Nr. 2 / Februar 2008
ISSN 1424-4217

Mehr Sicherheit in SAP-Systemen! Swiss Infosec AG lädt Sie herzlich ein, am Special Event Sicherheit und Auditing eines SAP-Systems am 26. bis 27. Februar 2008 teilzunehmen. Wir freuen uns, Detlev Sachse, SAP-Berater und Dipl.-Betriebswirt, für Sie gewonnen zu haben.
Weitere Informationen und eine Anmeldemöglichkeit finden Sie hier.

Vorschau Konferenz Net-ID 2008 in Basel
Am 3. und 4. März wird bereits zum vierten Mal die jährliche europäische Identity Management-Konferenz Net-ID 2008 stattfinden. Sie zählt zu den weltweit wichtigsten Veranstaltungen im Identity Management-Bereich. Lesen Sie hier mehr.

Vorschau Special Event vom 28.-29. April 2008
Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden?
Das revidierte Datenschutzgesetz, welches am 01.01.2008 in Kraft getreten ist, erzeugt teilweise dringenden Handlungsbedarf innerhalb von Unternehmen und Verwaltung. Wir zeigen Ihnen, wo Sie den Hebel ansetzen müssen, damit Sie die Gesetzgebung angemessen erfüllen. Lesen Sie hier mehr.

Unterstützung durch Fachspezialisten. Möchten Sie einen Ressourcenengpass überbrücken? Benötigen Sie bspw. einen Security Spezialisten zu 40% oder 80% vor Ort bei Ihnen im Unternehmen? Möchten Sie die Stelle eines Security Officers während sechs Monaten mit einem fix definierten Pensum besetzen?
Die Swiss Infosec AG kann durch ihre langjährige Erfahrung kompetent, rasch und unkompliziert Sie und Ihre Unternehmung unterstützen. Wir können Ihnen aus unserem Pool festangestellter, langjähriger Mitarbeiter erfahrene Security-Spezialisten und Projektleiter anbieten, die kompetent und flexibel Ihre möglichen Engpässe überbrücken können. Hier erfahren Sie mehr. Gerne stehen wir Ihnen beratend zur Seite, ein Anruf auf +41 (0) 984 12 12 genügt.
Swiss Infosec AG präsentiert Ihnen folgende Special Events in den nächsten Monaten:

26.-27.02.2008*
23.-24.09.2008
Zürich

Intensivseminar mit Detlev Sachse, SAP-Berater
Sicherheit und Auditing eines SAP-Systemes für Auditoren, Sicherheitsbeauftragte und Interessierte
*Durchführung garantiert

Weitere Informationen


28.-29.04.2008
Olten



Intensivseminar mit Beat Lehmann, Fürsprecher

Revision Datenschutzgesetz DSG:
Wie kann Datenschutz heute optimal umgesetzt werden?

Weitere Informationen


06.-07.05.2008
Luzern



Intensivseminar mit Frank Roselieb, Vorstandsmitglied der Deutschen Gesellschaft für Krisenmanager e.V.

Krisen erkennen, bewältigen und erfolgreich meistern | Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können | Krisensimulation, Fallbeispiele und Empfehlungen

Weitere Informationen


03.06.2008
Sursee



Intensivseminar mit Ruedi Suter, ehemaliger Leiter Kommunikation AlpTransit Gotthard AG

Keine Angst vor Medien | Selbstsicher und gut vorbereitet ein Interview geben, das Medientraining!

Weitere Informationen



09.-10.06.2008
Zürich



Intensivseminar mit Beat Lehmann, Fürsprecher

Sicherheitsüberprüfungen von IT-Systemen, Ethical Hacking und Social Engineering | Rechtliche Grundlagen und Hürden

Weitere Informationen



Themenübersicht

Aktuelle Meldungen
AKTUELLE MELDUNGEN
Events
EVENTS
Ausbildung
AUSBILDUNG
Beratung
BERATUNG
Publikationen
PUBLIKATIONEN

 
















Aktuelle Meldungen
Deutscher SCADA-Leitfaden: Schutz kritischer Infrastrukturen rückt immer mehr ins Bewusstsein

Das deutsche Innenministerium hat einen Leitfaden zum "Schutz kritischer Infrastrukturen" für Unternehmen und Behörden veröffentlicht. Der Ratgeber soll dazu beitragen, möglichst alle Risikofaktoren im "Vorfeld von Ereignissen" zu erfassen um so zum Schutz lebenswichtiger Einrichtungen und von Kommunikationsnetzen beizutragen.
Er ist als "Selbstanalysewerkzeug" zur Umsetzung in Einrichtungen der Bereiche Energie, Versorgung, Informations- und Kommunikationstechnologie, Transport und Verkehr, Gefahrenstoffe, Finanzwesen, Behörden, Verwaltung und Justiz sowie Medien, Grossforschung und Kulturgüter angelegt. Dafür stellt das stark auf die Praxis bezogene Handbuch Methoden zur Umsetzung eines Krisenmanagements dar, die durch Checklisten etwa zum Risikomanagement abgerundet werden.
Die stetige Verfügbarkeit der elementaren Einrichtungen und Organisationen sieht der Leitfaden durch Naturgefahren, technisches oder menschliches Versagen sowie "vorsätzliche Handlungen mit terroristischem oder kriminellem Hintergrund" bedroht. Durch die hochgradige Verknüpfung der meisten Infrastruktursysteme habe sich auch deren Verwundbarkeit erhöht, da Beeinträchtigungen in einem Bereich sich in anderen Standorten, Branchen oder Sektoren fortpflanzen könnten. Daher müssen vor allem die Auswirkungen extremer Ereignisse auf kritische Infrastrukturen gemindert sowie der Umgang mit zu erwartenden Krisen verbessert werden.
Im Bereich der Informationstechnologie wird angemerkt, dass fast täglich in den Medien von Angriffen durch Hacker oder Industrie- und Wirtschaftsspionage zu lesen sei. Daneben könnten aber etwa auch Fehlfunktionen in Hard- und Software zu erheblichen Auswirkungen und Schäden führen. Beispiele seien grossflächige Stromausfälle oder etwa der Zusammenbruch des gesamten EC-Kartensystems in der Schweiz im Jahr 2000, der durch einen Fehler in einem Rechenzentrum verursacht wurde.
Die Schadensarten könnten allgemein von physischen Verletzungen oder der Zerstörung von Sachen über ökonomische Einbussen oder psychologische Verunsicherung bis hin zum Vertrauensverlust der Bevölkerung in die politische Führung reichen. Zugleich erinnert der Leitfaden daran, dass Unternehmensleitungen etwa die gesetzlich Pflicht hätten, ein funktionsfähiges System zum Risikomanagement in ihren Betrieben zu implementieren. Den Leitfaden finden Sie hier .



Quelle: heise.de; Stefan Krempel; 25.1.2008

< zu den Themen

US-Pandemieübung im Finanzsektor: Telearbeit nicht unbedingt Panazee

Die US-Finanzdienstleister sind zuversichtlich, dass sie essentielle Dienstleistungen weiter wahrnehmen könnten, selbst wenn die Hälfte der Mitarbeitenden während einer Grippepandemie nicht ins Büro käme.
Dies ist einer der wichtigsten Schlüsse eines Berichts, der den wahrscheinlich grössten bisher durchgeführten Pandemietest in den USA zusammenfasst. Trotz möglicher Telearbeitsplanungen ist jedoch Vorsicht angebracht, da es wahrscheinlich ist, dass die möglichen Durchsatzraten der Telearbeiter wegen der erhöhten Auslastung um bis zu 50% reduziert sein könnten.
Abgesehen von den Performanceproblemen für Telearbeiter stellen sich aber auch Fragen bezüglich der Wichtigkeit von Telearbeit während einer Pandemie. So gaben viele Firmen an, dass für viele Mitarbeitende Telearbeit nicht möglich sei, da sie ihre Arbeit nicht aus der Ferne erfüllen könnten. Den ausführlichen Bericht finden Sie hier .



Quelle: computerworld.com; Patrick Thibodeau; 25.1.2008

< zu den Themen

Live-Kundendaten als Testdaten: Die Daten werden auch ausser Haus gegeben

Mehr als drei Viertel der deutschen Unternehmen (für die Schweiz sehen die Zahlen wohl ähnlich aus) setzen Kundendaten zu Testzwecken in der Softwareentwicklung ein und geben sie in vielen Fällen sogar an externe Dienstleister weiter.
Zu diesem Ergebnis kommt eine aktuelle Studie des Ponemon Institute, die in Zusammenarbeit mit dem IT-Dienstleister Compuware erstellt wurde. Im internationalen Vergleich ist Deutschland der Studie zufolge das Schlusslicht, wenn es um Datenschutz bei Anwendungstests geht.
Bedenklich ist vor allem, dass immerhin 60 Prozent der Unternehmen, die ihre Tests auslagern, vertrauliche Daten an die Outsourcing-Partner weitergeben. Darunter befinden sich Informationen wie Kundennummern, Kreditkartennummern, Angaben zur Sozialversicherung, Zahlungsinformationen sowie Daten von Mitarbeitern und Lieferanten.
Einzige mögliche Lösung dieser Datenschutzkrise sei es, die Kundendaten für Softwaretests entsprechend aufzubereiten und zu anonymisieren. "Mit geeigneten Tools lassen sich die Informationen derart maskieren, dass die Daten verändert werden, dennoch konsistent bleiben und wie die echten Kundeninformationen zu Testzwecken eingesetzt werden können", so eine Sprecherin von Compuware. Damit könnten nicht nur gesetzliche Regeln eingehalten werden, sondern das Unternehmen schütze sich auch gegen einen Imageschaden und Vertrauensverlust der Kunden, falls jemand die Daten missbrauchen sollte.



Quelle: zdnet.de; Britta Wiedmann; 9.1.2008

< zu den Themen

Privatsphäre wird international immer stärker überwacht: Schweiz im Mittelfeld

Laut einem Bericht von Privacy International schreitet die Überwachung der Privatsphäre immer schneller voran. Schuld daran seien vor allem die modernen Video- und Audio-Überwachungen, elektronische Identifikationssysteme sowie die computerisierte Speicherung und Analyse von Personendaten, erklärten die Datenschützer.
Unter den demokratischen Ländern nehmen die USA mit ihren umfangreichen Überwachungen und Auswertungen weltweit den letzten Platz der Privatsphären-Rangliste ein. In Europa bildet Grossbritannien das Schlusslicht. Am besten aller EU-Staaten schneiden Frankreich, Litauen, Bulgarien und Dänemark ab. Deutschland verschlechterte sich zwar gegenüber dem Vorjahr, liegt aber immer noch im oberen Drittel.
"Die Gründe für eine Verschärfung der Überwachung und für die vielen Eingriffe in die Privatsphäre sind in fast alle Ländern zunehmende Ängste vor illegalen Einwanderern und eine strengere Strafverfolgung", heisst es in dem Bericht. Gepaart mit den modernen Möglichkeiten der Informationsverarbeitung, Sensorik und Telekommunikation habe dies zur Entwicklung von Überwachungsgesellschaften geführt, die eine zunehmende Gefahr für die Privatsphäre darstellten, so die Autoren der Studie.
Den gesamten Bericht finden Sie hier.



Quelle: zdnet.de; Elinor Mills, Harald Weiss; 3.1.2008

< zu den Themen

Euro-Sox muss bald implementiert werden: 29. Juni 2008 ist das Stichdatum

Als 2002 in den USA der Sarbanes-Oxley Act (SOX) verabschiedet wurde, wollten viele der dort ansässigen Unternehmen die Richtlinien zunächst nur schnell umsetzen. Inzwischen versuchen immer mehr Firmen aber gleichzeitig einen strategischen Vorteil aus den gesetzlichen Regelungen zu ziehen. Europäischen, nicht in Amerika gelisteten, kapitalmarktorientierten Konzernen steht diese Entwicklung noch bevor: Auf sie kommen im Rahmen der 8. EU-Richtlinie ähnliche Herausforderungen zu.
Bis 29. Juni 2008 ist "Euro-SOX" von den Mitgliedsstaaten in das jeweilige Landesrecht umzusetzen. Bereits heute besteht für europäische Unternehmen akuter Handlungsbedarf: Artikel 41 der Richtlinie beispielsweise gibt kapitalmarktorientierten Unternehmen vor, einen Prüfungsausschuss einzurichten. Dieser soll den Prozess der Rechnungslegung sowie alle Bereiche des internen Kontrollsystems und des Risikomanagements überwachen.
Unternehmen mit Standorten in verschiedenen EU-Ländern stehen vor einer zusätzlichen Herausforderung: Die Gesetzesauslegungen werden absehbar je nach EU-Staat voneinander abweichen, denn die Handlungsspielräume sind enorm. Dies lässt auch der seit November des letzten Jahres vorliegende Referentenentwurf des Bundesministeriums der Justiz zur Umsetzung des geltenden EU-Rechts in Deutschland erahnen.



Quelle: compliancemagazin.de; 14.1.2008

< zu den Themen

Neuartiger Malware-Angriff: Routersicherheit beeinflusst

Symantec hat die ersten Fälle von "Drive-by Pharming" festgestellt. Mit dieser neuartigen Malwareattacke kann allein durch das Ansehen einer Webseite mit eingebettetem Schadcode ein Home-Router so manipuliert werden, dass er bei der Eingabe einer bestimmten URL den User auf eine gefälschte Seite umleitet. Wie ein Internetsicherheitsexperte von Symantec weiter erklärt, werden dort dann die persönlichen Daten gestohlen, ohne dass der Nutzer etwas bemerkt. Aber das sei nicht die einzige Bedrohung für den Router: "Noch gefährlicher ist es, wenn der Router von aussen durch Adobe Flash manipuliert wird. Hierbei reicht es aus, eine Webseite mit einem bösartigen Flash-Objekt zu betrachten. Durch den Besuch dieser Webseite werden dann die Sicherheitseinstellungen des Routers verändert. Da dieser Angriff den Universal Plug and Play-Standard nutzt, sind traditionelle Passwort- und WPA-Verschlüsselungen dagegen machtlos. Allerdings konnten wir dieses Szenario zum Glück noch nicht beobachten", führte der Experte weiter aus.

1.) Benutzen Sie nicht das voreingestellte Passwort eines Routers. Wählen Sie ruhig ein kompliziertes Passwort - das erschwert mögliche Versuche, an das Passwort zu gelangen. Falls Sie befürchten, Ihr Passwort zu vergessen, können Sie den Router immer noch auf die Werkseinstellungen zurücksetzen.

2.) Führen Sie vor dem Ändern des Passworts ein Reset durch. Dadurch können Sie auch dann sauber starten, wenn Ihr Router bereits unbemerkt manipuliert wurde.

3.) Seien Sie vorsichtig - benutzen Sie vertrauenswürdige Webseiten und seien Sie kritisch mit Links, die Ihnen jemand schickt, auch bei Personen, die Sie kennen. Bei E-Mail-Anhängen sollten Sie ohnehin besondere Vorsicht walten lassen.

4.) Nutzen Sie eine Sicherheitssoftware, die Virenschutz, Schutz vor Spyware, Firewall und Phishingschutz beinhaltet. Drive-by Pharming-Angriffe zielen möglicherweise auf Ihre Online-Transaktionen ab - nutzen Sie Technologien wie beispielsweise den Browserschutz von Norton Internet Security 2008, die Sie davor schützen können.

5.) Falls Sie Universal Plug and Play (UPnP) nicht benötigen deaktivieren Sie diese Funktion in Ihrem Home-Router.



Quelle: symantec.ch; infoweek.ch; 28.1.2008

< zu den Themen

Auch Alltagsgegenstände können ein Sicherheitsproblem sein: Elektronikartikel für Konsumenten neu in den Top 10

Als Beispiele hat das Sans Institute USB-Speichersticks, GPS-Systeme oder digitale Bilderrahmen genannt, die während der Fertigung mit Schädlingen infiziert werden und somit bereits verseucht zum Konsumenten gelangen. "Es ist beunruhigend genug, dass wir uns um die Sicherheit von Dingen wie Mobiltelefonen, Dateianhängen, Downloads, Suchmaschinen, Wifi-Hotspots oder Webseiten sorgen müssen. Aber jetzt müssen wir auch noch ein Auge auf den Kühlschrank mit Internetanschluss haben oder den digitalen Bilderrahmen, die Sonnenbrille mit MP3-Player oder gar den Toaster", warnte Matthew Rosenquist, Information Security Strategist bei Intel.
Immer mehr Berichte der letzten Zeit hätten gezeigt, dass immer mehr netzwerkfähige Elektronikgeräte für Konsumenten die Ursache für die Verbreitung von Schädlingen seien. "Argwohn wird zur Gewohnheit, wann immer wir etwas mit unserem vertrauensvollen Computer verbinden", folgerte Rosenquist. Im gleichen Masse, in dem immer leistungsfähigere Computer in immer mehr Geräte des täglichen Lebens integriert werden steigt nach Ansicht von Rosenquist auch das Bedrohungspotential durch Malware. "Wir zerren immer mehr Dinge in die digitale Welt und setzen sie dabei neuen Risiken aus", kritisierte Rosenquist den Trend zur Computerisierung von Alltagsgegenständen. Auch wenn solche Bedrohungen noch nicht weit verbreitet sind, nehmen die Meldungen doch steig zu. Im November musste Seagate einräumen, dass externe Maxtor-Festplatten ab Werk mit einem Schädling ausgeliefert wurden. Zuvor waren auch Laptops von Medion oder Video-iPods von Apple mit vorinstallierter Malware verkauft worden.

Und hier die SANS-Liste der Top Ten-Sicherheitsbedrohungen:

1. Immer ausgeklügeltere Angriffe auf Webseiten unter Ausnutzung von Browser-Schwachstellen – Besonders auf „Trusted Web Sites"

2. Immer besser entwickelte und effektivere Bot-Netze

3. Cyberspionage durch gut finanzierte Organisationen mit dem Zweck, grossen Datenmengen an sich zu bringen, insbesondere mittels gezielter Phishing-Angriffe

4. Angriffe auf Handys, Smartphones und iPhones sowie VoIP

5. Insider-Angriffe

6. Fortgeschrittener ID-Diebstahl durch langlebige Bots

7. Zunehmend bösartigere Spyware

8. Immer raffinierteres Social Engineering

9. Angriffe auf Lieferketten mit Infizierung der Güter (USB Sticks, GPS-Systeme, digitale Fotorahmen etc.)

10. Ausnützung von Web Application Security



Quelle: sans.org, silicon.de; Stefan Beiersmann; 17.1.2008

< zu den Themen

USA wollen mehr Internetkontrolle: Der US-Geheimdienstkoordinator arbeitet gegenwärtig einen Bericht aus

US-Geheimdienstkoordinator Mike McConnell arbeitet an einem Plan, der den Diensten eine Kontrolle sämtlicher E-Mails, Dateiübertragungen oder Suchanfragen ermöglichen soll. Dies berichtet das Magazin The New Yorker in seiner aktuellen Printausgabe. Demnach haben die Nachrichtendienste etwa die Datenbanken von Google im Visier, in denen der Suchmaschinenprimus Nutzungsdaten 18 Monate lang vorhält.
Die Sicherheitsbehörden seien aber auch daran interessiert, die über andere Internetdienste ausgetauschten Inhalte mitzulesen. Grundzüge für eine entsprechende Richtlinie zur Gewährleistung der "Sicherheit" im digitalen Raum würden gerade aufgestellt.
Laut dem alternativen Mediendienst The Raw Story, der die Grundzüge des Magazinberichts online wiedergibt, ist McConnell besonders besorgt über Cyberangriffe auf kritische Netzinfrastrukturen der USA. Neben dem geplanten Ausbau der Überwachung will der Geheimdienstkoordinator daher die Zahl der Zugangspunkte für Regierungscomputer zum Internet von 2000 auf 50 reduzieren. Insgesamt rechnet McConnell offenbar mit deutlichem Widerstand gegen das Vorhaben. Die aktuelle Debatte über die Zukunft der Befugnisse für US-Sicherheitsbehörden zum Abhören der internationalen Telekommunikation ohne Richterbeschluss im Rahmen der umstrittenen Novelle des Foreign Intelligence Surveillance Act (FISA) soll der frühere Admiral zumindest als gemütlichen Ausflug gegenüber der erwarteten Diskussion über den Cyber-Sicherheitsplan bezeichnet haben. Im Umfeld McConnels herrsche aber die Ansicht vor, dass ein Gewinn an Sicherheit nur durch eine weitere Aufgabe des Schutzes der Privatsphäre zu erzielen sei.



Quelle: heise.de; Stefan Krempel; 15.1.2008

< zu den Themen

Social Networking Sites und ihre Gefahren: Oft unterschätzen die User die Gefahren für ihren Arbeitgeber

Experten raten Unternehmen, ihre Policies zur Internetnutzung auf Social-Networking-Sites zu erweitern. Manche halten unter Umständen sogar Verbote für angemessen. Doch wesentlich zielführender ist es, Mitarbeiter bezüglich der Risiken zu schulen – dann geben sie auch in der Freizeit keine wichtigen Infos preis.
IT-Entscheider stehen vor dem Balanceakt, einerseits Gefahren abzuwenden und andererseits Mitarbeiter durch Zugriffsverbote nicht zu verstimmen“, so Toralv Dirro, Security Strategist bei McAfee. „Zeitgemässe IT-Sicherheitsrichtlinien müssen daher beiden Interessenslagen Rechnung tragen“.
Diese Zwickmühle belegt eine Mc-Afee-Umfrage unter rund 1000 europäischen IT-Verantwortlichen: Obwohl fast die Hälfte soziale Netzwerke als gefährlich einstuft und nur ein Drittel die Nutzung explizit erlaubt, unterbindet nur ein Fünftel der europäischen Unternehmen konkret den Zugriff seiner Mitarbeiter auf Myspace oder Facebook. Zwei Drittel erlauben Facebook oder Myspace nicht.
Ähnlich eine Clearswift-Studie: Danach verbieten zwei Drittel der 300 befragten britischen Firmen ihren Mitarbeitern den Zugang zu sozialen Netzwerken. Meist wird die IT-Abteilung mit der Definition und Kontrolle dessen, was im Internet erlaubt ist und was nicht, allein gelassen.
Dass es dabei aber nicht nur um Freizeitvergnügen während der Arbeitszeit geht, zeigen häufig frequentierte Business- und Karriereplattformen wie Xing oder das US-Pendant Linkedin. Und wer sich dort möglichst attraktiv präsentieren möchte, könnte in Versuchung sein, etwas mehr als nötig von sich oder dem Unternehmen preis zu geben. Dabei ist es schon gefährlich, Basisinformationen wie Namen oder Arbeitgeber preis zu geben, wenn man an die Gefahren durch gezielte Social-Engineering- oder Phishing-Attacken auf Mitarbeitende denkt.



Quelle: computerzeitung.de; Lothar Lochmaier; 1.12.2007

< zu den Themen

Stiefkind Datenklassifizierung: Alle Geschäftsbereiche sind gefordert

Spätestens seit den international bekannt gewordenen gravierenden Datenverlusten in Grossbritannien ist die Notwendigkeit einer höheren Datensicherheit nicht mehr von der Hand zu weisen. Eine Studie des Information Security Forum (ISF) weist in diesem Zusammenhang darauf hin, dass eine umfassende Informationssicherheit auf sinnvollen Verfahrensregeln für sensible und vertrauliche Daten basiert. Laut ISF haben sich die bisherigen Methoden für die Klassifizierung von Daten als zu komplex und wenig sinnvoll erwiesen. Allzu oft würden Unternehmen die richtige Zuordnung von Informationen schlichtweg ignorieren.
Die Klassifizierung von Informationen verlangt einen systematischen und fortlaufenden Prozess. Dieser beinhalte zum einen die Einführung von allgemein gültigen Standards für die Vertraulichkeit der Daten. Im selben Masse aber auch die Entwicklung und den Einsatz von wirksamen Technologien und sinnvollen Methoden, um die Sicherheit der Daten gewährleisten zu können.
Der Vorteil erfolgreicher Informationsklassifizierung ist laut ISF beachtlich: Sie bewahrt Unternehmen nicht nur vor Datenverlusten, sondern verhindert gleichzeitig sowohl zu lasche als auch zu hohe Kontrollmechanismen. Dadurch reduzieren sich betriebliche Mehrausgaben und ein unnötiger Verlust von finanziellen und personellen Ressourcen. Die korrekte Einteilung von Daten kann auch hilfreich dabei sein, effektivere Regeln für die Zugangsberechtigungen aufzustellen. Darüber hinaus wird dadurch die Einhaltung der rechtlichen Vorgaben für den Datenschutz und die Privatsphäre dokumentiert.
Die ISF-Studie betont ausdrücklich, dass die zu ergreifenden Massnahmen nur dann erfolgreich umgesetzt werden können, wenn sich nahezu alle Bereiche eines Unternehmens – vom Personalwesen und der Rechtsabteilung über die IT bis hin zur Vorstandsebene – aktiv an dem Prozess beteiligen.
Die gesamte Studie finden Sie hier



Quelle: www.news4press.com, securityforum.org; 22.1.2008

< zu den Themen

 

Events
Special Events 2008: Holen Sie sich jetzt Ihr Fachwissen vom Spezialisten ab!

special events
Swiss Infosec AG präsentiert Ihnen folgende Special Events in den nächsten Monaten:

Intensivseminar mit Detlev Sachse, SAP-Berater

Sicherheit und Auditing eines SAP-Systems | Für Auditoren, Sicherheitsbeauftragte und Interessierte
26. - 27. Februar 2008*
23. - 24. September 2008

* Durchführung garantiert!

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Beat Lehmann, Jurist

Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden?
28. - 29. April 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Dipl.-Kfm. Frank Roselieb, Vorstandsmitglied der Deutschen Gesellschaft für Krisenmanager e.V.

Krisen erkennen, bewältigen und erfolgreich meistern | Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können. | Krisensimulation, Fallbeispiele und Empfehlungen
6. - 7. Mai 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Ruedi Suter, ehemaliger Leiter Kommunikation AlpTransit Gotthard AG

Keine Angst vor Medien | Selbstsicher und gut vorbereitet ein Interview geben – Medientraining für Führungskräfte und Informationsverantwortliche!
3. Juni 2008

Weitere Informationen und Anmeldemöglichkeit


Intensivseminar mit Beat Lehmann, Jurist

Sicherheitsüberprüfungen von IT-Systemen, Ethical Hacking und Social Engineering | Rechtliche Grundlagen und Hürden
9. - 10. Juni 2008

Weitere Informationen und Anmeldemöglichkeit





Quelle: Swiss Infosec AG

< zu den Themen

Vorankündigung: Swiss Security Day 2008: 6. März 2008

Der sichere Umgang mit vertraulichen Daten will verstanden und gelernt sein. Informationssicherheit ist ein immer wichtigeres und ernstzunehmendes Thema. Der Swiss Security Day 2008 vom 6. März 2008 will das komplexe Thema «Informationssicherheit» auf verständliche Art und Weise der ganzen Bevölkerung vermitteln. Der Swiss Security Day 2008 ist ein schweizweit durchgeführter Anlass, welcher schon zum dritten Mal von der Privatwirtschaft und vom Bund getragen wird.

Weitere Informationen finden Sie unter swisssecurityday.ch.



Quelle: Swiss Infosec AG

< zu den Themen

Europäische Identity Management-Konferenz: 3. und 4. März 2008 in Basel

Die europäische Fachkonferenz Net-ID 2008 – Identity, Trust, Privacy and Security, die am 3. und 4. März 2008 bereits zum vierten Mal stattfindet, hat das Ziel, einen Überblick über die aktuell diskutierten Konzepte, Methoden und Erfahrungen im Bereich Identitätsmanagement zu schaffen. In 2008 wird die Veranstaltung im Rahmen des schweizerischen Jahres der Informatik “informatica'08“ im Ramada Plaza Hotel in Basel stattfinden.

Nach dem grossen Erfolg der Vorjahre haben sich auch für die Net-ID 2008 wieder hochrangige internationale Experten aus Wirtschaft, Forschung und Verwaltung angekündigt, um die Thematik rund um das Identity Management zu diskutieren. Zu den Referenten gehören Stefan Arn, Präsident ICTswitzerland, Prof. Dr. Reinhard Posch, CIO der Bundesegierung Österreichs, Dr. Hellmuth Broda, Spokesperson der Liberty Alliance, Prof. Dr. Claudia Eckert vom Fraunhofer SIT, Martin Paljak vom Ideelabor Estland, der über die dortigen eID-Projekte berichtet, und viele andere.

Der Veranstalter COMPUTAS ist bekannt dafür Teilnehmern und Referenten ein angenehmes Ambiente zu schaffen, das den Networking-Effekt während der Pausen optimiert. Der Crémant-Empfang und das festliche Dinner am Abend des ersten Konferenztages sind im Preis inbegriffen und bei den Teilnehmern bereits längst beliebte Bestandteile der COMPUTAS-Konferenzen. Mit diesen und vielen weiteren Details gewährleistet der Veranstalter die persönliche Nähe zwischen Teilnehmern und den Kompetenzträgern der Identity-Szene.

Teilnehmer aus dem öffentlichen Dienst erhalten ganz besonders günstige Konditionen und auch Neukunden, d.h. Teilnehmer, die noch nie bei einer COMPUTAS-Konferenz waren, will der Veranstalter mit einem Sonderpreis überzeugen.

Leser dieses Newsletters erhalten einen Rabatt von 300 Euro auf die reguläre Teilnahmegebühr, wenn Sie bei der Anmeldung den Code: SWISEC1 angeben.

Die genaue Agenda und weitere Informationen finden Sie hier: www.net-id2008.com



Quelle: Swiss Infosec AG

< zu den Themen

 

Ausbildung

Agenda 2008: Nächste Lehrgänge und Themenkurse
 
IT-SIBE

Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte

Aus der Praxis für die Praxis!
Wir führen Sie umfassend ein in die Grundlagen der Informations- und IT-Sicherheit. Diesen Lehrgang führen wir seit über 10 Jahren erfolgreich durch – profitieren auch Sie vom geballten Wissen aus mehr als 19 Jahren Erfahrung.
10. – 14. März 2008

 
IT-SIBE VERTIEFUNG

Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte

Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.

30. Juni – 4. Juli 2008

 
INTEGRALE SICHERHEIT

Intensivlehrgang für Beauftragte der Integralen Sicherheit

Sicherheit ganzheitlich betrachtet!
Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder Repetition für einen Sicherheitsbeauftragten.

26. – 30. Mai 2008

 
TECHNISCHE SICHERHEIT

Intensivlehrgang

Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Netzwerkdienste aus dem Blickwinkel der Sicherheit funktionieren und welche Risiken sie bergen. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.

13. – 16. Mai 2008

 
VORBEREITUNG CISSP

Intensivlehrgang

CISSP-Zertifizierung erfolgreich erlangen dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.

27. März – 2. April 2008

 
EINFÜHRUNG ISO/IEC 27001/27002

Einführung und Überblick über die Normen ISO/IEC 27001 und ISO/IEC 27002
Wir geben Ihnen einen fundierten, aktuellen und praxisorientierten Überblick über die Bedeutung und den Inhalt dieser beiden Standards. Wir zeigen Ihnen die Schritte zu deren erfolgreicher Umsetzung auf. Lernen Sie die Voraussetzungen eines funktionierenden ISMS (Information Security Management System) kennen.

17. März 2008

 
VERTIEFUNG ISO/IEC 27001/27002

Anwendung und Nutzung der Normen im Hinblick auf eine Zertifizierung
Dieser Kurs vermittelt Ihnen praxisorientiert das Grundwissen zur erfolgreichen Zertifizierung Ihres Unternehmens gemäss ISO 27001. Die einzelnen Teilschritte der Einführung eines gelebten und normkonformen Information Security Management Systemes werden u.a. im Rahmen von Gruppenarbeiten gemeinsam erarbeitet und vertieft. Eine fundierte Einführung für den Praktiker!

18. – 19. März 2008

 
ISO/IEC 27001 LEAD AUDITOR-LEHRGANG
MIT OFFIZIELLER ZERTIFIZIERUNG

Intensivlehrgang

Wissen und Know-how zu ISO/IEC 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 27002 ein. Am Ende des Kurses erfolgt die Zertifizierung als ISO/IEC 27001 Lead Auditor.

Dies ist ein IRCA-akkreditierter Lehrgang.

16. – 20. Juni 2008

 
UPGRADE
BS 7799 LEAD AUDITOR ZU ISO/IEC 27001 LEAD AUDITOR
Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel neu in «ISO/IEC 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO/IEC 27001.

21. Juni 2008

 
MANAGEMENT-EINFÜHRUNG INFORMATIONS- UND IT-SICHERHEIT

Themenkurs

Verantwortung im Sicherheitsbereich unternehmensweit wahrnehmen!
Mitglieder der Geschäftsleitung oder Verantwortliche für die Unternehmenssicherheit lernen die Bedeutung, den Aufbau, den Umfang und die verschiedenen Integrationsmöglichkeiten der Informations- und Informatiksicherheit für ihr Unternehmen kennen. Anhand von zahlreichen Praxisbeispielen erhalten die Teilnehmenden in kurzer Zeit einen umfassenden Einblick in diesen unternehmenswichtigen Bereich.

23. Juni 2008

 
ELEKTRONISCHE ARCHIVIERUNG

Intensivkurs

Elektronische Archivierung, eine wichtige und komplexe Materie
Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen.
19. – 20. Mai 2008

 
ITIL SECURITY MANAGEMENT

Intensivkurs

Security Management in einer ITIL-orientierten IT-Organisation
Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL- Disziplinen.

14. – 15. April 2008

 
DATENSCHUTZGESETZ UND DESSEN UMSETZUNG

Intensivkurs

Datenschutz und rechtliche Aspekte
Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmern, Fragen aus dem Alltag zu diskutieren und zu beantworten.

21. April 2008

 
KRIMINALITÄT/PROTOKOLLIERUNG/ERMITTLUNG/MONITORING
AUF DEM INTERNET

Themenkurs

Wann sprechen wir von Internet-Kriminalität?
Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten.

10. – 11. März 2008
 
SECURITY WINDOWS VISTA

Intensivkurs

Lücken oder Tücken?
Lernen Sie die Sicherheitsaspekte des neusten Windows-Betriebssystems kennen und damit umzugehen. In Form von ausführlich dokumentierten und erklärten Demo-Sessions lernen die Teilnehmenden Vista und die Konfigurationsmöglichkeiten der neuen Funktionen kennen. Erfahren Sie unter anderem, wie „Windows Vista“ auf Angriffe wie z.B. Viren und Spyware reagiert und welche neuen Schutzmechanismen generell zur Verfügung stehen.

3. – 4. März 2008




Quelle: Swiss Infosec AG

< zu den Themen

Jetzt Mitarbeitende nachhaltig sensibilisieren, mit Blended Learning!: Workshops und eLearning


«Unsere Geschäftsleitung möchte alle unsere Mitarbeitenden möglichst umfassend in Fragen der Informations- und IT-Sicherheit sensibilisieren und ausbilden. Was ist dabei zu beachten?»

Der Schlüssel für eine erfolgreiche Sensibilisierung in Ihrem Unternehmen liegt in der Nachhaltigkeit mittels vermischtem Lernen. Bei diesem Ansatz von Blended Learning werden die Vorteile verschiedenster Methoden miteinander verbunden. Nebst den bisherigen mehr oder weniger bewährten und meist isoliert eingesetzten Formen wie Informationsbroschüren, Weisungen, Plakate, Intranet usw. werden die sich ergänzenden und aufeinander abgestimmten Lehrformen «Workshop» und «eLearning» eingesetzt.

Ziel ist es, dass Lerninhalte dauerhafter präsent bleiben und selbstverständlich angewendet werden, so zu einem Bestandteil der Sicherheitskultur werden und somit nicht mehr wiederkehrend geschult werden müssen.

Mit der Kombination der beiden Lehrformen «Workshop» und «eLearning» kann eine Grosszahl von Mitarbeitenden mit einem relativ geringen Aufwand sinnvoll und nachhaltig in Ihrem Unternehmen vor Ort sensibilisiert werden. Jede Lehrform für sich alleine weist einen ungleich geringeren Lernerfolg auf. In 1 bis 2 Stunden dauernden Workshops werden Szenen dargestellt, welche die wesentlichen Sicherheitsanforderungen Ihres Unternehmens an Ihre Mitarbeitenden beinhalten. Die Form des «Edutainments» bewährt sich dabei besonders: was mit Freude, unterhaltsam und anschaulich gelernt werden kann, hinterlässt einen grösseren Eindruck und motiviert Ihre Mitarbeitenden, die Inhalte näher kennen und verstehen zu lernen! Der praxisnahe Workshop kann beispielsweise als «Lunch & Learn» über den Mittag in einer relativ lockeren Atmosphäre stattfinden. Die Teilnehmerzahl kann 10 bis 80 Personen betragen. Die relativ grosse Gruppe wird von einem Team, bestehend aus einem Moderator, einem Techniker und einem Muster-Mitarbeiter, durch den Workshop geführt. Dabei kann der Technik-Crack beispielsweise verschiedene Situationen auf dem Bildschirm des gespielten Mitarbeiters provozieren – der Bildschirm wird für alle Teilnehmenden sichtbar projiziert. Der Mustermitarbeiter reagiert mehr oder weniger richtig auf die Situation, der Moderator kommentiert entsprechend das Verhalten. Einfache Merksätze, welche den Teilnehmenden abgegeben werden können, runden die einzelnen Sicherheitsthemen ab.

Mehr über Blended Learning



Quelle: Swiss Infosec AG

< zu den Themen

 

Beratung

Swiss Infosec AG sucht Sie! Sales Manager (m/w):



Wir sind ein renommiertes, in der Schweiz führendes, unabhängiges Beratungs- und Ausbildungsunternehmen im Bereich Informations- und IT-Sicherheit. Für die Optimierung unseres Wachstums suchen wir eine motivierte Persönlichkeit in der Funktion als

Sales Manager (m/w)


Ihr Aufgabengebiet:
• Verkauf von Inseraten und Sponsoring für Newsletter, Webseite und Broschüren
• Verkauf unserer Beratungs- und Ausbildungsdienstleistungen
• Betreuung und Ausbau bestehender Kunden
• Akquisition von neuen Kunden
• Koordination und Umsetzung von Nachfassaktionen
• Ausbau der Marktpräsenz


Idealerweise verfügen Sie über folgendes Profil:
• Abgeschlossene Berufslehre und kontinuierliche Weiterbildung
• Deutsche Muttersprache, gute Englischkenntnisse
• Gute Anwenderkenntnisse (MS Office-Programme)
• Kenntnisse im Bereich der Informations- und IT-Sicherheit
• Verhandlungsstärke, Abschlusssicherheit und ausgeprägte kommunikative Fähigkeiten
• Selbstständige, proaktive und dynamische Arbeitsweise
• Bereitschaft für hohen Provisionsanteil


Haben wir Ihr Interesse geweckt?
Wir bieten Ihnen eine verantwortungsvolle Tätigkeit mit interessanten Entwicklungsmöglichkeiten. Für eine erste Kontaktnahme wenden Sie sich bitte an Herrn Cornel Furrer, Chief Operation Officer (Mobile +41 (0)79 209 17 36) oder an Herrn Miro Schenker, Head of Management Services (+41 (0)79 634 77 49).

Oder senden Sie uns Ihre Bewerbungsunterlagen wenn möglich in elektronischer Form an miro.schenker@infosec.ch oder an Swiss Infosec AG, Centralstrasse 8A, CH-6210 Sursee, Tel. +41 (0)41 984 12 12, www.infosec.ch



Quelle: Swiss Infosec AG

< zu den Themen


Die ISMS-Methodik: Für ein Information Security Management System nach ISO/IEC 27001

Spürbar, nachhaltig, effizient und kostengünstig!

Mit der ISMS-Methodik erreichen Sie in der Informationssicherheit schnell und einfach überzeugende Resultate. Unter Controls verstehen wir generell gültige, einfach formulierte Grundschutz-Regeln und Massnahmen.

Durch Verabschiedung eines Regelwerkes (Sammlung sämtlicher relevanter Regeln) und dessen Umsetzung kann die Informationssicherheit eines Unternehmens spürbar, nachhaltig, effizient und kostengünstig verbessert werden.

Die ISMS-Methodik fördert die Transparenz im Bereich der Informationssicherheit, da einheitliche Dokumentenstrukturen und Regelungen eingeführt werden.

Mittels Control-Massnahmen können ungefähr 80-90% der Sicherheitsprobleme gelöst bzw. entschärft werden. Die für die restlichen 10-20% immer noch notwendigen, jedoch in ihrem Umfang beschränkten Risikoanalysen werden so übersichtlicher und besser kontrollierbar sein. Dank der ISMS-Methodik werden sie nicht mehr annähernd so viel kosten.

Erfahren Sie hierzu mehr, wie Sie die ISMS-Methodik effizient und kostengünstig umsetzen und so die Informationssicherheit Ihres Unternehmens verbessern. www.ismstoolbox.com



Quelle: Swiss Infosec AG

< zu den Themen

Operational Risk Management – Informationssicherheit – Ereignis- und Krisenvorsorge: Entwicklung gemeinsamer Lösungen – Weshalb das Rad neu erfinden?

Swiss Infosec AG und Comit AG entwickeln gemeinsam Lösungen im Bereich Risiko- und Informationssicherheitsmanagement, die Doppelspurigkeiten vermeiden und Synergien zwischen Operational Risk Management, Informationssicherheit sowie regulatorischen Anforderungen nutzen. Kritische Erfolgsfaktoren sind dabei die genaue Kenntnis möglicher und passender Lösungsansätze und eine enge Abstimmung mit den Bereichs- und Linienverantwortlichen bei den Kunden.

Die Partnerfirmen verfügen über breite Projekterfahrung bei der erfolgreichen Implementierung von Operational Risk Management und Information Security Frameworks. Zu unseren Kunden gehören nationale und internationale Firmen aus stark (Banken, Versicherungen) oder weniger stark (Industrie, Dienstleistung, Handel) regulierten Branchen.

Hier finden Sie weitere interessante Informationen.



Quelle: Swiss Infosec AG

< zu den Themen

 

Publikationen
Neuerscheinungen: Netzwerksicherheit: Hacking für Administratoren. Angriffe erkennen und Schutzmassnahmen verstärken: Carlo Westbrook



  Carlo Westbrook

Holistische IT-Security: Netzwerksicherheit: Hacking für Administratoren. Angriffe erkennen und Schutzmassnahmen verstärken

ISBN: 3833496517

bestellen




Quelle: www.amazon.de

< zu den Themen

Neuerscheinungen: Microsoft Vista for IT Security Professionals: Tony Piltzecker



  Tony Piltzecker

Microsoft Vista for IT Security Professionals

ISBN: 159749139X

bestellen




Quelle: www.amazon.de

< zu den Themen

Neuerscheinungen: Technik der IP-Netze. TCP/IP incl. IPv6. Funktionsweise, Protokolle und Dienste: Anatol Badach, Erwin Hoffmann



  Anatol Badach, Erwin Hoffmann

Technik der IP-Netze. TCP/IP incl. IPv6. Funktionsweise, Protokolle und Dienste

ISBN: 3446219358

bestellen




Quelle: www.amazon.de

< zu den Themen

 



Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.

Swiss Infosec AG unterstützt Sie bei
  • Erarbeitung und Umsetzung umfassender Security Frameworks
  • Vorbereitung und Zertifizierung nach ISO/IEC 27001
  • Aufbau eines Information Security Management System (ISMS)
  • Ereignis- und Krisenvorsorge inkl. Business Continuity Planning (BCP)
  • Durchführung von Social Engineering Audits
  • Durchführung von Audits in organisatorischen, rechtlichen und technischen Bereichen
  • Konzeption und Umsetzung von Awarenesskampagnen
  • Unterstützung und Überbrückung von Ressourcenengpässen
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.

Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Internet Infosec News.
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier: News in Englisch
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format

Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch