 Nr. 6 / Juni 2005 ISSN 1424-4217 29. Juni 2005, Airport Conference Center, Zürich-Kloten Melden Sie sich auf unserer Website an und erfahren Sie das Neuste aus der IT- und Informationssicherheit, Erfahrungen aus aktuellen Projekten, und spannenden Praxisberichten aktueller Social Engineering-Attacken. Am 16. - 17. Juni 2005 findet in Sarnen/OW ein Seminar zum Thema IT-Sicherheit statt. Neben der Behandlung von Sicherheitskonzepten wird auch im speziellen über Netzwerksicherheit referiert werden. Neben diversen anderen Referenten wird auch Cornel Furrer, Managing Consultant Swiss Infosec AG an diesem Seminar sprechen. Nähere Informationen zu diesem Anlass finden Sie hier in den News. Das Seminar wird von der Technischen Akademie Esslingen (D) organisiert und durchgeführt. Das 14. Update unserer bekannten Publikation Standardwerk - Informationssicherheit und IT-Sicherheit in Theorie und Praxis befindet sich im Druck. Informieren Sie sich hier über das mittlerweile mehr als 3000-seitige Werk (Print und/oder CD) und bestellen Sie es! Mit dem Standardwerk haben Sie eine nützliche und umfangreiche Publikation, welche alle Themen rund um die integrale Sicherheit behandelt. Weitere Informationen zu dieser und anderen Publikationen finden Sie hier . Sie erhalten diese E-Mail als Abonnent der Swiss Infosec Internet News. Die Internet Infosec News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der Informationssicherheit. Links zur An- und Abmeldung der Newslist finden Sie am Ende dieser E-Mail.
Aktuelle Meldungen
|
 TechNet - Ihre Quelle für Microsoft Software, Tools und technische Ressourcen Microsoft TechNet ist eine wichtige Ressource, die Sie bei der Lösung technischer Probleme sowie bei der Planung, Implementierung und Unterstützung von Microsoft-Lösungen und beim Aufbau technischer Fähigkeiten unterstützt. Abonnieren Sie jetzt TechNet Plus mit 30% Rabatt* und Sie profitieren von folgenden Vorteilen:
http://www.microsoft.com/switzerland/de/technet/program/subscription.asp *gültig bis 30. Juni 2005 ** Die Software ist nur für Testzwecke lizenziert und darf nicht in Produktionsumgebungen eingesetzt werden.
Dialer-Mafia in Deutschland: Betrug im grossen Massstab Bei den Ermittlungen zum bisher grössten Fall von Dialer-Betrug in Deutschland zeichnet sich eine gewaltige Zahl von Geschädigten ab. Mehr als 50’000 Internet- Nutzer mussten oft horrende Rechnungen zahlen. Die Opfer wurden mittels so genannter Dialer beim Besuch von Internetseiten zu teuren Einwahlen umgeleitet. Der Schaden liegt bei 20 Millionen Euro. Da allein für eine der 20 gebührenpflichtigen Nummern 850’000 Telefondaten gefunden wurden, sei wahrscheinlich sogar eine Zahl von mehr als 100’000 Geschädigten anzunehmen, sagte der zuständige Staatsanwalt in Osnabrück. Drei Verdächtige sollen von Anfang 2002 bis August 2003 tätig gewesen sein. Einer war in Haft und wurde wieder entlassen, ein Zweiter sitzt noch immer im Gefängnis und der Dritte ist in Lettland und versucht seine Auslieferung zu verhindern, weil gegen ihn ein Haftbefehl vorliegt. Quelle: www.n-tv.de, 16. April 2005 < zu den Themen Deutsches Bitkom will Phishing unter Strafe stellen: Erweiterung eines bestehenden Gesetzes gefordert Bis anhin machen sich Phisher und andere Betrüger erst strafbar, wenn sie die auf unrechtmässigem Wege erhaltenen Informationen wie Kreditkartennummern oder Passwörter auch zu einem strafbaren Zweck nutzen. So können sie dann auch nur für diese Tat (Einkaufen mit fremder Kreditkarte, etc.) zur Rechenschaft gezogen werden, nicht aber für die Beschaffung der Informationen mittels gefälschten Websites oder betrügerischen E-Mails. Dies will nun der deutsche Branchenverband Bitkom ändern: "Das aktuelle Gesetzgebungsverfahren gegen Spam-Mails sollte um einen solchen Tatbestand erweitert werden", fordert Peter Bross, Geschäftsführer des ITK-Unternehmerverbandes in Berlin. "Nur mit einer klaren gesetzlichen Regelung kann dieses wachsende und ernste Problem wirksam angegangen werden." Bislang gebe es keine strafrechtliche Handhabe gegen diese neue, in beängstigendem Masse wachsende Form der Internet-Kriminalität. Quelle: www.heise.de, 27.04.2005 zu den Themen Messe „Infosecurity“ in London: Der Markt platzt aus allen Nähten Die Londoner Messe Infosecurity Europe hat gezeigt, dass die seit einiger Zeit von Analysten prophezeite Konsolidierungswelle auf dem Markt von Security-Lösungen genau in die entgegengesetzte Richtung verläuft. Über 120 neue Produkte wurden von mehr als 300 Ausstellern vorgestellt. Vor allem standen Antispyware-Lösungen, Patch-Management und Complinace-Regelungen wie Basel II in Europa oder Sarbanes-Oxley in den USA im Mittelpunkt. Weitere Highlights waren eine Reihe mobiler Sicherheitsprodukte, die gleich von mehreren Anbietern vorgestellt wurden. Mancher IT-Manager der die Messe besuchte, hatte vergebens gehofft, dass sich der Markt endgültig konsolidiert hätte. Weniger wäre in manchen Fällen oft mehr. Quelle: www.silicon.de, www.infosec.co.uk, 28. April 2005 zu den Themen Zukunft des Schweizer E-Government: Erfahrungsaustausch an der Tagung in Genf In Genf tagten rund 150 Vertreter von Verwaltungen, Unternehmen und Fachhochschulen zum Thema „E-Government in der Schweiz“. Unter dem Patronat des Bundesprojektes E-Vanti.ch, welches vom Informatikstrategieorgan des Bundes (ISB) initiiert wurde, fand die Tagung statt. Ziel von E-Vanti ist es, der Umstellung des Schweizer Service Public auf E-Government neue Impulse zu verleihen. Im Zentrum der Tagung stand die Frage nach dem Mehrwert für den Service Public. Der erste Teil der Tagung war dem Entwicklungsstandard und dem Erfahrungsaustausch von E-Government in der Schweiz gewidmet. Im zweiten Teil stand die Suche nach Lösungen und Ideen zur Verbesserung der Rentabilität der Investitionen von Informations- und Kommunikationstechnologien in der Schweiz im Mittelpunkt. Quelle: www.computerworld.ch, www.evanti.ch, 2. Mai 2005 zu den Themen Anstatt begehrte WM-Tickets Wurm erhalten: Warnung vor S o b e r. P Seit dem 02. Mai 2005 ist eine neue Version des Wurms S o b e r im Umlauf, und verbreitet sich mit rasanter Geschwindigkeit. Mit geschickten Betreffzeilen im Trägermail macht sich der Wurm die momentane Hysterie um die begehrten WM-Tickets für Deutschland 2006 zunutze. Wie die Experten von F-Secure melden, ist auch diese Variante zweisprachig; er wählt anhand der Top-Level-Domain die entsprechende Sprache aus, deutsch oder englisch. Der Wurm S o b e r. P ist als exe-Datei in einem Zip-Archiv versteckt, welches als Anhang in der infizierten E-Mail geliefert wird. Einmal geöffnet und ausgeführt, installiert sich der Wurm. Die bislang bekannten Betreffzeilen mit dem raffinierten 'WM-Trick' lauten: Glueckwunsch: Ihr WM Ticket Ich bin's, was zum lachen ;) Ihr Passwort Ihre E-Mail wurde verweigert Mail-Fehler! WM Ticket Verlosung WM-Ticket-Auslosung mailing error Re: Registration Confirmation Your email was blocked Your Password Quelle: www.zdnet.de, 03.05.2005 zu den Themen Datendiebstahl bei Time Warner: Backup-Bänder verschwunden Ein Sicherheits-Backup wird immer dann zum Sicherheitsrisiko, wenn es plötzlich nicht mehr da ist. Diese Erfahrung musste der Medienkonzern Time Warner machen, dem 40 Bänder mit Informationen über 600’000 heutige und frühere Mitarbeitende abhanden gekommen sind. Die Datensätze enthalten unter anderem auch die Sozialversicherungsnummern der betroffenen Personen. Die Bänder waren in einem Behälter untergebracht, der etwa der Grösse einer Kühltasche entspricht. Der Container war von dem für die Datenspeicherung zuständigen Dienstleistungsunternehmen mit dem LKW abgeholt worden, doch danach verliert sich seine Spur. Es handelt sich für das Unternehmen bereits um den vierten Fall dieser Art alleine in diesem Jahr. Doch erst seit kurzem kam die Idee auf, die Daten vor der Speicherung zu verschlüsseln. Quelle: www.nytimes.com, 3. Mai 2005 zu den Themen Kommunikation braucht Strom: Computer vor Glühbirne Der Verband der Deutschen Elektrizitätswirtschaft (VDEW) teilte mit, dass deutsche Haushalte inzwischen mehr Strom für Computer, Fernseher und andere Kommunikationsgeräte brauchen als für Licht. Die stark gestiegene Zahl von PC’s und Internet-Anschlüssen gilt als Hauptgrund. Im Zeitraum von 1998 bis 2003 stieg beispielsweise die Zahl der Internet-Anschlüsse von 3,1 auf 18,2 Millionen. Der Energieverbrauch für den Bereich Information und Kommunikation sowie für Beleuchtung macht, gemessen am Gesamtverbrauch pro Haushalt, etwa ein Prozent aus. Mehr als die Hälfte entfallen auf die Heizung, ein knappes Drittel auf das Auto und der Rest wird für Warmwasser und Haushaltsgeräte verbraucht. Quelle: www.n-tv.de, 9. Mai 2005 zu den Themen Bessere Koordination von E-Government: Bundesrat vor möglicher Bildung eines Ausschusses Der Schweizer Bundesrat prüft die Bildung eines Ausschusses von Bund, Kantonen und Städten im Bereich E-Government, um die Koordination zwischen den föderalen Ebenen zu verbessern. Dies erklärt der Bund in seinen Antworten auf fünf parlamentarische Vorstösse. Ausserdem will die Bundeskanzlei dem Bundesrat bis im Sommer einen Bericht über Zukunft des Informationsportals www.ch.ch vorlegen. Bereits zuvor war beschlossen worden, das Portal zur nationalen Einstiegsseite auszubauen. Gleichzeitig erinnerte der Bundesrat daran, dass man auf den unteren föderalen Ebenen kein Weisungsrecht habe, und dass Kantone und Gemeinden für ihre eigenen Projekte selber verantwortlich seien. Es seien zwar nicht alle Probleme im Bereich E-Government dem Föderalismus anzulasten, dieser könne aber die flächendeckende Ausbreitung elektronischer Dienstleistungen behindern, wenn jeder Kanton und jede Gemeinde für das gleiche Problem eine eigene Lösung erfinde. Der Bundesrat unterstütze deshalb alle Bemühungen, Kantone und Gemeinden zur Zusammenarbeit sowie zur gemeinsamen Entwicklung und Nutzung guter Lösungen zu motivieren. Quelle: www.admin.ch, 6. Mai 2005 zu den Themen Flachbildschirme als Gesundheitsrisiko: Helligkeit schadet Augen Das Computermagazin Macwelt testete insgesamt zehn LCD-Monitore unter anderem auf die Gesundheitsbelastung der Augen. Problematisch seien vor allem Bildschirme mit einer Lichtstärke von mehr als 300 Candela (cd) pro Quadratmeter. Für alltägliche Arbeit am Computer seien 100 cd pro Quadratmeter völlig ausreichend. LCD-Monitore mit extremer Helligkeit können die Gesundheit belasten, zudem blenden zu helle Flachbildschirme und führen unter Umständen zu Kopfschmerzen, weil die Augen schnell ermüden. In erster Linie verfügen neue LCD-Monitore, die mit einer speziellen, blank polierten Oberfläche ausgestattet sind, extreme Helligkeit. Die Oberflächen wirken dabei wie Glas und sollten Kontrast und Farbbrillanz verbessern. Tatsächlich würden jedoch zahlreiche Reflexionen verursacht, ähnlich wie bei einem alten Röhrenmonitor. Besserer Kontrast mache sich für glänzende Bildschirme in stark abgedunkelten Räumen und wenn sämtliche Lichtquellen seitlich oder hinter dem Monitor befinden bemerkbar. Quelle: www.macwelt.de, 10. Mai 2005 zu den Themen SMS-Rekordversuch: Inder will ins Guinness Buch der Rekorde Der Inder Deepak Sharma will ins Guinness Buch der Rekorde, und dass er dieses Ziel nicht erreicht, ist fast schon auszuschliessen. Deepak hat es nämlich bereits geschafft, 182’698 SMS-Nachrichten innerhalb eines Monats zu versenden, also ungefähr 6’000 pro Tag. Diesen Durchschnitt konnte er inzwischen auf 10’000 Botschaften täglich erhöhen und er wird im kommenden Monat so die 300’000er-Grenze erreichen. Seine Telefonrechnung, umfasste im letzten Monat 1’411 Seiten und wurde von der Telekommunikationsgesellschaft persönlich übergeben. Auch seine Umwelt hat er teilweise in Mitleidenschaft gezogen, wie Freunde bestätigten. Kein Wunder, denn sein Bekanntenkreis dürfte die Mehrheit der SMS-Botschaften erhalten haben. Quelle: www.webindia123.com, 10. Mai 2005 zu den Themen Spam-Bibel: BSI veröffentlicht umfassende Studie Das Deutsche Bundesamt für Sicherheit in der Informationstechnik BSI stellt mit der Studie "Antispam-Strategien" die bisher wohl umfassendste Arbeit in deutscher Sprache zum Thema "Unerwünschte Werbung im Internet" vor. Auf 174 Seiten liefert die Studie Definitionen sowie Analysen und Grundlagen. Vor allem aber liefert das Papier Informationen mit Praxisbezug, wie etwa zu den technischen Grundlagen des Spam, den Formen der Adresssammlung sowie die Vermeidung des Sammelns, beispielhafte Kostenprognosen bei unterschiedlichen Unternehmen sowie einen Überblick über die aktuelle rechtliche Situation und die Möglichkeiten, zur individuellen Spam-Bekämpfung. Kurz, die Behörde bietet kostenlos eine regelrechte Spam-Bibel für alle Zwecke an. Quelle: www.bsi.de, 11. Mai 2005 zu den Themen Rechtsextreme Spamwelle: Neue Variante von „S o b e r“ Seit dem Pfingst-Wochenende rollt eine Welle rechter Propaganda-Mails durch das Internet. Ein Teil der Mails beinhalten rechtsradikales und ausländerfeindliches Gedankengut, andere wiederum Links auf renommierte Zeitungs- oder Newsportale. Hinter der Spam-Flut steckt eine Variante des „S o b e r“-Wurms. Auslöser ist „S o b e r . P“, der bei der Verlosung von Tickets für die Fussball-Weltmeisterschaft in Umlauf kam. Wer den Anhang der vermeintlichen Gewinnnachricht angeklickt hatte, lud sich den Schädling auf den Rechner. In der Nacht auf Pfingsten begann dann „S o b e r . P“ damit, die neue Variante „S o b e r . U” alias „S o b e r . Q“ herunterzuladen und gleichzeitig wurde der Spam-Versand gestartet. Bereits vor einem Jahr machte eine Variante des Wurms Schlagzeilen, die für rechtsradikale Spam-Mails genutzt wurde, deshalb vermuten Experten, dass es sich vermutlich um den gleichen Virenschreiber handle. Schadens- und Verbreitungspotenzial der neuen Variante werden als Mittel eingestuft. Quelle: www.silicon.de, www.zdnet.de, 17. Mai 2005 < zu den Themen Streit zwischen Microsoft und der EU: Die Zeit wird knapp Im Streit zwischen der EU-Kommission und Microsoft um die vollständige Umsetzung der im vergangenen Jahr verhängten Auflagen über die Offenlegung von Server-Protokollen sowie das Anbieten einer Windows-Version ohne den Media Player, wird der Ton schärfer. "Unsere Geduld reicht eher für Wochen als für Monate", so eine Vertreterin der Kommission. Weiter sagte sie, dass Microsoft mehr als ein Jahr Zeit gehabt hätte, die Auflagen umzusetzen. Der Softwarekonzern wisse, dass die EU Strafen in Höhe von bis zu fünf Prozent des täglichen weltweiten Umsatzes verhängen kann, wenn die noch offenen Punkte nicht innerhalb von einigen Wochen geklärt sind. Microsoft wollte sich zu den Vorwürfen nicht genauer äussern. Quelle: www.news.com, 12. Mai 2005 zu den Themen Information Gathering auf andere Art: Gezielte Einbrüche in Auto In den riesigen Parkhäusern von Disney World wird pro Tag, trotz Sicherheitspersonal, zwischen 3 bis 5 mal in parkierte Autos eingebrochen und diese leergeräumt. Da sich in den letzten Wochen die Meldungen von auf diese Weise gestohlenen Laptops gehäuft haben, und schliesslich in jedem Einbruch ein Laptop als gestohlen gemeldet wurde, ist das Sicherheitspersonal auf die Suche nach dem Grund dieses 'Zufalls' gegangen. Das Rätsel wurde schnell gelöst: Die Diebe machen sich aktivierte Bluetooth-Schnittstellen zu nutze; sie orten so die Laptops und können gezielt in diese Autos einbrechen. Es empfiehlt sich demnach, Bluetooth zu deaktivieren; diese Art von Kommunikationsschnittstelle macht eine Ortung des Geräts möglich, was findigen Betrügern eine ganz bequeme Art der Informationsbeschaffung ermöglicht. Quelle: www.risks.org, 17.05.2005 zu den Themen Hacker-Konferenz gerät ins Wanken: Veranstalter drohen mit rechtlichen Schritten Die im Juli 2005 geplante Hacker-Konferenz „What The Hack“, die bereits eine 16-jährige Geschichte aufweist, soll gemäss des Bürgermeisters des Durchführungsortes des niederländisches Boxtel nicht stattfinden. Er sieht die Veranstaltung als Gefahr für die öffentliche Sicherheit und Ordnung. Die Veranstalter weisen darauf hin, dass es noch nie zu einem Zwischenfall gekommen sei und sie wenn nötig rechtliche Schritte gegen den Entschluss des Bürgermeisters einlegen wollen. Die Veranstalter rechnen mit mehr als 3000 Teilnehmern aus aller Welt. Themen wie die aktuellen Tendenzen zum Überwachungsstaat, die drohenden Risiken von biometrischer Erfassung und RFID-Chips oder die Auslotung von Möglichkeiten für drahtlosen Internetzugang in Entwicklungsländern stehen im Zentrum. Quelle: www.whatthehack.org, 23. Mai 2005 zu den Themen Spam: Vom Schinken zur Software: US-Konzern sichert sich Markenrecht Über das US-Patent- und Markenamt hat sich der US-Lebenmittelkonzern Hormel Foods die Bezeichnung "Spam" schützen lassen. Der Konzern könnte damit Anbieter von Anti-Spam-Software verklagen, wenn diese gegen die Namensrechte verstossen. Die erweiterte Eintragung beim US-Patent- und Markenamt sieht vor, dass der Konzern den Begriff Spam für herunterladbare Software wie etwa Bildschirmschoner als geschützten Begriff verwenden darf. Der Grund für die Patentierung kommt daher, dass Hormel Foods bereits 1937 den Begriff für ein Produkt benützte. Es war eine Fertigmahlzeit mit dem Namen Spam, der sich aus „sp“ für „spiced“ (gewürzt) und „am“ für „ham“ (Schinken) zusammensetzte. Heute bietet Hormel Foods eine ganze Produktpalette rund um Spam an und betreibt seit 2001 sogar ein Spam-Museum. Quelle: www.pcwelt.de, www.hormel.com, 23. Mai 2005 zu den Themen Russlands Hauptstadt lahm gelegt: Totales Chaos Ein Kurzschluss in einem technisch veralteten Umspannwerk am Stadtrand von Moskau löste eine Kettenreaktion aus und verursachte der schlimmste Stromausfall in der Geschichte der russischen Hauptstadt. Der russische Präsident Putin kritisierte die schleppende Modernisierung des Stromnetzes und sagte, dass das defekte Umspannwerk über 40 Jahre alt sei. Zehntausende von Menschen sassen in U-Bahn-Zügen fest. Der Strassenverkehr brach zusammen, weil Hunderte von Ampeln ausfielen. Menschen blieben in Aufzügen stecken und im Innenministerium funktionierten über Stunden weder Telefon noch Computer. Auch Spitäler blieben ohne Strom und es mussten selbst dringende Operationen verschoben werden und vielerorts brach die Trinkwasser-Versorgung zusammen, weil die Pumpstationen nicht mehr funktionierten. Quelle: www.espace.ch, 26. Mai 2005 zu den Themen Erpresserischer Virus im Umlauf: Betroffene zum Zahlen aufgefordert Nach einer Meldung der Zeitung 20Minuten ist ein Virus im Umlauf, der auf dem befallenen Rechner Daten verschlüsselt, so dass diese nicht mehr brauchbar sind und auch nicht wieder zu erkennen sind. In einer Mitteilung des Virus selbst wird der User aufgefordert, eine Geldsumme auf ein Bankkonto einzuzahlen, damit die Verschlüsselung der Daten wieder rückgängig gemacht werde. Diese erpresserische Art ist neu im Zusammenhang mit Viren und zeigt, dass die Virenschreiber als Beweggründe für ihr Tun immer mehr weg von "Ruhm und Ehre in der Hackerszene" hin zu rein krimineller und finanzieller Motivation driften. Quelle: www.20minuten.ch, 30.05.2005 zu den Themen Briten modernisieren ihre Strafgesetze: Bis zu 10 Jahren Haft für Phisher Unter dem Aspekt der heutigen Technologie und deren rasanten Entwicklung hat das britische Innenministerium Ende Mai 2005 eine neue Gesetzesvorlage zur Bekämpfung von Betrug vorgelegt. Darin sollen Phisher - Personen die sich per E-Mail bei einer grosse Anzahl Empfänger als Institution ausgeben, um an persönliche Informationen zu gelangen - nun mit bis zu 10 Jahren Haft bestraft werden können. Ziel des neuen Gesetzes sei es, bereits bestehende Gesetze zu vereinfachen und die in der neueren Zeit aufgetauchten Betrugsfälle wie Kreditkartenbetrug, Verkauf unerlaubt kopierter Software oder eben Phisher differenzierter und individueller nach dem jeweiligen Straftatbestand bestrafen zu können. Das neue Gesetz kann unter dieser Webadresse gesichtet werden: http://www.publications.parliament.uk Quelle: www.heise.de, 31.05.2005 zu den Themen Phishing-Attacke auf PostFinance-Kunden: Russische Betrüger versuchen Kundendaten zu erlangen In der Nacht auf den 5. Juni 2005 haben tausende Kunden der PostFinance eine mit dem gefäschten Absender "PostFinance" versehene E-Mail erhalten. Darin wurden die Kunden in englisch zum Klicken auf einen in der E-Mail enthaltenen Link aufgefordert - mit dem vermeintlichen Zweck die E-Mail-Adresse prüfen zu müssen. Klickt man diesen Link an, wird man auf eine Internetseite gelenkt, welche den Originalseiten der PostFinance sehr ähnlich sind. In einem danach erscheinenden PopUp werden die Kunden dann aufgefordert, ihre Sicherheitsangaben wie PIN oder Passwort etc. einzugeben. Diese mittlerweile sehr bekannte und weit verbreitete Art der Informationsbeschaffung - sog. Phishing - mit der betrügerischen Absicht, nach Erhalt der Daten die Konten des jeweiligen Opfers zu plündern, scheint leider immer noch von Erfolg gekrönt zu sein. Es finden sich immer wieder Leute, die gutgläubig auf solche Links klicken und ihre Daten danach angeben. Wie die meisten anderen Geldinstitute und Banken verweist auch die PostFinance darauf, dass ein seriöses Unternehmen niemals solche Aufforderungen an ihre Kunden stellen würden, und schon gar nicht mit dem relativ unsicherehn Dienst E-Mail. Die Mitteilung der PostFinance zu diesem Vorfall finden Sie hier. Weitere Informationen zu Phishing und anderen Arten der Informationsbeschaffung durch Täuschung (Social Engineering) finden Sie hier. Quelle: www.postfinance.ch, 05.06.2005 zu den Themen
IT-Sicherheits-Seminar: 16. - 17. Juni 2005 in Sarnen/OW Teil A: IT-Sicherheitskonzepte Sicherheitsmanagement nach BS 7799 und Grundschutzhandbuch Teil B: Netzwerksicherheit Sicherheit in Netzen: Sicherheitsdienste und Schutzwerkzeuge wie Verschlüsselung, Authentifizierung, Zugriffskontrolle und sichere Firewall-Architekturen Referenten: Cornel Furrer, Managing Consultant, Swiss Infosec AG, Bern Dr. Heinrich Kersten, T-Systems ITC Security, Bonn Dr. Gerhard Klett, BASF IT-Services GmbH, Ludwigshafen Dipl.-Ing. Jürgen G. Schink, EADS Deutschland GmbH, Ulm Datum: 16.-17. Juni 2005 Ort: Sarnen/OW Seminar-Nr. 31322A/06.3841 Teilnahmegebühr: CHF 1280.- Weiter findet vom 21.-23. Juni 2005 ebenfalls in Sarnen/OW ein weiteres Seminar zum Thema SW-Qualitätssicherung (SW-QS) statt. Thema: Organisatorische, administrative, konstruktive und analytische/prüfende QS-Massnahmen für industrielle, technisch-wissenschaftliche und kommerzielle Software. Referenten: Dipl.-Ing. Dirk Mahlzahn, INTER-man Ges. für interims management mbH, Bochum Dipl.-Ing. Jürgen G. Schink, EADS Deutschland GmbH, Ulm Prof. Dr. rer. nat. Franz Schweiggert, Universität Ulm, Abteilung Angewandte Informationsverarbeitung Datum: 21.-23. Juni 2005 Ort: Sarnen/OW Seminar-Nr. 31331A/06.3842 Teilnahmegebühr: CHF 1740.- Jetzt anmelden bei: www.tae.de Technische Akademie Esslingen An der Akademie 5 D-73760 Ostfildern Tel. 0049 (0)711-34008-14 Fax. 0049-(0)711-34008-30 www.tae.de Quelle: Swiss Infosec, 03.2005 zu den Themen
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte: Grundkurs Der Intensivlehrgang fuer Informations- und IT-Sicherheitsbeauftragte dauert 5 Tage und beinhaltet folgende Elemente: Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingefuehrt. Die vermittelte fachliche Kompetenz erlaubt es ihnen, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten optimal wahrzunehmen. Anhand von Fallbeispielen aus der Praxis, Checklisten und Formularen lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren. Es werden alle notwendigen Kenntnisse, Methoden und Arbeitstechniken vermittelt, um die verantwortungsvolle Aufgabe des Informations- und IT-Sicherheitsbeauftragten wahrnehmen zu koennen. Die nächsten Kurse finden statt am: 13. - 17. Juni 2005, 22. - 26. August 2005, 17. - 21. Oktober 2005, 14. - 18. November 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Kursbroschuere Swiss Infosec AG zu den Themen Auditorenkurs nach BS7799 mit Abschlussprüfung: BS7799 Lead Auditoren-Lehrgang  Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als BS7799-Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Tutor in englischer Sprache durchgeführt. Die nächsten Kurse finden statt am: 5. - 9. September 2005, 5. - 9. Dezember 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG zu den Themen Kurs Einführung BS 7799: Überblick über die Normen Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können. Die Kursteilnehmenden lernen Inhalt und Einsatzmöglichkeiten der Norm BS 7799 kennen. Sie wissen um die Vor- und Nachteile der Norm, auch bei einer Anwendung im eigenen Unternehmen. Sie kennen die Unterschiede zwischen BS 7799 und ISO 17799. Aus dem Inhalt: - Ziel und Zweck BS 7799 - Vor- und Nachteile / Positionierung - Inhalt/Umfang der Normen BS 7799 und ISO 17799 - Struktur und Rolle des BS 7799 - Was ist ein ISMS (Informationssicherheits-Management-System)? - Wie wird der BS 7799 eingeführt und welche Vorteile hätte er für Ihr Unternehmen? - Allgemeines und Diskussion Die nächsten Kurse finden statt am: 30. August 2005, 19. September 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG zu den Themen Kurs Vertiefung BS 7799: Anwendung und Nutzung des Standards Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen In-formationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unterneh-men aus Effizienzgruenden unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. Welche Vorteile und Möglichkeiten bietet die Einführung des BS 7799? Welchen Nutzen hat ein ISMS und wie wird es nach BS 7799 eingeführt? Schliesslich werden Sie mit den nach der Einführung von BS 7799 durchzuführenden Controllings und Systemaudits vertraut gemacht. Im Kurs lernen die Teilnehmenden, wie man die Norm BS 7799-2:2002 anwendet, Risiken bewertet und analysiert, den Aufbau eines ISMS nach BS 7799-2:2002 plant, steuert und ueberwacht, eine Sicherheitspolitik erstellt und pflegt, Sicherheitsaudits plant, durchführt und auswertet. Aus dem Inhalt: - Nutzen eines ISMS - Rechtliche Grundlagen - Risk Management - Einführung eines ISMS nach BS 7799-2:2002 - Controlling und Systemaudits Die nächsten Kurse finden statt am: 31. August - 01. September 2005, 20. - 21. September 2005 Weitere Informationen und die Kursanmeldung finden Sie hier. Quelle: Swiss Infosec AG zu den Themen Kursangebot Swiss Infosec AG: Kurse Juni / Juli 2004 Folgende Kurse der Swiss Infosec AG sind für die Monate Juni und Juli 2005 ausgeschrieben: Intensivlehrgang Vorbereitung CISSP, 9. bis 15. Juni 2005 Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmer auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. weitere Informationen Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte, 13. bis 17. Juni 2005 Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. weitere Informationen Kriminalität/Protokollierung/Ermittlung/Monitoring auf dem Internet, 20. bis 21. Juni 2005 Der Kursteilnehmer wird in die Lage versetzt, strafbare Inhalte zu identifizieren, die Grenzen und rechtlichen Grundlagen im Zusammenhang mit personenbezogener Protokollierung und Auswertung zu beurteilen. Der Kursteilnehmer kennt die rechtlichen Grundlagen im Bereich Internet Kriminalität. Der Kursteilnehmer kann fundiert Anfragen von Ermittlungsbehörden bearbeiten. Der Kursteilnehmer kennt die verfahrensrechtlichen Problembereiche. weitere Informationen Management-Einführung Informations- und IT-Sicherheit, 24. Juni 2005 Die Kursteilnehmenden werden umfassend und systemneutral in die praxisorientierten Grundlagen der Informations- und Informatiksicherheit eingeführt. Die Teilnehmenden lernen die Bedeutung des Themas für das Unternehmen und verschiedene Möglichkeiten, Informationssicherheit innerhalb des Unternehmens zu integrieren und auszubauen. Die entscheidenden Informationen für den Aufbau einer geeigneten Sicherheitsorganisation im eigenen Unternehmen werden vermittelt. weitere Informationen Technische Sicherheit, 27. bis 30. Juni 2005 Die Kursteilnehmenden kennen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Internetdienste aus dem Blickwinkel der Sicherheit funktionieren. Diesbezüglich werden Sicherheitskonzepte und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln den Teilnehmenden veranschaulicht. Durch das Ausführen von Attacken gegen Zielsysteme in einer Testumgebung lernen sie die Vorgehensweise eines Angreifers praktisch kennen. weitere Informationen Workplace Security, 1. Juli 2005 Die Kursteilnehmenden erhalten eine umfassende Ausbildung zur Wahrung der Informationssicherheit am PC-Arbeitsplatz. Die Ausbildung führt ein in Massnahmen aus den Bereichen Datenschutz, Informationsschutz und Informatiksicherheit, wobei Merksätze die spätere Umsetzung und Einhaltung am Arbeitsplatz erleichtern helfen. Anhand von Demos wird das Erlernte visualisiert. weitere Informationen Psychologische Aspekte der Sicherheit, 4. Juli 2005 Der Kursteilnehmer erkennt, dass Sicherheit ebensosehr ein Thema der Psychologie wie der Technik ist. Es soll gezeigt werden, dass der in einem Unternehmen praktizierte Führungsstil ebensoviel Einfluss auf die Sicherheit hat wie der Einsatz zeitgemässer technischer Hilfsmittel. Mitarbeiter, die als mündige Individuen angesprochen werden, werden in Situationen in denen die Sicherheit des Unternehmens bedroht ist, eher in der Lage sein, selbständig und verantwortungsbewusst zu handeln als solche, die als blosse Weisungsempfänger angesprochen werden. weitere Informationen IT-SiBe - Vertiefungskurs, 4. bis 8. Juli 2005 Als Anlaufstelle für IT-Sicherheit im Unternehmen und Berater der Geschäftsleitung braucht der Informations- und IT-Sicherheitsbeauftragte (IT-SIBE) ein sehr breites Fachwissen. Da er oft als Alleinverantwortlicher für die Sicherheit im Unternehmen zuständig ist, muss er wissen, wo er die notwendigen Informationen in nützlicher Frist beschaffen kann. Aus diesem Grund arbeitet er eng mit internen und externen Stellen zusammen, die diese Informationen zur Verfügung stellen. Es gehört ebenfalls zu seinem Aufgabenbereich abzuwägen, unter welchen Voraussetzungen externe Stellen in die Umsetzung der Sicherheit einbezogen werden. weitere Informationen Quelle: Programm 3-2005 zu den Themen
Social Engineering als Beratungskompetenz der Swiss Infosec AG: Social Engineering - Risikofaktor Mensch Keine noch so ausgeklügelten technischen Sicherheitsmassnahmen allein bewahren Unternehmen vor Schaden. Als grösstes Risiko und auch schwächstes Glied in der Kette ist und bleibt der eigene Mitarbeiter jene Stelle im Unternehmen, wo eine Attacke durch einfachste Mitteln gestartet werden kann und eine nicht zu unterschätzende Angriffsfläche bietet. In bösartiger Absicht werden mit Social Engineering gezielt Attacken auf sozialer Ebene ausgeführt um an sicherheitsrelevante Informationen zu gelangen. Ein Social Engineer versucht sein Opfer soweit zu manipulieren, dass dieses ihm die gewünschten Informationen direkt aushändigt, oder ihm aber die Möglichkeit zur Beschaffung eröffnet. Methodik beim Social Engineering Generell beinhaltet Social Engineering folgende Kernpunkte: Swiss Infosec – Ihr Social Engineering-Partner Da Angriffe eines Social Engineers schwere Folgen haben können, ist es wichtig, die Mitarbeiter einer Firma über solcherlei Attacken aufzuklären und zu sensibilisieren. Zudem sollten Sicherheitsrichtlinien eingeführt werden, die z.B. verbieten, einer Person, die sich als Mitarbeiter ausgibt, ohne gründliche Prüfung von Identität und Befugnis Daten mitzuteilen. Hier stehen wir Ihnen als kompetenter Berater mit der Durchführung von Audits zur Seite: Bei einem Social Engineering Audit decken wir die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken auf, dokumentieren und analysieren diese in Zusammenarbeit mit den Verantwortlichen und erarbeiten wirkungsvolle Massnahmen zu Verminderung oder Eliminierung des Risikos. Ein Social Engineering Audit dient insbesondere auch als Mittel zur Bewusstseinsförderung der Mitarbeitenden im Umgang mit der Sicherheit. Mit zahlreichen durchgeführten Audits bei namhaften Schweizer Grossbanken und anderen Kunden konnten wir unser Know-how beweisen und erweitern. Wir unterstützen Sie dabei, Weitere Informationen zu Social Engineering sowie zu weiteren Beratungskompetenzen der Swiss Infosec finden Sie auf unserer Website. Quelle: Swiss Infosec AG, 02.02.2005 zu den Themen BS 7799/ISO 17799 als Beratungskompetenz: Führendes Know-how und 15 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1 Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen. Der vom British Standards Institute BSI herausgegebene „British Standard 7799“ (in Europa übernommen durch ISO 17799) beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach BS 7799 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie. Mit BS 7799 Teil 2 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard BS 7799 hilft mittels Empfehlungen und einfach formulierten Regeln - sog. Baselines - dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitsmanagement ist hier die Antwort. Profitieren Sie von 15 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater - einige davon lizenzierte BS 7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI - helfen Ihnen gerne weiter! Beispiele unseres Portfolios rund um BS 7799: Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel. Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse. Erarbeitung eines Security Frameworks Die Swiss Infosec AG erarbeitet zusammen mit dem Projektteam des Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Gesamtlösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit BS 7799 /ISO 17799: Durchführung von Sicherheitsaudits Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen. Beratung im Vorfeld einer Zertifizierung Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich BS 7799. Unterstützung durch ISMS Tool Box Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Toolbox bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Expert Forum. Ausbildung zu BS 7799 Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung aus einer Hand: Profitierens Sie von unserer täglichen Consulting-Erfahrung mit den BS 7799-Kursen „Einführung“, „Vertiefung“ und „BS 7799 Lead Auditor“. Alle Informationen zu unserem Ausbildungsangebot finden Sie auf unserer Website. Quelle: Swiss Infosec AG, 02.02.2005 zu den Themen Swiss Infosec-Studie: Schweizer Unternehmen erkennen steigenden Risikofaktor Mensch: Grössere Bedrohung durch Social Engineering als durch Hacking-Attacken Bern, im April 2005- Zwei von drei Unternehmen erachten die Gefahr von unrechtmässigem Informationsabfluss durch gezielte Manipulations- und Täuschungsversuche als grösser denn durch technische (Hacker-)Attacken. Dies hat eine von der Swiss Infosec AG, führendes Schweizer Beratungs- und Ausbildungsunternehmen für Informations- und IT-Sicherheit, durchgeführte Befragung zum Thema Social Engineering ergeben. 96 Prozent der befragten Sicherheitsbeauftragten und Kaderleute von 330 Schweizer Firmen wissen um Social Engineering als Methode, an sensible Daten zu gelangen, 95 Prozent sehen eine reelle Gefahr darin. Mensch als grösstes Risiko - und Chance zugleich In den letzten Jahren wurde in die IT-Sicherheit viel Geld und Technologie investiert und man ist auf einem relativ hohen Niveau technischer Schutzmassnahmen angelangt. So ist es für Hacker zunehmend schwieriger geworden, gezielte Angriffe auf Unternehmen zu starten; eine solche Attacke erachten "nur" noch rund 24 Prozent als die grösste Gefahr für ihr Unternehmen. Als grösstes Risiko und auch schwächstes Glied in der Kette jedoch wird der eigene Mitarbeiter identifiziert: 66 Prozent der Umfrageteilnehmer sehen hier die grösste Gefahr für eine Attacke. Social Engineering als Beratungskompetenz Die Swiss Infosec AG (www.infosec.ch) führt für ihre Kunden Audits durch, um deren Mitarbeiter aufzuklären und zu sensibilisieren; da Angriffe eines Social Engineers schwerwiegende Folgen haben können, muss dieses Risiko allen bewusst gemacht und Kader und Mitarbeiter müssen entsprechend geschult werden: Ein Social-Engineering-Audit hilft, die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken aufzudecken und zu analysieren. Anschliessend werden wirkungsvolle Massnahmen zur Risikominderung- oder Eliminierung aufgezeigt. Quelle: Swiss Infosec, 04.2005 zu den Themen
Fachliteratur: Neuerscheinungen
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der
Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
|
||||||||||||||||||||||||||
