Swiss Infosec AG - Stellenvermittlung als neue Beratungskompetenz! Möchten Sie eine Dauerstelle im Bereich der Informationssicherheit besetzen? Oder suchen Sie eine Dauerstelle in diesem Bereich? Die Swiss Infosec AG vermittelt und sucht laufend Spezialisten im Bereich Informationssicherheit. Im Rahmen unserer Beratungsmandate und unseren vielfältigen Kontakten treffen wir häufig auf interessante, offene Stellen in mittleren und grossen Unternehmen. Diese helfen wir gerne besetzen. Möchten Sie eine Stelle besetzen oder suchen Sie eine interessante Herausforderung, so helfen wir Ihnen gerne weiter! Wir unterstützen unsere Kunden ebenfalls bei der Stellendefinition, der Auschreibung und in der Durchführung von fachbezogenen Assessments. Selbstverständlich kann die Swiss Infosec AG mit über 25 Mitarbeitenden auf Wunsch und in frei definierbarem Umfang auch Ressourcenengpässe oder die Zeit bis zur definitiven Besetzung einer Vakanz schnell und kompetent überbrücken oder ausgleichen (Bodyleasings / Stellen auf Zeit). Haben wir Ihr Interesse geweckt? Nutzen Sie unsere speziellen Kontaktformulare (>>Stelle anbieten / >>Stelle suchen) oder wenden Sie sich direkt und persönlich an die spezialisierten Berater der Swiss Infosec AG. Kontaktaufnahme: Tel.+41 31 300 73 73 oder infosec@infosec.ch
Auch 2005 mehr Phishing-Attacken: Einige Regeln und Tips Online-Banking boomt. Die Erleichterung für den Kunden, seine Geldgeschäfte schnell und bequem von zu Hause erledigen zu können, lässt die Nutzerzahlen des Online-Angebots bei den Banken in die Höhe steigen. Dieser Umstand ruft jedoch auch immer mehr Betrüger auf den Plan, die sich durch Betrugsversuche und ausgeklügelte Attacken Zugang zu den Konten der Online-Banking-User verschaffen wollen. Nachdem bereits 2004 ein markanter Anstieg von Phishing-Attacken zu verzeichnen war, rechnen die Spezialisten auch für 2005 mit einer Welle von Attacken. So hat beispielsweise der britische Security-Provider Messagelabs einen Anstieg der Phishing-Mails innerhalb eines Jahres von 279 (September 2003) auf über 2 Millionen in September 2004 verzeichnet; im November waren es bereits über 4 Millionen weltweit. Diese Zahlen lassen demnach nichts Gutes für die Zukunft erahnen. Andererseits ist durch die zunehmende und mittlerweile ständige Medienpräsenz des Themas Phishing mit einer Sensibilisierung bei den Banken und deren Kunden zu rechnen. Der Bundesverband deutscher Banken hat ein Merkblatt herausgegeben, in welchem diverse nützliche Tips und Regeln aufgelistet sind. Regel 1: Schützen Sie sensible Daten bei der Übertragung mittels offenen Netzen Regel 2: Vergewissern Sie sich, mit wem Sie es zu tun haben Regel 3: Gehen Sie sorgfältig mit sensiblen Daten und Zugangsmedien um Regel 4: Wählen Sie ein sicheres Passwort (Buchstaben/Zahlen/Sonderzeichen) Regel 5: Setzen Sie nur Programme aus vertrauenswürdiger Quelle ein Regel 6: Nutzen Sie aktuelle Programmversionen - nutzen Sie Updates Regel 7: Führen Sie regelmässig einen Sicherheitscheck auf Ihrem PC durch Regel 8: Aktivieren Sie die Sicherheitseinstellungem des Browsers Regel 9: Setzen Sie Virenscanner und zusätzliche Sicherheitssoftware ein Regel 10: Fertigen Sie regelmässig Sicherheitskopien/Backups Ihrer Daten an Neben diesen hilft jedoch schon ein gesundes Misstrauen und die Einhaltung genereller Sicherheitsregeln im Internet sowie im Umgang mit persönlichen Daten und Bankinformationen: - Sorgfalt beim Umgang mit Passwörtern, PIN (Personal Identification Number) und TAN - Überprüfung von URLs, SSL (Secure Sockets Layer) und Zertifikaten - regelmässige Updates von Virenschutz, Betriebssystem und Browser - richtige Konfiguration von Firewall und Browser - sich der Tatsache bewusst sein, dass Banken nie (!) E-Mails zwecks Einholung sensibler Informationen senden Die Informationsbroschüre des Bundesverband deutscher Banken kann hier heruntergeladen werden. Hier finden Sie weitere Informationen zu Phishing und zu Themen des Bereichs Social Engineering! Quelle: www.zdnet.de, 18.01.2005 < zu den Themen Spam kostet US-Wirtschaft 22 Milliarden pro Jahr: Studie zeigt die enormen Kosten auf Spam kostet die US-Wirtschaft pro Jahr gute 22 Milliarden US-Dollar. Dies hat die Universität von Maryland in einer Befragung von über 1000 US-Bürgern errechnet. Den Resultaten der Studie zufolge koste es den Arbeitnehmer rund 2,8 Minuten pro Tag, um die durchschnittlichen 18,5 Spam-Mails zu löschen. Auf die gesamte US-Wirtschaft hochgerechnet ergibt dies dann diese enorm hohe Summe. Trotzdem sind die Spam-Mails gerade in den USA auch erfolgreich. In der Studie gaben 4% der Befragten an, auch schon mal auf solche Mails geantwortet und Sachen bestellt bzw. gekauft zu haben. Zudem sind es immerhin auch 14%, welche die Mails vor dem Löschen lesen. Quelle: derstandart.at, 07.02.2005 < zu den Themen Phishing-Attacke oder echt?: American Express-Mail lässt Zweifel aufkommen In der heutigen Zeit, in der E-Mail zunehmends als unsicherer Dienst verschrien wird, neben den diversen Viren- und Würmer-Verbreitungen sowie den immer raffinierteren Phishing-Attacken, scheint ein Mail wie das folgende (frei aus dem englisch übersetzte) E-Mail sehr fragwürdig. Diverse American Express Card-Kunden erhielten Anfang 2005 elektronische Post: Liebe Kundinnen und Kunden Die Jahresabrechnung für 2004 ist nun fertig und online einsehbar. Damit Sie diese prüfen können, können Sie sich über folgenden Link einloggen: http://www65.americanexpress.com/clicktrk/Tracking?mid=IUYES03020050201053636024433…usw. Mit dieser Online-Abrechnung können Sie Ihre Transaktionen prüfen und nach diversen Kriterien filtern und sortieren. Bitte drucken Sie die Abrechnung aus und/oder speichern Sie sie für die weitere Verwendung auf Ihrer Festplatte. (…) Nach Prüfung der Mail schien diese wirklich echt zu sein und tatsächlich von der besagten Kreditkartenfirma zu stammen. Trotzdem ist es bei der momentanen, durchaus berechtigten Phishing-Hysterie ein bisschen fraglich, weshalb Firmen immer noch solche E-Mails an ihre Kunden senden, und dies bei der grossen Verbreitung von s/mime-fähigen Mailprogrammen (Signatur) immer noch unsigniert. Quelle: www.risks.org, 01.02.2005 < zu den Themen Ganz Taipeh ein einziger Hot-Spot: Ehrgeiziges Wireless-LAN-Projekt in Taiwan Die Stadtregierung von Taipeh, der Hauptstadt Taiwans, hat ein ehrgeiziges Projekt vor: Bis im Dezember 2005 will man die gesamte Stadt soweit mit Hot-Spots ausstatten, dass nahezu auf dem gesamten Stadtgebiet drahtloser Zugang zum Internet möglich sein wird. Quelle: www.20min.ch, 07.02.2005 < zu den Themen Bericht der Security Intelligence Services IBM: Nach den Handys bald auch Autos virenanfällig Ein von IBM erarbeiteter Bericht hat aufgrund von Befragungen, Statistiken und Daten von Regierungsbehörden, Geschäftskunden und Sicherheitsspezialisten interessante Schlüsse an den Tag gebracht. Nachdem seit letztem Jahr die ersten Viren für Handys aufgetaucht sind, befürchtet man nun den Befall von Prozessoren in Autos. Da in Fahrzeugen der Anteil an elektronischen Komponenten rasant ansteigt, und mittlerweile durchschnittlich 20 Prozessoren in einem Auto eingebaut sind, rechnet man in Zukunft auch mit Viren, die die Elektronik von Autos befallen sollen. Neben Kraftfahrzeugen gilt auch die Internet-Telefonie künftig als immer stärkeres Opfer für Sicherheitsattacken. In der Schadensbilanz für 2005 wurden über 28,000 neue Viren ausgemacht, was die Zahl der Viren insgesamt auf über 112,000 bringt. 2003 waren es "erst" 4,500 neue Viren, die entdeckt worden. Im abgelaufenen Jahr waren darüber hinaus von den 147 Mrd. von IBM für seine Kunden gescannten E-Mails 6% virenverseucht. 2003 hatte der entsprechende Wert 0,5% betragen. Der durchschnittliche Spam-Anteil stieg 2004 auf 75%, in Spitzenperioden wurden auch 95% erreicht. Die am schnellsten ansteigende Bedrohung im abgelaufenen Jahr war Phishing. Phishing-Mails stiegen um 5,000% an. Insgesamt registrierte IBM 18 Mio. Versuche, mit denen Konsumenten auf betrügerische Informationen finanzielle Informationen wie etwa Kreditkartennummern entlockt werden sollten. Quelle: www.derstandard.at, 09.02.2005 < zu den Themen Passwort-Klau von Security-Mailingliste: Sicherheitslücke in Verwaltungstool Mailman ausgenutzt Mittels einer bislang unbekannten Sicherheitslücke in der Software Mailman (Open-Source-Programm zur Verwaltung von Mailing-Listen) wurden zu Beginn des Jahres 2005 die Passwörter der Nutzer der "Full Disclosure Mailing List" gestohlen. Somit kann ein Angreifer durch die Eingabe einer fingierten Adresse eines Mitglieds in den Besitz des Passworts eines jeden anderen Mitglieds der Mailing-Liste gelangen. Problematisch ist hierbei, dass von Usern oft ein Passwort mehrmals verwendet wird, und so Zugang zu diversen Systemen und Accounts möglich wäre. "Jeder, der einen Webbrowser hat, kann eine Datei von einem angreifbaren System herunterladen, es ist ganz einfach", illustriert John Cartwright, Mitbegründer und Manager der Full Disclosure Mailing List, die Tragweite des Problems. Quelle: www.zdnet.de, 11.02.2005 < zu den Themen Liebesgrüsse von Ihrem Hacker: Schwachstelle Mensch wird ausgenutzt Was den Valentinstag betrifft, ist sich die Security-Expertenwelt einig. Der Tag der Liebe bietet sich nebst Blumen-, Parfüm- oder Schokoladengeschenke hervorragend für kriminelle Betrügereien wie Phishing oder Hacking an. Spammer locken beispielsweise mit angeblich unwiderstehlichen Geschenkideen, Phisher verführen Geschenksuchende auf gefälschte Websites und Hacker versenden Viren und Würmer in Anhängen von Valentins-Mails. E-Mails die vorgeben von einem möglichen Verehrer zu stammen, sind nachweislich sehr wirkungsvoll, wenn es darum geht, Nutzer dazu zu bringen, Sicherheitsregeln zu vergessen. Solche Nachrichten nutzen die Schwachstelle Mensch vollkommen aus. Quelle: www.silicon.de, 14. Februar 2005 < zu den Themen Handelsregister manipulierbar: Erst jetzt gibt es einen Passwort-Schutz Die Datensätze des britischen Handelsregisters konnten über Monate hinweg manipuliert werden. Erst kürzlich wurde ein Passwort-Schutz eingeführt. Bisher ist nicht bekannt, wieviele britische Unternehmen von dem Problem betroffen sind. Es war bis zuletzt sehr einfach, über das online eingereichte Formular einen beliebigen Adresswechsel für die im "Companies House" eingetragenen Unternehmen vorzunehmen. Erst die Warnungen eines Sicherheits-Unternehmens machten auf das Problem aufmerksam. Und auch das erst, nachdem Kunden des Unternehmens zum Opfer dieser Betrügereien geworden waren. Der Geschäftsleiter des Unternehmens beschreibt das Problem sehr drastisch: "Es ist schon beängstigend, dass man erst dann realisiert, dass man in einen Betrug verwickelt ist, wenn der Schuldeneintreiber an die Tür klopft und die Bezahlung der 15’000 Laptops verlangt, die im Namen des eigenen Unternehmens bestellt wurden. Um das Problem anzugehen, hat die Behörde endlich ein passwort-geschütztes Verfahren eingeführt. Doch die Teilnahme an diesem Verfahren ist zunächst einmal freiwillig. Ansonsten sieht sich die Behörde nicht im Stande, das Problem zu lösen, da es mit zuviel Aufwand verbunden sei, Änderungen der Adressen oder anderer Daten zu verifizieren. Quelle: www.pcw.co.uk, 15. Februar 2005 < zu den Themen Früher waren es "einsame" Hacker - heute die organisierte "Cybermafia": Zunahme der Bedrohungen und steigende kriminelle Energie Der "Criminology Report" des US-Sicherheitsspezialisten McAfee hat die Motivation und Art der verschiedenen Bedrohungen aus dem Netz untersucht. Demnach zeigt sich eine deutliche Tendenz weg von den einsamen, aus Prestigegründen handelnden, Hackern hin zu gut organisierten, von krimineller Motivation angetriebenen, Banden - der sogenannten "Cyber-Mafia". Die Ergebnisse der Studie zeigen auf erstaunliche Weise, in welchem Masse bereits heute das Internet für kriminelle Handlungen benutzt wird. Organisierte Banden, welche früher auf die "klassische" Art Betruge, Erpressungen und Diebstähle gemacht haben sowie Schutzgelder kassiert haben, tun dies heute online. Sie kaufen sich das nötige Wissen auf dem IT-Fachkraftmarkt ein - man spricht von "IT-Söldnertum". Quelle: www.heise.de, 11.02.2005 < zu den Themen Nutzer schlagen zurück: Spam-, Scam- und andere Betrüger-Sites aufgepasst! Die Internet-Aktivisten von "Artists against 419" (www.aa419.org) machen, was viele von Spam und Betrugssites betroffene User den Spammern wünschen - sie schiessen sie ab! Mittels sogenannten Flash-Mobs zielen sie auf Seiten, welche sie als gefälscht entlarvt haben, um sie über kurz oder lang aus dem Verkehr zu nehmen. Flash-Mobs sind Fast-DoS-Attacken auf die Websites der Betrüger, um soviel Bandbreite zu nutzen, dass der Server konstant hoch ausgelastet ist oder die beim Provider vertraglich festgelegte Menge überschreitet. Dies kann sehr einfach geschehen, indem man gezielt und in einer gewissen Regelmässigkeit Bilder von den Sites abruft, um einen bestimmten Anteil Bandbreite zu besetzen. Die Gruppe gibt vor einem solchen Flash-Mob jeweils auf ihrer Website bekannt, welche fingierten Websites, die sich nur unrechtmässig bereichern wollen, auf ihrer "Liste" sind, und erreichen oft in weniger als 48 Stunden auch ihr Ziel, dass der Provider die betroffene Seite vom Netz nimmt. Quelle: www.testticker.de, 09.02.2005 < zu den Themen IDN-Bug ermöglicht raffinierte Phishing-Methode: Sonderzeichen in Domains sind das Problem Da seit März 2004 auch die Möglichkeit besteht, Domainnamen mit Sonderzeichen zu registrieren, besteht für User nun die Gefahr, mittels einem Trick Opfer eines Phishing-Betrugsversuchs zu werden. Betroffen sind für einmal die alternativen Browser zum Microsoft Internet Explorer, da dieser den Standard nicht unterstützt. Das Problem ist bereits seit längerem bekannt. Die Unterstützung von Internationalized Domain Names (IDN) ermöglicht die Verwendung länderspezifischer Sonderzeichen. Beispielsweise können deutschsprachige Länder durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Da auch andere Sonderzeichen wie kyrillische Zeichen genutzt werden können, kann dies eben ausgenutzt werden. Unglücklicherweise sieht ein kyrillisches kleines a genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich, doch in der Adressleiste des Browsers sehen sie gleich aus. Ein Beispiel hierzu, publiziert bei heise.de: Hier ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben. Da es sich bei dem Problem nicht um einen Bug in der Browser-Software handelt, sondern um eine Schwäche der IDN-Spezifikation, ist eine schnelle Lösung nicht möglich. Quelle: www.heise.de, 07.02.2005 < zu den Themen SHA-1 ist geknackt: Suche nach Nachfolge-Algorithmen Die von einer chinesischen Forschergruppe gemeldete Möglichkeit, den Secure Hash Algorithm SHA-1 knacken zu können, beunruhigt die Fachwelt. Gelingt ein Angriff mit weniger Versuchen als mit der "Brute-Force"-Methode, also dem rein rechnerischen Ansatz, gilt ein Algorithmus als geknackt. Bei SHA-1 sind dies 2^80 Operationen, die mit roher Rechengewalt nötig sind, ihn zu knacken. Dies ist nun den chinesischen Forschern gelungen. Sie schaffen es, mittels "nur" 2^69 Operationen eine Kollision zu erhalten. Auch wenn eine Kollision - die Schaffung eines identischen Hashwertes aus zwei verschiedenen Augangsdaten - immer noch diese 2^69 Möglichkeiten braucht, was mittels heutiger Technik noch Tausende von Jahren dauern würde, muss auf die Suche eines Nachfolgealgorithmus gegangen werden. Nahezu alle sicherheitsrelevanten Anwendungen nutzen derzeit die Hash-Funktion SHA-1. Sie kommt bei digitalen Signaturen und Intergritätschecks von Software zum Einsatz. Passwörter speichern moderne Betriebssysteme nicht direkt, sondern nur deren Hash-Wert. Für die nähere Zukunft sehen die Experten einen Wechsel zur Hash-Funktion SHA-256 als ausreichend an: "Man wird sich aber über weitere Hash-Algorithmen Gedanken machen müssen", meinte ein Krypto-Experte. Quelle: www.heise.de, 16.02.2005 < zu den Themen IT-Sicherheit - Gewinn zuwenig ersichtlich: Unternehmen beachten ROSI zu wenig In der Studie „IT-Security 2004“ der Zeitschrift Informationweek und Mummert Consulting wird erneut auf die fehlende Sensibilisierung der Unternehmen im deutschen Raum im Bereich Sicherheit hingewiesen. Auch wenn die IT-Vorfälle auch 2004 gestiegen sind, wird nicht mehr in IT-Sicherheit investiert als im Vorjahr 2003. Bei 63% aller deutschen Unternehmen sind die Vorfälle in der IT angestiegen. Jedes 2. Unternehmen musste Schäden von bis zu 100,000 Euro hinnehmen. Trotzdem sparen die Firmen bei der IT-Sicherheit, weil ihnen der direkte Nutzen immer noch nicht klar ist. Die meisten Führungskräfte haben nur die Kostenseite der Investitionen vor Augen. Die Folge: Zwei von fünf Sicherheitsinvestitionen scheitern am Geld. Helfen kann den Unternehmen hier die Betrachtung des ROSI. Der Return on Security Investment zeigt IT-Verantwortlichen, wie sich ihre Investitionen in Sicherheitsmassnahmen rentieren. ROSI stellt die Entwicklungs-, System- und Organisationskosten gezielt den Erträgen – oder der Vermeidung von Verlusten – durch die gesteigerte Sicherheit gegenüber. Doch leider sind sich viele Firmen nicht einmal über die finanziellen Folgen von unsicheren Systemen im Klaren. 63% der Unternehmen können keine Auskunft darüber geben, wie viele Verstösse es im vergangenen Jahr gegen die IT-Sicherheit gegeben hat. 9% der Firmen registrierten im vergangenen Jahr mehr als 50 Verstösse. Die PC-Attacken legten oft alle Geschäftsanwendungen lahm. Bei jedem elften Angriff fiel das Firmennetzwerk mehr als einen Arbeitstag aus. Quelle: www.mummert.de, 20.02.2005 < zu den Themen Spyware auf Ehemanns PC installiert: Frau in Florida bricht Gesetz Weil sie ihrem Ehemann nicht mehr so recht traute, und eine Affäre mit einer anderen Frau via Chat vermutete, hat eine Frau in Florida Spyware - Software die Klickverhalten und Kommunikation gegen Aussen protokolliert - auf seinem Rechner installiert. Nun wurde sie unter Berufung auf das "Florida Wiretapping Law" angeklagt. Dieses untersagt jegliches absichtliche und vorsätzliche Abhören von elektronischer Kommunikation. Die Frau verteidigte sich mit der Aussage, dies sei nichts anderes als ein Browser-Logfile zu sichten, welches sowieso auf dem Computer ihres Ehemannes gewesen wäre. Der Richter jedoch sah dies anders: Er meinte, indem sie durch das Installieren der Spyware-Software gezielt die Kommnunikation des Ehemanns im Internet getrackt und geloggt habe, sei das Gesetz gebrochen worden. Quelle: www.risks.org, 16.02.2005 < zu den Themen Ferienhäuser zu „vermieten“: Internet-Betrüger festgenommen Die Polizei Essen teilte mit, dass nach monatelangen Ermittlungen gestern endlich die Verhaftung eines wohnsitzlosen Mannes gelang, gegen den bereits zwei Haftbefehle vorlagen. Der Mann hat seit Monaten via Internet Ferienhäuser, Berghütten und andere Unterkünfte in Deutschland, Österreich, Schweiz und in der Toskana angeboten. Es handelte sich dabei nicht um seine Immobilien, doch das hielt ihn nicht davon ab, diese Gebäude zu vermieten und von den Mietern, nicht selten Familien die ihren Urlaub planten, Buchungsbestätigungen und Vorauszahlungen zwischen 10 und 30 Prozent des Mietpreises zu verlangen. Die Geschäfte hat er per E-Mail und Telefon abgewickelt. Für die Abwicklung gab er das Konto seiner 78 Jahre alten ahnungslosen Mutter an, für das er über eine Bankvollmacht verfügt. Das Ausmass der Betrügereien ist noch nicht absehbar, die Ermittlungen dauern diesbezüglich noch an. Quelle: www.presseportal.de/polizeipresse, 18. Februar 2005 < zu den Themen Spyware auf dem Rechner: 2 von 3 Rechnern sind verseucht Eine Studie von IDC aus dem vergangenen November 2004 liefert erschreckende Zahlen: 67% aller Rechner sind von Spyware verseucht. Diese Software spioniert den User aus; sie liefert sowohl Klickverhalten wie auch die meisten anderen Verhaltensmuster eines PC-Nutzers an fremde Leute, welche sich unter Umständen einen Vorteil verschaffen können. Meist lädt die Software weitere unerwünschte Dateien selbständig herunter, so auch Programme, die bei Online-Käufen die Provisionen eines Kaufs an die für die Programme verantwortlichen Betrüger sendet. Seit Januar 2005 bietet Microsoft eine Betaversion des Programms AntiSpyware zum Download an. Laut Bill Gates soll das Programm für Windows-User gratis sein. "Spyware ist etwas, dass wir heute bekämpfen müssen," meinte er zu diesem Thema. Andere Sicherheits-Experten befürchten jedoch durch die Gefahr eines weiteren Monopols einer Microsoft-Software, dass diese fortan auch von Spyware-Autoren wieder einfacher ausgetrickst werden könnte. Quelle: www.derstandard.at, 18.02.2005 < zu den Themen Nicht nur ein Passwort: Missbrauch deutlich schwieriger Laut der Computing Technology Industry Association CTIA sollten User mindestens 4 Passwörter benutzen. Viele PC-Nutzer haben für die diversen Accounts stets dasselbe, da sie sich schlecht an Passwörter erinnern und dies auch bequemer ist. Doch dies ist gefährlich; schafft es ein Hacker, das Passwort zu knacken, stehen ihm oft Tür und Tor zu den diversen Netzwerken, Accounts und Applikationen offen. Dies kann schwere Konsequenzen haben, wenn ein Hacker so auf einfachste Weise und durch das fahrlässige Verhalten eines Users in Firmennetze etc. eindringen kann. Die CTIA rät, für jeden der folgenden Bereiche ein unterschiedliches Passwort zu nutzen, und dieses nach einer maximalen Dauer von 3 Monaten zu ändern: So sollten User für Firmennetze, Internet-Accounts, E-Commerce sowie Online-Banking je ein unterschiedliches Passwort verwenden. Quelle: www.thei3p.org, 22.02.2005 < zu den Themen Falsche Microsoft-E-Mail immer noch im Umlauf: Anstatt Security-Tool Spyware installiert Die seit dem 07. Februar 2005 von Microsoft publizierte Warnung über eine E-Mail, welche sich als "Windows Update" tarnt, bleibt bestehen. Die E-Mail hat eine Betreffzeile "Microsoft Windows Update" und stammt von der vermeintlichen Microsoft Adresse "security@microsoft.com". Im Body der Mail stehen Informationen zu Microsofts geplanter Anti-Piracy-Initiative. Die Empfänger werden aufgefordert, den mitgesendeten Anhang zu öffnen, um ein sogenanntes Security-Tool herunter zu laden. Die aus Rumänien stammenden Urheber der E-Mail linken den User jedoch auf eine Site, von welcher aus sich dann sogleich ein DLL-File auf dem Rechner installiert. Diese Files laden selbständig Spyware und andere Malware herunter. Microsoft sagt dazu ausdrücklich, dass die Firma nie Updates via E-Mail versendet. Quelle: www.eweek.com, 07.02.2005 < zu den Themen Einführung der Digitalen Signatur nur schleppend: Deutsche Behörden zögern Die Studie "Public Trend" des Hamburger Marktforschungsinstituts Mummert Consulting zeigt klar, dass die Einführung der digitalen Signatur in Deutschland, und somit E-Government-Lösungen wie die elektronische Steuererklärung, immer noch auf sich warten lassen. Momentan setzen nur rund 20% der Verwaltungen die elektronische Unterschrift ein. Dies hat diverse Gründe: Zwei Drittel aller Behörden meinen, die Bürger mit der Neuerung schlicht zu überfordern. Weiter finden 20% aller Führungskräfte in Verwaltungen, dass sie selbst als Behörde mit der digitalen Signatur nicht zurecht kommen würden. 60% sind zudem vom Kosten-Nutzen-Verhältnis nicht überzeugt. Die Hauptgründe für die zögerliche Einführung sind laut den Antworten der Befragten der Studie die folgenden:
Quelle: 25.02.2005, www.zdnet.de < zu den Themen Phishing - was muss der Dienstanbieter beachten?: 6-Punkte-Plan des ISC Nach einem vom ISC (Internet Storm Center) herausgegebenen Massnahmenpapier können die Dienstanbieter, deren Kunden die Opfer von Phishing sind, präventiv Phishing-Versuche verhindern helfen. Der Autor des Papiers - Johannes Ullrich - nennt 6 Punkte, die helfen können, die Sicherheit zu erhöhen: 1.Konstantes Auftreten gegen Aussen Konsistentes Branding hiflt dem User zu erkennen, ob eine Website oder ein E-Mail echt sind. Oft sind die URL einer Website oder auch die Absenderadresse eines E-Mails die einzigen Hilfen für einen User zu erkennen, von wo eine Site/E-Mail kommt. Zudem sollten auch die Inhalte immer gleich bleiben. Logos und Schriften, Art der Mitteilung etc. sollten einen Wiedererkennungseffekt geben. Wenn eine Unternehmung das Versenden von Massenmailings outgesourct hat, sollte diese sicherstellen, das der Auftragnehmer dafür sorgt, ebenfalls die bekannte Absenderadresse zu benutzen. 2. E-Mail-Eingang nach verdächtigen Bounces durchsuchen Da Phisher darauf angewiesen sind, dass ein User eine E-Mail als echt einstuft, muss er, wie in Punkt 1 beschrieben, ebenfalls als Absenderadresse diejenige brauchen, welche das "echte" Unternehmen für Mailings nutzt. Dies führt zusammen mit dem Umstand, dass Phisher wie Spammer die Mails an Tausende Adressen senden, dazu, dass etliche Mails an unbekannte Adressen gesendet werden. Demnach erhält der Absender-Mailserver eine Mail (Bounce), dass das Mail nicht zugestellt werden konnte. Mit regelmässigem Überwachen des Posteingangs kann so relativ schnell auf solche auffallenden Bounces reagiert werden und weiterer Schaden der anscheinend momentan laufenden Phishing-Attacke abgewendet werden. 3. Webserver-Logs nach verdächtigen Referrer-URL's durchsuchen Wie bei den E-Mails in Punkt 2 ist es auch bei den gefakten Websites möglich, momentan laufende Phishing-Attacken auf die eigenen Kunden relativ früh zu erkennen. Weil die Phisher ihre gefakte Site vor dem Auffliegen schützen wollen, und dem User die Echtheit der Formularanfrage o.ä. so "beweisen" wollen, indem er am Ende der Attacke auf der echten Website der Unternehmung landet, bietet dies ebefalls eine Möglichkeit der Schadensminderung bei einer Attacke. Demnach müssen die Logfiles auf dem Webserver stets nach auffallenden Referrer-URL's durchsucht werden, was bei einer Anhäufung verdächtiger Adressen auf eine Phishing-Site schliessen lässt. Die so erhaltene IP kann für weitere Untersuchungen nützlich sein. 4. Wasserzeichen etc. - Wiedererkennung von Content Phisher versuchen, ihre Site dem Original so weit als möglich anzugleichen. Dass heisst, sie kopieren meistens den HTML-Code sowie die Bilder vom Original. Dies bedingt einen vorgängigen Besuch der Website. Codierung der IP-Adresse sowie dynamisch in den HTML-Code generierte Zeitstempel sind einige der Möglichkeiten, Phishern auf die Spur zu kommen. Durch dynamisch generierte Leerzeilen innerhalb des Codes sowie dem daraus resultierenden Hashwert, Wasserzeichen in den Bildern oder auch das einfügen spezieller GET-Parameter ergeben ebenfalls die Möglichkeit, Betrugsabsichten beziehungsweise laufende Phishing-Attacken zu orten und die IP-Adresse zu ermitteln. Die hier vorgeschlagenen Methoden sind abhängig von der eigenen Web-Infrastruktur. 5. Gegenmassnahmen bereit halten Ist eine Phishing-Attacke im Gang, gibt es diverse Massnahmen und Techniken, um den Schaden klein zu halten. Da, wie in Punkt 4 beschrieben, Opfer einer Attacke oft mittels Referrer auf die eigene Site gelangen, können diese durch Erkennung der Referrer-URL beispielsweise identifiziert und/oder auf eine Warnseite umgelenkt werden. Zudem können Sie als Kunden mittels vorgängig ausgegebenen Cookies als Kunden identifiziert werden und von den unechten, aus der Masse der vom Phisher angeschriebenen E-Mail-Adressen stammenden, Empfängern herausgelesen werden. Solche Massnahmen müssen vorgängig und einmalig angedacht werden, und können einfach gestartet werden, sobald eine Phishing-Attacke als solche identifiziert wurde. 6. Organisatorische und administrative Gegenmassnahmen Auf der eigenen Unternehmenswebsite sollte stets ein Link/Kontakt angebracht sein, mittels welchem User eine vermeintliche Attacke melden können. Phishing-Angelegenheiten sollten zentriert bei einem Verantwortlichen koordiniert werden. So kann ein effektives und schnelles Handeln sichergestellt werden. Die Kunden sollten über die Gefahren informiert und sensibilisiert werden. Am Besten sind Anschauungsbeispiele; diese zeigen den Usern, wie man verhindern kann, ein Opfer zu werden und helfen Schaden sowohl für die Kunden wie auch für die Unternehmung zu mindern. Für sicherheitsrelevante Dienste wie Banken, E-Commerce, Payment-Applikationen ist eine starke Authentifizierung mittels Hardware-Token immer noch am besten. Ebenfalls helfen vorbereitete Meldungen an ISP's, beispielsweise den Aufruf eine Phishing-Site abzuschalten, wertvolle Zeit zu sparen. Weitere Informationen zu Phishing und anderen Sicherheitsthemen finden sich bei www.isc.com Quelle: www.isc.com, 14.02.2005 < zu den Themen Abhören von Mobilfunkgesprächen: Kapazitäten sind überschritten Der italienische Mobilfunk-Anbieter TIM hat einen Hilferuf an die Strafverfolgungsbehörden abgesetzt: Die Kapazitäten in Sachen Abhören von Mobilfunkgesprächen seien überschritten. Schon jetzt überstrapaziere man mit 5000 bis 7000 gleichzeitig abgehörten Gesprächen die Möglichkeiten. Seit mehreren Jahren gilt Italien, gefolgt von den Niederlanden, als besonders abhörfreudig. Die Zahl der Abhöraufträge in Italien hat sich in den letzten zwei Jahren mehr als verdoppelt. Im Jahr 2003 wurden pro 100’000 Einwohner 76 Abhörmassnahmen gerichtlich angeordnet. Im vergangenen Jahr waren es nun sogar schon 172. Zum Vergleich: Im Jahr 2003 wurden pro 100’000 Einwohnern in Deutschland 15, in England 6 und in den USA 0,5 Überwachungen angeordnet. Allerdings sind solche Statistiken aufgrund der jeweils unterschiedlichen Gültigkeitsdauer der Verfügungen schwer zu vergleichen. In Italien sind die Anordnungen nur 15 Tage gültig, in anderen europäischen Ländern gelten sie bis zu 3 Monate. Quelle: www.edri.org, 25. Februar 2005 < zu den Themen
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte: Grundkurs Der Intensivlehrgang fuer Informations- und IT-Sicherheitsbeauftragte dauert 5 Tage und beinhaltet folgende Elemente: Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingefuehrt. Die vermittelte fachliche Kompetenz erlaubt es ihnen, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten optimal wahrzunehmen. Anhand von Fallbeispielen aus der Praxis, Checklisten und Formularen lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren. Es werden alle notwendigen Kenntnisse, Methoden und Arbeitstechniken vermittelt, um die verantwortungsvolle Aufgabe des Informations- und IT-Sicherheitsbeauftragten wahrnehmen zu koennen. Die nächsten Kurse finden statt am: 14. - 18. März 2005, 9. - 13. Mai 2005, 13. - 17. Juni 2005 22. - 26. August 2005, 17. - 21. Oktober 2005, 14. - 18. November 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Kursbroschuere Swiss Infosec AG < zu den Themen Auditorenkurs nach BS7799 mit Abschlussprüfung: BS7799 Lead Auditoren-Lehrgang  Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als BS7799-Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Tutor in englischer Sprache durchgeführt. Die nächsten Kurse finden statt am: 6. - 10. Juni 2005, 5. - 9. September 2005, 5. - 9. Dezember 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Einführung BS 7799: Überblick über die Normen: Neu! Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können. Die Kursteilnehmenden lernen Inhalt und Einsatzmöglichkeiten der Norm BS 7799 kennen. Sie wissen um die Vor- und Nachteile der Norm, auch bei einer Anwendung im eigenen Unternehmen. Sie kennen die Unterschiede zwischen BS 7799 und ISO 17799. Aus dem Inhalt: - Ziel und Zweck BS 7799 - Vor- und Nachteile / Positionierung - Inhalt/Umfang der Normen BS 7799 und ISO 17799 - Struktur und Rolle des BS 7799 - Was ist ein ISMS (Informationssicherheits-Management-System)? - Wie wird der BS 7799 eingeführt und welche Vorteile hätte er für Ihr Unternehmen? - Allgemeines und Diskussion Die nächsten Kurse finden statt am: 21. März 2005, 30. August 2005, 19. September 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Vertiefung BS 7799: Anwendung und Nutzung des Standards: Neu! Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen In-formationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unterneh-men aus Effizienzgruenden unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. Welche Vorteile und Möglichkeiten bietet die Einführung des BS 7799? Welchen Nutzen hat ein ISMS und wie wird es nach BS 7799 eingeführt? Schliesslich werden Sie mit den nach der Einführung von BS 7799 durchzuführenden Controllings und Systemaudits vertraut gemacht. Im Kurs lernen die Teilnehmenden, wie man die Norm BS 7799-2:2002 anwendet, Risiken bewertet und analysiert, den Aufbau eines ISMS nach BS 7799-2:2002 plant, steuert und ueberwacht, eine Sicherheitspolitik erstellt und pflegt, Sicherheitsaudits plant, durchführt und auswertet. Aus dem Inhalt: - Nutzen eines ISMS - Rechtliche Grundlagen - Risk Management - Einführung eines ISMS nach BS 7799-2:2002 - Controlling und Systemaudits Die nächsten Kurse finden statt am: 22. - 23. März 2005, 31. August - 01. September 2005, 20. - 21. September 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Kursangebot Swiss Infosec AG: Kurse März / April 2005 Folgende Kurse der Swiss Infosec AG sind für die Monate März und April 2005 ausgeschrieben: IT-Sibe Intensivlehrgang, 14. bis 18. März 2005 Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. weitere Informationen BS7799 Einführungskurs, 21. März 2005 Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können. weitere Informationen BS7799 Vertiefungskurs, 22. bis 23. März 2005 Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. weitere Informationen Kriminalität/Protokollierung/Ermittlung/Monitoring auf dem Internet, 29. bis 30. März 2005 Die Kursteilnehmenden werden in die Lage versetzt, strafbare Inhalte zu identifizieren, die Grenzen und rechtlichen Grundlagen im Zusammenhang mit personenbezogener Protokollierung und Auswertung zu beurteilen. Die Kursteilnehmenden kennen die rechtlichen Grundlagen im Bereich Internet Kriminalität, können fundiert Anfragen von Ermittlungsbehörden bearbeiten und kennen die verfahrensrechtlichen Problembereiche. weitere Informationen Intensivkurs Datenschutzgesetz und dessen Umsetzung, 11. April 2005 Die Kursteilnehmenden können die Schutzwürdigkeit personenbezogener Daten beurteilen. Sie lernen, die Anliegen des Datenschutzes in ihren Unternehmen umzusetzen. Die Teilnehmenden kennen die gesetzlichen Vorschriften und können diese weitervermitteln. weitere Informationen Incident & Crises Management, 15. April 2005 Das Ziel dieses Kurses ist es, auf Schwerpukte der Ereignis- und Krisenvorsorge aufmerksam zu machen. Fallbeispiele aus der Praxis sollen dies veranschaulichen. Die Grundlagen und Begriffe werden erläutert und ebenso werden beispielhafte Bedrohungslagen und Szenarien aufgezeigt. weitere Informationen Verhalten in Konfliktsituationen, 21. April 2005 Die Kursteilnehmenden erhalten allgemeine Informationen über die Entstehung von Konflikten und lernen das richtige Verhalten in Konfliktsituationen. Sie machen sich in Rollenspielen ihr bisheriges Verhalten bewusst und lernen praxisorientiert neue Verhaltsoptionen kennen. weitere Informationen Information Security Awareness, 22. April 2005 Eine Kombination von Präsentation, Workshop, Einzel- und Gruppenarbeiten garantiert einen hohen Praxisbezug und eine effiziente Konkretisierung des eigenen Vorhabens unter dem Motto "Mehr Aufmerksamkeit führt zu mehr Sicherheit!". Wer sich der eigenen Risiken bewusst ist und erkennt, dass diese Risiken durch Sensibilisierungskampagnen massgeblich vermindert werden können, investiert in einen langfristigen Geschäftserfolg! weitere Informationen Quelle: Programm 3-2005 < zu den Themen
Sichere, moderne und kostenoptimierte Archivierung? Nur eine Vision?: Swiss Infosec AG als kompetenter Beratungspartner Informationssicherheit soll unter anderem die Verfuegbarkeit von Informationen gewaehrleisten. Unternehmen archivieren gewisse Klassen von Informationen aufgrund interner und externer Anforderungen. Zur Sicherstellung angemessener Archivierung sind die Informationen dementsprechend zu klassifizieren. Zu archivieren sind im Allgemeinen jene Informationen, zu deren Archivierung man rechtlich verpflichtet ist oder die dazu geeignet sind, unberechtigte Ansprueche Dritter abzuwehren. Die Bestimmungen des Obligationenrechts zur kaufmaennischen Buchfuehrung und insbesondere zur ordnungsgemaessen Fuehrung und Aufbewahrung der Buecher, Korrespondenz und Belege schreiben eine zehnjaehrige Aufbewahrungsfrist vor. Seit dem 1. Juni 2002 ist die Revision dieser Bestimmungen und der „Verordnung ueber die Fuehrung und Aufbewahrung der Geschaeftsbuecher“ (GeBüV) in der Schweiz in Kraft. Die neuen Bestimmungen ermoeglichen es, Geschaeftsbuecher, Geschaeftskorrespondenz und Belege nicht nur auf Papier, sondern auch auf anderen Informationstraegern zu fuehren und aufzubewahren. Zudem wird festgelegt, unter welchen Voraussetzungen (z.B. digitale Signatur, Zeitstempel, dokumentierte Verfahren) auch veraenderbare Informationstraeger als Speichermedium zur Archivierung zugelassen sind. Hier eroeffnen sich grosse Sparpotenziale. Die Swiss Infosec AG unterstuetzt ihre Kunden bei der effizienten und sicheren konzeptionellen und technischen Umsetzung dieser neuen Bestimmungen. Quelle: Swiss Infosec AG < zu den Themen Archivierung von E-Mail-Nachrichten: Luxus oder Notwendigkeit?: Swiss Infosec AG als kompetenter Beratungspartner E-Mail-Nachrichten koennen Geschaeftskorrespondenz darstellen und sind deshalb gegebenenfalls den Regeln der kaufmaennischen Buchfuehrung folgend aufzubewahren. Immer haeufiger fordern auch auslaendische Regulierungsbehoerden explizit die Aufbewahrung einschlaegiger E-Mail-Nachrichten, so bspw. die Securities and Exchange Commission (SEC) der USA, die Financial Services Authority in Grossbritannien und die Commission des Operations de Bourse in Frankreich, die allesamt sichere und vertrauenswuerdige Archivierung des E-Mail-Verkehrs verlangen, unter Einschluss von Audit Trail Moeglichkeiten. Die Swiss Infosec AG beantwortet ihren Kunden Fragen zur E-Mail-Archivierung: Inwieweit sollen oder muessen E-Mails archiviert werden, welche Voraussetzungen muessen vorgaengig geschaffen werden, welche konzeptionellen und technischen Anforderung sind an die eigentliche Archivierung zu stellen, wie kann der richterliche Beweiswert einer E-Mail-Nachricht opitmiert werden? Soll der Benutzer lapidar aufgefordert werden, E-Mails auszudrucken und abzulegen oder soll dies durch ein System elektronisch erledigt werden? Quelle: Swiss Infosec AG < zu den Themen Lassen Sie sich durch die Swiss Infosec zertifizieren: IT-Grundschutz-Zertifikat Das deutsche Bundesamt für Sicherheit in der Informationstechnik ist bekannt als Herausgeber des IT-Grundschutzhandbuchs. Es bietet Unternehmen nun die Moeglichkeit, sich nach IT-Grundschutz zertifizieren zu lassen. Dabei gibt es drei unterschiedliche Stufen der Qualifikation: - Selbsterklaerung "IT-Grundschutz Aufbaustufe" - Selbsterklaerung "IT-Grundschutz Einstiegsstufe" - IT-Grundschutz-Zertifikat Zusaetzlich besteht die Moeglichkeit, die Selbsterklaerung durch den Auditor bestaetigen zu lassen.. - Selbsterklaerung "IT-Grundschutz Aufbaustufe" mit Testat - Selbsterklaerung "IT-Grundschutz Einstiegsstufe"mit Testat Das Testat bestaetigt zusaetzlich, dass ein lizenzierter Auditor alle notwendigen Pruefungen für eine Selbsterklaerung durchgefuehrt hat. Bei einer Selbsterklaerung wird das BSI nie involviert. Fuer weitere Informationen melden Sie sich bitte bei: Swiss Infosec AG, Weissensteinstrasse 2b, 3008 Bern Tel. 031 300 73 73, www.infosec.ch. Quelle: Swiss Infosec AG < zu den Themen Swiss Infosec Interna: Technics: Technische Kompetenz SecureNetwork Das Arbeiten mit dem Internet ist fuer uns bereits zum Alltag geworden und es ist kaum vorstellbar, auf dieses Medium zu verzichten. Das Arbeiten mit dem Internet ist aber nicht immer ungefaehrlich. Gerade im Geschaeftsbereich passiert es immer wieder, dass Hacker in Netzwerke eindringen, darin spionieren, den Datentransfer beeintraechtigen oder sogar Daten manipulieren. Also ist es wichtig, ein „sicheres Netzwerk“ zu haben, um die Authentizitaet, Integritaet und Verfuegbarkeit von Daten zu gewaehrleisten. Die Swiss Infosec AG bietet Konzepte zur Implementierung von sicheren Internet-Verbindungen, unter Beruecksichtigung aller notwendigen Sicherheitsaspekte an. Penetration & Manual Hacking Kenne deine Feinde: Dieses Sprichwort gilt auch in der Welt der Hacker und der Cyberkriminalitaet. Um moeglichst sicher zu sein, dass implementierte Sicherheitsmechanismen auch funktionieren, sollte man diese auch moeglichst realitaetsnah testen. Sogenannte "Vulnerability Scanner" pruefen automatisiert Netzwerke und Systeme mit einem Penetration Test. Dies dient dazu, eine allgemeine Situationsanalyse ueber bekannte Sicherheitsprobleme zu erhalten. Je nach Konfiguration eines Systems koennen diese Informationen aber falsch oder unvollstaendig sein. Mittels "Manual Hacking" koennen diese Informationen ueberprueft und verifiziert werden. Mit dieser manuellen Angriffsmethode, bei welcher es auch darum geht, einen Angriff so realistisch wie moeglich nachzubilden, werden Schwachstellen geprueft oder vertieft beobachtet, welche so nicht mittels automatischer Scanner ueberpruefbar sind. Bei diesen Problemen handelt es sich meist um Sicherheitsluecken in Applikationen und Funktionen, welche ueber das externe Netz aufgerufen werden koennen. Teilweise handelt es sich aber auch um Konfigurationsfehler. Durch das breite Wissensspektrum, welches diese manuelle Angriffsmethode erfordert, braucht diese Validierung nicht nur eine grosse Erfahrung, sondern auch viel Phantasie, Kreativitaet und eine grosse Portion Wissen ueber verschiedenste Systeme, Netzwektechnologien und die "dunkle Seite". SecureMessaging In der Geschaeftswelt enthalten E-Mails oft vertrauliche Daten, die nicht für Dritte bestimmt sind. Kein Unternehmen wuerde wichtige Informationen auf einer Postkarte versenden. In der Welt der elektronischen Nachrichten hingegen ist das die Regel. Den Benutzern fehlt das Bewusstsein für die Mail-Security. Die ueberwiegende Mehrheit der Briefe geht im Klartext uebers Internet. Weil die Botschaften unverschluesselt sind, geraten sie leicht in falsche Haende und koennen von Unberechtigten gelesen, veraendert oder umgeleitet werden. Falls also Firmen vertrauliche Informationen per E-Mail verschicken, muessen sie das elektronische Medium gegenueber Angreifern schuetzen. Public-Key-Verschluesselung, Mail, Relays und Firewalls sind dabei die Mittel der Wahl. Hardening Immer wieder treten Luecken in der Sicherheit eines Netzwerks auf. Unser Auftrag ist es, diese Luecken zu finden, sie zu fuellen und das Netzwerk durch verschiedene Methoden gegen Angriffe resistent zu machen. Man koennte auch sagen, unter Hardening versteht man das „Haerten" bzw. „Sichermachen“ eines potentiellen Angriffszieles. Es werden sowohl individuell angepasste Verfahren und Methoden, als auch bewaehrte Technologieaspekte und Techniken eingesetzt. Grundlage hierfuer stellen vorhandene Richtlinien der IT-Security dar. Fuer die Aufnahme der Beduerfnisse werden unter anderem speziell entwickelte Checklisten und Fragebogen eingesetzt, deren identifizierte Abweichungen analysiert und dokumentiert werden. Quelle: Swiss Infosec AG < zu den Themen Baseline Tool: Verwaltung und der Umsetzung von Sicherheitsmassnahmen Die Swiss Infosec AG berät seit über 15 Jahren erfolgreich ihre Kunden im Bereich der Informations- und IT-Sicherheit. Basierend auf dieser Erfahrung entwickelte sich die Baselinemethode und das Baseline Tool. Baselines sind generell gültige, einfach formulierte Regeln, welche 80%-90% des gesamten Schutzbedarfes abdecken können. Das Baseline Tool unterstützt Sie bei der Verwaltung und der Umsetzung von Sicherheitsmassnahmen. Im Tool bereits enthalten und für alle Benutzer Ihres Intranets verfügbar sind die Normen ISO 17799/BS 7799 in deutsch und englisch sowie das Grundschutzhandbuch des BSI und der Baseline Katalog der Swiss Infosec AG. Möchten auch Sie: - Regelwerke schnell und einfach erarbeiten - Regelwerke mehrsprachig über das Intranet kommunizieren - Regelwerke in der Arbeitsgruppe elektronisch reviewen - direkten Zugriff auf BS7799/17799 und das Grundschutzhandbuch über das Intranet - Ordnung in Ihre Schutzobjekte bringen - Schutzobjekte und Risiken inventarisieren und klassifizieren - Verantwortliche Funktionen auf einen Blick erkennen können - Dezentrale Audits über das Intranet durchführen lassen - Die Umsetzung eines Regelwerkes planen und begleiten - Ihren Benutzern eine Security Intranet Site anbieten - Ihren Benutzern eine zentrale Linkverwaltung anbieten - Erfahrungen laufend in einem geschlossenen Kreis von Sicherheitsbeauftragten austauschen können Interessiert? Melden Sie sich bei uns, wir demonstrieren Ihnen die Möglichkeiten des Tools gerne persönlich oder besuchen Sie direkt www.baseline-tool.com. Quelle: Swiss Infosec AG < zu den Themen Social Engineering als Beratungskompetenz der Swiss Infosec AG: Social Engineering - Risikofaktor Mensch Keine noch so ausgeklügelten technischen Sicherheitsmassnahmen allein bewahren Unternehmen vor Schaden. Als grösstes Risiko und auch schwächstes Glied in der Kette ist und bleibt der eigene Mitarbeiter jene Stelle im Unternehmen, wo eine Attacke durch einfachste Mitteln gestartet werden kann und eine nicht zu unterschätzende Angriffsfläche bietet. In bösartiger Absicht werden mit Social Engineering gezielt Attacken auf sozialer Ebene ausgeführt um an sicherheitsrelevante Informationen zu gelangen. Ein Social Engineer versucht sein Opfer soweit zu manipulieren, dass dieses ihm die gewünschten Informationen direkt aushändigt, oder ihm aber die Möglichkeit zur Beschaffung eröffnet. Methodik beim Social Engineering Generell beinhaltet Social Engineering folgende Kernpunkte:
Da Angriffe eines Social Engineers schwere Folgen haben können, ist es wichtig, die Mitarbeiter einer Firma über solcherlei Attacken aufzuklären und zu sensibilisieren. Zudem sollten Sicherheitsrichtlinien eingeführt werden, die z.B. verbieten, einer Person, die sich als Mitarbeiter ausgibt, ohne gründliche Prüfung von Identität und Befugnis Daten mitzuteilen. Hier stehen wir Ihnen als kompetenter Berater mit der Durchführung von Audits zur Seite: Bei einem Social Engineering Audit decken wir die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken auf, dokumentieren und analysieren diese in Zusammenarbeit mit den Verantwortlichen und erarbeiten wirkungsvolle Massnahmen zu Verminderung oder Eliminierung des Risikos. Ein Social Engineering Audit dient insbesondere auch als Mittel zur Bewusstseinsförderung der Mitarbeitenden im Umgang mit der Sicherheit. Mit zahlreichen durchgeführten Audits bei namhaften Schweizer Grossbanken und anderen Kunden konnten wir unser Know-how beweisen und erweitern. Wir unterstützen Sie dabei,
Weitere Informationen zu Social Engineering sowie zu weiteren Beratungskompetenzen der Swiss Infosec finden Sie auf unserer Website. Quelle: Swiss Infosec AG, 02.02.2005 < zu den Themen BS7799/ISO17799 als Beratungskompetenz: Führendes Know-how und 15 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1 Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen. Der vom British Standards Institute BSI herausgegebene „British Standard 7799“ (in Europa übernommen durch ISO 17799) beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach BS 7799 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie. Mit BS7799 Teil 2 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard BS7799 hilft mittels Empfehlungen und einfach formulierten Regeln - sog. Baselines - dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitsmanagement ist hier die Antwort. Profitieren Sie von 15 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater - einige davon lizenzierte BS7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI - helfen Ihnen gerne weiter! Beispiele unseres Portfolios rund um BS7799:
Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel. Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse. Erarbeitung eines Security Frameworks Die Swiss Infosec AG erarbeitet zusammen mit dem Projektteam des Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Gesamtlösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit BS7799 /ISO 17799:
Durchführung von Sicherheitsaudits Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen. Beratung im Vorfeld einer Zertifizierung Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich BS7799. Unterstützung durch ISMS Tool Box Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Toolbox bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Expert Forum. Ausbildung zu BS7799 Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung aus einer Hand: Profitierens Sie von unserer täglichen Consulting-Erfahrung mit den BS7799-Kursen „Einführung“, „Vertiefung“ und „BS 7799 Lead Auditor“. Alle Informationen zu unserem Ausbildungsangebot finden Sie auf unserer Website. Quelle: Swiss Infosec AG, 02.02.2005 < zu den Themen
Neuerscheinungen: Fachliteratur
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der
Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
|
|||||||||||||||||||||||||||
