 |
||||||||||||||||||||||||||||||||||||||||||
Nr. 4 / April 2008 |
||||||||||||||||||||||||||||||||||||||||||
ISSN 1424-4217 |
||||||||||||||||||||||||||||||||||||||||||
|
 BSI-Leitfaden zur Festplattenverschlüsselung mit "Windows-BitLocker": Kein Energiesparmodus wegen möglicher physischer Angriffe Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben gemeinsam die Sicherheit der Windows-Verschlüsselung "BitLocker Drive Encryption" analysiert. Diese Software gehört zu den ersten massenhaft ausgelieferten Produkten, die Trusted-Computing-Technik einsetzen. Die Ergebnisse der Analyse haben die Sicherheitsexperten mit Microsoft diskutiert und in einem Leitfaden zusammengefasst, der zahlreiche Empfehlungen zur richtigen Handhabung der "BitLocker-Software" auf Laptops und Desktops gibt. Einige Versionen des Windows-Betriebssystems Vista enthalten BitLocker Drive Encryption und nutzen Trusted Computing zur Festplattenverschlüsselung. "BitLocker spielt für die weitere Windows-Entwicklung und damit die massenhafte Anwendung der Trusted Computing-Technologie eine wichtige Rolle", sagt BSI-Projektleiter Thomas Caspers. Die Sicherheitsanalyse untersuchte nicht nur die theoretische Sicherheit der Software, Fraunhofer SIT führte auch praktische Tests und Angriffe durch. Ein Ergebnis der Tests: Laptop-Nutzer sollten nicht den Energiesparmodus verwenden, weil sie dadurch physische Angriffe ermöglichen. Auch Forscher der Princeton University haben jüngst auf diese Gefahr hingewiesen. Fazit der Experten: BitLocker schützt vertrauliche Daten gut vor physischen Angriffen sofern die Software richtig eingesetzt wird. Weil dies nicht ganz leicht ist, gibt der Leitfaden zahlreiche praktische Hilfestellungen zur sicheren Nutzung. Dabei geht er nicht nur auf unterschiedliche Systemeinstellungen ein, sondern beschreibt beispielsweise auch, wie Schlüssel sicher hinterlegt und wiederhergestellt werden können - etwa wenn der Benutzer seine PIN vergessen hat. Die Autoren erläutern auch die Verwendung mit anderen Verschlüsselungswerkzeugen wie der kostenlosen Software TrueCrypt oder dem Windows Encrypting File System (EFS). Den Leitfaden finden Sie hier. Quelle: www.itseccity.de; Fraunhofer SIT, BSI; 25.3.2008 < zu den Themen Airlines und Flughäfen müssen sich auch um die IT-Sicherheit kümmern: Über vier Fünftel der Umfrageteilnehmer sind 2007 durch IT-Attacken bedroht worden Fluglinien sorgen sich zunehmend um die Sicherheit ihrer IT-Systeme. Das ist das Ergebnis der zweiten jährlichen Airline-IT-Security-Umfrage von SITA, einem der weltweit grössten IT-Ausstatter von Airlines und Flughäfen. Im Rahmen der Studie wurden 152 Luftfahrtunternehmen befragt. Rund 83 Prozent von ihnen erklärten, im Jahr 2007 durch IT-Attacken betroffen gewesen zu sein. Im Jahr 2006 belief sich diese Zahl noch auf 80 Prozent. Knapp 63 Prozent der befragten Airlines reagierten auf neue Bedrohungen mit der Einführung spezieller Teams. Im Vorjahr lag die Zahl dieser "Sondereinheiten" bei 55 Prozent. Auch externe Dienstleister kamen verstärkt zum Einsatz: ihr Anteil stieg von 22 Prozent auf 36 Prozent im vergangenen Jahr. Als Gründe gaben die Airlines vor allem die wachsende Zahl von Passagieren an, die Migration auf IP-basierte Netzwerke sowie den verstärkten Einsatz offener Systeme für Self-Service-Angebote. Rund 74 Prozent der Umfrageteilnehmer glauben, dass die Migration zu IP-basierten Netzwerken zusätzliche Angriffsfläche für Hacker biete und dass man sich dieser Problematik stellen müsse. Quelle: Zdnet.de; Britta Widmann; 18.3.2008 < zu den Themen Amerikanische Terrorismuslisten immer noch nicht zuverlässig: Über 700‘000 Einträge Dass Reisende auf amerikanischen Flughäfen Ärger mit dem Sicherheitspersonal bekommen, weil sich ihre Namen auf einer Liste mit verdächtigen Personen befinden, kann auch weiterhin nicht ausgeschlossen werden. Zwar ist die Kritik am Zustandekommen der amtlichen US-Watchlist für bekannte bzw. verdächtigte Terroristen nicht mehr so massiv wie noch vor einem halben Jahr, dennoch findet der aktuelle Bericht des US-amerikanischen Justizministeriums noch deutliche Mängel bei der Führung der Liste. Besonders bemängelt der Generalinspekteur des Justizministeriums, Glenn A. Fine, der die Verfahren untersuchte, nach denen im Zeitraum zwischen Juni und Oktober vergangenen Jahres Personen in die Liste aufgenommen wurden, "inkonsistente Methoden" der verschiedenen Behörden. Laut dem Bericht des Justizministeriums gab es Fälle, in denen Agenten Namen von Personen, gegen die nicht wegen Terrorismus-Verdacht ermittelt wurde, direkt an das National Counterterrorism Center weitergaben. Durch diese Praxis würden Kontrollen des FBI umgangen und mögliche Fehler unbemerkt bleiben. Als weiteren Mangel stellt der Bericht heraus, dass die Vorschläge mancher Agenten für das Eintragen von Personen oft "unvollständige und ungenaue" Informationen enthielten. Zudem wurden die Berichte über Personen, gegen die wegen Terrorismusverdacht ermittelt wurde, nicht immer auf dem neuesten Stand gebracht. Sollte sich jemand aus irrtümlichen Gründen auf der Liste finden, so kann es dauern, bis der Fehler behoben wird: Wichtige Informationen, die an das Hauptquartier des FBI gehen sollten, trafen mit Verspätungen von bis zu vier Monaten ein. Interne Regelungen schreiben einen Zeitraum von zehn Tagen vor. Die Terrorismus-Watch-List, die vom FBI geführt wird, fasst mehrere frühere Regierungslisten zusammen und laut Washington Post eine wachsende Zahl neuer Quellen, wie zum Beispiel die Daten von Flugpassagieren. Im April vergangenen Jahres enthielt die Liste mehr als 720‘000 Einträge – allerdings können zu einer Person mehrere Einträge existieren. Quelle: www.heise.de; 18.3.2008 < zu den Themen Menschen geben Daten schnell preis: Fast drei Viertel der Befragten konnten ihren Mund nicht halten 72 Prozent der anlässlich der letzten CeBIT 350 Befragten teilten ohne Zögern Namen, Geschäfts-E-Mail-Adresse, berufliche Position sowie im Unternehmen eingesetzte Betriebs- und Datenbanksysteme mit. Diese scheinbar trivialen Angaben können in den Händen von Cyber-Kriminellen zur gefährlichen Waffe werden: Denn böswillige Hacker nutzen sie als Angelhaken, um weitere relevante Informationen über eine spezifische Computernetzwerk-Umgebung auszuspähen, sprich Footprinting durchzuführen. Finden sie dann zum Beispiel noch die Nummern offener Ports oder IP-Adressen heraus, leiten sie Schwächen im Firmennetzwerk ab und entwickeln Angriffsstrategien. Nur acht Prozent der Befragten wollten wissen, wer denn die Umfrage durchführe, liessen sich aber schnell mit der schwammigen Auskunft "IT-Schulungsunternehmen" zufrieden stellen und gaben schliesslich bereitwillig Auskunft. 16 Prozent der Befragungsteilnehmer gaben keine Geschäfts-E-Mail-Adresse weiter, sondern beschränkten sich auf das private elektronische Postfach. Weitere zwölf Prozent der Befragten behielten persönliche Angaben wie den eigenen Namen und E-Mail-Adressen für sich. Beide Gruppen waren aber umso freizügiger, als es darum ging, den Arbeitgeber und die dort eingesetzten IT-Systeme preis zu geben. Im Rahmen der Befragung konnte ebenfalls nicht festgestellt werden, dass Mitarbeitende grosser Unternehmen oder öffentlicher Organisationen besser geschult gewesen wären. Da diese „Hilfsbereitschaft“ gravierende Folgen für eine Organisation haben kann, stehen sie klar in der Verantwortung, ihre Mitarbeitenden auf die immer raffinierteren Hacker-Angriffe vorzubereiten, und sie entsprechend zu sensibilisieren." Quelle: www.silicon.de; Dietmar Müller; 7.3.2008 < zu den Themen Vertraulichkeit und Integrität von IT-Systemen ein Grundrecht: Zumindest in Deutschland Informatiker und Datenschützer begrüssen das Bundesverfassungsgerichtsurteil zur Online-Durchsuchung und das darin postulierte auf Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Dessen Auswirkungen könnten allerdings grösser sein als angenommen und weit über das Thema Online-Durchsuchung hinaus weisen: Neben dem Gesetz zur Vorratsdatenspeicherung sind womöglich auch Steuerbehörden oder Firmen betroffen. „Das Bundesverfassungsgerichtsurteil unterstützt unsere seit langem erhobene Forderung nach freier, nicht überwachter Nutzung informationstechnischer Geräte und die Begrenzung von Überwachungsmassnahmen auf durch Tatsachen begründete und überprüfbar dringende Ausnahmefälle“, freut sich Stefan Jähnichen, Präsident der Gesellschaft für Informatik (GI). Ausdrücklich begrüsst die GI das neue Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. „Wir erachten es als eine anspruchsvolle Herausforderung an die Gemeinschaft der Informatikfachleute, die durch das Grundrecht geschützten informationstechnischen Systeme näher zur bestimmen und die technischen Grundlagen fortzuentwickeln, um diesem Grundrecht gegenüber öffentlichen und privaten Gefährdungen zur Durchsetzung zu verhelfen“, so Jähnichen. Quelle: www.computerzeitung.de; Armin Barnitzke; 10.3.2008 < zu den Themen Elektronische Gesundheitskarte in Deutschland: CCC warnt vor Risiken und die Schweiz kann daraus lernen Die zum 1. April 2008 in Deutschland geplante Einführung der elektronischen Gesundheitskarte (eCard) kann nicht wie geplant stattfinden. Das technische Grossabenteuer der Bundesregierung wird ohne funktionierende Sicherheitsinfrastruktur anlaufen. Damit legt das datenschutztechnisch fragwürdige und seit Jahren umstrittene Projekt einen erneuten Fehlstart hin. Der neue Geschäftsführer des Projektes, Peter Bonerz, erklärte auf der CeBIT, dass die geplante technische Infrastruktur noch nicht in Betrieb genommen werden kann, da die offizielle Ausschreibung der Public-Key-Infrastruktur (PKI) des zentralen Backbone-Server-Verbundes bislang immer noch nicht abgeschlossen ist. In den bisherigen Feldtests gab es nach Angaben der gematik, der federführenden Organisation dieses Projektes, Probleme mit dem Zugriff auf die Karten sowie mit dem Einsatz des neuen elektronischen Rezeptes (eRezept), das als die Hauptanwendung der eCard beworben wird. Die ursprünglich vorgesehenen Feldtests mit 100.000 Karten wurden gleich ganz gestoppt. Von der Öffentlichkeit fast unbemerkt wird zeitgleich mit der Gesundheitskarte jedem Bürger eine eindeutige Nummer (Patienten-ID) zugewiesen. Damit kann jeder Mensch und seine Krankengeschichte auch nach Jahren noch zurückverfolgt werden. Die Stammdaten aller Versicherten werden zentral und unverschlüsselt gespeichert sowie zur Authentifizierung genutzt. Zusätzlich wird auch die bislang freiwillige elektronische Patientenakte (ePA) zentral gespeichert, auch wenn die Bundesregierung immer wieder behauptet, dass die Kontrolle über die sensiblen Daten beim Versicherten bleibt. Aus der bisher vorliegenden technischen Dokumentation der Gesundheitskarte geht ausserdem hervor, dass es später sogenannte Mehrwertdienste geben wird. Durch dieses fragwürdige Geschäftsmodell sollen in Zukunft die immensen Kosten der Einführung und des Betriebes der Infrastruktur refinanziert werden. "Es ist nicht akzeptabel, dass Patientendaten, auch wenn diese teilweise freiwillig gespeichert wurden, als Handelsware verwendet werden sollen. Es dürfte für einen Unfallpatienten nicht angenehm sein, in seinem Briefkasten ein Angebot über günstige Hüften zu finden. Die Bundesregierung hat bislang nicht erklärt, wofür genau diese ominösen Mehrwertdienste verwendet werden", kommentierte CCC-Sprecher Dirk Engling. Der CCC warnt vor der Einführung der elektronischen Gesundheitskarte, da notwendige Feldtests zur Evaluation aufgrund der Fehlplanung nicht wie vorgesehen durchgeführt werden, sondern die unkalkulierbaren Risiken und Nebenwirkungen des Experiments ab April von den Patienten und den Angehörigen der Heilberufe getragen werden. Der Schutz der Daten soll ohnehin zum grossen Teil durch die Praxen und Kliniken gewährleistet werden, die jedoch überhaupt keinen zusätzlichen Nutzen durch die eCard haben werden. Im Gegenteil: Die Ärzte und Apotheker sind diejenigen, welche die Kosten des 4,5-Milliarden-Euro-Projektes vorschiessen müssen. Ein medizinischer Nutzen der Gesundheitskarte wird seitens der Bundesregierung ohnehin nicht mehr behauptet. Warum also die Milliarden für das Projekt ausgegeben werden, wird weiterhin nicht begründet. Quelle: www.ccc.de; 19.3.2008 < zu den Themen Mehr Netzwerk- und IT-Sicherheit für Europa: Sechs Ratschläge in einer Studie Dabei kommt es den Studienautoren, dem Analysten Carsten Casper und ENISA (European Network and Information Security Agency)-Geschäftsführer Alain Esterle darauf an, den legalen Hintergrund wichtiger Zertifizierungen zu erklären. Im Vergleich verschiedener Zertifizierungssysteme weisen sie auf Trends hin und geben sechs ausführliche Empfehlungen, um die Netzwerk- und Informationssicherheit in Europa durch einen breiteren Gebrauch von IT-Sicherheitszertifizierungen zu verbessern. Im Allgemeinen sollten Organisationen ihre Informationssicherheits- Managementsysteme überprüfen lassen, lautet die Ansicht der Experten von ENISA. Sie sollten sich für zertifizierte IT-Sicherheitsprodukte entscheiden und ihr IT-Sicherheitspersonal ermutigen, angemessene Personal- und Informationssicherheitszertifizierungen auszuwählen. Für Prozesse sollte die Entwicklung der sich ergänzenden Standards aus der ISO 27000-Familie für öffentliche und private Organisationen gefördert werden, so zum Beispiel eine ISO 27001 'light' für mittelständische Unternehmen. Was IT-Produkte anbelangt sollte die EU für einen sichereren elektronischen Kommunikationsmarkt das zwischenstaatliche Gegenseitigkeitsabkommen über gemeinsame Kriterien für alle Mitgliedsstaaten ausbauen, so die Studienautoren. Das 7. EU-Rahmenprogramm sollte die Forschung fördern, um die Wirtschaftlichkeit der Zertifizierung von Produkten zu analysieren. Was schliesslich die handelnden und nutzenden Personen betrifft, sollte die EU im Bezug auf Personenzertifizierung in der IT-Sicherheit Akkreditierungssysteme verstärken. Casper und Esterle wollen mehr Unterstützung für die Entwicklung von Personenzertifizierungen. Sie sollten demnach angepasst sein an verschiedene Profile vom Endverbraucherlevel (Computer-Führerschein) bis zur qualifizierten Fachkraft (IT-Sicherheitsbeauftragter). Die EU sollte auch verstärkt Brücken zwischen Ausbildung (Schulen und Universitäten) und dem Zertifizierungsprozess (private IT-Trainings- und Zertifizierungsanbieter) schlagen. Die gesamte Studie finden Sie hier. Quelle: www.silicon.de; Kathrin Schmitt; 12.3.2008 < zu den Themen Vorratsdatenspeicherung bringt nicht viel: So ein Gutachten des Max-Planck-Instituts für Strafrecht Der Arbeitskreis Vorratsdatenspeicherung hat Teile des vom deutschen Bundesjustizministerium lange auch vor dem Bundestag geheim gehaltenen Gutachtens des Max-Planck-Instituts für Strafrecht veröffentlicht. Demnach hätte die umstrittene Pflicht zur sechsmonatigen anlassunabhängigen Protokollierung von Telefon- und Internetdaten nur in unter fünf Prozent der analysierten Fälle eventuell die Aufklärungsquote gesteigert. Laut der repräsentativen Aktenanalyse, die sich auf die Jahre 2003 und 2004 bezieht, konnten allein bei vier Prozent der Zielanschlüsse die Verbindungsdaten nicht erlangt werden, weil sie nicht oder nicht mehr vollständig gespeichert waren. Mit dieser Zahl ist aber noch wenig über die mögliche Effizienz der Vorratsdatenspeicherung gesagt. Das Gutachten schätzt, dass im Untersuchungsjahr 2005 insgesamt 40.000 Beschlüsse zur Herausgabe von Verbindungsdaten erlassen wurden. Man könne anhand des Datenmaterials von 2,7 Beschlüssen pro Verfahren ausgehen, rechnet der Arbeitskreis vor. Somit dürften vor drei Jahren etwa in 15.000 Ermittlungsverfahren bundesweit Verbindungsdaten erhoben worden sein. Wenn in vier Prozent dieser Verfahren Anfragen mangels gespeicherter Daten ergebnislos blieben, betreffe dies etwa 600 Verfahren bundesweit. Das seien 0,01 Prozent der in den Jahren 2003 und 2004 jeweils rund 4,9 Millionen Ermittlungsverfahren. Um den möglichen Nutzen der Paragraphen 113a und b zur Verbindungsdatenabfrage zu Strafverfolgungszwecken im Telekommunikationsgesetz zu ermitteln, müsse laut dem Arbeitskreis aber zunächst noch das Drittel der Verfahren abgezogen werden, die auf anderem Wege aufgeklärt werden konnten. Weiter zu berücksichtigen sei etwa ein Viertel der Verfahren, die auch bei vorhandenen Daten eingestellt worden wären. Daraus ergibt sich laut dem Arbeitskreis, dass die Verfolgung von Straftaten im Untersuchungszeitraum zu gerade einmal 0,002 Prozent durch eine Vorratsspeicherung von Verbindungsdaten hätte verbessert werden können. Allein durch Zufälle und statistische Einflüsse schwanke die jährliche Zahl der aufgeklärten Straftaten um ein Hundertfaches dieses Betrags. Dass die Erwartungen der Ermittler an die Vorratsdatenspeicherung zu hoch liegen könnten, hatte zuvor just bereits auch eine Studie des Bundeskriminalamtes (BKA) nahegelegt. Demnach könnte die Aufzeichnung der Nutzerspuren die Aufklärungsquote "von derzeit 55 Prozent im besten Fall auf 55,006 Prozent" erhöhen. Den Forschern zufolge kritisieren Experten vermehrt, dass die Ermittler unverhältnismässig häufig auf Verbindungs- und Standortdaten zugreifen. Statistisch gesehen ging es in 50 Prozent der Verfahren mit Abfragen von IP-Adressen um Betrug, in 25 Prozent um Urheberrechtsdelikte. Die Studie warnt zudem, dass sich durch die zusätzlichen Datenbestände neue Missbrauchsgefahren etwa durch unberechtigte Zugriffe von innen oder aussen eröffnen. Ferner steige das Potenzial "für die strategische Überwachung" grösserer Gruppen wie etwa in sozialen Netzwerken. Den veröffentlichten Text des Gutachtens finden Sie hier. Quelle: www.heise.de; Stefan Krempl; 17.03.2008 < zu den Themen Millionen von Kreditkartendaten gestohlen: Diesmal Supermarktkette betroffen Zwar ist der Fall der US-Handelsriesen TJX immer noch der grösste bislang bekannte Datendiebstahl, aber es gibt neuerdings einen Fall, der dem sehr Nahe kommt. So wurden bei der US-Tochter des belgischen Retailers Delhaize jetzt die Daten von 4,2 Millionen Bank- und Kreditkarten gestohlen. Bei den US-Handelsketten Hannaford Brothers und Sweetbay wurden in der Zeit von Dezember bis März 4,2 Millionen Datensätze während des Autorisierungs-Vorgangs illegal kopiert. „Datendiebe sind in unsere Systeme eingedrungen und haben sich Zugang zu den Transaktionsdaten verschafft“, musste jetzt deren CEO Ron Hodge zugeben. Entdeckt wurde der Datendiebstahl am 27. Februar, nach dem sich bei einigen Karten Unregelmässigkeiten abzeichneten und die betroffene Bank mit den Supermarktketten Kontakt aufgenommen hatte. „Jemand ist dort eingedrungen und hat ganz schön abgeräumt“, sagt Mark Walter, Sprecher der Maine Bankers Association (MBA), nach dem eine der Mitgliedsbanken den Vorfällen auf der Spur war. Die MBA hat inzwischen alle angeschlossenen Banken informiert, um damit den weiteren Schanden zu begrenzen. Die beiden Supermarktketten archivieren keine Namen und Adressen in Verbindung mit den Karten. Dies macht es unmöglich ist, die betroffenen Kunden zu benachrichtigen. Und so gab es bereits öffentliche Aufrufe an die Bevölkerung, dass diejenigen, die in der fraglichen Zeit in den Geschäften per Karten bezahlt haben, sorgfältig ihre Abbuchungen beobachten sollen. Mastercard hat inzwischen die Staatsanwaltschaft eingeschaltet. Auch der Secret Service sei bereits aktiv, da Finanz-Kriminalität in dessen Aufgabengebiet fällt. Wie es zu dem Dateneinbruch gekommen ist, wurde bislang nicht veröffentlicht und alle Beteiligten schweigen sich mit dem Hinweis auf die laufenden Ermittlungen aus. Der Fall erinnert an den bislang grössten Datendiebstahl bei der Supermarktkette TJX, bei der 94 Millionen Kreditkarten ausspioniert wurden. In diesem Fall fehlt von den Datendieben noch immer jede Spur. Quelle: www.computerzeitung.de; Harald Weiss; 18.3.2008 < zu den Themen Neue IT Disaster Recovery-Norm: Gute Unterstützung für BCM Organistionen können jederzeit Opfer einer Krise werden. Um damit besser umgehen zu können und die Interessen der verschiedenen Stakeholder besser schützen zu können, hat die ISO in Genf eine neue Norm veröffentlicht, die dazu beiträgt, Risiken zu entschärfen und besser auf Krisen reagieren zu können. Die Norm ISO/IEC 24762:2008, Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services (es gibt noch keine deutsche Version) gibt Leitlinien über die im Rahmen eines Business Continuity Management erforderlichen nötigen Informations- und Kommunikationstechnologien (IKT) und -dienste für Disaster Recovery. Da ISO 24762 sich ebenfalls mit einem Informationssicherheits-Managementsystem befasst, wird diese neue Norm durch die bereits bestehenden Normen und Standards ISO 27001 und ISO 27002 hervorragend ergänzt. Nach ISO 24762 ist Business Continuity Management ein integraler Bestandteil eines ganzheitlichen Risikomanagementprozesses und beinhaltet unter anderem: Risikoidentifizierung, die Erstellung eines Frameworks zur Stärkung der Geschäftsprozesse und die Erstellung der Rahmenbedingungen um effektiv auf Katastrophen und Ausfälle reagieren zu können. Mittels dieser neuen Norm werden Organisationen also in ihren Bemühungen unterstützt, ihre IKT-Infrastruktur zu stärken und damit ihre BCM- und ISMS-Bemühungen zu ergänzen. Quelle: www.iso.org; 8.3.2008 < zu den Themen
 Special Event! 28.-29.04.2008 : Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden?  Intensivseminar mit Beat Lehmann, Fürsprecher Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden? Sie sind herzlich eingeladen, am zweitägigen Intensivseminar zur Revision des Datenschutzgesetzes teilzunehmen. Ihr nächster Termin in Olten: 28.-29. April 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event! 06.-07.05.2008 : Krisen erkennen, bewältigen und erfolgreich meistern  Intensivseminar mit Frank Roselieb, Vorstandsmitglied der Deutschen Gesellschaft für Krisenmanager e.V. Krisen erkennen, bewältigen und erfolgreich meistern Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können. Krisensimulation, Fallbeispiele und Empfehlungen Krisensituationen erfordern Ruhe, Beherrschung und die Nase für das Richtige im richtigen Zeitpunkt, in der richtigen Art und Weise zu tun. Dieses trifft insbesondere auf Führungskräfte zu, die in Krisenzeiten „erst recht“ im Rampenlicht der Öffentlichkeit stehen. Sie müssen in der Unternehmung Leitbild sein und eine Persönlichkeit darstellen, die lange vor der Krisensituation zu einer solchen geworden ist. Ihr nächster Termin in Luzern: 6.-7. Mai 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event! 03.06.2008 : Keine Angst vor Medien  Intensivseminar mit Ruedi Suter, ehemaliger Leiter Kommunikation AlpTransit Gotthard AG Keine Angst vor Medien Selbstsicher und gut vorbereitet ein Interview geben – das Medientraining für Führungskräfte und Informationsverantwortliche. Ihr nächster Termin in Sursee: 3. Juni 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event! 09.-10.06.2008 : Sicherheitsüberprüfungen von IT-Systemen  Intensivseminar mit Beat Lehmann, Fürsprecher Sicherheitsüberprüfungen von IT-Systemen Ethical Hacking und Social Engineering Rechtliche Grundlagen und Hürden Sie sind herzlich eingeladen, am zweitägigen Intensivseminar "Sicherheitsüberprüfungen von IT-Systemen unter spezieller Berücksichtigung von Ethical Hacking und Social Engineering" teilzunehmen. Ihr nächster Termin in Zürich Flughafen: 9.-10. Juni 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event! 23.-24.09.2008 : Sicherheit und Auditing eines SAP-Systems  Intensivseminar mit Detlev Sachse, SAP-Berater Sicherheit und Auditing eines SAP-Systems Für Auditoren, Sicherheitsbeauftragte und Interessierte Ihr nächster Termin in Zürich Flughafen: 23.-24. September 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Vorschau: Meet Swiss Infosec! 25.06.2008  Workshop Mit unseren halbjährlichen Workshops "Meet Swiss Infosec!" wollen wir Ihnen die Möglichkeit bieten, sich über aktuelle Tendenzen und Lösungen im Bereich der Informations- und IT-Sicherheit umfassend und aus erster Hand zu informieren. Daneben können Sie mit Referenten und anderen Teilnehmenden Lösungsstrategien erörtern und sowohl uns, die Swiss Infosec AG, wie auch unsere Partner besser kennen lernen. Reservieren Sie sich Ihren nächsten "Meet Swiss Infosec!"-Termin in Zürich Flughafen: 25. Juni 2008 Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Vorschau: ISMS Tool Box Roadshow 11.09.2008  Informationsveranstaltung Möchten auch Sie Ihr ISMS (Information Security Management System) vollumfänglich intranetbasiert und toolgestützt aufbauen und verwalten? Lernen Sie den unentbehrlichen Werkzeugkasten an der diesjährigen ISMS Tool Box Roadshow kennen. Wir stellen Ihnen im Rahmen der Demonstration der neusten Version der ISMS Tool Box erweiterte und neue Funktionalitäten vor. Reservieren Sie sich Ihren nächsten "ISMS Tool Box Roadshow"-Termin in Zürich Flughafen: 11. September 2008 Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen
 Wir schulen Sie – auch firmenindividuell: Firmenindividuelle Durchführung von Swiss Infosec-Themenkurse und -Lehrgänge  Beliebte firmenindividuelle Themen sind bspw. ISO 27001/27002 für IT-Mitarbeitende oder interne Auditoren, Archivierung, Datenschutz, Sicherheit am Arbeitsplatz, Umgang mit Bedrohungen, Krisen- und Evakuationsübungen. Gerne führen wir die Themenkurse und Lehrgänge auch direkt bei Ihnen im Unternehmen durch. Bei firmenindividuellen Schulungen profitieren Sie, nebst der optimaleren Atmosphäre und Organisation, kostenmässig bereits ab vier Teilnehmenden. Ihre Vorteile + Zeit- und Kostenreduktion + Vertraulichkeit + Steigerung der Effizienz + Auf Wunsch abgestimmt auf Ihre spezifischen Anforderungen Hier erfahren Sie mehr Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen eLearning: Jetzt Wissenslücken effizient und gezielt schliessen!  Wir bieten Ihnen gerne bereits ausgearbeitete oder auf Ihre individuellen Bedürfnisse angepasste eLearning-Systeme und -Module zu den Themen Informationssicherheit, IT-Sicherheit und Datenschutz an. Das Swiss Infosec eLearning-Angebot ergänzt Ihre Aktivitäten im Bereich der Sensibilisierung und Ausbildung optimal und kosteneffizient. Ihre Vorteile + Kosteneffizient: Keine Systeminvestitionen notwendig, tiefe Kosten pro Mitarbeitendem + Schneller, gezielter und effizienter Wissenstransfer + Idealer Bestandteil einer umfassenden Awareness-Kampagne Hier erfahren Sie mehr Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen IT-SIBE: Lehrgang für Informations- und IT-Sicherheitsbeauftragte  Aus der Praxis für die Praxis! Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch, laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen aus mehr als 19 Jahren Erfahrung. Nächster Lehrgang: 05. 05.-09. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Betrieblicher Datenschutzverantwortlicher *NEU*: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz  In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen. Nächster Lehrgang: 16. 06.-20. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Integrale Sicherheit: Lehrgang für Beauftragte der Integralen Sicherheit und Sicherheitsbeauftragte  Sicherheit ganzheitlich betrachtet! Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten. Nächster Lehrgang: 26. 05.-30. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit  Mehr Sicherheit dank sicherer Technik! Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen. Nächster Lehrgang: 13. 05.-16. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Sicherheit am Arbeitsplatz *NEU*: Grundlagen der IT-Sicherheit, sicherer Einsatz von IT-Mitteln, Schutz vor Social Engineering-Angriffen  Lernen Sie sicher mit Ihren IT-Ressourcen zu arbeiten Lernen Sie die Ihnen zur Verfügung stehenden IT-Mittel als Benutzer sicher einzusetzen und sich vor Social Engineering-Attacken zu schützen. Des weiteren lernen Sie Gefahren am Arbeitsplatz zu erkennen und aktive Notfallvorsorge zu betreiben. Zudem erhalten Sie alle Antworten auf die Frage „Was habe ich zu tun bei einem Brand, bei einem Unfall oder bei einer Gebäudeevakuation?“. Im Vorfeld haben Sie Zugriff auf ein eLearning-Modul zur Kursvorbereitung. Nächster Themenkurs: 24.09.2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Professioneller Umgang mit Bedrohungen und Gewalt im Arbeitsalltag *NEU*: Gefahrensituationen erkennen und Konflikte bewältigen  Gehen Sie mit Bedrohungen und Gewalt in Ihrem Arbeitsalltag professionell um Mit der zunehmenden verbalen oder körperlichen Gewaltbereitschaft einzelner Mitglieder unserer Gesellschaft gelangen wir immer häufiger in unangenehme, teilweise gefährliche Konfliktsituationen. Besonders bedroht sind Mitarbeitende, die direkten Kontakt mit gestressten, unzufriedenen oder sich falsch verstanden fühlenden, teilweise gewaltbereiten Kunden haben. Wir vermitteln Ihnen praxisorientiert sowie mit den erforderlichen Hintergrundinformationen und eindrücklichen Rollenspielen den sinnvollen Umgang mit verbalen Attacken wie Drohungen bei einem Kundengespräch oder beim Empfang, den Umgang mit einer telefonischen Bomben- oder Morddrohung gegenüber Entscheidern, Beratern, Managern usw. und das situationsgerechte Verhalten bei einer Geiselnahme oder körperlichen Auseinandersetzungen. Nächster Themenkurs: 12.06.2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Datenschutzgesetz und dessen Umsetzung: Überblick, Grundlagen und prakt. Umsetzung des rev. Datenschutzgesetzes der Schweiz  Datenschutz und rechtliche Aspekte Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmenden, Fragen aus dem Alltag zu diskutieren und zu beantworten. Nächster Themenkurs: 21. 04. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Elektronische Archivierung: Rechtliche Anforderungen, tech. Grundlagen und praktische Umsetzung der Archivierung  Elektronische Archivierung, eine wichtige und komplexe Materie Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen. Nächster Themenkurs: 19. 05.-20. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen ITIL Security Management: Grundlagen, praktische Umsetzung eines effizienten ITIL-konformen Security Managements  Security Management in einer ITIL-orientierten IT-Organisation Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL-Disziplinen. Nächster Themenkurs: 14. 04.-15. 04. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Kriminalität / Protokollierung / Ermittlung / Monitoring auf dem Internet: Themenkurs  Wann sprechen wir von Internet-Kriminalität? Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten. Nächster Themenkurs: 26. 06.-27. 06. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen Security Windows Vista: Überblick, Grundlagen und praktische Umsetzung der Security-Verfahren unter Windows Vista  Lücken oder Tücken? Lernen Sie die Sicherheitsaspekte des neusten Windows-Betriebssystems kennen und damit umzugehen. In Form von ausführlich dokumentierten und erklärten Demo-Sessions lernen die Teilnehmenden Vista und die Konfigurationsmöglichkeiten der neuen Funktionen kennen. Erfahren Sie unter anderem, wie „Windows Vista“ auf Angriffe wie z.B. Viren und Spyware reagiert und welche neuen Schutzmechanismen generell zur Verfügung stehen. Nächster Themenkurs: 19. 05.-20. 05. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 2-2008, Swiss Infosec AG < zu den Themen
 "Guten Tag, Herr Müller …" – Social Engineering – testen Sie die "Schwachstelle Mensch" in Ihrer Organisation: Schützen Sie Ihr Unternehmen vor Informationsabfluss  «Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen. Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können. Mehr Wissen über Social Engineering Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Operational Risk Management – Informationssicherheit – Ereignis- und Krisenvorsorge: Entwicklung gemeinsamer Lösungen – Weshalb das Rad neu erfinden? Swiss Infosec AG und Comit AG entwickeln gemeinsam Lösungen im Bereich Risiko- und Informationssicherheitsmanagement, die Doppelspurigkeiten vermeiden und Synergien zwischen Operational Risk Management, Informationssicherheit sowie regulatorischen Anforderungen nutzen. Kritische Erfolgsfaktoren sind dabei die genaue Kenntnis möglicher und passender Lösungsansätze und eine enge Abstimmung mit den Bereichs- und Linienverantwortlichen bei den Kunden. Die Partnerfirmen verfügen über breite Projekterfahrung bei der erfolgreichen Implementierung von Operational Risk Management und Information Security Frameworks. Zu unseren Kunden gehören nationale und internationale Firmen aus stark (Banken, Versicherungen) oder weniger stark (Industrie, Dienstleistung, Handel) regulierten Branchen. Hier finden Sie weitere interessante Informationen. Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Swiss Infosec AG sucht Sie! Security Consultant / Software Entwickler (m/w) und Sales Manager (m/w):
Wir sind ein renommiertes, in der Schweiz führendes, unabhängiges Beratungs- und Ausbildungsunternehmen im Bereich der Informations- und IT-Sicherheit. Unsere Leaderposition verdanken wir nationalen und internationalen Kunden aus Finanz, Versicherung, öffentlicher Verwaltung und Industrie. Für die Optimierung unseres Wachstums suchen wir eine kundenorientierte Person in der Funktion als Security Consultant / Software Entwickler (m/w) Ihr AufgabengebietAls Bindeglied der Bereiche Beratung, Produktmanagement der Swiss Infosec ISMS Tool Box und der Toolentwicklung übernehmen Sie vielseitige Aufgaben in Projekten: Als Security Consultant betreuen Sie herausfordernde IT-Security Projekte, auditieren Systeme, Netzwerke und Organisationen, begleiten die Umsetzung der von Ihnen vorgeschlagenen Massnahmen und bilden Nahtstellen zwischen Organisation und Technik. Im Produktmanagement der Swiss Infosec ISMS Tool Box erarbeiten Sie zusammen mit Consultants, Projektleiter und Kunden technologisch anspruchsvolle Lösungen für den Einsatz unserer Applikation. Als Entwickler erarbeiten Sie interessante und anspruchsvolle SW- und Web-Applikationen in VB.NET, C# und Classic ASP. Sie entwickeln und betreuen ASP.NET AJAX Technologie basierende Applikationen (Framework 3.5) unter Windows Systemen. Ihr Profil Ihr Kontakt Oder senden Sie uns Ihre Bewerbungsunterlagen wenn möglich in elektronischer Form an miro.schenker@infosec.ch oder an Swiss Infosec AG, Centralstrasse 8A, CH-6210 Sursee Tel. +41 (0)41 984 12 12 -------------------------------------------------------------------------------- Für die Optimierung unseres Wachstums suchen wir eine motivierte Persönlichkeit in der Funktion als Sales Manager (m/w) Ihr Aufgabengebiet: Idealerweise verfügen Sie über folgendes Profil: Haben wir Ihr Interesse geweckt? Oder senden Sie uns Ihre Bewerbungsunterlagen wenn möglich in elektronischer Form an miro.schenker@infosec.ch oder an Swiss Infosec AG, Centralstrasse 8A, CH-6210 Sursee, Tel. +41 (0)41 984 12 12
Wir unterstützen Sie: Überbrückung von Ressourcen- oder Kompetenzengpässen: Kompetent, unkompliziert und flexibel  Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken? Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen? Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss. Kompetenz, Erfahrung und Erfolg. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT-Sicherheit zu ihren Kompetenzen. Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. Aus dem Pool der Swiss Infosec AG werden Projektleitende mit mehrjähriger Projektleitungserfahrung eingesetzt: + zur Überbrückung von Kapazitäts- und Know-how-Engpässen + zur Verstärkung Ihrer Projektteams + zur Beschleunigung von Projekten + für den Know-how-Transfer. Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer. Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild. Unsere Fachleute zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch. Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden. Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen. Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. E-Mail infosec@infosec.ch; Telefon +41 (0)41 984 12 12. Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen
 Neuerscheinungen: Basiswissen IT-Sicherheit. Das wichtigste für den Schutz von Systemen & Daten: Werner Poguntke
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Das Ende der Privatsphäre: Peter Schaar
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Technisch-organisatorischer Datenschutz: Peter Münch
Quelle: www.amazon.de < zu den Themen
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit. Swiss Infosec AG unterstützt Sie bei
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.
|
