Nr. 5 / Mai 2005

ISSN 1424-4217

Meet Swiss Infosec!
29. Juni 2005, Airport Conference Center, Zürich-Kloten
Es ist wieder soweit, reservieren Sie sich den 29. Juni 2005 und melden Sie sich gleich an für unsere kostenlose, erfolgreiche Informationsveranstaltung Meet Swiss Infosec!
Erfahren Sie das Neuste aus der IT- und Informationssicherheit, Erfahrungen aus aktuellen Projekten, und spannenden Praxisberichten aktueller Social Engineering-Attacken.

Beweisen Sie mehr als 11'000 anderen bereits registrierten Sicherheitsexperten in 19 europäischen Ländern, was Sie zum Thema Sicherheit alles wissen.
Am 2. Mai gehts los - also registrieren Sie sich noch heute auf www.gatekeepertest.com und nutzen Sie die Chance grossartige Preise zu gewinnen.

Am 16. - 17. Juni 2005 findet in Sarnen/OW ein Seminar zum Thema IT-Sicherheit statt. Neben der Behandlung von Sicherheitskonzepten wird auch im speziellen über Netzwerksicherheit referiert werden. Neben diversen anderen Referenten wird auch Cornel Furrer, Managing Consultant Swiss Infosec AG an diesem Seminar sprechen.
Nähere Informationen zu diesem Anlass finden Sie hier in den News. Das Seminar wird von der Technischen Akademie Esslingen (D) organisiert und durchgeführt.

Die Auswertung der Umfrage im Newsletter März zum Thema Social Engineering liegt vor. Diese wird hier im aktuellen Newsletter sowie in verschiedenen Medien publiziert. Lesen Sie hier die ganze Pressemitteilung.


Sie erhalten diese E-Mail als Abonnent der Swiss Infosec Internet News. Die Internet Infosec News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der Informationssicherheit. Links zur An- und Abmeldung der Newslist finden Sie am Ende dieser E-Mail.


Die Themen



Aktuelle Meldungen Tagungen Kurse Mitteilungen Neuerscheinungen


Anzeige




Der Gatekeeper-Test - Sind Sie der ultimative Sicherheitsexperte?

------- Jetzt registrieren! -------
------- Am 02. Mai 2005 geht's los-------


Beweisen Sie mehr als 11'000 anderen bereits registrierten Sicherheitsexperten in 19 europäischen Ländern, was Sie zum Thema Sicherheit alles wissen. Die Suche nach dem besten IT-Sicherheitsexperten in der Schweiz und in Europa beginnt am 02. Mai 2005. Also registrieren Sie sich noch heute auf www.gatekeepertest.com und nutzen Sie die Chance grossartige Preise zu gewinnen.
Der Microsoft Gatekeeper-Test ist der massgebende Test zum Thema IT-Sicherheit. Testen Sie Ihr Wissen während zwei Wochen und messen Sie sich mit IT-Sicherheits-Spezialisten aus der Schweiz und 19 anderen Ländern. Während des Tests sind 19 Multiple-Choice und eine offene Frage zu beantworten. Pro Tag werden 2 Fragen gestellt.

Spielen Sie alleine oder bilden Sie eine eigene „Mini-Liga“, um sich zusätzlich direkt mit Ihren Kollegen oder Freunden zu messen. Nutzen Sie die Chance, spielen Sie gegen Ihre Mitstreiter und stellen Sie Ihr Wissen unter Beweis. Registrieren Sie sich jetzt auf www.gatekeepertest.com. Je schneller Sie sich anmelden, desto höher ist Ihre Chance, eine begehrte Wildcard zu gewinnen!
Für Schnelligkeit und Agilität werden Sie zusätzlich beloht: Je schneller Sie die Fragen beantworten, desto mehr Punkte fliessen auf Ihr Konto. Damit wachsen Ihre Chancen, als Europa’s Gatekeeper an der TechEd 2005 in Amsterdam zum Champion gekürt zu werden. Und als bester Schweizer Security Experte winkt Ihnen ein Windows® Media Center PC oder weitere attraktive Preise.

Der Test beginnt ab dem 02. Mai 2005 um 10.00 Uhr und endet zwei Wochen später am 14. Mai 2005. Nehmen Sie die Herausforderung an und registrieren Sie sich jetzt auf www.gatekeepertest.com. Dort erfahren Sie auch alles Weitere über den Wettbewerb.


Aktuelle Meldungen


Der nächste Handy-Virus kommt: Deinstallation nach Befall unmöglich

F-Secure, der finnische Antiviren-Spezialist, warnt erneut vor einem Handy-Virus.
Der Virenbefall von Mobiltelefonen ist noch relativ neu, und auch die Gefahr, das eigene Handy zu infizieren, ist mit ein bisschen Vorsicht eigentlich gering. Trotzdem ist die nun herausgegebene Warnung von F-Secure ernst zu nehmen:
Beim Virus handelt es sich um den Schädling "F o n t a l. A", der jedoch nur aktiv wird, wenn der Anwender eine infizierte SIS-Datei auf sein Handy lädt. Diese tritt unter dem Namen "Kill Saddam By OID500.sis" auf, was eigentlich bereits Skepsis hervorrufen sollte. Wichtige Dateien, die von seriösen Anbietern kommen, heissen bestimmt anders.

Einmal aktiviert, installiert "F o n t a l. A" selbständig 3 Dateien ins Systemverzeichnis, darunter eine mit dem Namen "appmngr.app"; sie deaktiviert den Anwendungsmanager und verhindert die Deinstallation des Schädlings sowie das Installieren anderer Anwendungen.

Quelle: www.heise.de, 07.04.2005

< zu den Themen

Neue Phishing-Masche: Gefakte Billigflieger-Sites

Anstatt zu einem niedrigem Preis in die Ferien fliegen, kann die Ticketsuche für Billigflüge auch sehr teuer enden!
Panda Software - spanischer Security-Spezialist - warnt vor einer neuen Phishing-Masche mit gefälschten Billigflieger-Sites im Internet. Sucht man mittels Suchmaschine nach Airline-Angeboten, besteht die Gefahr auf gefakte Sites zu gelangen. Wird dann auf einer solchen Site auch ein vermeintliches Ticket bestellt, ist man zur Angabe der üblichen Daten inklusive Kreditkarte und dazugehörender Nummer gezwungen. Die Bestellung wird jedoch mit dem Vermerk "Transaktion fehlgeschlagen" unterbrochen, und man wird innert kürzester Zeit sein Geld los.
Durch einen weiteren Vermerk, man könne die fehlgeschlagene Zahlung auch auf dem Postweg machen, besteht die Möglichkeit, gleich zweimal auf die Betrüger hereinzufallen.

Nach Banken- und Spielcasino-Websites ist es nun soweit, dass die Phishing-Masche mittels dem fingierten Verkauf von "normalen" Produkten versucht wird; es ist also damit zu rechnen, dass in absehbarer Zukunft auch andere Online-Angebote gefälscht werden.

Quelle: www.derstandard.at, 08.04.2005

< zu den Themen

Update Spoof bei Microsoft: Vermeintliches Update ist ein Trojaner

Eine momentan kursierende E-Mail, die vom Microsoft-Dienst Windows Update mit dem Absender update@microsoft.com zu kommen scheint, entpuppt sich als gefälscht.
In den Mails mit den verschiedenen Betreffzeilen "Urgent Windows Update", "Important Windows Update" oder "Update your windows machine" befindet sich ein Link zum angekündigten Update, der einem jedoch auf eine gefälschte Website führt, die dem Original verblüffend ähnlich sieht.
Dort steht dann das vermeintliche Sicherheitsupdate "Wupdate-20050401.exe" zum Download bereit, das mit einem Trojaner gespickt ist. Einmal installiert, ermöglicht es Crackern Zugriff auf den Rechner.
Eine Screenshot der täuschend echten Website ist bei Websense Security Labs. ersichtlich.

Quelle: www.heise.de, 09.04.2005

< zu den Themen

Grösster Betrug mit Dialern: Über 20 Millionen Euro Schaden

In Deutschland ist der bisher grösste Betrug mit Dialern - Einwahlprogrammen für Internetdienstleistungen - bekannt geworden. Die zuständige Staatsanwaltschaft Osnabrück geht von weit mehr als 100'000 Geschädigten und einer Deliktsumme von über 20 Millionen Euro aus.
Das gegen 6 Beschuldigte seit 2003 laufende Verfahren wegen bandenmässigem Betrug, Computerbetrug und Sachbeschädigung durch Datenveränderung wird immer umfangreicher, da sich viele Betrogene noch nicht gemeldet haben und zum Teil gar nichts davon wissen.

Laut der Staatsanwaltschaft hatten die 3 Hauptangeklagten über mehrere Firmen kostenpflichtige Porno-Seiten angeboten. Mittels Einwahl ins Internet mit einem Dialer wurde dem User durch eine teurere Leitung der Preis für den Besuch auf den Seiten berechnet. Dies ist meist das übliche Verfahren für kostenpflichtige Porno-Seiten und mit den entsprechenden Warn-Hinweisen für den User auch ordnungsgemäss. Die so angezeigten Dialer hatten dann jedoch beim Herunterladen der ersten Bilder die lokalen Sicherheitseinstellungen der User soweit verändert, dass Dialerschutzprogramme ausgeschaltet wurden und weitere Seiten mit (noch) höheren Gebühren nicht mehr als solche erkennbar waren.

Die Täter nutzten mehrere 0190-Nummern, dem Äquivalent zu den 0900-Nummern in der Schweiz, wovon eine alleine mindestens 850'000 Mal angerufen wurde. Laut der Staatsanwaltschaft sei alleine bei dieser Nummer mit einer Anzahl von mehr als 100'000 Geschädigten zu rechnen.
Die Einwahlnummern der Betrüger sind nun auf einer Website publiziert worden. Da solche Pornoseiten aus dem ganzen deutschsprachigen Raum angewählt wurden, sind auch Einwahlnummern für eventuelle User aus der Schweiz mit dabei:
Schweiz: 0906-636465, 0906-666935, 0906-666937, 0906-666938, 0906-750046

Die möglichen Geschädigten können sich unter http://www.dialer-os.de.gg informieren.

Quelle: www.faz.de, 06.04.2005

< zu den Themen

Spam wird Alltag - Nutzer gewöhnen sich daran: Studie sieht Spam als gegebenes Übel

Eine Studie des "Pew Internet and American Life Project", welches sich mit den Auswirkungen des Internet auf die moderne Gesellschaft befasst, hat die Wirkung von Spam auf den E-Mail-Dienst als Kommunikationsmittel untersucht. Die Befragung von 1421 Personen hat ergeben, dass sich immer weniger User über Spam ärgern. Gegenüber 77 Prozent im Vorjahr stören sich "nur" noch 67 Prozent an den unerwünschten Werbemails.
Nachdem E-Mail als Kommunikationsmittel in der letzten Zeit eine immer grösser werdende Ablehnung bzw. sogar der Untergang vorausgesagt wurde, ist das Vertrauen nun wieder gestiegen: Gegenüber 62 Prozent im Vorjahr sind es aktuell 53 Prozent, die Spam als negative Auswirkung auf E-Mail sehen; demnach zeigt die Studie, dass eine Schwächung oder gar der Untergang des Kommunikationsmediums E-Mails trotz allen Warnungen noch nicht unmittelbar bevor steht.

Trotzdem ist und bleibt Spam das grösste Übel im Internet.
Für 52 Prozent der Befragten bleibt Spam das Problem Nummer 1, noch vor anderen unangenehmen Erscheinungen wie Malware, Spyware oder gar Viren etc. Dass sich der User mittlerweile sogar an Spam gewöhnt hat, zeigen folgende Zahlen:
20 Prozent haben aufgrund der unerwünschten Werbung ihre E-Mail-Gewohnheiten geändert, 22 Prozent den Gebrauch von E-Mail deutlich eingeschränkt. Dies sind jedoch rund 7 Prozent weniger als im Vorjahr; es scheint dass man sich langsam damit abfindet. Die wenigsten Nutzer ziehen direkte Konsequenzen aus der ständigen Flut von Werbung, geschweige denn unternehmen sie den Versuch, Spam zu vermeiden. So sind es nach wie vor sogar 6 Prozent, welche auf die Werbung reagieren und angebotene Produkte kaufen. Allen voran sind die Amerikaner: Sie sind sowohl in der Verbreitung von Spam wie auch im Kaufen der beworbenen Angebote deutlich an der Spitze.

Quelle: www.zdnet.de, 12.04.2005

< zu den Themen

Papstbeerdigung für Spam missbraucht: Geschmacklose Masche

Der Tod des Papstes wurde sicherlich nicht von allen Menschen mit derart grossen Emotionen verbunden, wie es bei vielen katholischen Gläubigen der Fall war. Dennoch dürfte kaum ein normaler Mensch auf die Idee kommen, dieses Ereignis für einen billigen Werbetrick zu missbrauchen. Doch was ist in der Welt der Spammer schon normal? Dort kursieren Spam-Mails, in denen kostenlose Bücher des Papstes versprochen werden. Der angegebene Link führt dann aber zu einer Umleitungsseite, auf der für kostenlose Geheimtipps zum Geldmachen geworben wird.

Quelle: www.sophos.com, 11. April 2005

< zu den Themen

Patentstreit in Sicht: Verletzen digitale Videorecorder JPEG-Patent?

Forgent Networks, berühmtberüchtigt wegen seines umstrittenen Patents auf der JPEG-Komprimierung, hat es nun auf die Hersteller digitaler Videorecorder abgesehen. Angeblich sind die bei diesen Geräten eingesetzten Verfahren durch Patente des Unternehmens geschützt. Man wird also damit rechnen müssen, dass Forgent auch in diesem Bereich seine Patentansprüche geltend machen wird. Die Kriegskasse des Unternehmens ist für die anstehenden Rechtsstreitigkeiten jedenfalls wohl gefüllt. Es wird geschätzt, dass das JPEG-Patent bis jetzt etwa 100 Millionen Dollar an Lizenzzahlungen gebracht hat.

Quelle: www.news.com, 8. April 2005

< zu den Themen

„K e l v i r“-Wurm legt Reuters lahm: Zwei Tage Netzwerk-Ausfall

Die Londoner Zentrale von Reuters musste ihr durch den „K e l v i r“-Wurm verseuchtes System während gut zwei Tagen vom Netz nehmen. Offenbar durch einen gezielten Angriff hatte sich vergangene Woche ein gefährlicher Wurm in das Instant-Messaging-Netz (IM) vom Nachrichtendienst Reuters eingeschlichen. Die Variante „W 3 2 / K e l v i r – R e“ wurde am vergangenen Donnerstag bemerkt und erst am Freitag konnte Reuters ihr Netzwerk wieder in Betrieb nehmen. Um weiterem Schaden vorzubeugen hat Reuters das System heruntergefahren und erst nach der Installation verschiedener Filter wieder in Betrieb genommen. Nach eigenen Angaben seien einzig Anwender im Reuters-Netzwerk vom Ausfall betroffen gewesen.

Quelle: www.silicon.de, www.reuters.co.uk, 18. April 2005

< zu den Themen

Dialer-Mafia in Deutschland: Betrug im grossen Massstab

Bei den Ermittlungen zum bisher grössten Fall von Dialer-Betrug in Deutschland zeichnet sich eine gewaltige Zahl von Geschädigten ab. Mehr als 50’000 Internet- Nutzer mussten oft horrende Rechnungen zahlen. Die Opfer wurden mittels so genannter Dialer beim Besuch von Internetseiten zu teuren Einwahlen umgeleitet. Der Schaden liegt bei 20 Millionen Euro.

Da allein für eine der 20 gebührenpflichtigen Nummern 850’000 Telefondaten gefunden wurden, sei wahrscheinlich sogar eine Zahl von mehr als 100’000 Geschädigten anzunehmen, sagte der zuständige Staatsanwalt in Osnabrück. Drei Verdächtige sollen von Anfang 2002 bis August 2003 tätig gewesen sein. Einer war in Haft und wurde wieder entlassen, ein Zweiter sitzt noch immer im Gefängnis und der Dritte ist in Lettland und versucht seine Auslieferung zu verhindern, weil gegen ihn ein Haftbefehl vorliegt.

Quelle: www.n-tv.de, 16. April 2005

< zu den Themen

Charakterwechsel bei Viren: Nicht Verbreitung um jeden Preis, sondern Kontrolle

Die Virenschreiber wechseln zunehmend ihre Strategie.
Waren früher Viren um jeden Preis darauf bedacht, sich so schnell wie möglich weltweit zu verbreiten, so versuchen sie heute vor allem, die befallenen Rechner gezielt auszuspähen.
Viele frühere Viren hatten meist auch keinen eigentlichen "Auftrag", heute enthalten sie fast alle eine Backdoor oder einen Trojaner.

Damit die Viren nicht sofort von den Antivirenspezialisten entdeckt werden und den Level eines Ausbruchs (Outbreak) nicht erreichen, kommen heutzutage verschiedene Varianten eines Virus auf einmal, wovon die einzelnen als nicht allzu gefährlich eingestuft werden. Virenschreiber achten zum Teil gezielt darauf, dass ihre Sprösslinge nicht zu sehr auffallen und kontrollieren den Bekanntheitsgrad mittels Varianten.

Quelle: www.heise.de, 16.04.2005

< zu den Themen

Probleme beim DHL-Online-Service für Packete: Sicherheitslücke geschlossen

Ein Aufmerksamer Leser der Zeitschrift c't hat eine Sicherheitslücke im elektronischen Packet-System der DHL entdeckt. Durch den Fehler im System sei es möglich gewesen, dass Packete anderer Kunden hätten abgeholt werden können und somit abhanden gekommen wären.
Dies hätte für DHL zu einem finanziellen Schaden von unbekannter Grösse werden können. Auch die Reputation von DHL hätte sicher darunter gelitten, wenn sich dieser Vorfall tatsächlich ereignet hätte.
Laut Presseabteilung ist dem Kundendienst von DHL kein solcher Fall bekannt und bei Bekanntwerden der Sicherheitslücke hat DHL nach eigenen Angaben umgehend ein Hotfix eingespielt.
Dem aufmerksamen Leser, der die Lücke entdeckt hat, wolle man mit einem Nachtessen für seine Hilfe danken

Quelle: www.heise.de, 19.04.2005

< zu den Themen



Tagungen


IT-Sicherheits-Seminar: 16. - 17. Juni 2005 in Sarnen/OW

Teil A: IT-Sicherheitskonzepte
Sicherheitsmanagement nach BS 7799 und Grundschutzhandbuch

Teil B: Netzwerksicherheit
Sicherheit in Netzen: Sicherheitsdienste und Schutzwerkzeuge wie Verschlüsselung, Authentifizierung, Zugriffskontrolle und sichere Firewall-Architekturen

Referenten:
Cornel Furrer, Managing Consultant, Swiss Infosec AG, Bern
Dr. Heinrich Kersten, T-Systems ITC Security, Bonn
Dr. Gerhard Klett, BASF IT-Services GmbH, Ludwigshafen
Dipl.-Ing. Jürgen G. Schink, EADS Deutschland GmbH, Ulm

Datum: 16.-17. Juni 2005
Ort: Sarnen/OW
Seminar-Nr. 31322A/06.3841
Teilnahmegebühr: CHF 1280.-


Weiter findet vom 21.-23. Juni 2005 ebenfalls in Sarnen/OW ein weiteres Seminar zum Thema SW-Qualitätssicherung (SW-QS) statt.
Thema:
Organisatorische, administrative, konstruktive und analytische/prüfende QS-Massnahmen für industrielle, technisch-wissenschaftliche und kommerzielle Software.

Referenten:
Dipl.-Ing. Dirk Mahlzahn, INTER-man Ges. für interims management mbH, Bochum
Dipl.-Ing. Jürgen G. Schink, EADS Deutschland GmbH, Ulm
Prof. Dr. rer. nat. Franz Schweiggert, Universität Ulm, Abteilung Angewandte Informationsverarbeitung

Datum: 21.-23. Juni 2005
Ort: Sarnen/OW
Seminar-Nr. 31331A/06.3842
Teilnahmegebühr: CHF 1740.-

Jetzt anmelden bei: www.tae.de

Technische Akademie Esslingen
An der Akademie 5
D-73760 Ostfildern
Tel. 0049 (0)711-34008-14
Fax. 0049-(0)711-34008-30
www.tae.de

Quelle: Swiss Infosec, 03.2005

< zu den Themen



Kurse


Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte: Grundkurs

Der Intensivlehrgang fuer Informations- und IT-Sicherheitsbeauftragte dauert 5 Tage und beinhaltet folgende Elemente:
Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingefuehrt. Die vermittelte fachliche Kompetenz erlaubt es ihnen, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten optimal wahrzunehmen.
Anhand von Fallbeispielen aus der Praxis, Checklisten und Formularen lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren. Es werden alle notwendigen Kenntnisse, Methoden und Arbeitstechniken vermittelt, um die verantwortungsvolle Aufgabe des Informations- und IT-Sicherheitsbeauftragten wahrnehmen zu koennen.
Die nächsten Kurse finden statt am: 9. - 13. Mai 2005, 13. - 17. Juni 2005, 22. - 26. August 2005,
17. - 21. Oktober 2005, 14. - 18. November 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.

Quelle: Kursbroschuere Swiss Infosec AG

< zu den Themen

Auditorenkurs nach BS7799 mit Abschlussprüfung: BS7799 Lead Auditoren-Lehrgang



Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als BS7799-Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Tutor in englischer Sprache durchgeführt.
Die nächsten Kurse finden statt am: 6. - 10. Juni 2005, 5. - 9. September 2005, 5. - 9. Dezember 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.


Quelle: Swiss Infosec AG

< zu den Themen

Kurs Einführung BS 7799: Überblick über die Normen

Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können.
Die Kursteilnehmenden lernen Inhalt und Einsatzmöglichkeiten der Norm BS 7799 kennen. Sie wissen um die Vor- und Nachteile der Norm, auch bei einer Anwendung im eigenen Unternehmen. Sie kennen die Unterschiede zwischen BS 7799 und ISO 17799.

Aus dem Inhalt:
- Ziel und Zweck BS 7799
- Vor- und Nachteile / Positionierung
- Inhalt/Umfang der Normen BS 7799 und ISO 17799
- Struktur und Rolle des BS 7799
- Was ist ein ISMS (Informationssicherheits-Management-System)?
- Wie wird der BS 7799 eingeführt und welche Vorteile hätte er für Ihr Unternehmen?
- Allgemeines und Diskussion

Die nächsten Kurse finden statt am: 30. August 2005, 19. September 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG

< zu den Themen

Kurs Vertiefung BS 7799: Anwendung und Nutzung des Standards

Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen In-formationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unterneh-men aus Effizienzgruenden unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. Welche Vorteile und Möglichkeiten bietet die Einführung des BS 7799? Welchen Nutzen hat ein ISMS und wie wird es nach BS 7799 eingeführt? Schliesslich werden Sie mit den nach der Einführung von BS 7799 durchzuführenden Controllings und Systemaudits vertraut gemacht.
Im Kurs lernen die Teilnehmenden, wie man die Norm BS 7799-2:2002 anwendet, Risiken bewertet und analysiert, den Aufbau eines ISMS nach BS 7799-2:2002 plant, steuert und ueberwacht, eine Sicherheitspolitik erstellt und pflegt, Sicherheitsaudits plant, durchführt und auswertet.

Aus dem Inhalt:
- Nutzen eines ISMS
- Rechtliche Grundlagen
- Risk Management
- Einführung eines ISMS nach BS 7799-2:2002
- Controlling und Systemaudits

Die nächsten Kurse finden statt am: 31. August - 01. September 2005, 20. - 21. September 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG

< zu den Themen

Kursangebot Swiss Infosec AG: Kurse Mai / Juni 2005

Folgende Kurse der Swiss Infosec AG sind für die Monate Mai und Juni 2005 ausgeschrieben:

Windows 2003 Server: Sicherheit, 2. bis 3. Mai 2005
Die Kursteilnehmenden lernen die neuen Funktionen von Windows 2003 Server im praktischen Einsatz kennen. Als Einstieg wird auf die Betriebssystem- Mechanismen und Komponenten und deren sicherheitsrelevanten Auswirkungen eingegangen. Den Teilnehmenden werden die Schutzmechanismen, Verwundbarkeiten und Sicherheitsmassnahmen von Windows 2003 aufgezeigt.
weitere Informationen


Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte, 9. bis 13. Mai 2005
Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen.
weitere Informationen


Verhalten in Konfliktsituationen, 3. Juni 2005
Die Kursteilnehmenden erhalten allgemeine Informationen über die Entstehung von Konflikten und lernen das richtige Verhalten in Konfliktsituationen. Sie machen sich in Rollenspielen ihr bisheriges Verhalten bewusst und lernen praxisorientiert neue Verhaltsoptionen kennen.
weitere Informationen


BS7799-Auditor Lehrgang mit offizieller Zertifizierung, 6. bis 10. Juni 2005
Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als BS7799-Lead Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Tutor in englischer Sprache durchgeführt.
weitere Informationen


Intensivlehrgang Vorbereitung CISSP, 9. bis 15. Juni 2005
Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmer auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur.
weitere Informationen


Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte, 13. bis 17. Juni 2005
Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen.
weitere Informationen


Kriminalität/Protokollierung/Ermittlung/Monitoring auf dem Internet, 20. bis 21. Juni 2005
Der Kursteilnehmer wird in die Lage versetzt, strafbare Inhalte zu identifizieren, die Grenzen und rechtlichen Grundlagen im Zusammenhang mit personenbezogener Protokollierung und Auswertung zu beurteilen. Der Kursteilnehmer kennt die rechtlichen Grundlagen im Bereich Internet Kriminalität. Der Kursteilnehmer kann fundiert Anfragen von Ermittlungsbehörden bearbeiten. Der Kursteilnehmer kennt die verfahrensrechtlichen Problembereiche.
weitere Informationen


Management-Einführung Informations- und IT-Sicherheit, 24. Juni 2005
Die Kursteilnehmenden werden umfassend und systemneutral in die praxisorientierten Grundlagen der Informations- und Informatiksicherheit eingeführt. Die Teilnehmenden lernen die Bedeutung des Themas für das Unternehmen und verschiedene Möglichkeiten, Informationssicherheit innerhalb des Unternehmens zu integrieren und auszubauen. Die entscheidenden Informationen für den Aufbau einer geeigneten Sicherheitsorganisation im eigenen Unternehmen werden vermittelt.
weitere Informationen


Technische Sicherheit, 27. bis 30. Juni 2005
Die Kursteilnehmenden kennen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Internetdienste aus dem Blickwinkel der Sicherheit funktionieren. Diesbezüglich werden Sicherheitskonzepte und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln den Teilnehmenden veranschaulicht. Durch das Ausführen von Attacken gegen Zielsysteme in einer Testumgebung lernen sie die Vorgehensweise eines Angreifers praktisch kennen.
weitere Informationen



Quelle: Programm 3-2005

< zu den Themen



Mitteilungen


Social Engineering als Beratungskompetenz der Swiss Infosec AG: Social Engineering - Risikofaktor Mensch

Keine noch so ausgeklügelten technischen Sicherheitsmassnahmen allein bewahren Unternehmen vor Schaden. Als grösstes Risiko und auch schwächstes Glied in der Kette ist und bleibt der eigene Mitarbeiter jene Stelle im Unternehmen, wo eine Attacke durch einfachste Mitteln gestartet werden kann und eine nicht zu unterschätzende Angriffsfläche bietet.
In bösartiger Absicht werden mit Social Engineering gezielt Attacken auf sozialer Ebene ausgeführt um an sicherheitsrelevante Informationen zu gelangen. Ein Social Engineer versucht sein Opfer soweit zu manipulieren, dass dieses ihm die gewünschten Informationen direkt aushändigt, oder ihm aber die Möglichkeit zur Beschaffung eröffnet.

Methodik beim Social Engineering
Generell beinhaltet Social Engineering folgende Kernpunkte:
  • Vertrauensgewinnung des "Opfers"
  • Kommunikation im Fachjargon des Unternehmens
  • Vortäuschen eine Autoritätsperson zu sein
  • Vortäuschung von verschiedenen Stimmungslagen (hektisch, ärgerlich, freundlich)
  • Selbst ein Problem verursachen und als "Retter in der Not" agieren
  • Personen ohne Fachwissen zu sicherheitsgefährdenden Aktionen bewegen
  • Durchsuchung von Müllanlagen der Zielperson/des Zielunternehmens
  • usw.

    • Swiss Infosec – Ihr Social Engineering-Partner
    Da Angriffe eines Social Engineers schwere Folgen haben können, ist es wichtig, die Mitarbeiter einer Firma über solcherlei Attacken aufzuklären und zu sensibilisieren. Zudem sollten Sicherheitsrichtlinien eingeführt werden, die z.B. verbieten, einer Person, die sich als Mitarbeiter ausgibt, ohne gründliche Prüfung von Identität und Befugnis Daten mitzuteilen.

    Hier stehen wir Ihnen als kompetenter Berater mit der Durchführung von Audits zur Seite:
    Bei einem Social Engineering Audit decken wir die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken auf, dokumentieren und analysieren diese in Zusammenarbeit mit den Verantwortlichen und erarbeiten wirkungsvolle Massnahmen zu Verminderung oder Eliminierung des Risikos. Ein Social Engineering Audit dient insbesondere auch als Mittel zur Bewusstseinsförderung der Mitarbeitenden im Umgang mit der Sicherheit.

    Mit zahlreichen durchgeführten Audits bei namhaften Schweizer Grossbanken und anderen Kunden konnten wir unser Know-how beweisen und erweitern.

    Wir unterstützen Sie dabei,
  • realitätsnah die Sensibilität, die Kenntnisse und das Verhalten Ihrer Mitarbeiter in den verschiedenen Sicherheitsbereichen zu überprüfen.
  • Ihren Verantwortlichen eine Rückmeldung auf vorgängig durchgeführte Awareness-Kampagnen wie Schulungen, Rundschreiben usw. zu geben.
  • einige Grundlagen für die Weiterentwicklung Ihrer Sicherheitsschulungen zu erarbeiten.
  • alle Beteiligten zu sensibilisieren und um ihre – für die Sicherheit erforderlichen – Verhaltensweisen nachhaltig einzuhalten.
  • ihr schwächstes Glied in der Sicherheitskette zu überprüfen und damit Risiken wie Gefährdung des Lebens, Imageverlust, materielle und finanzielle Verluste zu minimieren.


    • Weitere Informationen zu Social Engineering sowie zu weiteren Beratungskompetenzen der Swiss Infosec finden Sie auf unserer Website.

    Quelle: Swiss Infosec AG, 02.02.2005

    < zu den Themen

    BS7799/ISO17799 als Beratungskompetenz: Führendes Know-how und 15 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1

    Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen.

    Der vom British Standards Institute BSI herausgegebene „British Standard 7799“ (in Europa übernommen durch ISO 17799) beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach BS 7799 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie.

    Mit BS7799 Teil 2 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard BS7799 hilft mittels Empfehlungen und einfach formulierten Regeln - sog. Baselines - dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitsmanagement ist hier die Antwort.

    Profitieren Sie von 15 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater - einige davon lizenzierte BS7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI - helfen Ihnen gerne weiter!

    Beispiele unseres Portfolios rund um BS7799:
  • Erarbeitung und Umsetzung BS7799 konformer Security Frameworks
  • Durchführung von BS7799 Sicherheitsaudits
  • Vorbereitung einer Zertifizierung nach BS 7799
  • Toolunterstützung bei der Umsetzung von BS7799 Anforderungen
  • Ausbildungen zu BS7799


    • Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel.
    Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse.

    Erarbeitung eines Security Frameworks
    Die Swiss Infosec AG erarbeitet zusammen mit dem Projektteam des Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Gesamtlösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit BS7799 /ISO 17799:
  • die Security Policy als oberstes Strategiepapier
  • das Security Concept mit den Anforderungen und der Sicherheitsorganisation
  • das Security Regelwerk (Baselinekatalog) mit Sicherheitsregeln


    • Durchführung von Sicherheitsaudits
    Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen.

    Beratung im Vorfeld einer Zertifizierung
    Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich BS7799.

    Unterstützung durch ISMS Tool Box
    Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Toolbox bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Expert Forum.

    Ausbildung zu BS7799
    Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung aus einer Hand: Profitierens Sie von unserer täglichen Consulting-Erfahrung mit den BS7799-Kursen „Einführung“, „Vertiefung“ und „BS 7799 Lead Auditor“.
    Alle Informationen zu unserem Ausbildungsangebot finden Sie auf unserer Website.

    Quelle: Swiss Infosec AG, 02.02.2005

    < zu den Themen

    Swiss Infosec-Studie: Schweizer Unternehmen erkennen steigenden Risikofaktor Mensch: Grössere Bedrohung durch Social Engineering als durch Hacking-Attacken

    Bern, im April 2005- Zwei von drei Unternehmen erachten die Gefahr von unrechtmässigem Informationsabfluss durch gezielte Manipulations- und Täuschungsversuche als grösser denn durch technische (Hacker-)Attacken. Dies hat eine von der Swiss Infosec AG, führendes Schweizer Beratungs- und Ausbildungsunternehmen für Informations- und IT-Sicherheit, durchgeführte Befragung zum Thema Social Engineering ergeben. 96 Prozent der befragten Sicherheitsbeauftragten und Kaderleute von 330 Schweizer Firmen wissen um Social Engineering als Methode, an sensible Daten zu gelangen, 95 Prozent sehen eine reelle Gefahr darin.

    Mensch als grösstes Risiko - und Chance zugleich In den letzten Jahren wurde in die IT-Sicherheit viel Geld und Technologie investiert und man ist auf einem relativ hohen Niveau technischer Schutzmassnahmen angelangt. So ist es für Hacker zunehmend schwieriger geworden, gezielte Angriffe auf Unternehmen zu starten; eine solche Attacke erachten "nur" noch rund 24 Prozent als die grösste Gefahr für ihr Unternehmen. Als grösstes Risiko und auch schwächstes Glied in der Kette jedoch wird der eigene Mitarbeiter identifiziert: 66 Prozent der Umfrageteilnehmer sehen hier die grösste Gefahr für eine Attacke.

    Social Engineering als Beratungskompetenz Die Swiss Infosec AG (www.infosec.ch) führt für ihre Kunden Audits durch, um deren Mitarbeiter aufzuklären und zu sensibilisieren; da Angriffe eines Social Engineers schwerwiegende Folgen haben können, muss dieses Risiko allen bewusst gemacht und Kader und Mitarbeiter müssen entsprechend geschult werden: Ein Social-Engineering-Audit hilft, die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken aufzudecken und zu analysieren. Anschliessend werden wirkungsvolle Massnahmen zur Risikominderung- oder Eliminierung aufgezeigt.



    Quelle: Swiss Infosec, 04.2005

    < zu den Themen



    Neuerscheinungen


    Neuerscheinungen: Fachliteratur


    Bei Amazon bestellen    		 Mehr IT-Sicherheit durch Pen-Tests
    ISBN: 3528058390
    bestellen

    Bei Amazon bestellen
    Pär Ström
    Die Überwachungsmafia
    ISBN: 3446229809
    bestellen

    Bei Amazon bestellen
    Rachael Lininger, Russell D. Vines
    Phishing
    ISBN: 0764584987
    bestellen


    Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern.

    Wir unterstützen Sie bei der

    Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an.

    Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
    Die Swiss Infosec AG ist in der Schweiz als produkte- und herstellerneutrales, unabhängiges Dienstleistungs-unternehmen im Bereich Informations- und IT-Sicherheit tätig.
    Als Beratungsunternehmen unterstützen wir unsere Kunden interdisziplinär bei der Konzeption, Umsetzung und beim Betrieb von Lösungen für die integrale Sicherheit generell sowie für die Informations- und IT-Sicherheit speziell. Dabei sind wir im organisatorisch konzeptionellen Bereich ebenso zuhause wie im technischen Bereich.
    Sie möchten sich an- oder abmelden?
    Sie erhalten dieses Mail als Abonnent der Swiss Infosec Internet News.
    Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format
    Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
    Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
    Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
    Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch