 In Schweden darf alles abgehört werden: Solange es Kommunikation mit dem Ausland ist Das schwedische Parlament hat am 18.6.2008 einen Gesetzentwurf verabschiedet, der es dem militärischen Nachrichtendienst FRA erlaubt, ohne Gerichtsbeschluss oder konkrete Verdachtsmomente sämtliche elektronische Kommunikation mit dem Ausland abzuhören. Dies schliesst den gesamten Telefon-, Internet-, E-Mail-, SMS- und Faxverkehr mit ein. Dieses Gesetz wird am 1. Januar 2009 in Kraft treten. Ursprünglich hatten die Abgeordneten schon am Vormittag über das umstrittene Gesetz abstimmen sollen, doch aufgrund heftiger Kritik zog das regierende Mitte-Rechts-Bündnis um Ministerpräsident Fredrik Reinfeldt den Entwurf zunächst zurück. Die im Eilverfahren überarbeitete Fassung, die eine strengere Kontrolle der Abhörmassnahmen vorsieht, fand am Abend mit 143 zu 138 Stimmen bei einer Enthaltung doch noch die Zustimmung des Parlaments. Die Regierung begründet die Notwendigkeit des von vielen Kritikern als "Lex Orwell" bezeichneten Gesetzes mit einem besseren Schutz vor Gefahren "von aussen", beispielsweise durch den "internationalen Terrorismus". Datenschützer halten den Entwurf für eine fast beispiellose Verletzung des Persönlichkeitsschutzes. Google will wegen des Gesetzes künftig Schweden vermeiden und dort keinesfalls Server stationieren. Dies teilte der Datenschutzbeauftragte des Unternehmens, Peter Fleischer, der Berliner "tageszeitung" mit. Der schwedisch-finnische Telekom-Konzern Telia-Sonera hat zudem schon vorbeugend seine Mailserver von Schweden nach Finnland umgezogen. Da jedoch das skandinavische Telekommunikationsnetz sehr eng miteinander verflochten ist, ist es fraglich, wie nachhaltig solche Massnahmen sind. Quelle: www.zdnet.de; Björn Greif; 19.6.2008 < zu den Themen Passen Sie gut auf Ihre Kaffeemaschine auf: Geniesser frisch gebrühten Tees nicht gefährdet So macht die Kaffeepause keinen Spass mehr: Laut dem Bericht eines australischen Sicherheitsspezialisten weist das Internet Connection Kit des Kaffeemaschinenherstellers Jura Sicherheitslücken auf, mit denen Hacker anderen Leuten den Kaffee vermiesen könnten. Craig Wright schreibt in einem Mailing an die Bugtraq-Mailing-Liste, dass es über das Netz möglich sei, in der Kaffeemaschine die Einstellungen zur Zubereitung zu ändern. Dabei liesse sich die Standardmenge des Kaffeepulvers und des Wassers einstellen. Wenig Pulver mit viel Wasser käme dabei wohl für viele Kaffeetrinker sicherlich einer Katastrophe gleich. Darüber hinaus sollen sich auch noch diverse andere Einstellungen manipulieren lassen, die anschliessend den Service eines Technikers vor Ort erfordern. Eigentlich sollte die Netzwerkfähigkeit dies eigentlich verhindern. Das Internet Coffee System (ICS) genannte Modul ist noch nicht offiziell in den Läden verfügbar. Es bildet die Brücke zwischen der seriellen Schnittstelle der Maschine und einem Ethernet-LAN. Zusätzlich muss auf einem Windows-PC eine Software laufen, die dem ICS die Verbindung ins Internet bahnt, damit ein Service-Techniker die Maschine aus der Ferne warten kann. Allerdings weist diese Software laut Wrights Untersuchungen mehrere Lücke auf, durch die ein Angreifer in den PC eindringen kann – und damit nicht nur diese manipulieren kann, sondern auch die Kaffeemaschine. Wright hat die Sicherheitslücke dem Hersteller gemeldet. Dass er damit nicht die Welt gerettet hat, ist ihm bewusst: "Es gibt womöglich nicht so viele Kaffeetrinker auf der Welt, die ihre Maschine ans Internet angeschlossen haben", gesteht Wright. Wright allerdings fürchtet neue Gefahren, wenn in Zukunft noch mehr Haushaltsgeräte ans Netz gehen. "Vielleicht wird es eines Tages möglich sein, den Ofen via Handy einzuschalten, und ein böswilliger Hacker könnte dies nutzen, um ihr Haus abzufackeln", mutmasst der Sicherheitsexperte. Damit er bei solchen Horrorszenarien trotzdem einen Beruhigungskaffee zu sich nehmen kann, hat Wright vorgesorgt. Sein sorgloser Kaffeegenuss wird inzwischen geschützt - von einer Firewall. Quelle: www.heise.de; www.securityfocus.com; www.spiegel.de; Craig Wright; 18.6.2008 < zu den Themen Die Schwellenländer sind besser: Risk Management als Wettbewerbsvorteil Brasilien, China, Indien und Südafrika haben bei der kommerziellen Nutzung des Themas Risiko-Management etablierte Industriestaaten schon überholt. Zu dieser Aussage kommt eine aktuelle Studie mit 2000 befragten Führungskräften in den USA, Grossbritannien, Frankreich, Deutschland, Spanien, Schweden, Brasilien, China, Indien und Südafrika im Auftrag von British Telecon (BT). Führungskräfte in Unternehmen dieser Schwellenländer sind viel stärker als ihre Kollegen in den westlichen Ländern davon überzeugt, dass der Einsatz von Risikomanagement ihnen Wettbewerbsvorteile bringt. Sie glauben auch, dass Risikomanagement Innovation und Kreativität fördert . Bei den Führungskräften der genannten Schwellenländer ist es auch wahrscheinlicher als bei Unternehmen in den USA und Europa, dass sie in grossem Umfang in Risikomanagement-Strategien und -Systeme investieren. Als Konsequenz daraus ergibt sich unter anderem, dass Unternehmen in den untersuchten Schwellenländern häufiger einen Sicherheitsbeauftragten – Corporate Security Officer (CSO) oder Corporate Risk Officer (CRO) – auf Vorstandsebene einsetzen; Aufwendungen für das Risikomanagement als nützliche Investition betrachten; doppelt so häufig wie ihre Pendants in den etablierten Industrieländern eine Risikomanagement-Strategie verfolgen, die auch grosse globale Risiken einbezieht. Ein grosser Prozentsatz der Unternehmen in den Schwellenländern ist aber auch der Ansicht, dass Unternehmen aus etablierten Märkten weiterhin misstrauisch sind, wenn es um die Bewertung der Risikomanagement-Verfahren der Schwellenländer geht. Dies ist besonders in Bezug auf die Netzwerk- und IT-Systeme der Fall, was eine erfolgreiche Zusammenarbeit erschwert. François Barrault, CEO von BT Global Services, erklärt dazu: "In den etablierten Märkten gibt es Bedenken wegen der Risiken, die sich bei der Zusammenarbeit mit Ländern ergeben, die ein aggressives Wirtschaftswachstum aufweisen. Unsere Erkenntnisse zeigen nun, dass Schwellenländer, die stark an internationaler Zusammenarbeit interessiert sind, inzwischen Risikomanagement-Strategien entwickeln, die sogar 'westliche' Standards übertreffen. Sie bauen so das Vertrauen auf, das notwendig ist, um von ihren Geschäftspartnern in sicherheitskritische Aufgaben wie Innovationsprozesse eingebunden zu werden." "Unternehmen in entwickelten Märkten scheinen recht unbesorgt bezüglich der möglichen Folgen globaler Risiken wie Epidemien, Terroranschlägen oder Sicherheit der Wasserversorgung. Ironischerweise sind sie aber weniger auf grosse globale Risiken vorbereitet als ihre Pendants in den Schwellenländern", erklärt Barrault weiter. "International tätige Unternehmen müssten sicherstellen, dass ihr Risikomanagementplan alle Eventualitäten abdeckt, darunter auch sehr unwahrscheinliche Risiken. Dies sollte, so wie es in den aufstrebenden Märkten geschieht, als eine Chance begriffen werden, um das Wachstum anzuregen und Innovationen hervorzubringen, und nicht als lästige Pflicht oder unnötiger Kostenfaktor." Quelle: www.silicon.de; Martin Schindler; 19.6.2008 < zu den Themen Behalten Sie die Aktivitäten Ihrer Geschäftspartner im Auge: Vertrauen ist gut, Kontrolle aber noch besser Oft stecken nicht anonyme Hacker, sondern die eigenen Geschäftspartner hinter Datenmissbrauch in Unternehmen und Behörden. Zu diesem Ergebnis kommt der "Data Breach Investigations Report 2008". Er umfasst einen Zeitraum von vier Jahren und mehr als 500 forensische Untersuchungen anhand von 230 Millionen Datensätzen. Die von Verizon Business Security Solutions durchgeführte Studie stellte fest, dass 73 Prozent der Verstösse von externen Quellen ausgingen, bei 18 Prozent handelte es sich um Bedrohungen von innen. Dabei stammten 39 Prozent der externen Angriffe von Geschäftspartnern. Die Zahl solcher Angriffe hatte sich im Untersuchungszeitraum verfünffacht. Somit widerspricht die Studie anderen Untersuchungen, die in Insider-Angriffen die Hauptursache von Datenmissbrauch sehen. Meistens war nicht ein einzelner Hackerangriff der Auslöser für ein Datenleck, sondern eine Kombination mehrerer Faktoren. Dabei waren fast zwei Drittel der Verstösse auf massive interne Fehler zurückzuführen, die das Eindringen begünstigten. Annähernd 40 Prozent der Hackerangriffe richteten sich gegen die Anwendungs- oder Software-Ebene, in nur knapp einem Viertel der Fälle wurden Betriebssystem-Plattformen unerlaubt verwendet. Erstaunliche 75 Prozent der Verstösse wurden von Dritten entdeckt und nicht von der betroffenen Organisation. Die Studie bemerkte zudem, dass Branchen unterschiedlich betroffen sind. So entfielen mehr als die Hälfte der Fälle auf den Einzelhandel sowie die Getränke- und Lebensmittelindustrie. Der Anteil der Branche für Finanzdienstleistungen betrug hingegen nur 14 Prozent. Bei Attacken aus China und Vietnam handelte es sich häufig um Angriffe auf Software-Schwachstellen. Verunstaltungen von Webseiten waren scheinen hingegen eher eine nahöstliche Spezialität zu sein. Fast 90Prozent aller Fälle von Datenmissbrauch bei Unternehmen und Behörden wären durch geeignete Sicherheitsvorkehrungen zu verhindern gewesen. Quelle: www.verizon.com, www.heise.de; Christiane Schulzki-Haddouti; 11.6.2008 < zu den Themen Mobile Geräte sind auch für Polizeizwecke wichtige Datenspeicher: Forensik-Software ist verfügbar Bei polizeilichen Ermittlungen wird es immer wichtiger, Informationen aus technischen Geräten wie Handys, Smartphones und Computern herauszufiltern. Je komplexer die untersuchten technischen Geräte sind, desto mehr Möglichkeiten hat die IT-Forensik wichtige Beweise darauf zu finden, berichtet "The Register". Vor allem Flash-Speicher sind eine gute Anlaufstelle um Daten sicherzustellen, die eigentlich vernichtet werden sollten. Oft bei Smartphones verwendet, werden Daten auf diesem Speichermedium erst dann wirklich gelöscht, wenn nicht mehr genug anderer Speicherplatz verfügbar ist und die "gelöschten" Daten überschrieben werden. Dadurch bleiben Informationen oft jahrelang erhalten. Auch die SIM-Karte kann Ermittlern vieles verraten. Dort werden meistens die fünf zuletzt gewählten Nummern gespeichert. Apples iPhone speichert sogar mehrere hundert und somit fast jede jemals gewählte Nummer. Besonders nützlich ist auch die Tatsache, dass auf der SIM-Karte der letzte Ort, an dem das Telefon benutzt wurde, gespeichert ist. Auch Textnachrichten und Adressbucheinträge werden nicht gleich gelöscht, sondern nur als verfügbarer Speicherplatz deklariert. So können Ermittler mit etwas Glück wichtige Informationen aus nur scheinbar gelöschten SMS herauslesen. Problematisch ist für IT-Forensiker die Tatsache, dass sie die Daten im Zuge der Sicherstellung unter keinen Umständen verändern dürfen, da diese sonst vor Gericht nicht verwertbar sind. Bei Computern kann die Nicht-Veränderung so gelöst werden, indem ein Image des Laufwerks erstellt wird und das Original unberührt bleibt. Schwieriger sind die Untersuchungen von Mobiltelefonen. Dafür ist meist ein Programm nötig, das die Polizei erst auf dem Gerät installieren muss. Bereits diese Installation könnte wichtige Beweise vernichten. Es gibt jedoch auch Möglichkeiten Daten mittels spezieller Software von Mobiltelefonen herunterzuladen, ohne dass ein Programm installiert werden muss, wie die Angebote von Herstellern spezieller Forensik-Software. Quelle: www.computerwoche.de; 2.6.2008 < zu den Themen Euro-Sox steht definitiv vor der Tür: Nur scheint es einigen Firmen nicht klar zu sein Zu diesen Ergebnissen kommt eine Studie der Unternehmensberatung exagon unter mehr als 174 IT-Managern in Firmen mit mehr als 200 Mio. Euro Umsatz. Euro-SOX soll dazu dienen, durch eine höhere Transparenz wichtiger Unternehmensinformationen eine Wiederholung der Finanzskandale wie der Vergangenheit zu vermeiden. Diese Richtlinie betrifft alle Unternehmen von so genanntem öffentlichem Interesse mit einer Bilanzsumme von knapp 90 Mio. Euro Euro. Dazu gehören etwa in Deutschland die DAX-notierten Firmen ebenso wie Banken, Versicherungen, Energieversorger oder Monopolunternehmen. Im Widerspruch dazu ordnet sich nach der Erhebung jedoch nur jeder zweite IT-Verantwortliche in den Kreis derer ein, die schon bald den Euro-SOX-Richtlinien gerecht werden müssen. Weitere 26 Prozent vermuten lediglich, dass sie dort einbezogen werden. Ein Drittel der Befragten hat allerdings auch wenige Wochen vor dem Termin der neuen Richtlinien noch keine genaue Einschätzung, ob sie auf den eigenen Betrieb anzuwenden sind. Jeder fünfte IT-Manager verneint diese Frage und sieht sich vollständig ausserhalb der Verpflichtungen gegenüber diesen EU-Vorgaben. Viele Unternehmen würden den rechtlichen Anforderungen nach eigener Einschätzung allerdings auch nicht entsprechen. Während zwar immerhin zwei von fünf der Befragten dem eigenen Revisionssystem grosses Vertrauen schenken, glauben nur 47 Prozent, dass das interne Kontrollsystem hohen Ansprüchen gerecht werden könnte. Auch das Risk Management sieht jeder Zweite nicht auf einem den Anforderungen von Euro-SOX entsprechenden Niveau. Dennoch bestehen derzeit nur geringe Bestrebungen, sich diesem Thema mit besonderem Engagement zu widmen, um die gesetzlichen Vorschriften fristgerecht zu erfüllen. Lediglich 28 Prozent befinden sich gegenwärtig in entsprechenden Projekten oder haben sie für die nächsten Monate geplant, der Rest sieht keinen Handlungsbedarf oder es ist noch keine Entscheidung (46 Prozent) über Massnahmen erfolgt. Quelle: www.koeln-bonn.business-on.de; 10.6.2008 < zu den Themen Was macht die IT-Abteilung mit den Admin-Passwörtern?: Der Mensch ist und bleibt ein neugieriges Geschöpf Mitarbeiter in IT-Abteilungen sind auch nur Menschen, und der Mensch ist nun mal von Natur aus neugierig. Wer verdient was, wann trifft sich die GL zur nächsten Sitzung, wie viel Urlaub hat Frau Althaus in diesem Jahr eigentlich noch? All dies sind Fragen, die offenbar auch das Fachpersonal für Informationstechnologien nicht kalt lässt. Etwa ein Drittel aller IT-Mitarbeiter geben zu, schon mal in Daten rumgeschnüffelt zu haben, auf die sie eigentlich keinen Zugriff haben sollten. Das ergab eine Studie des Sicherheitsspezialisten Cyber-Ark Software unter IT-Leitern. Demnach gab ein Drittel zu, vertrauliche Daten ausspioniert zu haben. Dabei griffen sie auf Admin-Passwörter zurück oder nutzten andere Wege, um an die sensiblen Informationen heranzukommen. Formuliert man die Frage etwas vorsichtiger, also etwa "haben Sie schon einmal auf Informationen zugegriffen, die für Ihre Tätigkeit nicht relevant waren?", dann antworteten rund die Hälfte der Befragten mit ja. "Die IT hat das Schnüffeln ermöglicht", kommentier Mark Fullbrook, Direktor von Cyber-Arks. "Es ist so einfach, alles was man braucht, ist das richtige Passwort oder einen Account mit zusätzlichen Rechten und man ist sofort in alle Geheimnisse eingeweiht, die es in der Firma gibt. Früher habe man in mühevoller Arbeit Fotokopien anfertigen müssen, oder den Schlüssel für den Schrank mit den Personalakten entwenden müssen. "In vielen Organisationen gibt es nur wenig Verständnis oder Kontrolle, für das was die Angestellten eigentlich tun", so Fullbrook weiter. Und so würde auch das mit Administrator-Passwörtern verbundene Risiko fatal unterschätzt. In den falschen Händen könnten diese Passwörter für das Ausspionieren von Informationen missbraucht werden. "Darunter können sich so sensible Informationen wie Übernahmepläne, Mails des CEOs, Umsatzzahlen, Marketingpläne, gerichtliche Vorgänge und auch Forschungs- und Entwicklungsergebnisse sein", warnt Fullbrook. Zudem scheinen gerade für diese Art von Passwörtern oft keine Sicherheitsregeln angewandt zu werden, wie dies etwa bei Passwörtern von Anwendern der Fall ist. Laut Umfrage wechseln 30 Prozent der Unternehmen Admin-Passwörter alle drei Monate. In 9 Prozent der Fälle, werde das Passwort überhaupt nie geändert, sodass auch Personen, die das Unternehmen bereits verlassen haben, noch im Besitz des Passwortes sind. Quelle: www.silicon.de; Martin Schindler; 19.6.2008 < zu den Themen Momentan kein Schweizer Gesetz zur Online-Überwachung: Nationalratskommission weist Entwurf zurück In der Schweiz hat die Rechtskommission (RK) des Nationalrates gegen die geplante Verschärfung eines Gesetzes zur inneren Sicherheit gestimmt. Mit 16 zu 9 Stimmen wiesen die Mitglieder der RK die Reform des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS II) an die Regierung zurück. Die Kommission steht auf dem Standpunkt, dass das geltende Strafrecht Ermittlern bereits genügend Spielraum bietet und die Privatsphäre Einzelner nicht zu sehr beeinträchtigt werden sollte. Laut Berichten in der Basler Zeitung, dem Tagesanzeiger und dem St. Gallener Tagblatt setzen sich mit diesem Antrag die Sozialdemokratische Partei (SP) und die Grünen gemeinsam mit der Schweizerischen Volkspartei (SVP) gegen die Mitteparteien durch. Der RK-Vertreter Lukas Reimann von der SVP sagte, er halte das Gesetz aus Datenschutzgründen für gefährlich und die SP-Nationalrätin Susanne Leutenegger-Oberholzer bezeichnet es als "grossen Lauschangriff". Während Leutenegger sich vorstellen könnte, ganz auf BWIS II zu verzichten, seien andere Mitglieder der SP bereit, das Gesetz unter bestimmten Voraussetzungen zu verschärfen. Allerdings verlangten sie, dass der Bundesrat zunächst die Gefährdung der inneren und äusseren Sicherheit präziser beschreibt und wirksamere Massnahmen für die Aufsicht des Bundes über mögliche Überwachungsmassnahmen vorsieht. Im April 2007 hatte sich der die Schweizer Regierung trotz deutlicher Kritik an BWIS II dafür ausgesprochen, an den geplanten Massnahmen zur Bekämpfung von Terrorismus, Spionage und verbotenem Waffenhandel festzuhalten und im Juni hatte der Bundesrat den Entwurf verabschiedet. Die Revisionspläne sehen unter anderem die präventive Überwachung von Telefongesprächen, E-Mails und Briefen vor, ausserdem den Einsatz von Abhörwanzen in privaten Räumen sowie heimliche Online-Überwachung von Computern. Diese Massnahmen des geplanten BWIS II sollten ausdrücklich auch gegen Personen möglich sein, gegen die kein konkreter Verdacht auf strafbares Verhalten besteht. Quelle: www.heise.de; 21.6.2008 < zu den Themen Betrüger sollen durch Emails überführt werden: Löschen ist nicht gleich löschen Ein paar E-Mails reichen der New Yorker Staatsanwaltschaft, um zwei Top-Banker im Zusammenhang mit der US-Hypothekenkrise verhaften zu lassen und sie vor Gericht zu stellen. Den beiden Bankern wird Betrug in Milliardenhöhe vorgeworfen. Als Manager von zwei auf Hypotheken ausgerichteten Hedgefonds der Investmentbank Bear-Stearns sollen sie schon im Frühjahr 2007 gewusst haben, dass die Hypotheken der Fonds viel weniger wert sind, als offiziell dargestellt wurde. Als die Fonds später geschlossen werden mussten, hatten deren Investoren 1,6 Milliarden Dollar verloren. Sollten die beiden Banker für schuldig befunden werden, drohen ihnen Haftstrafen von bis zu 20 Jahren. Die einzigen Beweise die die New Yorker Staatsanwaltschaft gegen die beiden hat, sind ein paar E-Mails, die diese über die Qualität der Fonds untereinander ausgetauscht haben. „Es ist immer wieder verblüffend zu erleben, mit welcher Sorglosigkeit die Leute E-Mails benutzen“, sagt die einstige Staatsanwältin Carol Bruce über die jetzt bekannt gewordenen Dreistigkeit. Dabei glaubten die beiden Bank-Manager, dass es völlig ausreichend sei, wenn man die kritischen E-Mails über private Accounts verschickt. So kommunizierten beide bei vertraulichen Themen über die privaten Accounts ihrer Ehefrauen, und sie haben auf ihren Clients auch stets die E-Mails sorgfältig gelöscht. „Selbst Topmanager glauben immer noch, dass eine Email auf ewig verschwunden ist, nur weil die Delete-Taste gedrückt wird“, wundert sich Matthew Orwig, Anwalt bei Sonnenschein, Nath & Rosenthal in Texas. Die New Yorker Staatsanwaltschaft erhielt jedoch von den Providern Kopien von allen E-Mails und nutzt die vermeintliche Spurenverwischung der beiden Angeklagten jetzt gegen sie: „Die Tatsache, dass Cioffi und Tannin die privaten Accounts ihrer Ehefrauen für ihren sensitiven Informations-Austausch nutzten, beweist, dass sie sich ganz genau im Klaren darüber waren, dass ihr Handeln strafbar ist“, heisst es in der Klageschrift. Quelle: www.computerzeitung.de; Harald Weiss; 23.6.2008 < zu den Themen Log-Management dient der Sicherheit und Compliance: Unternehmen erkennen zunehmend Vorteile Das SANS Institut veröffentlichte gemeinsam mit LogLogic, Spezialist für Log-Management, den 2008 "SANS Log-Management Market Report". Für die Studie wurden IT-Spezialisten von Grossunternehmen bis hin zu kleinen Firmen mit weniger als 50 Mitarbeitenden zu ihrer Nutzung von Log-Daten befragt. Die Studie zeigt, dass Unternehmen generell ihre Log-Daten dazu nutzen, um Sicherheits- und Performance-Störungen zu erfassen und zu analysieren, Ausfallzeiten zu minimieren, Compliance-Berichte zu erstellen und forensische Analysen durchzuführen. Die Studie zeigte weiter, dass immer mehr Unternehmen Log-Management einführen. Der Anteil der Unternehmen mit Log-Servern hat sich im Vergleich zum Jahr 2006 auf 75 Prozent fast verdoppelt. Ebenso konnte festgestellt werden, dass vier Fünftel der Unternehmen Logdaten sammeln und knapp über zwei Drittel diese auch archivieren. Den befragten Unternehmen ist auch bewusst geworden, dass Compliance eine längere speicherung der Logdaten erfordert. 2005 speicherten nur 2 Prozent der befragten Unternehmen ihre Log-Daten länger als ein Jahr. In der aktuellen Studie gaben bereits 35 Prozent an, dass sie ihre Log-Daten für ein Jahr oder länger speichern. Dabei scheint der Einzelhandel am stärksten von Compliance-Anforderungen betroffen zu sein. Etwa 71 Prozent der Befragten aus dem Einzelhandel sagten im Hinblick auf neue und künftige Payment Card Industry Data Security Standards (PCI DSS), dass ihre Vorhaltung von Log-Daten von Compliance-Richtlinien bestimmt wird. Rund 66 Prozent der Befragten aus dem Gesundheitswesen gaben ebenfalls gesetzliche Regularien als wesentlichen Grund für die langfristige Speicherung von Log-Daten an. Das Log-Management wird aber durch mehr als nur Compliance forciert. Trotz der hohen Bedeutung gesetzlicher Richtlinien für die Erfassung und Verwaltung von Logdaten bewerteten die Befragten Compliance-Reporting eher nachrangig. Höher bewertet wurden Warnmeldungen zu Sicherheits- und Performance-Störungen, Schutz von Daten und Informationen sowie Systemwartung. Quelle: compliancemagazin.de; 24.6.2008 < zu den Themen Datenschutz und das Europäische Parlament: Neuerungen werden vorbereitet Jacques Barrot, der neue Justizkommissar der Europäischen Union, will sich verstärkt für den Datenschutz einsetzen. In seiner Antrittsrede vor dem Europäischen Parlament sagte er zu diesem Thema: "Die derzeitige Lage muss verbessert werden", so Barrot. Der Schutz des Einzelnen sei ohne die Achtung der Privatsphäre nicht denkbar. In Zusammenarbeit mit dem Parlament und dem EU-Datenschutzbeauftragten gelte es, die entsprechende Richtlinie 95/46 zu modernisieren. Barrot plädierte für eine weitere Vernetzung der polizeilichen Informationssysteme in der Union und für die Verwendung neuester Technologien zur Terrorismusbekämpfung. Durch die neuen Möglichkeiten habe man aber auch eine gestiegene Verantwortung: "Je wirkungsvoller unsere Instrumente im Polizei- und Strafrechtsbereich werden und je mehr wir sie vernetzen, desto wachsamer müssen wir beim Datenschutz sein." Mit einer neuen EU-Richtlinie soll ausserdem die Bekämpfung von Spam vereinheitlicht werden. Dazu werden Datenlecks in Zukunft meldepflichtig, allerdings nur für Telekom- und Internetprovider. Service-Anbieter, beispielsweise für E-Banking, sollen von dieser Regelung allerdings ausgenommen sein – eine Sonderregelung, die der EU-Datenschutzbeauftragte Peter Hustinx scharf kritisiert. Quelle: silicon.de; Sibylle Gassner; 17.6.2008 < zu den Themen Datenmissbrauch melden oder nicht?: Firmen eher dagegen Bei einem internen Datenmissbrauch würden die meisten Unternehmen nicht die Öffentlichkeit informieren, sondern nur die betroffenen Kunden benachrichtigen. Das ergab eine Umfrage des Content-Filtering-Spezialisten Clearswift unter knapp 150 IT-Entscheidern in Deutschland. Demnach sind nur knapp elf Prozent der befragten IT-Entscheider der Ansicht, dass die Öffentlichkeit im Fall eines Datenmissbrauchs informiert werden sollte. Nur knapp ein Drittel würde die Behörden informieren. Drei Viertel der Firmen befürchten einen Imageschaden oder einen Vertrauensverlust der Kunden, sobald ein Fall von Datenmissbrauch oder Datenverlust publik würde. Die möglichen Auswirkungen einer Datenmissbrauchs-Meldepflicht sind bei den IT-Entscheidern umstritten. Knapp ein Drittel sehen eher die negativen Seiten wie den Reputationsverlust oder die höheren Kosten. Ein Drittel der Befragten würde jedoch eine gesetzliche Meldepflicht begrüssen. Zu den positiven Effekten einer Meldepflicht zählen die Befragten, dass die Mitarbeiter ein besseres Verständnis für die Notwendigkeit von Sicherheitslösungen bekommen könnten. Der Kostenfaktor spielt bei einer möglichen Meldepflicht ebenso eine Rolle, da die Befragten mit Kostensteigerungen zwischen 5 und 30 Prozent rechnen. 7,5 Prozent der befragten Unternehmen hatten in den letzten eineinhalb Jahren mindestens einen Fall von Datenverlust, fast die Hälfte davon mehr als einen Fall. Ein Viertel der Fälle von Datenverlust geschah per E-Mail, dem am häufigsten benutzten Datenübertragungsmedium. 87,5 Prozent gaben an, dass Daten verloren gingen, die auf mobilen Geräten wie CDs, USB-Sticks, MP3-Playern oder Laptops gespeichert waren. Quelle: silicon.de; Lutz Poessneck; 12.6.2008 < zu den Themen Achtlosigkeit erlaubt Zugriff auf Amtsdaten: Herstellerkonfiguration wurde nicht geändert Durch eine Datenpanne konnten Internet-Nutzer die Meldedaten (inkl. Name, Adresse, Religion, sogar Passbild) von 15 deutschen Städten und Gemeinden abrufen. Das verantwortliche Unternehmen hatte den Zugangscode zugänglich gemacht: "Ein Lapsus", meinte der Firmensprecher. Die Meldedaten von 15 deutschen Kommunen waren monatelang fast ungeschützt im Internet verfügbar. Mit einem voreingestellten Zugangscode in der Verwaltungssoftware konnten die Informationen von etwa 500‘000 Bürgern abgerufen werden, teilte der Software-Hersteller mit. Nutzerkennung und Passwort für die Datenbank waren demnach zwischen dem 15. März und dem 20. Juni auf einer Website verfügbar. Solche Zugangscodes im Internet zu veröffentlichen, ist, als würde man Kopien eines Passe-Partout öffentlich verteilen. Der Software-Hersteller teilte weiter mit, im sogenannten Informationsregister seien 425 Kommunen verzeichnet und 15 davon hätten einen voreingestellten Benutzerzugang nicht wie vorgesehen geändert. Das Unternehmen sieht den Fehler nicht als gewichtiges Problem: "Alle E-Government-Anwendungen wie Online-Melderegisterauskunft, Online-Anträge oder -Auskünfte sind nach wie vor sicher und halten die datenschutzrechtlichen Bestimmungen konsequent ein", teilte die Firma mit. Eines ist klar: Im vorliegenden Fall liegt der Fehler nicht nur bei der Firma - sondern auch an der fahrlässigen Bedienung durch die Kommunalverwaltungen. Nur weil sie die Standardeinstellungen des Programms nicht änderten, konnte es zu dieser Datenpanne kommen. Quelle: www.spiegel.de; 23.6.2008 < zu den Themen
 Special Event mit Beat Lehmann: Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden?:  Intensivseminar mit Beat Lehmann, Fürsprecher Revision Datenschutzgesetz DSG: Wie kann Datenschutz heute optimal umgesetzt werden? Sie sind herzlich eingeladen, am zweitägigen Intensivseminar zur Revision des Datenschutzgesetzes teilzunehmen. Ihr nächster Termin in Olten: 16. - 17. September 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event mit Beat Lehmann: Sicherheitsüberprüfungen von IT-Systemen:  Intensivseminar mit Beat Lehmann, Fürsprecher Sicherheitsüberprüfungen von IT-Systemen Ethical Hacking und Social Engineering Rechtliche Grundlagen und Hürden Sie sind herzlich eingeladen, am zweitägigen Intensivseminar "Sicherheitsüberprüfungen von IT-Systemen unter spezieller Berücksichtigung von Ethical Hacking und Social Engineering" teilzunehmen. Ihr nächster Termin in Olten: 29. - 30. Oktober 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event mit Detlev Sachse: Sicherheit und Auditing eines SAP-Systems:  Intensivseminar mit Detlev Sachse, SAP-Berater Sicherheit und Auditing eines SAP-Systems Für Auditoren, Sicherheitsbeauftragte und Interessierte Ihr nächster Termin in Thalwil: 15. - 16. Dezember 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event mit Frank Roselieb: Krisen erkennen, bewältigen und erfolgreich meistern:  Intensivseminar mit Frank Roselieb, Vorstandsmitglied der Deutschen Gesellschaft für Krisenmanager e.V. Krisen erkennen, bewältigen und erfolgreich meistern Wie sich Schweizer Unternehmen und Behörden auf den Ernstfall vorbereiten können. Krisensimulation, Fallbeispiele und Empfehlungen Krisensituationen erfordern Ruhe, Beherrschung und die Nase für das Richtige im richtigen Zeitpunkt, in der richtigen Art und Weise zu tun. Dieses trifft insbesondere auf Führungskräfte zu, die in Krisenzeiten „erst recht“ im Rampenlicht der Öffentlichkeit stehen. Sie müssen in der Unternehmung Leitbild sein und eine Persönlichkeit darstellen, die lange vor der Krisensituation zu einer solchen geworden ist. Ihr nächster Termin in Thalwil: 11. - 12. November 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event mit Prof. Dr. Sachar Paulus: SAP-Sicherheit: Trends, Tipps und Tricks für den Umgang mit Risiken:  Intensivseminar mit Prof. Dr. Sachar Paulus, ehemaliger Senior Vice President für Produktsicherheit bei SAP SAP-Sicherheit: Trends, Tipps und Tricks für den Umgang mit Risiken Wie Sie Ihre wichtigsten Daten erfolgreich schützen können Ihr nächster Termin in Thalwil: 18. November 2008 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Special Event mit Dr. Ulrich Zwygart: Wie trifft man Entscheidungen in schwierigen Situationen?:  Intensivseminar mit Dr. Ulrich Zwygart, ehemaliger Divisionär und Kommandant der Höheren Kaderausbildung der Schweizer Armee, Global Head Learning and Development der Deutschen Bank in London Wie trifft man Entscheidungen in schwierigen Situationen? Erfolgsfaktoren in der Entscheidungsfindung Ihr nächster Termin in Thalwil: 2. April 2009 Hier finden Sie weitere Informationen und Anmeldemöglichkeiten Quelle: Swiss Infosec AG in Bern, Sursee, Zürich < zu den Themen Jetzt Termin reservieren! Vorschau: ISMS Tool Box Roadshow vom 11.09.2008
 Wir schulen Sie – auch firmenindividuell: Firmenindividuelle Durchführung von Swiss Infosec-Themenkurse und -Lehrgänge  Beliebte firmenindividuelle Themen sind bspw. ISO 27001/27002 für IT-Mitarbeitende oder interne Auditoren, Archivierung, Datenschutz, Sicherheit am Arbeitsplatz, Umgang mit Bedrohungen, Krisen- und Evakuationsübungen. Gerne führen wir die Themenkurse und Lehrgänge auch direkt bei Ihnen im Unternehmen durch. Bei firmenindividuellen Schulungen profitieren Sie, nebst der optimaleren Atmosphäre und Organisation, kostenmässig bereits ab vier Teilnehmenden. Ihre Vorteile + Zeit- und Kostenreduktion + Vertraulichkeit + Steigerung der Effizienz + Auf Wunsch abgestimmt auf Ihre spezifischen Anforderungen Hier erfahren Sie mehr Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen eLearning: Jetzt Wissenslücken effizient und gezielt schliessen!:  Wir bieten Ihnen gerne bereits ausgearbeitete oder auf Ihre individuellen Bedürfnisse angepasste eLearning-Systeme und -Module zu den Themen Informationssicherheit, IT-Sicherheit und Datenschutz an. Das Swiss Infosec eLearning-Angebot ergänzt Ihre Aktivitäten im Bereich der Sensibilisierung und Ausbildung optimal und kosteneffizient. Ihre Vorteile + Kosteneffizient: Keine Systeminvestitionen notwendig, tiefe Kosten pro Mitarbeitendem + Schneller, gezielter und effizienter Wissenstransfer + Idealer Bestandteil einer umfassenden Awareness-Kampagne Hier erfahren Sie mehr Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen IT-SIBE: Lehrgang für Informations- und IT-Sicherheitsbeauftragte  Aus der Praxis für die Praxis! Wir führen Sie umfassend in die Grundlagen der Informations- und IT-Sicherheit ein. Diesen Lehrgang führen wir seit fast 20 Jahren erfolgreich durch – laufend aktualisiert und auf den neuesten Stand gebracht – profitieren auch Sie vom geballten Wissen jahrelanger Erfahrung. Nächster Lehrgang: 18. - 22. 08. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen IT-SIBE Vertiefung: Praktischer Vertiefungslehrgang für Informations- und IT-Sicherheitsbeauftragte  Sichern und erweitern Sie sich Ihr Fachwissen! In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE. Nächster Lehrgang: 25. - 29. 08. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen *NEU* Betrieblicher Datenschutzverantwortlicher: Lehrgang für Datenschutzverantwortliche gemäss revidiertem Datenschutzgesetz der Schweiz  In diesem Lehrgang werden Sie umfassend in die Aufgaben des Datenschutzverantwortlichen eingeführt. Sie lernen die gesetzlichen Anforderungen an die Tätigkeit kennen und können innerhalb Ihres Unternehmens den verantwortlichen Funktionen im Datenschutzbereich fachlich und kompetent zur Seite stehen. Nächster Lehrgang: 20. - 24. 10. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen Integrale Sicherheit: Lehrgang für Beauftragte der Integralen Sicherheit und Sicherheitsbeauftragte  Sicherheit ganzheitlich betrachtet! Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder facettenreiche Repetition für einen Sicherheitsbeauftragten. Nächster Lehrgang: 01. - 05. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen Technische Sicherheit: Lehrgang technische Grundlagen der IT-Sicherheit  Mehr Sicherheit dank sicherer Technik! Die Teilnehmenden erlernen die technischen Grundlagen der IT-Sicherheit. Den Kursteilnehmenden werden die Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln veranschaulicht. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen. Nächster Lehrgang: 22. - 25. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen ISO 27001 Lead Auditor: IRCA-akkreditierter Lehrgang mit offizieller Zertifizierung  Wissen und Know-how zu ISO 27001 Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO 27001 und ISO 27002 ein. Am Ende des Lehrganges erfolgt die Zertifizierung als ISO 27001 Lead Auditor. Dies ist ein IRCA-akkreditierter Lehrgang. Nächster Lehrgang: 08. - 12. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen Elektronische Archivierung: Rechtliche Anforderungen, tech. Grundlagen und praktische Umsetzung der Archivierung  Elektronische Archivierung, eine wichtige und komplexe Materie Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen. Nächster Themenkurs: 08. - 09. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen ITIL Security Management: Grundlagen, praktische Umsetzung eines effizienten ITIL-konformen Security Managements  Security Management in einer ITIL-orientierten IT-Organisation Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL-Disziplinen. Nächster Themenkurs: 18. - 19. 08. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen Kriminalität / Protokollierung / Ermittlung / Monitoring auf dem Internet: Themenkurs  Wann sprechen wir von Internet-Kriminalität? Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten. Nächster Themenkurs: 27. - 28. 10. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen Upgrade Lead Auditor BS 7799: Konvertierungskurs BS 7799 Lead Auditor zu ISO 27001 Lead Auditor  Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel in «ISO 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO 27001. Nächster Konvertierungskurs: 13. 09. 2008 Weitere Informationen und Anmeldemöglichkeiten Quelle: Ausbildungsprogramm 3-2008, Swiss Infosec AG < zu den Themen
 ISO 27001 / ISO 27002:  Führendes Know-how und über 19 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1 Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen. Der ISO 27002 beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach ISO 27001 auditiert und zertifiziert werden. Die Norm ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie. Mit ISO 27001 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Die Norm ISO 27001 hilft mittels Empfehlungen und einfach formulierten Regeln – sog. Controls – dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht zu werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitssystems ist hier die Antwort. Profitieren Sie von über 19 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater – einige davon lizenzierte ISO 27001 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI – helfen Ihnen gerne weiter! Beispiele rund um ISO 27001 und 27002: • Erarbeitung und Umsetzung ISO 27001-konformer Security Frameworks • Durchführung von ISO 27001-Sicherheitsaudits • Vorbereitung einer Zertifizierung nach ISO 27001 • Toolunterstützung bei der Umsetzung von ISO 27001-Anforderungen • Ausbildungen zu ISO 27001 und ISO 27002 Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel. Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse. Erarbeitung eines Security Frameworks Die Swiss Infosec AG erarbeitet zusammen mit den Kunden das Security Framework – eine umfassende, stufenweise aufzubauende und modulare Lösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit ISO 27001 und ISO 27002: • die Security Policy als oberstes Strategiepapier • das Security Concept mit den Anforderungen und der Sicherheitsorganisation • das Security Regelwerk (Regelkatalog) mit Sicherheitsregeln Durchführung von Sicherheitsaudits Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen. Beratung im Vorfeld einer Zertifizierung Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich ISO 27001. Unterstützung durch ISMS Tool Box Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Tool Box bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Praxis Forum. www.ismstoolbox.com Ausbildung zu ISO 27001 und ISO 27002 Nur Swiss Infosec AG bietet Ihnen Beratung und Ausbildung aus einer Hand. Das ISO 27001- und ISO 27002-Ausbildungsangebot: • Einführung ISO 27001/27002: Grundlagen und Überblick über die Normen und Standards im Bereich Informationssicherheit • Vertiefung ISO 27001/27002: Praktische Anwendung und Nutzung der Normen und Standards im Bereich Informationssicherheit • ISO 27001 Lead Auditor: IRCA-akkreditierter Lehrgang mit offizieller Zertifizierung • Upgrade Lead Auditor BS 7799 : Konvertierungskurs BS 7799 Lead Auditor zu ISO 27001 Lead Auditor Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Wir unterstützen Sie: Überbrückung von Ressourcen- oder Kompetenzengpässen: Kompetent, unkompliziert und flexibel  Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken? Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen? Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss. Kompetenz, Erfahrung und Erfolg. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT-Sicherheit zu ihren Kompetenzen. Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. Aus dem Pool der Swiss Infosec AG werden Projektleitende mit mehrjähriger Projektleitungserfahrung eingesetzt: + zur Überbrückung von Kapazitäts- und Know-how-Engpässen + zur Verstärkung Ihrer Projektteams + zur Beschleunigung von Projekten + für den Know-how-Transfer. Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer. Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild. Unsere Fachleute zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch. Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden. Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen. Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. E-Mail infosec@infosec.ch; Telefon +41 (0)41 984 12 12. Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen "Guten Tag, Herr Müller …" – Social Engineering – testen Sie die "Schwachstelle Mensch" in Ihrer Organisation: Schützen Sie Ihr Unternehmen vor Informationsabfluss  «Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen. Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können. Mehr Wissen über Social Engineering Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Security Edutainments – mit Spass & Freude Security verstehen und lernen!:  Was mit Freude, unterhaltsam und anschaulich gelernt werden kann, hinterlässt einen grösseren Eindruck und motiviert Ihre Mitarbeitenden, die Inhalte näher kennen und verstehen zu lernen! Anlässlich von 30- bis 120-minütigen Security Edutainments schult das Swiss Infosec-Team jeweils 5 bis 250 Mitarbeitende auf sehr unterhaltsame und nachweislich nachhaltige Art und Weise. Ihre Vorteile + Innovative, beliebte und nachhaltige Form der Ausbildung: ein Erlebnis! + Kosteneffizienz aufgrund hoher Teilnehmeranzahl + Sowohl als Teil einer übergeordneten Awareness-Kampagne oder als selbstständige Massnahme durchführbar Hier erfahren Sie mehr Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Informationssicherheit, dank der ISMS Tool Box: Das unentbehrliche Werkzeug für Sicherheitsbeauftragte!
Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen Ihre Mitarbeitenden beeinflussen Ihre Sicherheit: Faktor Mensch: Förderung der Awareness als zentrales Instrument  Mitarbeitende haben einen grossen Einfluss auf die Sicherheit von Systemen und Daten. Unabhängig von der Unternehmensgrösse sind daher Mitarbeitende aller Stufen auf mögliche Gefahren und Risiken hin zu sensibilisieren. Die Swiss Infosec AG bietet ihren Kunden individuell auf ihre Bedürfnisse abgestimmte Themenkurse und Lehrgänge bis hin zu umfassenden Security Awareness-Kampagnen an. Erfahren Sie hier mehr. Ihre Vorteile 1. Sie profitieren von 20 Jahren Erfahrung, Ideen und Resultaten 2. Sie erreichen eine nachhaltige Verhaltensänderung Ihrer Mitarbeitenden 3. Sie aktivieren den „Faktor Mensch“ – Ihre Mitarbeitenden werden als zentrale Faktoren Ihrer Sicherheitsaktivitäten behandelt. Erfahren Sie hier mehr. Neuer Mitarbeitender: Die Swiss Infosec AG wächst Dank interessanten und herausfordernden Mandaten können wir an dieser Stelle Roger Kaufmann als neuen Mitarbeitenden begrüssen und vorstellen. Wir heissen ihn herzlich Willkommen und wünschen ihm in seiner Funktion viele Erfolge! Herr Roger Kaufmann war zuletzt als Information Security Officer einer namhaften Rückversicherung tätig. Im Rahmen dieser Verantwortung absolvierte er den Nachdiplomkurs zum Certificate of Advanced Studies in Information Security an der Hochschule Luzern und die Ausbildung zum CISM (Certified Information Security Manager) der ISACA. Herr Kaufmann war ausserdem war für die Compliance der Information Security und die Durchführung der entsprechenden Kontrollen im Rahmen der Sarbanes-Oxley Zertifizierung verantwortlich. Seine Begeisterung für die Integrale Informationssicherheit stammt aus vielen Jahren Erfahrung in der Finanz- sowie IT-Industrie, wo er sich auch sein Rüstzeug und Flair für organisations- und prozessorientierte Problemstellungen erworben hat. Der Bereich der Information Security Awareness ist eines der besonderen Steckenpferde von Herrn Kaufmann. Quelle: Swiss Infosec AG – Bern, Sursee, Zürich < zu den Themen
 Neuerscheinungen: Der IT Security Manager: Expertenwissen für jeden IT Security Manager - Von namhaften Autoren praxisnah vermittelt: Heinrich Kersten, Gerhard Klett
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Insider Attack and Cyber Security: Beyond the Hacker (Advances in Information Security): Salvatore Stolfo, Steven M. Bellovin, Angelos D. Keromytis, Sara Sinclair, Sean W. Smith
Quelle: www.amazon.de < zu den Themen Neuerscheinungen: Kryptographie und IT-Sicherheit: Grundlagen und Anwendungen - eine Einführung: Joachim Swoboda, Stephan Spitz, Michael Pramateftakis
Quelle: www.amazon.de < zu den Themen ISO-Standard für den Schutz von Finanzdaten: Auch Ihre Bankdaten könnten betroffen sein Der technische Fortschritt bringt es mit sich, dass heute ohne grossen Aufwand an Zeit oder Geld auch grosse Mengen von Informationen gespeichert und durchforstet werden können. Dies erhöht aber auch die Gefahr, dass Unternehmen und Behörden absichtlich oder - wahrscheinlich wesentlich häufiger - unabsichtlich die Privatsphäre von Kunden, Partnern, Aktionären oder Bürgern verletzten und gegen entsprechende Bestimmungen verstossen. Dies kann einerseits juristische Folgen haben und andererseits einen grossen Imageverlust bedeuten. Das internationale Standardisierungsgremium ISO hat nun einen Standard ausgearbeitet, der inbesondere Finanzdienstleistern aber auch anderen Unternehmen helfen soll, Verstösse gegen Datenschutzbestimmungen im Bereich von finanziellen Daten zu verhindern. Der Standard ISO 22307:2008 beschreibt einen standardisierten Prozess, um die Datenschutz-Implikationen eines neu geplanten Finanzsystems zu überprüfen (Privacy Impact Assessment, PIA). Ein solches PIA, so die ISO, sollte jeweils schon in einem frühen Entwicklungsstadium eines Finanzsystems durchgeführt werden. Es soll Datenschutzlösungen und -optionen identifizieren und damit dabei helfen, Gesetze und Bestimmungen einzuhalten. Die Beschreibung des Standards kostet 114 Franken und kann bei der Schweizerischen Normen-Vereinigung SNV bestellt werden. Quelle: www.inside-it.ch; 6.6.2008 < zu den Themen Die Swiss Infosec AG ist seit 1989 das führende unabhängige Consulting- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.
|
|||||||||||||||||||||
