 Nr. 4 / April 2005 ISSN 1424-4217
Aktuelle Meldungen
|
 Der Gatekeeper-Test Sind Sie der ultimative Sicherheitsexperte? Die Suche nach dem besten IT-Sicherheits-Experten in der Schweiz und in Europa beginnt bald. Der Microsoft Gatekeeper-Test ist der massgebende Test zum Thema IT-Sicherheit. Testen Sie Ihr Wissen während zwei Wochen und messen Sie sich mit IT-Sicherheits-Spezialisten aus der Schweiz und 18 anderen Ländern. Während des Tests sind 19 Multiple-Choice und eine offene Frage zu beantworten. Pro Tag werden 2 Fragen gestellt. Spielen Sie alleine oder bilden Sie eine eigene „Mini-Liga“, um sich zusätzlich direkt mit Ihren Kollegen oder Freunden zu messen. Nutzen Sie die Chance, spielen Sie gegen Ihre Mitstreiter und stellen Sie Ihr Wissen unter Beweis. Registrieren Sie sich ab dem 4. April 2005 auf www.gatekeepertest.com. Je früher Sie sich anmelden, desto höher ist Ihre Chance, eine begehrte Wildcard zu gewinnen! Für Schnelligkeit und Agilität werden Sie zusätzlich belohnt: Je schneller Sie die Fragen beantworten, desto mehr Punkte fliessen auf Ihr Konto. Damit wachsen Ihre Chancen, als Europa’s Gatekeeper an der TechEd 2005 in Amsterdam zum Champion gekürt zu werden. Und als bester Schweizer Security Experte winkt Ihnen ein Windows® Media Center PC oder weitere attraktive Preise. Der Test beginnt ab dem 2. Mai 2005 um 10.00 Uhr und endet zwei Wochen später am 14. Mai 2005. Nehmen Sie die Herausforderung an und registrieren Sie sich jetzt auf www.gatekeepertest.com. Dort erfahren Sie auch alles Weitere über den Wettbewerb.
  Gewinner der März-Gratisverlosung Der Gewinner der Gratisverlosung anlässlich der März-Umfrage ist bekannt! Die Swiss Infosec bedankt sich bei allen Teilnehmern an der Verlosung des Apple IPod U2 Special Edition. Aus den zahlreichen Zusendungen wurde die Ziehung des/der Glücklichen vorgenommen und steht nun fest: Walter Inhelder, 8600 Dübendorf ---------------------------------------- Wir gratulieren dem Gewinner zu seinem neuen MP3-Player von Apple und wünschen viel Spass! Der Gewinner wird benachrichtigt, ansonsten wird über die Verlosung keine Korrespondenz geführt.
eBay-Funktion wird missbraucht: Phishing-Attacken per Mail im Umlauf Eine Redirect-Funktion bei eBay macht es den Phishern momentan leicht. Ein sich seit dem 12. Februar 2005 im Umlauf befindliches Phishing-Mail nutzt eine einfache Funktion aus, die auf den Servern von eBay läuft. Täuschend echte, dem Look von eBay-Mails nachempfundene E-Mails linken den User auf eine gefakte Website und fordern ihn auf, sowohl sein eBay-Passwort, ID und evtl. auch seine Adresse und Kreditkartennummer anzugeben. Die Phishing-Masche funktioniert durch das Ausnutzen des Redirect-Handlers auf den eBay-Servern. Das Vortäuschen einer vermeintlichen eBay-Adresse ist sehr einfach, wie das Beispiel zeigt: http://cgi4.ebay.com/ws/eBayISAPI.dll? MfcISAPICommand=RedirectToDomainLoginDew2434a43ajeufga3lla Doch für den User gibt es eine wichtige Grundregel, mittels welcher er sich bereits schützen kann: Immer die Adressen in der Adresszeile des Browsers direkt eingeben, und Loginseiten nie via einen Link aufrufen! Quelle: 01.03.2005, www.computerbase.de < zu den Themen Unschuldig verurteilt: Pädophilieverdacht durch infizierten Computer Ein heimlich eingeschleustes Programm auf seiner Arbeitsstation ist einem schwedischen Jurist vor 5 Jahren zum Verhängnis geworden. Als damaliger Dozent an der Uni arbeitend, wurden auf seinem PC 12,000 pornografische, zum Teil Minderjährige zeigende, Bilder gefunden. Daraufhin wurde Magnus Eriksson von der Uni entlassen und seither als Pädophiler verschrien. Er beteuerte immer seine Unschuld, konnte jedoch seit nun 5 Jahren keine Arbeit mehr finden und wurde sogar auf der Strasse angepöbelt und beschimpft. Nun brachte das Gerichtsverfahren, welches erst Ende 2004 stattfand, einen Freispruch in allen Punkten. Techniker seiner Verteidigung konnten am verseuchten Arbeitscomputer nachweisen, dass Eriksson unschuldig ist und nichts mit den Bildern zu tun hatte. Diese wurden ihm durch ein illegal eingeschleustes Programm auf die Festplatte geladen und fälschlicherweise ihm zugerechnet. Es zeigte sich, dass das Programm die Steuerung des PC's von aussen zuliess und er zudem die Bilder nie geöffnet hatte. Eriksson nach dem Freispruch, dass er trotzdem immer daran zu leiden habe, was damals passiert sei: "Der Makel des Kinderschänders ist das Schlimmste, was man in unserer Gesellschaft angehängt bekommen kann. Er bleibt hängen." Die Ächtung als vermeintlicher Pädophiler liess ihn krank werden und Schweden zeitweilig verlassen und nach Spanien ziehen. Ein Polizeisprecher bedauerte, dass die eigenen Experten das unsichtbare PC-Programm damals nicht hatten finden können. Quelle: www.heise.de, 03.03.2005 < zu den Themen Swiss Infosec AG erfolgreich: Internationales Biotechnologieunternehmen Die Swiss Infosec AG hat für ein Informationssicherheitsprojekt den Zuschlag eines international tätigen Biotech-Unternehmens erhalten. Ziel des Auftrags ist es, eine unternehmensweite Informationssicherheits-Strategie zu entwickeln, und die daraus resultierenden Sicherheitskonzepte zu erarbeiten und erfolgreich einzuführen. Dazu gehört auch die Klassifizierung der sicherheitsrelevanten Objekte und die Security Awareness-Bildung innerhalb des Unternehmens. Der Kunde sieht den Wert der Swiss Infosec-Leistungen v.a. darin, die bestehende BS7799-Zertifizierung im Bereich IT Security optimal zu ergänzen: Informationssicherheit, Integrale Sicherheit inkl. physische Aspekte und die wachsende Bedrohung durch Social Engineering-Attacken. Die angestrebte Implementierung eines Informationssicherheits-Management-Systems soll nach Erfassung der Risiken und der firmenweiten Umsetzung weiter auf seine Wirksamkeit geprüft werden und den sich ändernden Situationen angepasst werden. Ausschlaggebend für die Wahl der Swiss Infosec AG war für den Kunden deren internationale Ausrichtung sowie die Kenntnisse der diversen internationalen Regulatorien. Quelle: www.infosec.ch, 03.03.2005 < zu den Themen „Palette“: Mannequin-Roboter schnüffelt Kunden aus Die japanische Firma Flower Robotics hat einen Mannequin-Roboter, mit dem Namen „Palette“, entwickelt. Der Roboter präsentiert in glamourösen Posen eindrucksvoll die neusten Kleidungsstücke, um den Kunden die Kleider reizvoller vorzustellen. Gleichzeitig achtet das einbeinige Model aber auch auf die Einkaufstaschen der Passanten und registriert diese Informationen für Marketing-Zwecke. Der Roboter „Palette“ wird in diesem Jahr für die Bekleidungsindustrie auf den Markt kommen. Quelle: www.news.com, 28. Februar 2005 < zu den Themen Komplexe Passwörter: Gefahr zu Produktivitätsverlust Unternehmen befinden sich, wenn es um die Sicherheit von Passwörtern geht, trotz aller Aufklärung oft auf einem schmalen Grat. Je komplexer das Passwort ist, desto mehr kann die Sicherheit oder auch die Produktivität leiden. So schreiben viele Mitarbeitende ihr Passwort auf oder teilen es Arbeitskollegen mit. Das belegt jetzt eine Studie, für die das Unternehmen Safenet über 50’000 Angestellte in Frankreich, Deutschland und Grossbritannien befragt hat. Dabei stellte sich heraus, dass über die Hälfte der Mitarbeitenden ihr Passwort schriftlich notieren. Über ein Drittel vertrauten das Passwort anderen Mitarbeitenden an. Zwar stellen die meisten Unternehmen strikte Regeln für die Passwörter auf, dies führe aber dazu, dass sich die Benutzer die langen Buchstaben-Zahlen-Kombinationen nicht mehr merken können. Dazu kommt die Tatsache, dass die Zugangsberechtigungen meist bis zu sieben Mal pro Jahr gewechselt werden müssen, was für die Anwender zu zusätzlicher Verwirrung führt. Zusammengefasst wird in der Studie erwähnt, dass das häufige anrufen der firmeninternen Helpdesk zu verminderter Produktivität führe. Quelle: www.safenet.com, 8. März 2005 < zu den Themen „R b o t“ in der Migros: Schadensumme unklar Der Computerwurm „R b o t“ legte im Migros-Hochhaus am Zürcher Limmatplatz rund 2000 PCs lahm. Der Wurm hatte jegliche E-Mail-Kommunikation verunmöglicht und deshalb gingen viele Angestellte wegen der Computerpanne nach Hause. Die Migros-Mitarbeitenden erfuhren über die hausinterne Lautsprecheranlage vom unangenehmen Besucher. „R b o t“ ermöglicht Dritten den Zugriff auf den Computer, unter Umständen kann der Wurm auch Dateien verändern oder gar löschen. Nach 35 Stunden intensivster Arbeit gelang es die ersten Computer wieder in Betrieb zu nehmen. Über die Schadensumme liegen bisher keine genauen Zahlen vor. Quelle: www.computerworld.ch, 9. März 2005 < zu den Themen Verbraucherschutz im Internet: Kritik von mehreren Seiten Eine Pressemitteilung der Verbraucherzentrale Bundesverband, in der der mangelhafte Verbraucherschutz im Internet kritisiert wird, gibt wiederum dem Berliner Anwalt Niko Härting Anlass für Kritik. Der Verband verlange zwar vom Gesetzgeber ein besseres Anti-Spam-Gesetz, halte sich aber selbst im Kampf gegen Spam zurück. Der Verband habe jedenfalls die bereits zur Verfügung stehenden gesetzlichen Möglichkeiten in den vergangenen Jahren kaum ausgeschöpft. Härting weist weiter darauf hin, dass es bisher überwiegend Rechtsanwälte waren, die sich in eigener Sache auf dem Klageweg gegen den Spam-Empfang zur Wehr gesetzt haben. Das dokumentiert er auch in einer Sammlung gerichtlicher Entscheidungen in Sachen "Spam". Quelle: www.computerzeitung.de, 11. März 2005 < zu den Themen WEF-Bericht zur Nutzung von Informationstechnologie: Singapur überholt die USA – Schweiz rutscht 2 Plätze ab Im alljährlichen Bericht des World Economic Forum (WEF) bezüglich der Nutzung von Informationstechnologie übernimmt Singapur zu Lasten der USA, welche nur noch auf dem 5. Platz rangieren, die Spitzenposition. Die Schweiz rutscht 2 Plätze auf den 9. Platz ab, war jedoch im Jahr 2002 auch schon schlechter platziert. Gründe für das schlechtere Abschneiden der Schweiz liegen laut WEF-Bericht darin, dass ein breiter Graben zwischen Privatwirtschaft und den Behörden bestehe. Dies bestätigt auch der EU-Report zum Thema eGovernment, welcher am 3. März 2005 publiziert wurde. Das zu schwache Engagement des Bundes und der Kantone bezüglich der Informatiknutzung sieht der Bericht als weiteren Faktor zum schlechteren Abschneiden der Schweiz. Quelle: www.computerworld.ch, www.weforum.org, 11. März 2005 < zu den Themen Debitel wegen Spam verurteilt: Happige Strafe Der Mobilfunkhändler Debitel wurde in Dänemark als Spammer verurteilt. Mit 12’000 unerwünscht verschickten SMS und 36’000 Spam-Mails hatte das Unternehmen versucht, Kunden des Mitbewerbers Telmore abzuwerben. Dieses Unternehmen war gerade von einem weiteren Konkurrenten (TDC) übernommen worden. Die Strafe für Debitel ist happig: 2 Millionen Dänische Kronen muss das Unternehmen zahlen. Das entspricht 269’000 Euro beziehungsweise 5.60 Euro pro versandter Werbebotschaft. Quelle: www.de.news.yahoo.com, 14. März 2005 < zu den Themen Geforderte Vorratsspeicherung bei Internet-Providern: Verband kritisiert Vorgehen scharf Der deutsche Bundesinnenminister Otto Schily strebt eine Vorratsdatenspeicherung bei Internet-Providern an. Für den Verband der deutschen Internet-Wirtschaft Eco ist klar, dass Schily die verfassungsrechtlichen Grenzen überschreitet. Zudem zeigen die von Schily ausschliesslich mit der Deutschen Telekom geführten Gespräche, dass der aus mehreren Tausend Unternehmen bestehende Telekommunikationsmarkt völlig ignoriert werde. Für kleinere und mittelgrosse Provider könnte die Vorratsdatenspeicherung für zwölf Monate eine existenzbedrohende finanzielle Belastung darstellen. Zudem sei laut Eco unklar, welche Daten gespeichert werden müssten. Sollten beispielsweise auch die Logfiles von E-Mail-Servern gespeichert werden, so wäre ein Grossteil der gespeicherten Daten nutzloser Spam. Der Verband kritisiert weiter, dass die Bundesregierung bisher nicht in der Lage war, die erforderlichen Daten näher zu spezifizieren, respektive zu keiner Zeit Alternativen zu einer anlass- und verdachtsunabhängigen Vorratsdatenspeicherung in Erwägung gezogen hat. Quelle: www.de.internet.com, 15. März 2005 < zu den Themen Kundendaten von VisionGate frei einsehbar: Server vom Netz genommen Ein peinlicher Fehler ist dem Webservice-Provider VisionGate passiert. Ein beim IS-Provider Cybernet gehosteter Server von VisionGate, der alle Kundendaten enthielt, hat sich als offenes Buch erwiesen. Mittels einfachem Austauschen eines Parameters in einer URL konnten sämtliche Mails der Kunden abgerufen werden. Der Fehler wurde von einem Administrator entdeckt. Er hatte in den Log-Files eine URL entdeckt, welche den kompletten Text eines Kunden-Mails von VisionGate wiedergab. Durch einfaches Austauschen eines Parameters (Kunden-ID) in der URL konnte er so beliebig viele Mails ansehen. Das System, welches mit dem untenstehenden Werbeslogan beworben wurde, musste umgehend vom Netz genommen werden. Laut VisionGate ist man daran, einen kompletten Redesign der Applikation zu entwickeln, und behilft sich momentan mit einer provisorischen Lösung. "Ihre persönlichen und geschäftlichen Dokumente, Adressen, Telefonnummern, Passwörter, Seriennummer, Favoriten (URL-Links), Termine, Mails, Fotos und vieles mehr, können Sie verschlüsselt auf dem Visiongate-Server bei Cybernet sichern und dies alles von jedem PC -- weltweit -- mit einem persönlich definierten Passwort abrufen." Quelle: www.heise.de, 16.03.2005 < zu den Themen Bankraub als Cybercrime: Keyboard-logging Trojaner als Tatwaffe Ein Bankraub von 222 Millionen Pfund konnte in England knapp vereitelt werden. Cyber-Betrüger waren kurz davor, die in London ansässige japanische Bank Sumitomo Mitsui um diese Summe zu erleichtern. Nachdem zuerst nicht klar war, wie die Verbrecher an die entsprechenden Informationen gekommen sind, um mittels Eindringen ins Netzwerk die Summe von umgerechnet 330 Millionen Euro auf eigene Konten abzuzweigen, weiss man nun, dass sogenannte Key-Logging-Trojaner die eigentliche "Tatwaffe" waren. Mittels diesen Trojanern konnten sich die Betrüger Account-Daten und Passwörter von Bankmitarbeitern beschaffen, und durch Eindringen ins Bank-Netzwerk hätten sie den Coup dann auch landen können. Dass der Bank nun kein finanzieller Schaden entstanden ist, und die Überweisungen noch nicht getätigt wurden, obwohl die Betrüger nachweislich bereits im System waren, muss einerseits Scotland Yard sowie andererseits auch einer Portion Glück zugeschrieben werden. Der Antiviren-Spezialist Sophos hat im letzten Jahr einen Anstieg der Keyboard-logging Trojaner um das Dreifache verzeichnet. Derzeit entdecken die Experten von Sophos täglich zirka 15 neue Schädlinge, die nach diesem Verfahren vorgehen. Vor einem Jahr waren es noch fünf. Quelle: www.zdnet.de, 18.03.2005 < zu den Themen Wenn der Briefträger zweimal klingelt: Online-Betrüger enttarnt Nur Dank der Aufmerksamkeit eines Briefträgers ist es der Polizei Hagen (D) gelungen, ein Online-Betrügerpaar zu stellen. Dem Zusteller war aufgefallen, dass an einer bestimmten Türklingel an einem Mietshaus immer wieder neue Namen angebracht waren. Da ihm dies auch schon an früheren Wohnungen des ihm bekannten Mieters aufgefallen war, informierte er den Sicherheitsdienst der Post darüber. Wie sich dann herausstellte, hatten der 54 Jahre alte Mieter und seine 17 Jahre alte Tochter mehrfach bei Versandhäusern im Internet Waren bestellt und empfangen, aber nicht bezahlt. Ihnen wurden bereits 33 Straftaten nachgewiesen. Quelle: www.presseportal.de, 18. März 2005 < zu den Themen Symantec Internet Security Threat Report: Steter Anstieg an Bedrohungen Der Sicherheitsexperte und Antivirenspezialist Symantec hat seinen halbjährlichen Bericht zur Internet-Sicherheit für den Zeitraum 2. Hälfte 2004 herausgegeben. Der Trendreport, der Angriffe aus dem Netz, Schwachstellen von Applikationen und Betriebssystemen sowie die ganze Palette von Viren, Würmern etc. und ihre Auswirkungen betrachtet, zeigt auf der ganzen Linie eine weiterhin steigende Anzahl an Bedrohungen. Eine brisante Aussage kann in Bezug auf das Ausspähen von vertraulichen Daten gemacht werden. Diese werden deutlich mehr gezielt angegangen. War der Anteil von Schädlingen, welche direkt solche Daten ausspionieren, im 2. Halbjahr 2003 noch 36%, sind es nun bereits 54%. Somit steigt diese "Art" Schädling in der von Symantec geführten Top50-Liste auf. Ebenfalls markant steigen auch die Phishing-Attacken an; 366% mehr gegenüber der letzten Erhebung. Auch Spam ist und bleibt mühsam. Der Umstand, dass mit einem erneuten Anstieg von 77% mittlerweile mehr als die Hälfte aller versendeten E-Mails solche unerwünschten Werbemails sind, ist wohl einer der Gründe, weshalb der E-Mail-Dienst in seiner heutigen Form keine langfristige Zukunft mehr hat. Von 4% auf 5% stieg der Anteil an Spyware. Diese Programme sind eine ernst zu nehmende Bedrohung. Neue Windows-Viren gibt es ebenfalls genug, auch hier gehen den Schreibern solcher Malware nicht die Ideen aus, gekoppelt mit den immer neu auftretenden Schwachstellen. Der Anteil neuer Windows-Viren und -Würmer stieg auf 7360; 64% mehr als im vorhergehenden Beobachtungszeitraum. Schwachstellen in Software konnten 1403 verzeichnet werden, rund 170 mehr als beim letzten Mal. Auch in diesem Report stuft Symantec 70% der Lücken als leicht ausnutzbar ein. Jedoch lassen sich nun 97% der Lücken zur teilweisen oder vollständigen Kompromittierung eines Systems ausnutzen - davon 80% über Netzwerk oder Internet. Generell sind die Webanwendungen zu einem grossen Teil für diesen Anstieg mitverantwortlich - sie machen als Ursprung der registrierten Sicherheitslücken nach vormals 39% nun annähernd 50% aus. Die bei den Browsern veröffentlichten Sicherheitslücken betrafen zu 52,5% Mozilla, 32,5% MS Internet Explorer und zu 15% den Opera-Browser. Fast gleich blieb die Dauer zwischen Veröffentlichung einer Schwachstelle und der Herausgabe der ersten Exploits: Knapp 6,5 Tage dauerte es, bis die Sicherheitslücken ausgenutzt wurden. Quelle: 21.03.2005, www.symantec.com < zu den Themen Heikle Nutzungsbedingungen: AOL Instant Messenger User aufgepasst AOL hat seine "Terms of Use" für den Instant Messenger-Dienst abgeändert. Neben den normalen Nutzungsbedingungen, welche die meisten User sowieso nur überfliegen bzw. durchklicken, gibt es nun einen interessanten neuen Passus. (Auszug aus dem englischen Original): "By posting Content on an AIM Product, you grant AOL, its parent, affiliates, subsidiaries, assigns, agents and licensees the irrevocable, perpetual, worldwide right to reproduce, display, perform, distribute, adapt and promote this Content in any medium". Demnach kann - frei übersetzt - AOL sämtliche über den Dienst laufenden Daten frei weiternutzen, diese vertreiben und auch anderen, AOL angegliederten Firmen zur Verfügung stellen. Der Dienst wird rege benutzt; Entwickler senden sich bspw. Code hin und her, diskutieren über Programmentwicklungen, ganze Firmen nutzen den Dienst anstatt E-Mail als Inhouse-Kommunikationsmittel, Lieferanten mit Kunden und so weiter... Was dies unter Umständen für die Daten und Informationen von Unternehmen wie auch Privaten heissen kann, kann man sich vorstellen. Quelle: risks.org, 12.03.2005 < zu den Themen Swiss Infosec goes Egypt: Zufriedene Kunden machen es möglich Vom 10. - 13. März 2005 weilte die ganze Swiss Infosec AG in Hurghada, Ägypten. Die Reise ans Rote Meer wurde von der Geschäftsleitung als Dankeschön an das ganze Team organisiert; dies aufgrund hervorragendem Einsatz und der sehr guten Ergebnisse der im vergangenen Jahr 2004 durchgeführten Customer Satisfaction-Umfrage. Die Umfrage zeigte, dass unsere Kunden mit den Leistungen der Swiss Infosec sehr zufrieden sind, insbesondere wurden die Qualität, die Projektabwicklung und die damit verbundene Betreuung des Kunden sowie auch die Termintreue als sehr gut empfunden. Das Swiss Infosec Team hatte 4 herrliche Tage am Meer und hofft auf eine Wiederholung einer solchen Reise - nebst der interessanten Arbeit ein weiterer Grund, unsere Kunden auch in Zukunft erfolgreich zu beraten und zufrieden zu stellen! Vielen Dank! Sehen Sie hier einige Impressionen aus Ägypten! Quelle: Swiss Infosec, 29.03.2005 < zu den Themen Versichert gegen Viren und Würmer: Deutsche Versicherung geht neue Wege Theoretisch können in Deutschland Privatpersonen für die Verbreitung von Viren und Würmern und den daraus entstandenen Schaden haftbar gemacht werden. Denn wer wissentlich oder unwissentlich schuldhaft Viren und Würmer versendet, kann belangt werden. Diese nach geltendem deutschen Recht bestehende Möglichkeit, als Viren-Geschädigter eine Klage auf Schadenersatz einzureichen, hat die deutsche Versicherung HUK-Coburg zur Erweiterung ihrer Haftpflichtversicherung bewogen. Die Versicherung setzt jedoch den aktiven Einsatz eines Virenschutzprogrammes voraus; was dann sicher auch die Knacknuss sein wird zu beweisen, dass dieses Programm auch stets aktualisiert wurde und seinen Möglichkeiten entsprechend eingesetzt wurde. Quelle: www.golem.de, 31.03.2005 < zu den Themen
IT-Sicherheits-Seminar: 16. - 17. Juni 2005 in Sarnen/OW Teil A: IT-Sicherheitskonzepte Sicherheitsmanagement nach BS 7799 und Grundschutzhandbuch Teil B: Netzwerksicherheit Sicherheit in Netzen: Sicherheitsdienste und Schutzwerkzeuge wie Verschlüsselung, Authentifizierung, Zugriffskontrolle und sichere Firewall-Architekturen Referenten: Cornel Furrer, Managing Consultant, Swiss Infosec AG, Bern Dr. Heinrich Kersten, T-Systems ITC Security, Bonn Dr. Gerhard Klett, BASF IT-Services GmbH, Ludwigshafen Dipl.-Ing. Jürgen G. Schink, EADS Deutschland GmbH, Ulm Datum: 16.-17. Juni 2005 Ort: Sarnen/OW Seminar-Nr. 31322A/06.3841 Teilnahmegebühr: CHF 1280.- Weiter findet vom 21.-23. Juni 2005 ebenfalls in Sarnen/OW ein weiteres Seminar zum Thema SW-Qualitätssicherung (SW-QS) statt. Thema: Organisatorische, administrative, konstruktive und analytische/prüfende QS-Massnahmen für industrielle, technisch-wissenschaftliche und kommerzielle Software. Referenten: Dipl.-Ing. Dirk Mahlzahn, INTER-man Ges. für interims management mbH, Bochum Dipl.-Ing. Jürgen G. Schink, EADS Deutschland GmbH, Ulm Prof. Dr. rer. nat. Franz Schweiggert, Universität Ulm, Abteilung Angewandte Informationsverarbeitung Datum: 21.-23. Juni 2005 Ort: Sarnen/OW Seminar-Nr. 31331A/06.3842 Teilnahmegebühr: CHF 1740.- Jetzt anmelden bei: www.tae.de Technische Akademie Esslingen An der Akademie 5 D-73760 Ostfildern Tel. 0049 (0)711-34008-14 Fax. 0049-(0)711-34008-30 www.tae.de Quelle: Swiss Infosec, 03.2005 < zu den Themen
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte: Grundkurs Der Intensivlehrgang fuer Informations- und IT-Sicherheitsbeauftragte dauert 5 Tage und beinhaltet folgende Elemente: Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingefuehrt. Die vermittelte fachliche Kompetenz erlaubt es ihnen, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten optimal wahrzunehmen. Anhand von Fallbeispielen aus der Praxis, Checklisten und Formularen lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren. Es werden alle notwendigen Kenntnisse, Methoden und Arbeitstechniken vermittelt, um die verantwortungsvolle Aufgabe des Informations- und IT-Sicherheitsbeauftragten wahrnehmen zu koennen. Die nächsten Kurse finden statt am: 9. - 13. Mai 2005, 13. - 17. Juni 2005, 22. - 26. August 2005, 17. - 21. Oktober 2005, 14. - 18. November 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Kursbroschuere Swiss Infosec AG < zu den Themen Auditorenkurs nach BS7799 mit Abschlussprüfung: BS7799 Lead Auditoren-Lehrgang  Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als BS7799-Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Tutor in englischer Sprache durchgeführt. Die nächsten Kurse finden statt am: 6. - 10. Juni 2005, 5. - 9. September 2005, 5. - 9. Dezember 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Einführung BS 7799: Überblick über die Normen: Neu! Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können. Die Kursteilnehmenden lernen Inhalt und Einsatzmöglichkeiten der Norm BS 7799 kennen. Sie wissen um die Vor- und Nachteile der Norm, auch bei einer Anwendung im eigenen Unternehmen. Sie kennen die Unterschiede zwischen BS 7799 und ISO 17799. Aus dem Inhalt: - Ziel und Zweck BS 7799 - Vor- und Nachteile / Positionierung - Inhalt/Umfang der Normen BS 7799 und ISO 17799 - Struktur und Rolle des BS 7799 - Was ist ein ISMS (Informationssicherheits-Management-System)? - Wie wird der BS 7799 eingeführt und welche Vorteile hätte er für Ihr Unternehmen? - Allgemeines und Diskussion Die nächsten Kurse finden statt am: 30. August 2005, 19. September 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Vertiefung BS 7799: Anwendung und Nutzung des Standards: Neu! Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen In-formationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unterneh-men aus Effizienzgruenden unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. Welche Vorteile und Möglichkeiten bietet die Einführung des BS 7799? Welchen Nutzen hat ein ISMS und wie wird es nach BS 7799 eingeführt? Schliesslich werden Sie mit den nach der Einführung von BS 7799 durchzuführenden Controllings und Systemaudits vertraut gemacht. Im Kurs lernen die Teilnehmenden, wie man die Norm BS 7799-2:2002 anwendet, Risiken bewertet und analysiert, den Aufbau eines ISMS nach BS 7799-2:2002 plant, steuert und ueberwacht, eine Sicherheitspolitik erstellt und pflegt, Sicherheitsaudits plant, durchführt und auswertet. Aus dem Inhalt: - Nutzen eines ISMS - Rechtliche Grundlagen - Risk Management - Einführung eines ISMS nach BS 7799-2:2002 - Controlling und Systemaudits Die nächsten Kurse finden statt am: 31. August - 01. September 2005, 20. - 21. September 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG < zu den Themen Kursangebot Swiss Infosec AG: Kurse April / Mai 2005 Folgende Kurse der Swiss Infosec AG sind für die Monate April und Mai 2005 ausgeschrieben: Intensivkurs Datenschutzgesetz und dessen Umsetzung, 11. April 2005 Die Kursteilnehmenden können die Schutzwürdigkeit personenbezogener Daten beurteilen. Sie lernen, die Anliegen des Datenschutzes in ihren Unternehmen umzusetzen. Die Teilnehmenden kennen die gesetzlichen Vorschriften und können diese weitervermitteln. weitere Informationen Incident & Crisis Management, 15. April 2005 Das Ziel dieses Kurses ist es, auf Schwerpukte der Ereignis- und Krisenvorsorge aufmerksam zu machen. Fallbeispiele aus der Praxis sollen dies veranschaulichen. Die Grundlagen und Begriffe werden erläutert und ebenso werden beispielhafte Bedrohungslagen und Szenarien aufgezeigt. weitere Informationen Verhalten in Konfliktsituationen: NEU!, 21. April 2005 Die Kursteilnehmenden erhalten allgemeine Informationen über die Entstehung von Konflikten und lernen das richtige Verhalten in Konfliktsituationen. Sie machen sich in Rollenspielen ihr bisheriges Verhalten bewusst und lernen praxisorientiert neue Verhaltsoptionen kennen. weitere Informationen Information Security Awareness, 22. April 2005 Eine Kombination von Präsentation, Workshop, Einzel- und Gruppenarbeiten garantiert einen hohen Praxisbezug und eine effiziente Konkretisierung des eigenen Vorhabens unter dem Motto "Mehr Aufmerksamkeit führt zu mehr Sicherheit!". Wer sich der eigenen Risiken bewusst ist und erkennt, dass diese Risiken durch Sensibilisierungskampagnen massgeblich vermindert werden können, investiert in einen langfristigen Geschäftserfolg! weitere Informationen Windows 2003 Server: Sicherheit, 2. bis 3. Mai 2005 Die Kursteilnehmenden lernen die neuen Funktionen von Windows 2003 Server im praktischen Einsatz kennen. Als Einstieg wird auf die Betriebssystem- Mechanismen und Komponenten und deren sicherheitsrelevanten Auswirkungen eingegangen. Den Teilnehmenden werden die Schutzmechanismen, Verwundbarkeiten und Sicherheitsmassnahmen von Windows 2003 aufgezeigt. weitere Informationen Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte, 9. bis 13. Mai 2005 Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. weitere Informationen Quelle: Programm 3-2005 < zu den Themen
Social Engineering als Beratungskompetenz der Swiss Infosec AG: Social Engineering - Risikofaktor Mensch Keine noch so ausgeklügelten technischen Sicherheitsmassnahmen allein bewahren Unternehmen vor Schaden. Als grösstes Risiko und auch schwächstes Glied in der Kette ist und bleibt der eigene Mitarbeiter jene Stelle im Unternehmen, wo eine Attacke durch einfachste Mitteln gestartet werden kann und eine nicht zu unterschätzende Angriffsfläche bietet. In bösartiger Absicht werden mit Social Engineering gezielt Attacken auf sozialer Ebene ausgeführt um an sicherheitsrelevante Informationen zu gelangen. Ein Social Engineer versucht sein Opfer soweit zu manipulieren, dass dieses ihm die gewünschten Informationen direkt aushändigt, oder ihm aber die Möglichkeit zur Beschaffung eröffnet. Methodik beim Social Engineering Generell beinhaltet Social Engineering folgende Kernpunkte:
Swiss Infosec – Ihr Social Engineering-Partner Da Angriffe eines Social Engineers schwere Folgen haben können, ist es wichtig, die Mitarbeiter einer Firma über solcherlei Attacken aufzuklären und zu sensibilisieren. Zudem sollten Sicherheitsrichtlinien eingeführt werden, die z.B. verbieten, einer Person, die sich als Mitarbeiter ausgibt, ohne gründliche Prüfung von Identität und Befugnis Daten mitzuteilen. Hier stehen wir Ihnen als kompetenter Berater mit der Durchführung von Audits zur Seite: Bei einem Social Engineering Audit decken wir die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken auf, dokumentieren und analysieren diese in Zusammenarbeit mit den Verantwortlichen und erarbeiten wirkungsvolle Massnahmen zu Verminderung oder Eliminierung des Risikos. Ein Social Engineering Audit dient insbesondere auch als Mittel zur Bewusstseinsförderung der Mitarbeitenden im Umgang mit der Sicherheit. Mit zahlreichen durchgeführten Audits bei namhaften Schweizer Grossbanken und anderen Kunden konnten wir unser Know-how beweisen und erweitern. Wir unterstützen Sie dabei, Weitere Informationen zu Social Engineering sowie zu weiteren Beratungskompetenzen der Swiss Infosec finden Sie auf unserer Website. Quelle: Swiss Infosec AG, 02.02.2005 < zu den Themen BS7799/ISO17799 als Beratungskompetenz: Führendes Know-how und 15 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1 Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen. Der vom British Standards Institute BSI herausgegebene „British Standard 7799“ (in Europa übernommen durch ISO 17799) beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach BS 7799 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie. Mit BS7799 Teil 2 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard BS7799 hilft mittels Empfehlungen und einfach formulierten Regeln - sog. Baselines - dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitsmanagement ist hier die Antwort. Profitieren Sie von 15 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater - einige davon lizenzierte BS7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI - helfen Ihnen gerne weiter! Beispiele unseres Portfolios rund um BS7799: Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel. Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse. Erarbeitung eines Security Frameworks Die Swiss Infosec AG erarbeitet zusammen mit dem Projektteam des Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Gesamtlösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit BS7799 /ISO 17799: Durchführung von Sicherheitsaudits Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen. Beratung im Vorfeld einer Zertifizierung Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich BS7799. Unterstützung durch ISMS Tool Box Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Toolbox bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Expert Forum. Ausbildung zu BS7799 Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung aus einer Hand: Profitierens Sie von unserer täglichen Consulting-Erfahrung mit den BS7799-Kursen „Einführung“, „Vertiefung“ und „BS 7799 Lead Auditor“. Alle Informationen zu unserem Ausbildungsangebot finden Sie auf unserer Website. Quelle: Swiss Infosec AG, 02.02.2005 < zu den Themen
Neuerscheinungen: Fachliteratur
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
|
|||||||||||||||||||||||||||||||
