wenn diese Cloud-Datenverarbeitung ausserhalb der EU stattfinde, dann wäre diese laut Datenschutzrecht „nicht zulässig“, so der Bericht. Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), bestätigt diese Einschätzung: „Ich habe sogar Zweifel, ob Cloud Computing in Europa zulässig ist, wenn die einbezogenen Stellen nicht hinreichend festgestellt werden können beziehungsweise festgelegt sind.“ Die Argumentation der Datenschützer: Generell sei Cloud Computing eine spezielle Ausprägung der „Datenverarbeitung im Auftrag“, wie dies das Bundesdatenschutzgesetz (BDSG) nennt. „Bei einer Datenverarbeitung im Auftrag verbleibt die Verantwortung beim Auftraggeber. Voraussetzung ist, dass der Auftragnehmer bei Verstössen zur Verantwortung gezogen werden kann. Dies ist innerhalb von Europa gewährleistet durch die EU-Datenschutzrichtlinie, nicht aber etwa in den USA“, sagt Weichert. Die Weitergabe der Daten an den Auftragnehmer sei demzufolge keine „Datenübermittlung“, für die es eine besondere und strenge Rechtsgrundlage geben müsste. Jedoch sei die Rechtslage eine andere, wenn der Auftragnehmer die Daten nicht innerhalb der EU verarbeitet. Dix: „In diesem Fall ist er nach Paragraph 3 Absatz 8 Satz 3 des Bundesdatenschutzgesetz (BDSG) Dritter, und die Bereitstellung der personenbezogenen Daten zum Zwecke der Auftragsdatenverarbeitung ist eine Übermittlung, deren Zulässigkeit sich an den Paragraphen 4 b und 4 c BDSG messen lassen muss.“ Das BDSG stellt in den Paragraphen 28 und 29 sehr strenge Regeln für die „Datenübermittlung an Dritte“ auf. Was bedeutet dies nun konkret? „Die deutschen Cloud-Kunden müssen sich davon überzeugen, dass die Datenverarbeitung nicht in einem Drittland ohne angemessenes Datenschutzniveau stattfindet“, so der Rat des Berliner Datenschützers. Er verweist in diesem Zusammenhang als Cloud-No-Go-Areas zum Beispiel auf die USA, China oder Japan. Dies beschränkt natürlich die Ortsunabhängigkeit des Cloud Computing. „Aus diesem Grunde müssen die Cloud-Computing-Provider dem Beispiel Amazons folgen, die Dienstleistungen in unterschiedlichen Regionen mit gemeinsamen Datenschutzstandards anzubieten, also zum Beispiel innerhalb der EU“, erläutert Hanns-Wilhelm Heibey, stellvertretender Landesbeauftragter für Datenschutz und Informationsfreiheit Berlin. Neben diesen datenschutzrechtlichen Aspekten, die beim Cloud Computing zu beachten sind, sollten eine Reihe von weiteren Sicherheitsaspekten beachtet werden, so der Berliner Datenschutzbeauftragte in seinem Jahresbericht. 1. Gefahr durch Systemadministratoren: Bei der Datenverarbeitung im eigenen Hause existieren für den privilegierten Zugriff auf sensitive Daten durch Systemverwalter physische, logische und von Mitarbeitenden gesteuerte Kontrollmechanismen der IT-Abteilungen. Diese verlieren bei der Auslagerung in die Wolke dadurch ihre Funktion, dass fremde Administratoren den Zugriff auf die sensitiven Daten erhalten. Die Kundenunternehmen müssen sich daher detaillierte Informationen über die Systemadministratoren beim Anbieter verschaffen, über die Auswahlkriterien bei ihrer Einstellung, über die auf sie wirkende Aufsicht sowie die eingesetzten Verfahren und die Zugriffskontrolle. 2. Compliance/Audits: Auch wenn die Datenverarbeitung ausgelagert wurde, behalten die Kunden wie bei der normalen Datenverarbeitung im Auftrag ihre volle datenschutzrechtliche Verantwortung für ihre eigenen Daten. Zur Aufrechterhaltung der Compliance, also der Einhaltung der gesetzlichen Bestimmungen bei der Verarbeitung von Daten, sollten die Kunden darauf achten, dass sich die Anbieter externen Audits und Zertifizierungen unterwerfen. 3. Datentrennung/Verschlüsselung: Cloud Computing bedeutet auch, dass mehrere Kunden in der gleichen Umgebung verarbeiten lassen. Damit entstehen Risiken, die in einer nicht hinreichenden Trennung der gespeicherten Daten liegen. Die Kunden müssen sich daher vor der Auftragsvergabe absichern, welche Methoden zur Trennung der Daten unterschiedlicher Auftraggeber angewandt werden. Sofern dies durch Verschlüsselung erfolgt, muss der ordnungsgemässe Entwurf der Verschlüsselungssysteme geprüft werden, um sicherzugehen, dass die Verfügbarkeit der Daten gewährleistet ist. 4. Wiederherstellung: Die Kunden sollten sich genau darüber informieren, welche Massnahmen im Falle des Ausfalls der Speichersysteme beim Dienstleister für die vollständige Wiederherstellung von Daten und Anwendungsverfahren vorgesehen sind, bevor man ihm die Daten anvertraut. 5. Illegale Aktivitäten: Die Entdeckung ungewöhnlicher oder illegaler Aktivitäten ist beim Cloud Computing erschwert, da der Kunde nicht immer weiss, wo die Daten verarbeitet werden, und dies sich auch unbemerkt ändern kann. Die Provider sind daher vertraglich zu verpflichten, dass spezielle Überprüfungen auf ungewöhnliche oder illegale Aktivitäten möglich sind und durchgeführt werden. 6. Provider-Pleite Die Kunden müssen vor Auftragsvergabe klären, dass die eigenen Daten auch dann verfügbar bleiben, wenn der Cloud-Computing-Provider insolvent oder von einem anderen Unternehmen übernommen wird. Quelle: Computerzeitung.de; Arnim Barnitzke; 07.05.2009 < zu den Themen Quo Vadis, Datenschutz: Oberster deutscher Verfassungsrichter ist alarmiert Vor einem "Supergau des Datenschutzes" warnt Deutschlands oberster Verfassungsrichter. "Wir stellen nicht erst seit gestern fest, dass dem Grundrecht auf Datenschutz nicht nur von staatlicher, sondern auch von privater Seite Gefahren drohen können", sagte Hans-Jürgen Papier in einem Interview mit der "Bild am Sonntag". Der Präsident des Bundesverfassungsgerichts forderte, die Privatsphäre der Bürger besser zu sichern. Der Staat habe die verfassungsrechtliche Pflicht, für einen angemessenen Datenschutz der Bürger auch gegenüber privaten Einrichtungen Sorge zu tragen, sagte Papier. Der Staat müsse sich schützend vor die Freiheitsrechte seiner Bürger stellen: "Sonst droht aufgrund der modernen Technik und der weltweiten Verflechtungen ein Supergau des Datenschutzes." Angesichts zahlreicher Datenskandale hatte zuletzt auch der Bundesdatenschutzbeauftragte Peter Schaar schärfere Gesetze angemahnt. Er forderte im April bei der Vorstellung des Datenschutzberichts für die Jahre 2007 und 2008, die von der Koalition im Herbst beschlossene Einschränkung des Datenhandels müsse noch bis zur Wahl im September vom Bundestag verabschiedet werden. Hinsichtlich der Datenskandale in der Wirtschaft von der Deutschen Telekom über Lidl bis zur Deutschen Bahn sei es nötig, dass die von Union und SPD den Bürgern im Herbst versprochenen Gesetzesverschärfungen auch "möglichst zügig und möglichst unverwässert" im Bundestag verabschiedet würden. Die Linken-Bundestagsabgeordnete Petra Pau kritisierte, dass seit dem Datenschutzgipfel vor sieben Monaten nichts passiert sei. Im Gegenteil habe die Wirtschaft gegen den Datenschutz mobil gemacht - die Grosse Koalition sei kleinlaut in Deckung gegangen. Der Supergau drohe wirklich: "Die klaren Alternativen heissen: Überwachung oder Bürgerrechte, Datengeschäft oder Datenschutz, Profit oder Demokratie", sagte Pau. FDP-Präsidiumsmitglied Sabine Leutheusser-Schnarrenberger sprach von einem "dramatischen Abbau der Bürgerrechte". Der Staat dürfe in Handys, Computer und Wohnungen schauen: "Die Privatheit der Bürger, der Kern ihrer Freiheit ist durch die Grosse Koalition immer weiter eingeschränkt worden", sagte die frühere Bundesjustizministerin dem "Tagesspiegel am Sonntag". Quelle: Spiegel.de; pad; 03.05.2009 < zu den Themen 10‘000‘000 USD für ein Passwort: Kein Wunder steigen die Gesundheitskosten "Aufgepasst Virginia" war am 30. April 2009 mit einem Mal auf der Website einer staatlichen Gesundheitsbehörde in den USA zu lesen: "Ich habe Euren Scheiss!" Wortwahl und fehlendes Seitendesign machten umgehend klar: Hier wurde was gehackt. An sich kein ungewöhnlicher Vorgang, denn sogenannte Defacements, bei denen die Gestalt einer Website verändert wird, sind so etwas wie die Graffiti des Internet: Jugendliche Cyber-Vandalen machen einen Sport daraus, politisch motivierte Aktivisten und Extremisten beschmieren die Websites ihrer Lieblingsfeinde, Kriminelle verunstalten gegen Zahlung die Websites geschäftlicher Konkurrenten oder erpressen "Schutzgeld" gegen eben solche Defacements. Heute geht es dagegen beim viel beschworenen Cybercrime tatsächlich meistens um Geld - um Verbrechen. So auch in diesem Fall und auf ganz spektakuläre Weise: Das Defacement des Virginia Prescription Monitoring Program PMP (zurzeit nicht erreichbar) ist nur ein Symptom für eine laufende Erpressung. Ein unbekannter Cracker hat die Seite nicht nur gekapert und verändert, sondern auch alle Daten gelöscht. Jetzt verlangt er bis zum 6. Mai 2009 die Zahlung von zehn Millionen Dollar für ein Passwort, mit dem sich ein verschlüsseltes Backup der Datenbestände freischalten lässt. Ansonsten, so die Drohung, werde er die Daten "auf dem freien Markt" verhökern. Es ist nicht unwahrscheinlich, dass er einen Käufer findet. Quelle: Spiegel.de; pat; 05.05.2009 < zu den Themen Spione, die unsere Wirtschaft lieben: Die Agenten tummeln sich immer noch in der Eidgenossenschaft Sie besitzen einen Presseausweis und besuchen mit Notizblock gewappnet Pressekonferenzen und andere öffentliche Veranstaltungen. Dort suchen sie gezielt nach Informationsträgern. Ihr Ziel ist aber nicht die Berichterstattung für Medien in ihrem Heimatstaat, sondern ein Rapport für den dortigen Geheimdienst. Denn sie sind Spione im Namen von Vater Staat und suchen nach Erkenntnissen aus Wissenschaft und Forschung. Tarnen sich die Agenten nicht als Reporter, dann als Doktoranden, Stagiaires oder Diplomaten. Laut dem Dienst für Analyse und Prävention (DAP) hat «das Interesse ausländischer Nachrichtendienste an der Schweiz als Standort von Forschungseinrichtungen und Unternehmen der Spitzentechnologie nicht abgenommen.» Im Gegenteil: Hat die Schweiz 2007 noch acht Personen die Einreise verboten aus Angst vor verbotenem Nachrichtendienst, hat dieser Bannstrahl letztes Jahr 21 Personen getroffen. Dies geht aus dem veröffentlichten Rechenschaftsbericht des DAP hervor. Dazu Jürg Bühler, DAP-Vorsteher ad interim: «Bei den 21 handelt es sich um Osteuropäer, die keine EU-Bürger sind.» Klarer formuliert es das deutsche Pendant zum DAP, der Bundesverfassungsschutz. Im ebenfalls letzte Woche präsentierten Jahresbericht schreiben die Staatswächter zu Wirtschaftsspionage: «Als Hauptauftraggeber gelten die Nachrichtendienste Russlands und Chinas.» Kaum ein Tag vergehe, an dem nicht versucht werde, an Informationen in Unternehmen zu gelangen. Dabei bedienen sich die Spione des 21. Jahrhunderts traditioneller Mittel: tote Briefkästen, Agentenfunk, Abhöreinrichtungen. Jeder mit Zugang zu wertvollen Informationen ist ein potenzielles Ziel. Begehrte Gesprächspartner sind Diplomaten, Übersetzer und Doktoranden. Anfänglich spricht der Spion mit seiner Zielperson lediglich über öffentlich zugängliche Informationen. Mit der Zeit baut er allmählich ein Vertrauensverhältnis auf, kleine Geschenke erhalten die Freundschaft. Hat das Opfer einmal geheime Informationen verraten, gibt sich der Spion zu erkennen und erpresst seinen Informanten. Gemäss DAP sind in der Schweiz von Spionage vor allem Unternehmen der Spitzentechnologie betroffen wie Elektronik, Maschinenbau, Chemie. Konkrete Unternehmen will niemand nennen. Laut Bühler steht auch die Finanzbranche zunehmend im Visier ausländischer Spitzel. Dabei erfolgt staatlich gesteuerte Wirtschaftsspionage vor allem von Ländern, die ihre Wirtschaft stark kontrollieren. «Gefährdet sind besonders Unternehmen, die in diesen Hochrisikoländern Filialen oder Forschungseinrichtungen unterhalten», so der DAP. Russland hat sogar eine Rechtsgrundlage für Spionage im Ausland. Das Gesetz der russischen Föderation über die Auslandaufklärung fordert die «Förderung der wirtschaftlichen Entwicklung und des wissenschaftlich-technischen Fortschritts des Landes durch die Organe der Auslandaufklärung». Auch in China ist die Beschaffung von Wirtschaftsinformationen durch den Nachrichtendienst ein offizieller Aufklärungsschwerpunkt. Quelle: Sonntagszeitung.ch; Claudia Stahel, Jean François Tanda, 24.05.2009 < zu den Themen 10 Tipps zum Schutz vor Wirtschaftsspionage: Eigentlich doch gar nicht so schwer, oder ? 1. Unternehmensweite Sicherheitsrichtlinien Effektive Massnahmen zur Umsetzung und Kontrolle der unternehmensweiten Sicherheitsrichtlinien gehören zum Sicherheitspflichtprogramm. Wichtig ist ein zentrales IT-Sicherheitsmanagement, das beispielsweise gekündigten Mitarbeitern die Zugriffsrechte für vertrauliche Daten entzieht. 2. Klassifikation von Unternehmensdaten Es empfiehlt sich, die vorhandenen Daten in Sicherheitsklassen – z.B. in öffentlich, intern und vertraulich - einzuteilen. Die Sicherheitsstrategie sollte sich organisatorisch und technisch an dieser Kategorisierung orientieren. 3. Schutz vor Viren und Trojanern Technische Vorkehrungen zur Abwehr von Trojanern, Spyware und anderem Schadcode verhindern, dass Cyberkriminelle die Server und Computer/Endgeräte eines Unternehmens infizieren und an vertrauliche Daten gelangen. 4. Absicherung der Zugriffe auf das Unternehmensnetzwerk Mitarbeitern, die von unterwegs Zugriff auf das Firmen-LAN benötigen, sollte dies nur über eine sichere VPN-Leitung gestattet werden. 5. Schulung von Mitarbeitern Mitarbeiter müssen über die Gefahren, die durch Bedrohungen von aussen und innen lauern, aufgeklärt werden und dafür sensibilisiert werden. Nur wer die Gefahren kennt ist, kann mit wirkungsvollen Gegenmassnahmen darauf reagieren. 6. Gewaltenteilung für mehr Sicherheit Die Trennung der Verantwortlichkeiten für IT-Administration und IT-Sicherheit maximiert die Sicherheit. Der System-Administrator kann sein System verwalten, hat aber keine Möglichkeit, Dateien zu entschlüsseln; der Sicherheitsadministrator verwaltet die Schlüssel, hat aber keinen Zugriff auf die verschlüsselt abgespeicherten Daten. 7. Zugriffsrechte für bestimmte Benutzergruppen Nur autorisierten Benutzergruppen sollte Zugriff auf sensible Daten wie persönliche oder vertrauliche Informationen, Finanzdaten, Fertigungstechniken oder Konstruktionszeichnungen und ähnliches gestattet werden. 8. Mehrfach-Authentisierung Neben der Einrichtung von schwer zu knackenden Passwörtern können Smart Cards oder Tokens als zusätzlicher Schutz eingesetzt werden – sie schalten erst in Verbindung mit dem Passwort des Benutzers ein Endgerät frei. Eine weitere Möglichkeit ist die Authentisierung per Fingerabdruck mittels Fingerprint-Readern. 9. Verschlüsselung von E-Mails Zentrale Sicherheitsrichtlinien, die automatisch unternehmensweit umgesetzt werden, sorgen für eine sichere E-Mail-Kommunikation. Professionelle Lösungen integrieren die kryptographischen Prozesse der Ver- und Entschlüsselung sowie der elektronischen Signatur und Authentisierung an zentraler Stelle. 10. Auf mobile Endgeräte und Speichermedien achten Mit einer zentral eingerichteten und administrierten Sicherheitslösung für die automatische Verschlüsselung sind Unternehmensdaten zu jedem Zeitpunkt vor unautorisierten Zugriffen sicher – egal ob sie sich auf Notebooks, USB-Sticks, Speicherkarten, externen Festplatten oder DVDs befinden. Quelle: Itseccity.de; ra; 24.05.2009 < zu den Themen Auch Daten von Sicherheitsüberprüfungen gestohlen: Mit Informationen, ob man zu Prostituierten geht, die Offiziere werden 'not amused' sein Ein Datendiebstahl bei der britischen Luftwaffe Royal Air Force (RAF) vom September 2008 ist anscheinend brisanter als ursprünglich dargestellt. Die Tageszeitung The Guardian berichtet, es seien nicht nur wie ursprünglich bekannt geworden Namen, Adressen und Bankverbindungen von 50‘000 Bediensteten abhanden gekommen, sondern auch Datensätze mit Aufzeichnungen über den Gesundheitszustand, die Sexualgewohnheiten wie Frequentierung von Prostituierten, Vorstrafen und die finanziellen Verhältnisse von rund 500 Bediensteten, darunter hohe RAF-Offiziere. Diese Informationen, die bei Sicherheitsüberprüfungen gewonnen wurden, könnten für ausländische Geheimdienste interessant sein und die Betroffenen erpressbar machen, wird laut dem Bericht im britischen Verteidigungsministerium befürchtet. Die Daten waren auf drei Festplatten gespeichert, die eigentlich voriges Jahr im September vom RAF-Stützpunkt in Innsworth, Gloucestershire, ins RAF-Hauptquartier in High Wycombe, Buckinghamshire, transportiert werden sollten. Die Daten seien nicht verschlüsselt gewesen. Die RAF habe das Ministerium nur über den Verlust der 50‘000 Personaldatensätze informiert, nicht aber über den Verlust der Daten aus der Sicherheitsüberprüfung der 500 Bediensteten. Bekannt wurde der Datenverlust durch eine interne Notiz eines ehemaligen RAF-Offiziers, die er auf Basis der britischen Transparenz- und Datenschutzvorschriften herausgeben hatte. Quelle: Heise.de; anw; 25.05.2009 < zu den Themen
 Jetzt anmelden! Einladung zur Meet Swiss Infosec! 24. Juni2009: Sie sind herzlich eingeladen! 24. Juni 2009 Swiss Infosec AG präsentiert Ihnen:  Sichere Informationen aus erster Hand! Seit 20 Jahren beraten und schulen wir unsere Kunden in den Bereichen Integrale Sicherheit, Informations- und IT-Sicherheit und Datenschutz. In dieser Zeit haben wir sehr viel Know-how bilden können, welches wir auch Ihnen gerne zur Verfügung stellen. In dieser Ausgabe der kostenlosen Veranstaltung werden wir Ihnen interessante Erfahrungs- und Praxisberichte zu integralen Aspekten der Sicherheit präsentieren. Erneut werden fachkundige Experten als Referenten auftreten und Ihnen das Neuste aus der Entwicklung vorstellen. Mit unseren Workshops Meet Swiss Infosec! wollen wir Ihnen die Möglichkeit bieten, sich über aktuelle Tendenzen und Lösungen im Bereich der Informations- und IT-Sicherheit umfassend und aus erster Hand zu informieren. Daneben können Sie mit Referenten und anderen Teilnehmenden Lösungsstrategien erörtern und sowohl uns, die Swiss Infosec AG, wie auch unsere Partner besser kennen lernen.
Melden Sie sich hier noch heute an! Wir danken unseren Sponsoren für ihre Unterstützung:
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Vorschau: ISMS Tool Box Roadshow vom 17.09.2009: Special Event mit lic. jur. Bernhard Stoll am 3. September 2009: Keine unerwünschten Überraschungen:  Intensivseminar mit lic. Jur. Bernhard Stoll, Berater für Competitive Intelligence und Counterintelligence Keine unerwünschten Überraschungen Wie Sie mit Competitive Intelligence und Counterintelligence dazu beitragen können Ihr nächster Termin in Thalwil: Donnerstag, 3. September 2009 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Special Event mit Detlev Sachse am 21. - 22. September 2009: Sicherheit und Auditing eines SAP-Systems:  Intensivseminar mit Detlev Sachse, SAP-Berater Sicherheit und Auditing eines SAP-Systems Für Auditoren, Sicherheitsbeauftragte und Interessierte Ihr nächster Termin in Thalwil: 21. - 22. September 2009 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Special Event mit Stephan Siegrist und Dr. Rainer Baumann am 7. - 8. Oktober 2009: Network Security:  Intensivseminar mit Stephan Siegrist, Head of Solution Development und Rainer Baumann, Dr. sc. ETH Zürich, Business Engineer Network Security Sicherheitskritische Netzwerkbereiche identifizieren, Lösungen erarbeiten und dokumentieren. Ihr nächster Termin in Thalwil: 7. - 8. Oktober 2009 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Special Event mit Dr. Ulrich Zwygart am 5. November 2009: Wie trifft man Entscheidungen in schwierigen Situationen?:  Intensivseminar mit Dr. Ulrich Zwygart, ehemaliger Divisionär und Kommandant der Höheren Kaderausbildung der Schweizer Armee, Global Head Learning and Development der Deutschen Bank in London Wie trifft man Entscheidungen in schwierigen Situationen? Erfolgsfaktoren in der Entscheidungsfindung Ihr nächster Termin in Thalwil: Donnerstag, 5. November 2009 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Special Event mit Werner Blessing am 26. November 2009: Biometrische Authentisierung:  Intensivseminar mit Werner Blessing, Spezialist für biometrische Authentisierung Biometrische Authentisierung Sicherheit, Komfort und Kosten? Welche Anwendung ist ausgereift? Ihr nächster Termin in Zürich: Donnerstag, 26. November 2009 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen
 Informations- und IT-Sicherheitsbeauftragter (IT-SIBE): Lehrgang für Informations- und IT-Sicherheitsbeauftragte  Aus der Praxis für die Praxis! Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch – laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen jahrelanger Erfahrung. Nächster Lehrgang: 24. - 28. August 2009 (Durchführung garantiert!) Weitere Informationen und Anmeldemöglichkeiten -- Teilnehmeraussage -- Stefan K. Vogt, Head of Group IT Risk & Security, Zürich Versicherungs-Gesellschaft Teilnehmender am Lehrgang „IT-SIBE“ Erfahren Sie hier mehr. Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen IT-SIBE Vertiefung: Praktischer Vertiefungslehrgang für Informations- und IT-Sicherheitsbeauftragte  Sichern und erweitern Sie sich Ihr Fachwissen! In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE. Nächster Lehrgang: 6. - 10. Juli 2009 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen Betrieblicher Datenschutzverantwortlicher: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz  In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen. Nächster Lehrgang: 28. September - 2. Oktober 2009 Weitere Informationen und Anmeldemöglichkeiten -- Teilnehmeraussage -- Es ist schön, das Rad nicht neu erfinden zu müssen. Die Stimmung und das angenehme Klima unter den Teilnehmenden und den Dozenten hat mir gefallen, auch die Verbindung von Theorie und Praxis. Die referierenden Personen gingen sehr gut auf meine Fragen ein. Vielen Dank für diesen Lehrgang. Ich freue mich bereits auf die Einladung für den kommenden „Refresher“, wo ich meine gemachten Erfahrungen einbringen kann.» Giovanni Pelloni, Datenschutzbeauftragter, Sanitas Teilnehmender am Lehrgang „Betrieblicher Datenschutzverantwortlicher“ Erfahren Sie hier mehr. Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen Neu! Business Continuity Manager/Krisenmanager: Lehrgang für BCM-Verantwortliche und Krisenmanager  Vorbereitung, Training und Voraussicht sind sinnvoller als "nur reagieren" und Schadensbehebung! Wenn sich Beinahevorfälle einstellen oder Ihre Sicherheitsmassnahmen im Bereich Ihrer wichtigsten Business-Prozesse effektiv versagen, wenn die eruierten Topereignisse Ihres Risk Managements nun tatsächlich eintreten, dann sind Sie als BCM-Verantwortlicher und Krisenmanager gefordert! Nächster Lehrgang: 31. August - 4. September 2009 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen ISO 27001 Lead Auditor: IRCA-akkreditierter Lehrgang mit offizieller Zertifizierung  Wissen und Know-how zu ISO 27001
Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen ITIL Version 3 Foundation: Lehrgang mit offizieller Zertifizierung  ITIL ® ist die allgemein anerkannte Grundlage für IT Service Management. Die mögliche Zertifizierung von IT-Organisationen nach ISO 20000 belegt dies eindrücklich. Die Teilnehmenden dieses Lehrganges sollen die Methodik von ITIL in seinen Grundzügen verstehen und anwenden können. Das Ziel ist die Erlangung des international anerkannten Zertifikats „ITIL Foundation“. Nächste Lehrgänge mit offizieller Zertifizierung: 31. August - 2. September 2009 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit  Mehr Sicherheit dank sicherer Technik! Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen. Nächster Lehrgang: 21. - 24. September 2009 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen Integraler Sicherheitsmanager: Lehrgang für Sicherheitsbeauftragte mit offizieller SAQ-Zertifizierung  Sicherheit ganzheitlich betrachtet! Mit der fünftägigen Ausbildung zum Integralen Sicherheitsmanager lernen Sie alles über die Einführung und Anwendung aus organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, personellen, arbeitssicherheits- und gesundheitstechnischen Aspekten der Integralen Sicherheit. Sicherheit: umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten. Nächster Lehrgang mit offizieller SAQ-Zertifizierung: 21. - 23. Oktober und 24. - 25.November 2009 Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen Vorbereitung CISSP: Lehrgang für die Prüfungsvorbereitung  Erfolgreiche CISSP-Zertifizierung dank seriöser Vorbereitung! Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Nächster Lehrgang: 11. - 12. und 15. - 17. Juni 2009 (Durchführung garantiert!) Weitere Informationen und Anmeldemöglichkeiten Quelle: Lehrgangsbroschüre 2009, Swiss Infosec AG < zu den Themen
 Informationssicherheit, dank der ISMS Tool Box: Das unentbehrliche Werkzeug für Sicherheitsbeauftragte!
Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Swiss Infosec AG ist Ihre „certifida“ anerkannte Prüfstelle: Die Swiss Infosec AG ist seit 2007 als unabhängige „certifida“-Prüfstelle tätig. Im Rahmen europaweiter Bemühungen für die Bildung von vertrauensbildenden Massnahmen in der elektronischen und physischen Kommunikation und insbesondere im elektronischen Geschäftsverkehr, gehört sie der Pionierorganisation „certifida“ an. Die von Politikern und Behörden gewünschten und geförderten "Triple P" (PPP = Public Private Partnership)-Aktivitäten finden bei „certifida“ eine konkrete Umsetzung. „certifida“ ist eine Organisation, die als unabhängige Instanz die Auditierung von Vertrauenssiegeln überprüft und deren Freigabe bzw. Erteilung bestätigt. Unternehmen, die ein Vertrauenssiegel tragen, haben sich freiwillig einem weit höheren Anforderungskatalog unterstellt, als dies die gesetzlichen Bestimmungen fordern. Der „certifida“ gehören folgende Partner an: Eidgenössisches Büro für Konsumentenfragen (BFK), Konsumentenforum (kf), Schweizerische Normenvereinigung (SNV) swissICT und economiesuisse. Weitere Informationen zu „certifida“. Wünschen Sie ein von „certifida“ geprüftes Vertrauenssiegel – die Swiss Infosec AG unterstützt und coacht Sie jederzeit und gerne. Ein Anruf auf ++41 (0)41 984 12 12 genügt. Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen eLearning: Jetzt Wissenslücken effizient und gezielt schliessen!:  Wir bieten Ihnen gerne bereits ausgearbeitete oder auf Ihre individuellen Bedürfnisse angepasste eLearning-Systeme und -Module zu den Themen Informationssicherheit, IT-Sicherheit und Datenschutz an. Das Swiss Infosec eLearning-Angebot ergänzt Ihre Aktivitäten im Bereich der Sensibilisierung und Ausbildung optimal und kosteneffizient. Ihre Vorteile + Kosteneffizient: Keine Systeminvestitionen notwendig, tiefe Kosten pro Mitarbeitendem + Schneller, gezielter und effizienter Wissenstransfer + Idealer Bestandteil einer umfassenden Awareness-Kampagne Unsere Lernplattform basiert auf Opensource: keine Lizenzkosten! Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen So schützen Sie Ihr Unternehmen vor Informationsabfluss!: Social Engineering – testen Sie die "Schwachstelle Mensch" in Ihrer Organisation  «Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen. Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können. Mehr Wissen über Social Engineering Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Security Awareness-Kampagnen: Fördern Sie die Awareness als zentrales Instrument:  Die Sensibilisierung Ihrer Mitarbeitenden steht im Fokus der Integralen Sicherheit und Informationssicherheit. Organisationen müssen gezielt Massnahmen ergreifen, um ihre Mitarbeitenden zu ‚sicherem‘ Handeln anzuleiten und zu motivieren. Die Swiss Infosec AG hat sich darauf spezialisiert, ihre Kunden bei der Erarbeitung und Durchführung von Awareness-Kampagnen in den Bereichen Integrale Sicherheit, Informationssicherheit, IT-Sicherheit und Datenschutz zu unterstützen. Ihre Vorteile + Sie profitieren von 20 Jahren Erfahrung, Ideen und Resultaten + Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden + Sie aktivieren den „Faktor Mensch“ – Ihre Mitarbeitenden werden als zentrale Faktoren Ihrer Sicherheitsaktivitäten behandelt. Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen Wir schulen Sie – auch firmenindividuell: Firmenindividuelle Durchführung von Swiss Infosec-Themenkurse und -Lehrgänge  Beliebte firmenindividuelle Themen sind bspw. ISO 27001/27002 für IT-Mitarbeitende oder interne Auditoren, Archivierung, Datenschutz, Sicherheit am Arbeitsplatz, Umgang mit Bedrohungen, Krisen- und Evakuationsübungen. Gerne führen wir die Themenkurse und Lehrgänge auch direkt bei Ihnen im Unternehmen durch. Bei firmenindividuellen Schulungen profitieren Sie, nebst der optimaleren Atmosphäre und Organisation, kostenmässig bereits ab vier Teilnehmenden. Ihre Vorteile + Zeit- und Kostenreduktion + Vertraulichkeit + Steigerung der Effizienz + Auf Wunsch abgestimmt auf Ihre spezifischen Anforderungen Hier erfahren Sie mehr Quelle: Swiss Infosec AG in Zürich, Bern, Sursee < zu den Themen
 Neuerscheinungen: Deckt die SAS70-Zertifizierung die IT-Sicherheit wirklich ab?: Manfred Spanner
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Der gläserne Wähler/Konsument: Markt- und Meinungsforschung weiß alles über uns - oder?: Regula Troxler
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Überwachung und Arbeitnehmerdatenschutz: Handlungshilfe für Betriebsräte: Dirk Hammann, Karl Schmitz, Wolfgang Apitzsch
Quelle: www.amazon.de < zu den Themen Die Swiss Infosec AG ist seit 1989 das führende unabhängige Consulting- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit. Swiss Infosec AG unterstützt Sie bei
|
|||||||||||||||||||||||||||||||||||
