Nr. 11 / November 2007
ISSN 1424-4217
 
Die November-News – aktuell und interessant:

Das neue Datenschutzgesetz tritt per 1.1.2008 in Kraft. Im Zentrum der Revision steht die Verstärkung des Transparenzprinzips durch die Aufnahme von expliziten Vorschriften. Die Revision verschärft insbesondere die Anforderungen an die Beschaffung und die Bearbeitung von Personendaten sowie die Informationspflicht und das Auskunftsrecht der betroffenen Person beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen.

Das revidierte DSG enthält zudem neue Bestimmungen betreffend
- die grenzüberschreitende Bekanntgabe von Personendaten und
- die Datenbearbeitung durch Dritte (Outsourcing)

und Optionen bezüglich
- eines internen/externen Datenschutzverantwortlichen und
- die mögliche Zertifizierung von Datenbearbeitungssystemen oder -programmen, des Datenbearbeitungsverfahrens sowie dessen Organisation.

Die Inkraftsetzung des revidierten DSG hat weitreichende Konsequenzen für Dienstleistung, Industrie und Behörde und hat zum Ziel, den Datenschutz und die Datensicherheit zu verstärken und bringt auch eine Zertifizierungsverordnung mit sich.

Anlässlich unseres Special Events Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden? zeigen wir Ihnen mögliche Konsequenzen und Umsetzungsstrategien für Ihr Unternehmen auf. Weitere Informationen und Anmeldemöglichkeiten finden Sie hier.

Die Swiss Infosec AG kann durch ihre langjährige Erfahrung kompetent, rasch und unkompliziert im Vorfeld einer Zertifizierung oder als externer Datenschutzbeauftragter Sie und Ihre Unternehmung unterstützen. Wir können Ihnen aus unserem Pool festangestellter, langjähriger Mitarbeiter erfahrene Security-Spezialisten und Projektleiter anbieten, die kompetent und flexibel Ihre möglichen Engpässe überbrücken können. Hier erfahren Sie mehr. Gerne stehen wir Ihnen beratend zur Seite, ein Anruf auf +41 (0) 984 12 12 genügt.


Swiss Infosec AG präsentiert Ihnen folgende Events in den nächsten Monaten:

Intensivseminar | Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden? | 6.-7. Dezember 2007, Olten

Intensivseminar | Sicherheit und Auditing eines SAP-Systemes | Für Auditoren, Sicherheitsbeauftragte und Interessierte | 26. – 27. Februar 2008, Zürich

Intensivseminar | Krisen erkennen, bewältigen und erfolgreich meistern | Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können | Krisensimulation, Fallbeispiele und Empfehlungen | 6.-7. Mai 2008, Luzern


Themenübersicht

Aktuelle Meldungen
  AKTUELLE MELDUNGEN
   
Events
  EVENTS
   
Ausbildung
  AUSBILDUNG
   
Beratung
  BERATUNG
   
Publikationen
  PUBLIKATIONEN

 









 

Aktuelle Meldungen
Das Botnet von Storm bald zu verkaufen?: Spezialisten rechnen damit

Laut Secureworks wollen die Besitzer des so genannten Storm-Botnets ihr riesiges Netzwerk vermutlich schon bald stückchenweise an Online-Kriminelle verkaufen. Joe Steward, Sicherheitsexperte bei Secureworks, zufolge verwenden die neuesten Storm-Varianten 40-Byte-Verschlüsselungen, um ihren Peer-to-Peer-Traffic zu chiffrieren. Dies wertet er als Zeichen dafür, dass die unbekannten Betreiber ihr Storm-Botnet segmentieren wollen, um dann die einzelnen Teile separat zu veräussern.
"Durch die neue Verschlüsselung können jetzt nur noch die Knotenpunkte miteinander kommunizieren, die denselben Code benutzen. Damit lässt sich das Botnet in kleine Segmente aufteilen und kann als komplett eingerichtetes und wirksames Spamsystem an andere Hacker verkauft werden. Falls dem tatsächlich so ist, werden in Zukunft eine Menge Storm-Aktivitäten auf uns zukommen", sagte Stewart.



Quelle: news.com; Tom Espiner und Harald Weiss; 17.10.2007

< zu den Themen

Klage gegen Apple: Umweltgifte im iPhone

Eine US-Verbraucherorganisation hat nach eigenen Angaben eine Klage gegen Apple eingereicht, die auf einem Greenpeace-Bericht über Giftstoffe im iPhone basiert. Das Center for Environmental Health (CEH) begründet laut Medienberichten seine Klage mit einem kalifornischen Gesetz, wonach ein Hersteller Produkte mit einem Warnhinweis versehen muss, wenn diese Weichmacher oder Stoffe enthalten, die als Toxine oder Karzinogene bekannt sind. Bereits im Juni 2007 hatte Greenpeace ein britisches Labor mit der Untersuchung auf Umweltgifte in einem iPhone beauftragt. Im Greenpeace-Bericht wird bemängelt, dass Brom im Flammschutz einzelner PVC-haltiger Bauteile sowie giftige Weichmacher im Kopfhörerkabel vorhanden sind. Die gefundenen Weichmacher werden in Europa in die Kategorie 2 der Fortpflanzungsgifte eingestuft und sind in Spielzeugen und allen Artikeln für Kinder verboten. Auch wenn diese Substanzen in Mobiltelefonen nicht verboten seien, fordert Greenpeace Apple zum freiwilligen Verzicht auf und hofft zum Verkaufsstart in Europa auf ein überarbeitetes Gerät.



Quelle: www.silicon.de, 16. Oktober 2007

< zu den Themen

Zielgerichtet Angriffe steigen: Datenverluste kosten immer mehr

Die durch den Abfluss vertraulicher Daten entstehenden Kosten, werden laut Gartner-Analysten bis 2009 jährlich um 20 Prozent steigen. Das grösste Risiko für Unternehmen sind gemäss John Prescatore, Vice-President von Gartner, finanziell motivierte, zielgerichtete Angriffe. Zudem sei mit einer deutlichen Zunahme von Phishing-Attacken und Identitätsdiebstahl zu rechnen. Mittels Schadcode lassen sich derweil interne Informationen an externe Angreifer übermitteln, fasst Prescatore die aktuellen Bedrohungsszenarien zusammen. Für Unternehmen werde es immer wichtiger, sich den Kommunikationsfluss von innen nach aussen bewusst zu machen, um diesen ebenso effektiv blocken zu können, wie die Kommunikation von aussen nach innen.



Quelle: www.gartner.com, www.computerworld.ch, 17. Oktober 2007

< zu den Themen

Globalisierung im Netz: Chinesisch, Arabisch, Griechisch, usw

Die für die Verwaltung von Internetadressen zuständige ICANN startete am 15. Oktober 2007 einen Test mit Domain-Namen in nichtlateinischen Schriften. Der Test wird es erstmals ermöglichen, vollständige Internet-Adressen in elf zusätzlichen Zeichensätzen aufzurufen: traditionelles Chinesisch, vereinfachtes Chinesisch, Arabisch, Persisch, Russisch, Hindi, Griechisch, Koreanisch, Hebräisch, Japanisch und Tamilisch. Bei dem Testlauf werden die weltweit 13 Root-Nameserver der ICANN mit Adressen in diesen Schriften gefüttert, so dass diese dann von jedem Internet-Browser aus aufgerufen werden können. Bislang beherrscht die Domain-Verwaltung bei den Top-Level-Domains (TLD), also den Endungen wie "ch" oder "org" nur die Zeichen von a bis z, 0 bis 9 sowie den Bindestrich, insgesamt 37 Zeichen. Internet-Nutzer aus Kulturräumen mit anderer Schrifttradition klagen schon lange über diese Beschränkung und fordern eine entsprechende Globalisierung der Internet-Verwaltung. Wenn der Test erfolgreich verläuft, sollen die neuen Zeichensätze bis Ende nächsten Jahres eingeführt werden.



Quelle: www.n-tv.de, 9. Oktober 2007

< zu den Themen

Sicherheitslücken bei Gap und TJX: Mögliche Missbräuche nicht ausgeschlossen

Ein Dieb hat aus einem Büro einen Computer mit den persönlichen Daten von 800‘000 Stellenbewerbern gestohlen, wie die US-Modekette Gap mitteilte. Die Daten, darunter auch die in den USA besonders wichtigen Sozialversicherungsnummern, waren auf dem gestohlenen Notebook nicht verschlüsselt worden.
Knapp eine Woche zuvor hatte die kanadische Regierung mitgeteilt, dass Hacker Millionen Kreditkartennummern vom Discounter TJX gestohlen hatten. Sie fingen die Funkübertragung von Kundendaten bei zwei Läden in Miami ab und hatten so über eineinhalb Jahre einen unentdeckten Zugang zur zentralen Datenbank von TJX. Dadurch waren mindestens 45 Millionen Kreditkartennummern einem möglichen Missbrauch ausgesetzt.



Quelle: www.tagesspiegel.de, 2. Oktober 2007

< zu den Themen

Finanzinstitute erleben ein Sicherheitsparadox: Globale Sicherheitsstudie zeigt Wege auf

Im Zusammenhang mit der Informationssicherheit kommt es immer öfter zu für Unternehmen sehr riskanten Situationen. Letztlich wird immer noch die EDV-Abteilung als allein verantwortlich für die zugrunde liegenden Probleme angesehen. Diesen Umstand verdeutlicht eine neue Studie, die mit den weltweit grössten Finanzinstitutionen durchgeführt wurde. Laut dem "Global Security Survey 2007" der Beratungsfirma Deloitte haben weniger als zwei Drittel (63%) der Befragten eine Strategie für Informationssicherheit und nur bei 10% liegt diese im Verantwortungsbereich von Fachabteilungen.
Hauptursache Faktor "Mensch":Die Studie zeigt weiters, dass die Hauptursache für externe Sicherheitsverletzungen weiterhin beim Faktor "Mensch" zu finden ist, also bei den Mitarbeitern, Kunden, Lieferanten und Geschäftspartnern des Unternehmens. "Die widersprüchlichen Ergebnisse unserer Studie streichen die paradoxe Situation heraus, in der sich Finanzinstitutionen derzeit befinden", so Michael Vertneg, Partner bei Deloitte Österreich. "Einerseits liegt klar auf der Hand, dass die befragten Unternehmen die Hauptsicherheitsrisiken und die notwendigen Gegenmassnahmen erkannt haben. Was aber andererseits deutlich wird, ist, dass sie trotzdem nur zögerlich Schritte setzen."
Die Gesamtstudie finden Sie hier.



Quelle: prinside.com; 2.10.2007

< zu den Themen

83% der Unternehmen sehen IT-Sicherheit an oberster Stelle: Vorreiterrolle der Finanzindustrie: Hier sind 67% dieser Meinung

Die von Accenture und Avanade durchgeführte CIO-Studie zeigt: Für 83 Prozent der befragten Unternehmen ist IT-Sicherheit weiterhin ein Top-Thema. Für die restlichen Unternehmen wird es in den innerhalb der nächsten zwei Jahre zentral werden. Schon in den Jahren 2005 und 2006 stand die Sicherheit an oberster Stelle. Zu den weiteren vier Prioritäten zählen bei den CIOs (Chief Information Officers) „Business Intelligence", „Archivierung", „Kontrolle und Übersicht über alle laufenden Projekte" sowie „Kostenmanagement". Die heute populären Themen RFID (Radio Frequency Identification) oder Near- und Offshoring werden zumindest in absehbarer Zeit für die befragten Unternehmen nicht an Relevanz gewinnen.
IT schafft Mehrwert
Die befragten IT-Führungskräfte sind davon überzeugt, dass der Grossteil der IT-Budgets in Projekte fliessen wird, welche einen klaren Mehrwert für das Unternehmen schaffen. Bei 67 Prozent der Finanzdienstleister werden die IT-Dienstleistungen anhand von KPIs (Key Performance Indicators) wie etwa der Umschlagshäufigkeit, Kapitalbindung oder Lohnstückkosten gemessen. In den übrigen Industrien liegt diese Quote bei 42 Prozent. Auch die IT-Servicequalität wird bei rund zwei Dritteln der Finanzdienstleister- Unternehmen regelmässig zusammen mit anderen Geschäftseinheiten beurteilt, in den restlichen Industrien sind es nur 42 Prozent.
Fokus auf die Kosten
Die Leistungsmessung der IT anhand von Kennzahlen erfolgt in 58 Prozent der Fälle hauptsächlich, um Kosten erklären und die Budgets einhalten zu können. Bei 32 Prozent der Befragten stehen die Effizienz und der Vergleich mit Benchmarks im Vordergrund, 10 Prozent legen den Fokus auf die Wertschöpfung, welche die IT für das Unternehmen beiträgt.
Hoher Stellenwert der IT im Unternehmen
Der Informationstechnologie wird in 76 Prozent der antwortenden Unternehmen ein hoher Stellenwert für den Geschäftserfolg eingeräumt. In 71 Prozent der Fälle wird die IT zudem als strategischer Wert innerhalb des Unternehmens gesehen. Ist ein CIO selbst Mitglied der Geschäftsleitung, funktioniert die Integration der IT in die strategischen Entscheide des Managements als auch die Steuerung der IT besser. Im Gegensatz zu früheren Untersuchungen zeigt sich, dass heute die IT- und die Geschäftsstrategie in Firmen regelmässig aufeinander abgestimmt werden – Ad-hoc-Abgleiche gehören meist der Vergangenheit an. Die detaillierte Studie finden Sie hier.



Quelle: business-news.com; 8.10.2007

< zu den Themen

Ineffiziente CIOs: Das Geld muss woanders hin

IT-Manager müssen nicht zusätzlich investieren, wenn sie ihre IT-Infrastruktur sicherer machen wollen. Mit einem besseren Ressourcen-Management und der Fokussierung auf die aktuellen Risiken können laut Gartner fast alle Bedrohungen abgewendet werden.
Laut Gartner können fast 90 Prozent der heutigen IT-Bedrohungen bewältigt werden, ohne dass zusätzlich in die Sicherheit investiert werden muss. Dieses lässt sich hauptsächlich durch ein besseres Management und die Beobachtung der Sicherheits-Schwachstellen erreichen, sowie durch eine weit reichende Implementierung von Identitäts- und Zugangs-Management.
Ausserdem müssten die Unternehmen ihre Ressourcen anders verteilen, denn die künftigen Hauptprobleme der IT-Manager entstehen nicht mehr durch Massen-Angriffe von aussen, wie Phishing oder Identitäts-Diebstahl. „Viele Unternehmen geben zu viel Geld für überholte Sicherheits-Kontrollen wie Firewalls, Anti-Virus und andere Desktop-Protection aus”, meint Gartner-Analyst John Pescatore.
Laut Pescatore sind solche Produkte im Laufe der Jahre zur Massenware geworden, so dass sie weitaus günstiger implementiert werden könnten, als es derzeit in vielen Unternehmen der Fall ist. „Da ist ganz viel Trägheit im Spiel”, wirft er den CIOs vor. Zum Beispiel hätten die Unternehmen oftmals vor Jahren einen Vertrag mit einem Security-Anbieter abgeschlossen und würden diesen einfach weiter laufen lassen, ohne zu prüfen, ob vielleicht günstigere oder bessere Angebote verfügbar sind.
Selbst die Unternehmen, die geneigt sind den Anbieter zu wechseln, meinen häufig, dass so ein Wechsel zu teuer, zu komplex, oder beides ist. Das Gleiche gelte auch für die Vielzahl der Technologien für den Remote-Zugang, die viele Unternehmen fortlaufend anwenden, ohne sie zu hinterfragen.
Laut Pescatore hat ein solches ineffektives IT-Management dazu geführt, dass Unternehmen im Durchschnitt mehr als fünf Prozent ihres IT- Budgets auf die Sicherheit verwenden – und sogar zwölf Prozent, wenn auch die Schadens-Behebung eingeschlossen wird. Doch laut Gartner gibt es keinen Beweis dafür, dass das IT-System tatsächlich sicherer wird, je mehr die Unternehmen dafür ausgeben. Im Gegenteil.
Unternehmen mit relativ fortschrittlichen Sicherheits-Praktiken geben im Schnitt nicht mehr als vier Prozent ihres gesamten IT-Budgets für die Sicherheit aus. „Die wesentlich effektivere Sicherheits-Strategie ist, dass die Kosten zur Abwehr von Massen-Angriffe reduziert werden. Damit werden Finanzmittel und Personal-Ressourcen frei, die in die neuen, wesentlich komplexeren, gezielten Angriffe auf die neuen IT-Systeme und Business-Prozesse gesteckt werden können”, rät Pescatore.
Angriffe auf die IT-Sicherheit durch legitimierte User-IDs seien künftig die grösste Bedrohung. Auch würde es immer wichtiger werden, der ausgehenden Kommunikation mehr Aufmerksamkeit zu schenken und diese ebenso effektiv blockieren zu können wie bislang die eingehende.
Solch eine Planung sei deshalb wichtig, da die Kosten, die durch Sicherheits-Lücken in Unternehmen entstehen, rasant ansteigen werden. Im Laufe der kommenden zwei Jahre müssten die Unternehmen laut Gartner damit rechnen, dass diese im Vergleich zu heute durchschnittlich jährlich um 20 Prozent ansteigen. Ein wichtiger Faktor sei dabei laut Pescatore, dass die Unternehmen, bei denen Sicherheits-Lücken auftreten, zunehmend von den Opfern und anderen betroffenen Parteien verklagt würden.
Obwohl diese Klagen bisher noch nicht erfolgreich sind, müssten die Unternehmen davon ausgehen, dass solche Strafen in Zukunft einen großen Anteil bei den Sicherheitskosten ausmachen werden. Pescatore selbst spricht sich für neue Gesetze aus, wonach die Unternehmen für die Kosten, die im Zusammenhang mit Sicherheits-Lücken entstehen, voll verantwortlich sind.


Quelle: computerzeitung.de; Katharina Guderian; 19.10.2007

< zu den Themen

Umfassende Dokumentation wichtig: Deutsches Bundesdatenschutzgesetz

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt gemeinsam mit den Datenschutzgesetzen der Bundesländer den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden. Darüber hinaus dient das Gesetz der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogenen Daten und zum freien Datenverkehr (ABl. EG Nr. L 281, S. 31 ff.). Eine besondere Rolle bei der Einhaltung der genannten Gesetze spielt der so genannte Datenschutzbeauftragte, der gemäss §4f BDSG schriftlich zu bestellen ist.
Dokumentation
Gemäss §9 BDSG sind öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen verpflichtet entsprechende technische und organisatorische Massnahmen zu treffen, die erforderlich sind, um die Ausführung des Gesetzes zu gewährleisten. Die genannten Massnahmen sollten entsprechend dokumentiert werden.
Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes verantwortlich (§11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag, BDSG). Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Massnahmen zu überzeugen.
Eine vollständige und sachgerechte Dokumentation stellt die Basis einer erfolgreichen Umsetzung des Bundesdatenschutzgesetzes dar und dient dem Nachweis der getroffenen technischen und organisatorischen Datenschutzmassnahmen.



Quelle: cio.de; 16.10.2007

< zu den Themen

Leitfaden IT-Sicherheit des deutschen BSI: Gute Einführung zum Thema IT-Grundschutz

Das IT-Grundschutzhandbuch des BSI (Bundesamt für Sicherheit in der Informationstechnologie) ist inzwischen zum umfassenden Standardwerk zur IT-Sicherheit geworden. Einen kompakten und allgemeinverständlichen Überblick über die wichtigsten IT-Sicherheitsmassnahmen im Rahmen des IT-Grundschutzes bietet der "Leitfaden IT-Sicherheit", der ab sofort in einer aktualisierten und überarbeiteten Neuauflage zur Verfügung steht. Besonders kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten nutzen den praxisorientierten Leitfaden als überschaubaren Einstieg in die Thematik "IT-Grundschutz".
Den Leitfaden können Sie hier herunterladen.



Quelle: www.egovcom.de; 20.10.2007

< zu den Themen

Verschlüsselung nicht mehr geheim: Briten müssen Entschlüsselungs-Schlüssel auf Verlangen übergeben

Seit diesem Monat hat die britische Polizei das Recht, die Herausgabe von Entschlüsselungs-Schlüsseln zu verlangen.
Im Falle einer Weigerung drohen bis zu 5 Jahren Gefängnis. Neu gilt dies seit der Inkraftsetzung des 3. Teiles des Regulation of Investigatory Powers Act (RIPA). Zwar ist dieses Gesetz schon vor 7 Jahren verabschiedet worden, jedoch wurde wegen der geringen Verbreitung von Verschlüsselung von einer Inkraftsetzung abgesehen.



Quelle: zdnet.co.uk; 3.10.2007

< zu den Themen

Dies sollte man wissen: US-Dokument zur Verhinderung von "Cyberattacks"

Das amerikanische Homeland Security Department hat einen Entwurf mit den Anforderungen bezüglich erforderlichen Wissens und nötiger Fähigkeiten zur Verhinderung von Angriffen aus dem Cyber Space veröffentlicht.
Dieses Dokument enthält die Schlüsselbegriffe und -konzepte die Personen in gewissen IT-Sicherheitsrollen wissen sollten, so die National Cyber Security Division der USA. Dieses Dokument dient dem Zweck, IT-Sicherheitstraining und -zertifizierungen so voran zu treiben, dass die USA die bestqualifizierten und angemessen geschulten IT-Sicherheits-Arbeitskräfte hat.
Sie finden dieses Dokument hier .



Quelle: infosecnews.org; Brian Robertson; 10.10.2007

< zu den Themen

US-Telekomfirmen liefern Daten an den Staat: Daten über Anrufer und Angerufene ausgehändigt

Das amerikanische Telekommunikationsunternehmen Verizon hat eine Regierungsausschuss geschildert, welche Informationen es den US-Behörden aufgrund von Gerichtsentscheiden ausliefern musste.
Weiter teilte Verizon mit, dass das FBI gefordert hat, auch Daten darüber auszuhändigen, wer wen angerufen hatte bzw. wer von wem angerufen wurde. So wurden zwischen Januar 2005 und September 2007 in 720 Fällen wegen einer 'Notfallgrundlage' Telefoniedaten übergeben und basierend auf Vorladungen und Gerichtsurteilen in weiteren 94'000 Fällen. Es fragt sich, wo hier die viel gerühmten 'Civil Liberties' bleiben.



Quelle: sans.org; 20.10.2007

< zu den Themen

 

Events
Rückschau: Fachtagung SWISS INFOSEC 2007:

Governance, Risk und Compliance waren die treibenden Themen der SWISS INFOSEC 2007

Die diesjährige Ausgabe der bekannten Fachtagung – SWISS INFOSEC 2007 – wurde gekrönt vom ausgezeichneten Feedback der Teilnehmer. Die Gründe für diesen Erfolg liegen in der perfekten Organisation und den aussergewöhnlich hochstehenden Referaten.

Viele Teilnehmende erlebten drei spannende und sehr interessante Tage an der diesjährigen SWISS INFOSEC 2007 – sowohl, was die hochkarätigen Referenten angeht, wie auch die brisanten Themen aus der Informations- und IT-Sicherheit.

Hier geht's weiter zu den Impressionen



Quelle: Swiss Infosec AG

< zu den Themen

Special Events 2007/2008: Jetzt Fachwissen von Spezialisten abholen

special events
Swiss Infosec AG präsentiert Ihnen folgende Special Events in den nächsten Monaten:

Intensivseminar | Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden?
6.-7. Dezember 2007, Olten

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar | Sicherheit und Auditing eines SAP-Systemes | Für Auditoren, Sicherheitsbeauftragte und Interessierte | 26. - 27. Februar 2008, Zürich

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar | Krisen erkennen, bewältigen und erfolgreich meistern | Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können | Krisensimulation, Fallbeispiele und Empfehlungen
6.-7. Mai 2008, Luzern

Weitere Informationen und Anmeldemöglichkeit





Quelle: Swiss Infosec AG

< zu den Themen

 

Ausbildung

Agenda 2007/2008: Nächste Lehrgänge und Themenkurse


 
IT-SIBE

Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte

Aus der Praxis für die Praxis!
Wir führen Sie umfassend ein in die Grundlagen der Informations- und IT-Sicherheit. Diesen Lehrgang führen wir seit über 10 Jahren erfolgreich durch – profitieren auch Sie vom geballten Wissen aus mehr als 18 Jahren Erfahrung.
26. – 30. November 2007

 
IT-SIBE VERTIEFUNG

Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte

Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.

12. – 16. November 2007

 
INTEGRALE SICHERHEIT

Intensivlehrgang für Beauftragte der Integralen Sicherheit

Sicherheit ganzheitlich betrachtet!
Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder Repetition für einen Sicherheitsbeauftragten.

10. – 14. Dezember 2007

 
TECHNISCHE SICHERHEIT

Intensivlehrgang

Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Netzwerkdienste aus dem Blickwinkel der Sicherheit funktionieren und welche Risiken sie bergen. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.

25. – 28. Februar 2008

 
VORBEREITUNG CISSP

Intensivlehrgang

CISSP-Zertifizierung erfolgreich erlangen dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.

22. – 28. November 2007

 
EINFÜHRUNG ISO/IEC 27001/27002

Einführung und Überblick über die Normen ISO/IEC 27001 und ISO/IEC 27002
Wir geben Ihnen einen fundierten, aktuellen und praxisorientierten Überblick über die Bedeutung und den Inhalt dieser beiden Standards. Wir zeigen Ihnen die Schritte zu deren erfolgreicher Umsetzung auf. Lernen Sie die Voraussetzungen eines funktionierenden ISMS (Information Security Management System) kennen.

3. Dezember 2007

 
VERTIEFUNG ISO/IEC 27001/27002

Anwendung und Nutzung der Normen im Hinblick auf eine Zertifizierung
Dieser Kurs vermittelt Ihnen praxisorientiert das Grundwissen zur erfolgreichen Zertifizierung Ihres Unternehmens gemäss ISO 27001. Die einzelnen Teilschritte der Einführung eines gelebten und normkonformen Information Security Management Systemes werden u.a. im Rahmen von Gruppenarbeiten gemeinsam erarbeitet und vertieft. Eine fundierte Einführung für den Praktiker!

4. – 5. Dezember 2007

 
ISO/IEC 27001 LEAD AUDITOR-LEHRGANG
MIT OFFIZIELLER ZERTIFIZIERUNG

Intensivlehrgang

Wissen und Know-how zu ISO/IEC 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 27002 ein. Am Ende des Kurses erfolgt die Zertifizierung als ISO/IEC 27001 Lead Auditor.

Dies ist ein IRCA-akkreditierter Lehrgang.

18. – 22. Februar 2008

 
UPGRADE
BS 7799 LEAD AUDITOR ZU ISO/IEC 27001 LEAD AUDITOR
Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel neu in «ISO/IEC 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO/IEC 27001.

1. Dezember 2007

 
MANAGEMENT-EINFÜHRUNG INFORMATIONS- UND IT-SICHERHEIT

Themenkurs

Verantwortung im Sicherheitsbereich unternehmensweit wahrnehmen!
Mitglieder der Geschäftsleitung oder Verantwortliche für die Unternehmenssicherheit lernen die Bedeutung, den Aufbau, den Umfang und die verschiedenen Integrationsmöglichkeiten der Informations- und Informatiksicherheit für ihr Unternehmen kennen. Anhand von zahlreichen Praxisbeispielen erhalten die Teilnehmenden in kurzer Zeit einen umfassenden Einblick in diesen unternehmenswichtigen Bereich.

21. Januar 2008

 
ELEKTRONISCHE ARCHIVIERUNG

Intensivkurs

Elektronische Archivierung, eine wichtige und komplexe Materie
Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen.
20. – 21. November 2007

 
ITIL SECURITY MANAGEMENT

Intensivkurs

Security Management in einer ITIL-orientierten IT-Organisation
Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL- Disziplinen.

17. – 18. Dezember 2007

 
DATENSCHUTZGESETZ UND DESSEN UMSETZUNG

Intensivkurs

Datenschutz und rechtliche Aspekte
Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmern, Fragen aus dem Alltag zu diskutieren und zu beantworten.

19. November 2007

 
KRIMINALITÄT/PROTOKOLLIERUNG/ERMITTLUNG/MONITORING
AUF DEM INTERNET

Themenkurs

Wann sprechen wir von Internet-Kriminalität?
Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten.

5. – 6. März 2008
 
WINDOWS VISTA

Intensivkurs

Lücken oder Tücken?
Lernen Sie die Sicherheitsaspekte des neusten Windows-Betriebssystems kennen und damit umzugehen. In Form von ausführlich dokumentierten und erklärten Demo-Sessions lernen die Teilnehmenden Vista und die Konfigurationsmöglichkeiten der neuen Funktionen kennen. Erfahren Sie unter anderem, wie „Windows Vista“ auf Angriffe wie z.B. Viren und Spyware reagiert und welche neuen Schutzmechanismen generell zur Verfügung stehen.

10. – 11. Dezember 2007



Quelle: Swiss Infosec AG

< zu den Themen

 

 

Beratung

Erfolgreiches Social Engineering:

Die Swiss Infosec AG wurde von einem Finanzdienstleister im Ausland beauftragt, mittels Social Engineering in seine Gebäulichkeiten einzudringen. Bereits im Vorlauf konnten mittels eines Phishing-Mails über 20 Passworte und UserIDs ermittelt werden. Nachdem das Team der Social Engineers eingetroffen war, traf es sich mit dem Kunden und besprach den Auftrag, danach wurden die Gebäude rekognosziert. Während dieser ersten Etappe wurden bereits Fotos gemacht, die zeigten, dass Türen zu wichtigen Abteilungen nicht gesichert waren. Unter dem Vorwand, eine Kontrolle durchführen zu müssen, gelang es, ungestört und ohne Kontrolle der Personalien in das Gebäude einzudringen, Magnete als 'Wanzen' zu platzieren, Dokumente und eingehende Post zu behändigen. Im Nachgang zu dieser Aktion wird die Swiss Infosec AG wie üblich dem Kunden einen Bericht mit den Resultaten sowie Verbesserungsvorschlägen zukommen lassen



Quelle: Swiss Infosec AG

< zu den Themen

Neue Mitarbeitende: Die Swiss Infosec AG wächst

Dank interessanten und herausfordernden Mandaten können wir an dieser Stelle Aihua Ries und Raphael Stäheli als neue Mitarbeitende begrüssen und vorstellen. Wir heissen sie herzlich Willkommen und wünschen ihnen in ihrer Funktion viele Erfolge!

Aihua Ries verfügt über eine mehrjährige Informatik-Erfahrung in verschiedenen Funktionen und Branchen. So hat sie sich vor allem im Windows-Umfeld vertiefte technische Kenntnisse angeeignet, welche sie durch berufsbegleitende Ausbildungen bis zum MCSA ergänzte. Im Rahmen eines Nachdiplomstudiums an der Fachhochschule für Wirtschaft in Luzern hat sie den Titel „Executive Master of Information Security“ erworben. Dadurch verfügt sie über fundierte Kenntnisse in allen technischen, organisatorischen und rechtlichen Belangen der Informationssicherheit. Ihre besondere Kompetenz in den Bereichen Berechtigungsmanagement und PKI konnte sie im Rahmen von verschiedenen Sicherheitsprojekten unter Beweis stellen. Bei der Swiss Infosec AG ist Frau Ries als Consultant in diversen Projekten im Bereich der Integralen Sicherheit tätig. Ihr Tätigkeitsfeld umfasst die Ausarbeitung von Informations- und IT-Sicherheitspolicies und -konzepten, wie auch die Erarbeitung von kundenspezifischen Bereichskonzepten.

Raphael Stäheli schloss seine Lehre als Informatiker im Jahre 2003 mit Erfolg ab und hat sich seither kontinuierlich in den verschiedensten Bereichen der Informatik weitergebildet. Er arbeitete mehrere Jahre als Hardware- und Software-Supporter und zeichnete sich für die IT-Infrastruktur verantwortlich. Die Schwerpunkte seiner Arbeiten bei der Swiss Infosec AG sind einerseits die Verantwortung über die interne IT, andererseits betätigt er sich als Consultant unserer anspruchsvollen Projekte, bei denen er unsere Kunden beim Aufbau und der Umsetzung von Informationssicherheits-Framework unterstützt. Dabei erarbeitet er kundenspezifische Sicherheitskonzepte, -weisungen und -prozesse und beschäftigt sich ausserdem im Bereich der technischen Sicherheit, der IT-Security-Auditierung und -Konzeptionierung.



Quelle: Swiss Infosec AG

< zu den Themen

SCADA Security: Schützen Sie Ihre Infrastrukturen!


Zu den kritischen Infrastrukturen eines Landes gehören die Anlagen, welche die Bereitstellung von Dienstleistungen und Gebrauchsgüter zum Beispiel in den Bereichen Elektrizität, Wasser, Erdgas, Benzin, Abwasserbehandlung und Transport sicherstellen. Der Überwachung und Steuerung dieser Anlagen kommt eine Schlüsselfunktion zu. SCADA (supervisory control and data acquisition) ist hier der Begriff, der sich in den letzten Jahren durchgesetzt hat.

Die Sicherheit spielt in SCADA Netzwerken meist noch eine untergeordnete Rolle. Diese Tatsache ist vor allem geschichtlich bedingt. Bei der Entwicklung einer System-/Anlagensteuerung stand und steht die Maximierung der Funktionalitäten im Vordergrund. Leistung, Zuverlässigkeit, Flexibilität und Sicherstellung der dezentralen Bedienung sind in diesem Zusammenhang zu nennen. Sicherheit wird vor allem auf die Anlage bezogen umgesetzt (Sicherheitsabschaltungen bei undefinierten oder riskanten Betriebszuständen) und weniger gegenüber Bedrohungen von aussen.

Hier erfahren Sie mehr



Quelle: Swiss Infosec AG

< zu den Themen

Zertifizierung von Informationssicherheits-Managementsystemen: Normen ISO/IEC 27001 und ISO/IEC 27002

Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden?

 Die Normen ISO/IEC 27001und ISO/IEC 27002 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist.

Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein.

Ihr Nutzen einer Zertifizierung:

  • Bewusstsein der Informationssicherheits-Risiken, Integriertes Risikomanagement

  • Informationssicherheit als Schlüsselfaktor für den Geschäftserfolg

  • Systematischer Umgang mit Informationssicherheit

  • Stete Verbesserung der Informationssicherheit

  • Sicherung von Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Daten und somit ein sehr hohes Kundenvertrauen und einen sehr hohen Kundennutzen

Die Swiss Infosec AG unterstützt Sie und Ihr Unternehmen umfassend und partnergerecht bei der Vorbereitung zur Zertifizierung nach ISO/IEC 27001.



Quelle: Swiss Infosec AG

< zu den Themen

Operational Risk Management – Informationssicherheit – Ereignis- und Krisenvorsorge: Entwicklung gemeinsamer Lösungen – Weshalb das Rad neu erfinden?

Swiss Infosec AG und Comit AG entwickeln gemeinsam Lösungen im Bereich Risiko- und Informationssicherheitsmanagement, die Doppelspurigkeiten vermeiden und Synergien zwischen Operational Risk Management, Informationssicherheit sowie regulatorischen Anforderungen nutzen. Kritische Erfolgsfaktoren sind dabei die genaue Kenntnis möglicher und passender Lösungsansätze und eine enge Abstimmung mit den Bereichs- und Linienverantwortlichen bei den Kunden.

Die Partnerfirmen verfügen über breite Projekterfahrung bei der erfolgreichen Implementierung von Operational Risk Management und Information Security Frameworks. Zu unseren Kunden gehören nationale und internationale Firmen aus stark (Banken, Versicherungen) oder weniger stark (Industrie, Dienstleistung, Handel) regulierten Branchen.

Hier finden Sie weitere interessante Informationen.



Quelle: Swiss Infosec AG

< zu den Themen

 

Publikationen
Neuerscheinungen: Datenschutz kompakt und verständlich. Eine praxisorientierte Einführung: Bernhard C. Witt



  Bernhard C. Witt

Datenschutz kompakt und verständlich. Eine praxisorientierte Einführung

ISBN: 3834801399

bestellen




Quelle: www.amazon.de

< zu den Themen

Neuerscheinungen: Management von IT-Projekten. Von der Planung zur Realisierung: Hans W. Wieczorrek, Peter Mertens



  Hans W. Wieczorrek, Peter Mertens

Management von IT-Projekten. Von der Planung zur Realisierung

ISBN: 3540484701

bestellen




Quelle: www.amazon.de

< zu den Themen

Neuerscheinungen: IT-Sicherheit mit System: Klaus-Rainer Müller



  Klaus-Rainer Müller

IT-Sicherheit mit System

ISBN: 3834803685

bestellen




Quelle: www.amazon.de

< zu den Themen

 



Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.

Swiss Infosec AG unterstützt Sie bei
  • Erarbeitung und Umsetzung umfassender Security Frameworks
  • Vorbereitung und Zertifizierung nach ISO/IEC 27001
  • Aufbau eines Information Security Management System (ISMS)
  • Ereignis- und Krisenvorsorge inkl. Business Continuity Planning (BCP)
  • Durchführung von Social Engineering Audits
  • Durchführung von Audits in organisatorischen, rechtlichen und technischen Bereichen
  • Konzeption und Umsetzung von Awarenesskampagnen
  • Unterstützung und Überbrückung von Ressourcenengpässen
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.

Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Internet Infosec News.
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier: News in Englisch
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format

Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch