Nr. 12 / Dezember 2007
ISSN 1424-4217
Viel Vergnügen mit unseren Weihnachts-News:

Jetzt kritische Infrastrukturen schützen! SCADA Security steht für „supervisory control and data acquisition security“ und ist DER Begriff für den Schutz kritischer sowie unternehmenskritischer Infrastrukturen, bspw. in den Bereichen Transport, Verkehr, Energie, Produktion, Versorgung oder Forschung.

Ein Praxisbeispiel: Werden in einer Unternehmung betriebliche Wartungsarbeiten an (Anlagen-) Steuerungen durch einen externen Zugriff des Wartungsdienstes sichergestellt, müssen auch Sicherheitsaspekte berücksichtigt werden, wie z.B. sichere Authentifizierung oder organisatorische Prozesse für eine kontrollierte Benutzerverwaltung und Wahl sicherer Passwörter.

Unterstützung durch Fachspezialisten. Die Swiss Infosec AG unterstützt Sie konzeptionell wie personell im Bereich der SCADA Security: bei der Analyse der kritischen Infrastrukturen und der Umsetzung von Sicherheitsmassnahmen. Zudem führt die Swiss Infosec AG auch Sensibilisierungsmassnahmen auf Stufe von Management und Mitarbeitenden durch. Nur durch Sensibilisierung ist der implementierte SCADA Security-Prozess nachhaltig erfolgreich. Erfahren Sie hier mehr.

Möchten Sie einen Ressourcenengpass überbrücken? Benötigen Sie bspw. einen Security Spezialisten zu 40% oder 80% vor Ort bei Ihnen im Unternehmen? Möchten Sie die Stelle eines Security Officers während sechs Monaten mit einem fix definierten Pensum besetzen?

Die Swiss Infosec AG kann durch ihre langjährige Erfahrung kompetent, rasch und unkompliziert Sie und Ihre Unternehmung unterstützen. Wir können Ihnen aus unserem Pool festangestellter, langjähriger Mitarbeiter erfahrene Security-Spezialisten und Projektleiter anbieten, die kompetent und flexibel Ihre möglichen Engpässe überbrücken können. Hier erfahren Sie mehr. Gerne stehen wir Ihnen beratend zur Seite, ein Anruf auf +41 (0) 984 12 12 genügt.


Swiss Infosec AG präsentiert Ihnen folgende Special Events in den nächsten Monaten:

26.-27.02.2008
Zürich		 Intensivseminar mit Detlev Sachse
Sicherheit und Auditing eines SAP-Systemes für Auditoren, Sicherheitsbeauftragte und Interessierte		 Weitere Informationen

28.-29.04.2008
Olten
Intensivseminar mit Beat Lehmann
Revision Datenschutzgesetz DSG:
Wie kann Datenschutz heute optimal umgesetzt werden?
Weitere Informationen

06.-07.05.2008
Luzern
Intensivseminar mit Frank Roselieb
Krisen erkennen, bewältigen und erfolgreich meistern | Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können | Krisensimulation, Fallbeispiele und Empfehlungen
Weitere Informationen

03.06.2008
Sursee
Intensivseminar mit Ruedi Suter
Keine Angst vor Medien | Selbstsicher und gut vorbereitet ein Interview geben, das Medientraining!
Weitere Informationen

09.-10.06.2008
Zürich
Intensivseminar mit Beat Lehmann
Sicherheitsüberprüfungen von IT-Systemen, Ethical Hacking und Social Engineering | Rechtliche Grundlagen und Hürden
Weitere Informationen


Themenübersicht

Aktuelle Meldungen
AKTUELLE MELDUNGEN
Events
EVENTS
Ausbildung
AUSBILDUNG
Beratung
BERATUNG
Publikationen
PUBLIKATIONEN

 














ANZEIGE



Der Leitfaden für das Sicherheitsmanagement
Es ist keine leichte Aufgabe, für Sicherheit im Bereich der IT zu sorgen. Wo können Sie Antworten auf Ihre Fragen finden?
Das eBook Definitive Guide to Security Management (Der Leitfaden für das Sicherheitsmanagement) von Dan Sullivan ist ein umfangreicher und lehrreicher Leitfaden für das Sicherheitsmanagement.

Wir sind uns sicher, dass Sie in diesem Dokument nützliche Informationen und Anregungen finden, die Sie und Ihr Unternehmen bei der Planung einer effektiven Lösung für das Sicherheitsmanagement unterstützen können. Jede Woche erhalten Sie ein neues Kapitel, das Sie Ihrem Team zur Verfügung stellen können.

Registrieren Sie sich, um Ihr Gratis-eBook zum Thema Sicherheit zu erhalten


 

Aktuelle Meldungen
Neue Auflage des "Leitfaden IT-Sicherheit" des BSI: Besonders an KMU gerichtet

Unternehmen werden zunehmend durch Angriffe auf ihre IT-Systems gefährdet. Falls es Hackern und anderen Cyberkriminellen gelingen sollte, Zugriff auf einzelne Computer oder sogar das gesamte Firmennetzwerk zu bekommen, drohen oftmals Existenz gefährdende Risiken. Der „Leitfaden IT-Sicherheit“ des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) ist an KMUs gerichtet und soll sie bei der Risikominimierung unterstützen.
Der Leitfaden wendet sich vor allem an kleinere Betriebe, mit sich mit limitierten Geldmitteln und sonstigen Ressourcen keine eigene IT-Abteilung oder kostspielige Spezialisten leisten können oder wollen. Dieser Leitfaden gibt einen allgemein verständlichen Überblick über die wichtigsten Massnahmen des IT-Grundschutzes und zeigt unter anderem häufige Versäumnisse und geeignete Sicherheitsmassnahmen auf, die auch von kleineren Firmen in die Praxis umgesetzt werden können. Den BSI-Leitfaden finden Sie hier.



Quelle: www.haufe.de; 26.11.2007

< zu den Themen

BCM für die Banken in der Schweiz: Die Bankiervereinigung hat Empfehlungen veröffentlicht

Im Rahmen des wachsenden Bewusstseins, dass sich Unternehmen aller Art auf mögliche Störungen ihrer kritischen Geschäftsprozesse vorbereiten sollten, hat nun die Schweizerische Bankiervereinigung einen Leitfaden mit Empfehlungen zum Business Continuity Management (BCM) veröffentlicht. Diese Empfehlungen treten auf den 1. Januar 2008 in Kraft und sollten bis zum 31. Dezember 2009 umgesetzt werden.
Die Empfehlungen der Schweizerischen Bankervereinigung finden Sie hier: Download



Quelle: Schweizerische Bankiervereinigung; November 2007

< zu den Themen

MELANI-Halbjahresbericht 2007: Malware-Angriffe zunehmend erfolgreich

Der MELANI-Bericht zeigt, dass „klassische" Phishing-Angriffe auf Unternehmen der Schweizer Finanzindustrie stark abgenommen haben. Bei diesen Angriffen wird der Kunde per Mail aufgefordert, Zugangsdaten für das E-Banking-System einzugeben. Zugenommen haben hingegen erfolgreiche Angriffe mit Malware. Dabei handelt es sich um Software, die schädliche Funktionen ausführt. Malware gelangt meistens per E-Mail mit gefälschtem Absender auf den Computer. Die schädliche Software befindet sich entweder im Anhang der Mails, oder es führt ein Link zu einer präparierten Webseite, von welcher die Malware ohne Zutun des Opfers herunter geladen wird.
Sobald ein Kundenrechner mit Malware verseucht ist, bieten auch gut gesicherte E-Banking-Systeme keinen Schutz mehr. Nicht nur die Betreiber kritischer Infrastrukturen, die Rüstungsindustrie oder staatliche Stellen sind im Visier gezielter Spionage, sondern auch mittelständische Industrieunternehmen sowie Hersteller von Mode- und Luxusartikeln. Die Angriffe erfolgen auch hier meist mit Malware, die per E-Mail mit gefälschtem Absender verteilt wird. Der E-Mail-Versand geschieht jedoch gezielt an einzelne Mitarbeitende. Den detaillierten Bericht über die ersten 6 Monate des Jahres 2007 können Sie hier runterladen.



Quelle: www.admin.ch; November 2007

< zu den Themen

Patientendaten im Müll: 12 kg Unterlagen der CSS auf der Strasse gefunden

Ein Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den Container werden. Als der Sack dabei reisst, fallen gut 12 kg Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen und weitere Schriftstücke.
CSS-Mediensprecherin Sandra Winterberg bestätigte die Abfallgeschichte. Es handle sich um einen zwölf Kilo schweren 110-Liter-Kehrichtsack. Die Akten stammen aus der Krienser Filiale, dort sind sieben Personen tätig. «Es handelt sich vermutlich um menschliches Versagen», sagt Winterberg. Nachdem der Anwohner diese Unterlagen einige Tage bei sich daheim hatte, sind sie nun der Staatsanwaltschaft übergeben worden. Das bestätigte Simon Kopp, Sprecher der Luzerner Strafuntersuchungsbehörden.



Quelle: www.zisch.ch; Fritz Lehmann; 17.11.2007

< zu den Themen

DSG, VDSG, Vzert: Neu ab dem 1.1.2008

Wir wollen es nicht versäumen, Sie nochmals auf die anstehenden Änderungen des Schweizerischen Datenschutzgesetzes und der Verordnung zum Datenschutzgesetz sowie auf die neue Zertifizierungsverordnung hinzuweisen, die allesamt die bestehende Legislation im Gebiet des Datenschutzes auf den neusten Stand bringen. Die Änderungen zu den bestehenden Gesetzestexten können Sie hier herunterladen:
Datenschutzgesetz,
Verordung zum Datenschutzgesetz
und die neue Zertifizierungsverordnung finden Sie hier.



Quelle: www.admin.ch; 15.11.2007

< zu den Themen

Jetzt werden Tippfehler ausgebeutet: Konzentration könnte sich bezahlt machen

Dies belegt eine kürzlich vorgestellte Studie des Virensoftwarespezialisten McAfee. Unter dem Titel 'What's In A Name: The State of Typo-Squatting 2007' wird aufgezeigt, wie Tippfehler dafür genützt werden, um ahnungslose Surfer auf bestimmte alternative Webseiten umzuleiten. Auf diese Weise können die Domain-Diebe ein grosse Anzahl von Seitenzugriffen erreichen, die ihnen wiederum in Form von Werbeeinnahmen Geld in die Taschen bringt.
Ergebnisse der in Australien durchgeführten Untersuchung: Durchschnittliche Internetsurfer landen bei jedem 14. Tippfehler auf einer Squatting-Seite. Besonders betroffen sind Kinder und Jugendliche, 60 Prozent aller ermittelten Seiten sind auf Surfer unter 18 Jahren ausgerichtet. Den Text der englischen Studie finden Sie hier: Download



Quelle: www.silicon.de; 23.11.2007; Dietmar Müller

< zu den Themen

Das Management lebt gefährlich: Es drohen Strafen

Ein Drittel aller deutschen Unternehmen hat ein Risikomanagement für IT-Sicherheit eingerichtet, obwohl deutsche Gesetze wie das Bundesdatenschutzgesetz, KonTraG, Aktiengesetz oder HGB die Einführung eines IT-Sicherheitskonzepts vorschreiben. Ab Juli 2008 greifen zudem EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens. Mittlerweile kommen in 80 Prozent der Unternehmen IT-Sicherheitslösungen zum Einsatz. Diese gehen aber nicht weit genug, um den gesetzlichen Vorgaben zu entsprechen. Die Vorstände und Geschäftsführer dieser Unternehmen unterschätzen dabei, dass ihnen bei Nichtbeachtung empfindliche Bussgelder und Geldstrafen, schlimmstenfalls sogar Gefängnis, drohen. Zu diesen Ergebnissen kommt die Studie "IT-Security 2007" der InformationWeek in Zusammenarbeit mit Steria Mummert Consulting.
IT-Sicherheit hat in den Chefetagen der befragten Unternehmen noch nicht den nötigen Stellenwert um die IT-Systeme so sicher zu machen wie vom Gesetzgeber verlangt. Auf einer Skala von eins (geringe Priorität) bis zehn (hohe Priorität) gibt jedes dritte befragte Unternehmen dem Thema IT-Sicherheit Werte zwischen eins und drei. Verstärkte Sicherheitsmassnahmen werden zwar befürwortet, die praktische Umsetzung wird dann aber wieder stiefmütterlich behandelt.



Quelle: infoweek.de; 27.11.2007

< zu den Themen

Konsultationspapier zum Thema SCADA: Das amerikanische NIST nimmt Vorschläge entgegen

In Rahmen der US-amerikanischen Bemühungen, die bedeutend weiter fortgeschritten sind als hier in Europa, betreffend SCADA (Supervisory and Control Data Acquisition) hat das amerikanische NIST eine Konsultationspapier mit Controls für ICS (Industril Control Systems) veröffentlicht. Zwar sind diese Dokumente hauptsächlich für die amerikanische Regierung und deren Aufgabengebiet bzw. deren Systeme gedacht, sie zeigen aber auch einem Schweizerischen Publikum, dass der Gedanke der Sicherheit der Prozesse von Einrichtungen kritischer Infrastrukturen hier noch in den Kinderschuhen steckt. Sie können dieses Konsulationspapier (in Englisch) hier runterladen: Download



Quelle: Swiss Infosec AG

< zu den Themen

Ganz einfach ganz viel Geld verdienen: Email scheint zu genügen

Die US-amerikanische Supermarktkette Supervalu ist auf einen millionenschweren Phishing-Angriff hereingefallen. Dieser lief getreu der Devise ab: Keep it simple.
Wie erst jetzt bekannt geworden ist, hat ein Angestellter des Unternehmens im Frühjahr dieses Jahres zehn Millionen Dollar auf falsche Konten überwiesen. Grund für die Fehlbuchung waren zwei einfache Fake-E-Mails von angeblichen Lieferanten mit der Bitte, das Geld zukünftig auf andere Konten zu überweisen. Details des Vorfalls kamen nun im Zuge eines Gerichtsverfahrens ans Tageslicht, mithilfe dessen Supervalu die Identität der Betrüger zu enthüllen sucht. Laut den Gerichtsunterlagen hat die Supermarktkette bereits einige Tage nach den Überweisungen entdeckt, dass sie einem Betrug aufgesessen war und die Behörden verständigt. Dennoch dürfte es schwierig sein, die Täter zu fassen. "In den USA wird die Identitätsprüfung im Falle der Eröffnung eines Kontos nur sehr lax gehandhabt", erklärt Datenschutz-Experte Hans Zeger.
In Deutschland und Österreich sei es bisher noch nicht zu einem Phishing-Betrug dieses Ausmasses gekommen, meint Zeger. Die elektronische Kommunikation wertet der Obmann der österreichischen Arge Daten dennoch als Schwachstelle. "Vor allem das Änderungsmanagement ist derzeit nicht gut geregelt", sagt Zeger. Auch banale Änderungswünsche sollten dem Fachmann zufolge eigentlich nur nach einer Absicherung durch Rückfragen vorgenommen werden.



Quelle: computerwoche.de; 31.10.2007

< zu den Themen

Kalter Krieg im Internet?: Möglich scheint es

Sind wir schon im "Kalten Krieg", jetzt aber im Internet?. In seinem neuesten "Virtual Criminology Report" geht der Hersteller von Sicherheitssoftware von einer wachsenden Bedrohung der nationalen Sicherheit aus. Rund 120 Länder würden Strategien entwickeln, um das Internet als Waffe gegen Finanzmärkte, Server anderer Regierungen, kritische Infrastrukturen sowie gegen das Internet selbst zu nutzen. Geheimdienste würden bereits jetzt regelmässig die Netzwerke anderer Länder auf Schwachstellen untersuchen. Dafür gäbe es sogar einen virtuellen Waffenhandel, also der Handel mit dem Wissen über Lücken in Software und Exploits dafür.
China sei im "Cyber Cold War" an vorderster Front zu finden und wurde zuletzt verdächtigt, hinter den Angriffen auf das Pentagon und das deutsche Bundeskanzleramt zu stehen. Allerdings verschweigt der Report, dass das amerikanische "Cyber Command" zur Sicherung der amerikanischen Überlegenheit im Internet sicherlich auch nicht gerade mit Samthandschuhen zu Werke geht.
Was ein gross angelegter DDoS-Angriff auf die IT-Infrastruktur eines Landes bewirken kann, zeigte sich an Estland, das nach der Verlegung eines russischen Kriegerdenkmals aus der Hauptstadt Tallin Ende April vom weltweiten Internet so gut wie abgeschnitten war. Als Drahtzieher wurde die russische Regierung vermutet, was jedoch nie bewiesen wurde. Allerdings wurden Teile des für den Angriff genutzten Bot-Netzes zuvor schon bei Attacken auf Server der russischen Opposition wie den ehemaligen Schachweltmeister Garry Kasparow beobachtet.
Den gesamten Bericht können Sie hier finden: Download



Quelle: heise.de; 30.11.2007

< zu den Themen

Noch mehr Regelungen in Deutschland und der EU: Lob für die Schweiz

Ab Ende Juni 2008 müssen sich deutsche Unternehmen auf veränderte Rahmenbedingungen einstellen. Interne Kontrollsysteme und das Risikomanagement sollten schon jetzt auf den Prüfstand.
Die Wirtschaftsskandale der letzten Jahre zeigen Wirkung. Die Anforderungen an die Compliance steigen. Bis zum 29. Juni 2008 muss der deutsche Gesetzgeber die 8. EU-Richtlinie (EURO-SOX) in nationales Recht umsetzen. Die neue Regelung trifft alle Unternehmen des öffentlichen Interesses, einschliesslich. Banken und Versicherungen.
Die Gesellschaften sollten sich rechtzeitig und proaktiv auf neue Regelungen einstellen. Erwartet wird beispielsweise, dass Aufsichtsräte und Abschlussprüfer stärker als bisher das interne Kontrollsystem und das Risikomanagement überwachen können. Es wird geraten, die internen Kontrollsysteme und das Risikomanagement aufeinander abzustimmen und zu einem einheitlichen, strategischen Instrument der Unternehmensführung auszubauen.
Ab dem 1.1.2008 sind nach Schweizer Recht bindend neue Regeln für interne Kontrollsysteme anzuwenden (Art. 728A revOR). "Hier zeigt sich der akute Handlungsbedarf für deutsche Unternehmen, da die EU-Richtlinie prinzipiell ähnliche Ansätze vorsieht."



Quelle: silicon.de; Dietmar Müller; 30.11.2007

< zu den Themen

Events
Special Events 2008: Jetzt Fachwissen von Spezialisten abholen

special events
Swiss Infosec AG präsentiert Ihnen folgende Special Events in den nächsten Monaten:

Intensivseminar mit Detlev Sachse | Sicherheit und Auditing eines SAP-Systemes | Für Auditoren, Sicherheitsbeauftragte und Interessierte
26. - 27. Februar 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Beat Lehmann, Jurist | Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden?
28. - 29. April 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Dipl.-Kfm. Frank Roselieb | Krisen erkennen, bewältigen und erfolgreich meistern | Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können. | Krisensimulation, Fallbeispiele und Empfehlungen
6. - 7. Mai 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Ruedi Suter | Keine Angst vor Medien | Selbstsicher und gut vorbereitet ein Interview geben – Medientraining für Führungskräfte und Informationsverantwortliche!
3. Juni 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Beat Lehmann, Jurist | Sicherheitsüberprüfungen von IT-Systemen, Ethical Hacking und Social Engineering | Rechtliche Grundlagen und Hürden
9. - 10. Juni 2008

Weitere Informationen und Anmeldemöglichkeit





Quelle: Swiss Infosec AG

< zu den Themen

Vorankündigung: Meet Swiss Infosec!: 24.01.2008, Airport Conference Center in Zürich Flughafen


Reservieren Sie sich jetzt schon den Termin: 24. Januar 2008, 13.30 Uhr im Airport Conference Center in Zürich Flughafen. Meet Swiss Infosec! erwartet Sie wieder, die kostenlose Veranstaltung mit hochkarätigen Referaten, die Ihnen das Wichtigste und Aktuellste zum Thema „Visionäre Informationssicherheit“ bringen.

Nach dem herausragenden Erfolg an der SWISS INFOSEC 2007 freuen wir uns besonders, Joanna Stefanska, Founding Partner von MyImpact und angestellt bei Microsoft, einem breiteren Publikum vorstellen zu dürfen. Sie präsentiert uns „Eine Bilderreise um die Welt – ein persönlicher Blick über den Tellerrand auf aktuelle Sicherheitsfaktoren“

Natürlich werden Sie wiederum aus der Praxis der Beratungstätigkeit der Swiss Infosec hören – „Ein erweiterter Blick auf die aktuellen Herausforderungen der Informationssicherheit“ erwartet Sie. Und daneben natürlich weitere spannende und wertvolle Referate, Networking, ein Apéro und vieles mehr.

Seien Sie dabei: Meet Swiss Infosec! am 24. Januar 2008 im Airport Conference Center, Zürich Flughafen.
Jetzt reservieren und Platz sichern.



Quelle: Swiss Infosec AG

< zu den Themen

Ausbildung

Agenda 2008: Nächste Lehrgänge und Themenkurse

IT-SIBE

Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte

Aus der Praxis für die Praxis!
Wir führen Sie umfassend ein in die Grundlagen der Informations- und IT-Sicherheit. Diesen Lehrgang führen wir seit über 10 Jahren erfolgreich durch – profitieren auch Sie vom geballten Wissen aus mehr als 18 Jahren Erfahrung.
7. – 11. Januar 2008


IT-SIBE VERTIEFUNG

Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte

Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.

11. – 15. Februar 2008


INTEGRALE SICHERHEIT

Intensivlehrgang für Beauftragte der Integralen Sicherheit

Sicherheit ganzheitlich betrachtet!
Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder Repetition für einen Sicherheitsbeauftragten.

14. – 18. Januar 2008


TECHNISCHE SICHERHEIT

Intensivlehrgang

Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Netzwerkdienste aus dem Blickwinkel der Sicherheit funktionieren und welche Risiken sie bergen. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.

25. – 28. Februar 2008


VORBEREITUNG CISSP

Intensivlehrgang

CISSP-Zertifizierung erfolgreich erlangen dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.

27. März – 2. April 2008


EINFÜHRUNG ISO/IEC 27001/27002

Einführung und Überblick über die Normen ISO/IEC 27001 und ISO/IEC 27002
Wir geben Ihnen einen fundierten, aktuellen und praxisorientierten Überblick über die Bedeutung und den Inhalt dieser beiden Standards. Wir zeigen Ihnen die Schritte zu deren erfolgreicher Umsetzung auf. Lernen Sie die Voraussetzungen eines funktionierenden ISMS (Information Security Management System) kennen.

17. März 2008


VERTIEFUNG ISO/IEC 27001/27002

Anwendung und Nutzung der Normen im Hinblick auf eine Zertifizierung
Dieser Kurs vermittelt Ihnen praxisorientiert das Grundwissen zur erfolgreichen Zertifizierung Ihres Unternehmens gemäss ISO 27001. Die einzelnen Teilschritte der Einführung eines gelebten und normkonformen Information Security Management Systemes werden u.a. im Rahmen von Gruppenarbeiten gemeinsam erarbeitet und vertieft. Eine fundierte Einführung für den Praktiker!

18. – 19. März 2008


ISO/IEC 27001 LEAD AUDITOR-LEHRGANG
MIT OFFIZIELLER ZERTIFIZIERUNG

Intensivlehrgang

Wissen und Know-how zu ISO/IEC 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 27002 ein. Am Ende des Kurses erfolgt die Zertifizierung als ISO/IEC 27001 Lead Auditor.

Dies ist ein IRCA-akkreditierter Lehrgang.

18. – 22. Februar 2008


UPGRADE
BS 7799 LEAD AUDITOR ZU ISO/IEC 27001 LEAD AUDITOR
Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel neu in «ISO/IEC 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO/IEC 27001.

23. Februar 2008


MANAGEMENT-EINFÜHRUNG INFORMATIONS- UND IT-SICHERHEIT

Themenkurs

Verantwortung im Sicherheitsbereich unternehmensweit wahrnehmen!
Mitglieder der Geschäftsleitung oder Verantwortliche für die Unternehmenssicherheit lernen die Bedeutung, den Aufbau, den Umfang und die verschiedenen Integrationsmöglichkeiten der Informations- und Informatiksicherheit für ihr Unternehmen kennen. Anhand von zahlreichen Praxisbeispielen erhalten die Teilnehmenden in kurzer Zeit einen umfassenden Einblick in diesen unternehmenswichtigen Bereich.

21. Januar 2008


ELEKTRONISCHE ARCHIVIERUNG

Intensivkurs

Elektronische Archivierung, eine wichtige und komplexe Materie
Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen.
18. – 19. Februar 2008


ITIL SECURITY MANAGEMENT

Intensivkurs

Security Management in einer ITIL-orientierten IT-Organisation
Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL- Disziplinen.

11. – 12. Februar 2008


DATENSCHUTZGESETZ UND DESSEN UMSETZUNG

Intensivkurs

Datenschutz und rechtliche Aspekte
Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmern, Fragen aus dem Alltag zu diskutieren und zu beantworten.

21. April 2008


KRIMINALITÄT/PROTOKOLLIERUNG/ERMITTLUNG/MONITORING
AUF DEM INTERNET

Themenkurs

Wann sprechen wir von Internet-Kriminalität?
Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten.

5. – 6. März 2008

WINDOWS VISTA

Intensivkurs

Lücken oder Tücken?
Lernen Sie die Sicherheitsaspekte des neusten Windows-Betriebssystems kennen und damit umzugehen. In Form von ausführlich dokumentierten und erklärten Demo-Sessions lernen die Teilnehmenden Vista und die Konfigurationsmöglichkeiten der neuen Funktionen kennen. Erfahren Sie unter anderem, wie „Windows Vista“ auf Angriffe wie z.B. Viren und Spyware reagiert und welche neuen Schutzmechanismen generell zur Verfügung stehen.

3. – 4. März 2008




Quelle: Swiss Infosec AG

< zu den Themen

ISO/IEC 27001 Lead Auditor: Lehrgang mit offizieller Zertifizierung

Wissen und Know-how zu ISO/IEC 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 27002 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als ISO/IEC 27001 Lead Auditor. Dies ist ein IRCA-akkreditierter Lehrgang.

Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Lehrgang erlaubt es den Teilnehmenden, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als ISO/IEC 27001 Lead Auditor. Dies ermöglicht es den Teilnehmenden auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Dieser Lehrgang wird von einem BSI-Auditor in englischer Sprache durchgeführt.

Zielgruppe: Praktizierende Sicherheitsauditoren, die ihr Auditwissen erweitern wollen; Fachleute, die im Bereich IT und Qualitätsmanagement arbeiten und im Bereich von ISO/IEC 27001-Zertifizierungen tätig werden möchten resp. Ein formales Informationssicherheitsmanagement nach ISO/IEC 27001 einführen wollen

Hier finden Sie weitere Informationen und Ihre Anmeldemöglichkeit.



Quelle: Swiss Infosec AG

< zu den Themen

Mitarbeitende nachhaltig sensibilisieren, mit Blended Learning!: Workshops und eLearning


«Unsere Geschäftsleitung möchte alle unsere Mitarbeitenden möglichst umfassend in Fragen der Informations- und IT-Sicherheit sensibilisieren und ausbilden. Was ist dabei zu beachten?»

Der Schlüssel für eine erfolgreiche Sensibilisierung in Ihrem Unternehmen liegt in der Nachhaltigkeit mittels vermischtem Lernen. Bei diesem Ansatz von Blended Learning werden die Vorteile verschiedenster Methoden miteinander verbunden. Nebst den bisherigen mehr oder weniger bewährten und meist isoliert eingesetzten Formen wie Informationsbroschüren, Weisungen, Plakate, Intranet usw. werden die sich ergänzenden und aufeinander abgestimmten Lehrformen «Workshop» und «eLearning» eingesetzt.

Ziel ist es, dass Lerninhalte dauerhafter präsent bleiben und selbstverständlich angewendet werden, so zu einem Bestandteil der Sicherheitskultur werden und somit nicht mehr wiederkehrend geschult werden müssen.

Mit der Kombination der beiden Lehrformen «Workshop» und «eLearning» kann eine Grosszahl von Mitarbeitenden mit einem relativ geringen Aufwand sinnvoll und nachhaltig in Ihrem Unternehmen vor Ort sensibilisiert werden. Jede Lehrform für sich alleine weist einen ungleich geringeren Lernerfolg auf. In 1 bis 2 Stunden dauernden Workshops werden Szenen dargestellt, welche die wesentlichen Sicherheitsanforderungen Ihres Unternehmens an Ihre Mitarbeitenden beinhalten. Die Form des «Edutainments» bewährt sich dabei besonders: was mit Freude, unterhaltsam und anschaulich gelernt werden kann, hinterlässt einen grösseren Eindruck und motiviert Ihre Mitarbeitenden, die Inhalte näher kennen und verstehen zu lernen! Der praxisnahe Workshop kann beispielsweise als «Lunch & Learn» über den Mittag in einer relativ lockeren Atmosphäre stattfinden. Die Teilnehmerzahl kann 10 bis 80 Personen betragen. Die relativ grosse Gruppe wird von einem Team, bestehend aus einem Moderator, einem Techniker und einem Muster-Mitarbeiter, durch den Workshop geführt. Dabei kann der Technik-Crack beispielsweise verschiedene Situationen auf dem Bildschirm des gespielten Mitarbeiters provozieren – der Bildschirm wird für alle Teilnehmenden sichtbar projiziert. Der Mustermitarbeiter reagiert mehr oder weniger richtig auf die Situation, der Moderator kommentiert entsprechend das Verhalten. Einfache Merksätze, welche den Teilnehmenden abgegeben werden können, runden die einzelnen Sicherheitsthemen ab.

Mehr über Blended Learning



Quelle: Swiss Infosec AG

< zu den Themen

eLearning: Informations- und IT-Sicherheit: Sensibilisierung der Mitarbeitenden durch ein modulares eLearning-Programm


 Das Thema Informations- und IT-Sicherheit ist heute in aller Munde. Trotz all der technischen Möglichkeiten zum Schutz Ihrer Informationen sind die Mitarbeitenden der grösste Schwachpunkt, aber auch die grösste Chance in einem Unternehmen. Sie müssen ein Bewusstsein für diese Problematik entwickeln und für den entsprechenden Umgang mit Informationen sensibilisiert werden.

Die modular aufgebaute Lernprogrammreihe „Informations- und IT-Sicherheit“ zeigt Ihren Mitarbeitenden wo sich die Gefahren verbergen und wie man darauf reagieren muss. Ein Profiling-Fragebogen als Einstiegselement prüft den Wissensstand der einzelnen Mitarbeitenden. Auf Grund der Beantwortung wird dem jeweiligen Mitarbeitenden eine Lernwegempfehlung abgegeben. So wird vermieden, dass bereits vorhandenes Wissen nochmals durchgearbeitet werden muss. Durch die transparente Struktur ist es jederzeit möglich, einzelne Teile intensiver zu bearbeiten oder aber auszulassen. Das gesamte Lernprogramm ist in Form einer praxisnahen Geschichte aufgebaut. So finden sich die Mitarbeitenden in den täglichen Problemsituationen wieder und können diese danach im Büroalltag beheben bzw. vermeiden. Dank der fachlichen Unterstützung von Swiss Infosec AG, dem führenden unabhängigen Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informationssicherheit und IT-Sicherheit, ist ein wirklichkeitsnahes Lernprogramm für Ihre Unternehmenssicherheit entstanden.

Folgende Themen sind momentan verfügbar:
Einführung
Zutritts- und Zugangsschutz
E-Mails bearbeiten
Arbeitsplatz sichern beim kurzzeitigen Verlassen
Geschäftsreise vorbereiten
Vertraulichkeit beim gesprochenen Wort
Internet-Nutzung
Umgang mit Passwörtern und Zugriffsschutz
Verlassen des Gebäude
Social Engineering

Dank der webbasierenden Lernreihe ist garantiert, dass man in nützlicher Frist alle Mitarbeitenden an ihren Arbeitsplätzen gezielt schulen kann. Idealerweise wird die Lernprogrammreihe in einen „Blended Learning-Prozess“ integriert, in welchem auch Informationsveranstaltungen und Präsenzschulungen zum Tragen kommen. Ein Abschlusstest kann aufzeigen, ob das angestrebte Wissensziel erreicht worden ist.

Die Mitarbeitenden sind der grösste Schwachpunkt, aber eben auch die grösste Chance für eine Verbesserung der Informations- und IT-Sicherheit in Ihrem Unternehmen.

Weitere Informationen erhalten Sie:
First WebCollege AG | Grundstrasse 18 | 6343 Rotkreuz | Tel. 041 792 03 92
www.firstwebcollege.com | www.erfolgreich-lernen.ch


Quelle: Swiss Infosec AG

< zu den Themen

Beratung

Die ISMS-Methodik: Für ein Information Security Management System nach ISO/IEC 27001

Spürbar, nachhaltig, effizient und kostengünstig!

Mit der ISMS-Methodik erreichen Sie in der Informationssicherheit schnell und einfach überzeugende Resultate. Unter Controls verstehen wir generell gültige, einfach formulierte Grundschutz-Regeln und Massnahmen.

Durch Verabschiedung eines Regelwerkes (Sammlung sämtlicher relevanter Regeln) und dessen Umsetzung kann die Informationssicherheit eines Unternehmens spürbar, nachhaltig, effizient und kostengünstig verbessert werden.

Die ISMS-Methodik fördert die Transparenz im Bereich der Informationssicherheit, da einheitliche Dokumentenstrukturen und Regelungen eingeführt werden.

Mittels Control-Massnahmen können ungefähr 80-90% der Sicherheitsprobleme gelöst bzw. entschärft werden. Die für die restlichen 10-20% immer noch notwendigen, jedoch in ihrem Umfang beschränkten Risikoanalysen werden so übersichtlicher und besser kontrollierbar sein. Dank der ISMS-Methodik werden sie nicht mehr annähernd so viel kosten.

Erfahren Sie hierzu mehr, wie Sie die ISMS-Methodik effizient und kostengünstig umsetzen und so die Informationssicherheit Ihres Unternehmens verbessern. www.ismstoolbox.com



Quelle: Swiss Infosec AG

< zu den Themen

ISO 27001/ISO 27002:

Führendes Know-how und über 18 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1

Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen.

Der ISO/IEC 27002 beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach ISO 27001 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie.

Mit ISO 27001 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard ISO 27001 hilft mittels Empfehlungen und einfach formulierten Regeln – sog. Controls – dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht zu werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitssystems ist hier die Antwort.

Profitieren Sie von über 18 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater – einige davon lizenzierte BS 7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI – helfen Ihnen gerne weiter!

Beispiele rund um ISO 27001 und 27002:
• Erarbeitung und Umsetzung ISO 27001-konformer Security Frameworks
• Durchführung von ISO 27001-Sicherheitsaudits
• Vorbereitung einer Zertifizierung nach ISO 27001
• Toolunterstützung bei der Umsetzung von ISO 27001-Anforderungen
• Ausbildungen zu ISO 27001 und ISO 27002

Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel.
Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse.

Erarbeitung eines Security Frameworks
 Die Swiss Infosec AG erarbeitet zusammen mit den Kunden das Security Framework – eine umfassende, stufenweise aufzubauende und modulare Lösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit ISO 27001 und ISO 27002:
• die Security Policy als oberstes Strategiepapier
• das Security Concept mit den Anforderungen und der Sicherheitsorganisation
• das Security Regelwerk (Regelkatalog) mit Sicherheitsregeln

Durchführung von Sicherheitsaudits
 Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen.

Beratung im Vorfeld einer Zertifizierung
 Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich ISO 27001.

Unterstützung durch ISMS Tool Box
 Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Tool Box bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Praxis Forum.
www.ismstoolbox.com

Ausbildung zu ISO 27001 und ISO 27002
 Nur Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand. Das ISO 27001- und ISO 27002-Ausbildungsangebot:
Einführung ISO/IEC 27001/27002: Grundlagen und Überblick über die Normen
Vertiefung ISO/IEC 27001/27002: Anwendung und Nutzung
ISO/IEC 27001 Lead Auditor-Lehrgang mit offizieller Zertifizierung
Upgrade BS 7799 Lead Auditor zur ISO/IEC 27001 Lead Auditor



Quelle: Swiss Infosec AG

< zu den Themen

SCADA Security: Schützen Sie Ihre Infrastrukturen!


Zu den kritischen Infrastrukturen eines Landes gehören die Anlagen, welche die Bereitstellung von Dienstleistungen und Gebrauchsgüter zum Beispiel in den Bereichen Elektrizität, Wasser, Erdgas, Benzin, Abwasserbehandlung und Transport sicherstellen. Der Überwachung und Steuerung dieser Anlagen kommt eine Schlüsselfunktion zu. SCADA (supervisory control and data acquisition) ist hier der Begriff, der sich in den letzten Jahren durchgesetzt hat.

Die Sicherheit spielt in SCADA Netzwerken meist noch eine untergeordnete Rolle. Diese Tatsache ist vor allem geschichtlich bedingt. Bei der Entwicklung einer System-/Anlagensteuerung stand und steht die Maximierung der Funktionalitäten im Vordergrund. Leistung, Zuverlässigkeit, Flexibilität und Sicherstellung der dezentralen Bedienung sind in diesem Zusammenhang zu nennen. Sicherheit wird vor allem auf die Anlage bezogen umgesetzt (Sicherheitsabschaltungen bei undefinierten oder riskanten Betriebszuständen) und weniger gegenüber Bedrohungen von aussen.

Hier erfahren Sie mehr



Quelle: Swiss Infosec AG

< zu den Themen

Publikationen
Neuerscheinungen: Information Assurance: Dependability and Security in Networked Systems: Qian



Qian

Information Assurance: Dependability and Security in Networked Systems

ISBN: 0123735661

bestellen




Quelle: www.amazon.de

< zu den Themen

Neuerscheinungen: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz. Der Weg zur Zertifizierung: Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder



Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder

IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz. Der Weg zur Zertifizierung

ISBN: 383480178X

bestellen




Quelle: www.amazon.de

< zu den Themen

Neuerscheinung: IT-Management mit ITIL® V3: Ralf Buchsein, Frank Victor, Holger Günther, Volker Machmeier



Ralf Buchsein, Frank Victor, Holger Günther, Volker Machmeier

IT-Management mit ITIL® V3

ISBN: 3834802700

bestellen




Quelle: www.amazon.de

< zu den Themen

Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.

Swiss Infosec AG unterstützt Sie bei

  • Erarbeitung und Umsetzung umfassender Security Frameworks
    •
  • Vorbereitung und Zertifizierung nach ISO/IEC 27001
    •
  • Aufbau eines Information Security Management System (ISMS)
    •
  • Ereignis- und Krisenvorsorge inkl. Business Continuity Planning (BCP)
    •
  • Durchführung von Social Engineering Audits
    •
  • Durchführung von Audits in organisatorischen, rechtlichen und technischen Bereichen
    •
  • Konzeption und Umsetzung von Awarenesskampagnen
    •
  • Unterstützung und Überbrückung von Ressourcenengpässen
    •
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.

Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Internet Infosec News.
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier: News in Englisch
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format

Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch