Nr. 7 / Juli 2005

ISSN 1424-4217



Am 29. Juni durften wir wiederum zahlreiche Teilnehmende an unserer Informationsveranstaltung, der Meet Swiss Infosec! begrüssen.
Mit Meet Swiss Infosec! bieten wir Ihnen regelmässig die Möglichkeit, sich an einem Nachmittag über die neusten Trends zu Informations- und IT-Sicherheit zu informieren und sich mit Berufskolleginnen und Berufskollegen über aktuelle Tendenzen, Problematiken und Lösungsvarianten auszutauschen.

Erfahren Sie mehr über BS 7799 / ISO 17799 und ISMS (Information Security Management System). Seien Sie wieder dabei wenn am 7. September 2005 die beliebte und kostenlose "ISMS Tool Box Roadshow" halt macht und informieren Sie sich über neue effiziente Wege und Möglichkeiten zum Thema ISMS. Melden Sie sich noch heute an!


Sie erhalten diese E-Mail als Abonnent der Swiss Infosec Internet News. Die Internet Infosec News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der Informationssicherheit. Links zur An- und Abmeldung der Newslist finden Sie am Ende dieser E-Mail.


Die Themen



Aktuelle MeldungenKurseMitteilungenNeuerscheinungen


Anzeige




TechNet - Ihre Quelle für Microsoft Software, Tools und technische Ressourcen

Microsoft TechNet ist eine wichtige Ressource, die Sie bei der Lösung technischer Probleme sowie bei der Planung, Implementierung und Unterstützung von Microsoft-Lösungen und beim Aufbau technischer Fähigkeiten unterstützt.

Abonnieren Sie jetzt TechNet Plus mit 30% Rabatt* und Sie profitieren von folgenden Vorteilen:
  • Sie verfügen immer über die neuesten Sicherheits-Updates, Bulletins und Hot Fixes, die Ihnen helfen, Ihr Netzwerk/Ihren Server stabil zu halten und eventuell auftretende technische Sicherheitsprobleme schnell zu lösen.
  • Sie können Vollversionen der Software in Ihrem eigenen Tempo testen. Sie können so viele neue Technologien testen wie Sie wollen.**
  • Sie erhalten im Bedarfsfall schnell Hilfe durch zwei Gratis-Supportfälle und 20% Diskont auf zusätzliche technische Support-Anrufe.
  • Die Möglichkeit eines Einzel-Chats mit einem Microsoft Online Assistant spart Ihnen Zeit, wenn Sie nach den von Ihnen benötigten technischen Ressourcen suchen.
  • Da Sie Zugang zu über 100 Managed Newsgroups haben, erhalten Sie schon am nächsten Geschäftstag zuverlässige Antworten von Microsoft Support-Mitarbeitern, die Ihnen helfen, Ihre technischen Probleme schnell zu lösen.
  • Sie haben Zugang zu Lernressourcen für Abonnenten, zu Webcasts und zu Anleitungsseminaren. Das spart Ihnen Arbeitszeit und Geld für Kursgebühren.
  • Sie können die Microsoft Knowledge Base mit einer verbesserten Such- und Navigationsschnittstelle auf der Festplatte durchsuchen.
  • Sie können Systeme mit Beta-Software, aktuellen Anwendungsleitfäden und Best Operation Practices vorab effektiv planen und verwalten.
Steigern Sie die Effizienz und Produktivität in Ihrer IT-Abteilung. Abonnieren Sie jetzt TechNet Plus und profitieren Sie gleichzeitig von unserem Spezialangebot mit 30% Rabatt*.

http://www.microsoft.com/switzerland/de/technet/program/subscription.asp

*gültig bis 31. Dezember 2005
** Die Software ist nur für Testzwecke lizenziert und darf nicht in Produktionsumgebungen eingesetzt werden.


interne Information


Meet Swiss Infosec! 2005

Über 150 interessierte Teilnehmende aus der Schweiz und dem Ausland fanden sich ein, die spannenden Referate über die neuesten Trends der Informations- und IT-Sicherheit zu hören und sich mit Berufskolleginnen und Berufskollegen über aktuelle Tendenzen, Problematiken und Lösungsvarianten auszutauschen.
Lesen Sie die Success Story auf unserer Website. Auf Wiedersehen an der nächsten Meet Swiss Infosec!


interne Information




Weshalb das Rad neu erfinden?

Effiziente und effektive Werkzeuge für Sicherheitsbeauftragte

BS 7799 / ISO 17799 haben sich als Standards für Informationssicherheit in der Schweiz etabliert. Abschätzen des Handlungsbedarfes, die normenkonforme Umsetzung und die Erreichung der Zertifizierbarkeit sind typische und aktuelle Beratungsaktivitäten der Swiss Infosec AG. Profitieren auch Sie hier von unserer langjährigen Praxis in Beratung und Ausbildung.
Basierend auf diesen Erfahrungen entwickelt die Swiss Infosec AG seit 1993 auch laufend ein softwaregestütztes Werkzeug weiter, die ISMS Tool Box (vormals Baseline Tool), die Ihnen vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines Information Security Management System bietet.


Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden und die Umsetzung kann geplant und laufend überprüft werden.


Die ISMS Tool Box unterstützt neben dem Ownership Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity Aktivitäten können mittels des Tools effektiv unterstützt werden.


Die ISMS Tool Box unterstützt Sie bei der Verwaltung und Umsetzung von Massnahmen der Informationssicherheit. Im Tool bereits enthalten sind die Normen ISO 17799/BS 7799 in deutsch und englisch sowie das IT Grundschutzhandbuch des BSI und der Baseline Katalog der Swiss Infosec AG.


Erfahren Sie mehr unter www.ismstoolbox.com

Sichern Sie sich Ihren Platz an der "ISMS Tool Box Roadshow" und melden Sie sich noch heute an!


Aktuelle Meldungen


Gesundes Misstrauen erwünscht…: Wären Sie ein Phishing-Opfer?

Der englische Sicherheitsexperte MailFrontier im Bereich E-Mail hat einen Test veröffentlicht, worin man sich selber testen kann, ob man ein Opfer von Phishern sein könnte. Zu diversen E-Mails muss man angeben, ob diese legitim oder eine Phishing-Attacke sind. In der Auflösung sind dann nützliche Tips, woran man die betrügerischen Mails erkennen kann.

Der Test - in englisch - finden Sie unter: http://survey.mailfrontier.com/survey/phishing_uk.html

Quelle: www.heise.de, 08.06.2005

< zu den Themen

Nasa-Hacker in London gefasst: Mögliche Auslieferung an die USA

Die Londoner Polizei hat den Nasa-Hacker gefasst. Dem arbeitslosen britischen Systemadministrator Gary McKinnon droht nun die Auslieferung an die USA und dort eine langjährige Haftstrafe. Es handelt sich dabei um den grössten illegalen Zugriff auf Computerdaten in der US-Militärgeschichte. Ob der Hacker die heruntergeladenen Daten an ausländische Regierungen oder Terrorgruppen weitergeleitet hat, bleibt bis heute unbestätigt.

McKinnon soll in zahlreiche US-Militär- und Nasa-Rechner eingedrungen sein. Die Staatsanwaltschaft im US-Bundesstaat Virginia legt ihm zur Last, sich in den Jahren 2001 und 2002 Zugang zu insgesamt 53 US-Militärcomputern und Rechnern der US-Weltraumagentur Nasa in 14 verschiedenen Bundesstaaten verschafft zu haben. Eines der Netzwerke gehörte zum Pentagon. Die US-Regierung schätzt den entstandenen Schaden auf mehr als eine Million Dollar. Dafür und für andere Hackerangriffe war er bereits 2002 in den USA angeklagt und bis heute gesucht worden.

Quelle: www.n-tv.de, 8. Juni 2005

< zu den Themen

Schüler stellt Phishern Konto zur Verfügung: Jetzt muss er seine Unschuld beweisen

Ein 19 Jahre alter Schüler aus dem deutschen Vlotho suchte per Anzeige im Internet einen Job und erhielt ein interessantes Angebot. Ein Unternehmen, das zwar über deutsche Kunden, nicht aber über eine deutsche Niederlassung verfügt, schrieb ihn an. Er müsse nur sein Konto zur Verfügung stellen und eingehende Beträge abzüglich einer Provision (8%) nach Moskau weiterleiten. Weil er darauf einging, erhielt er zunächst Besuch von der Polizei, die seine Wohnung durchsuchte. In einem nun gegen ihn eingeleiteten Strafverfahren muss er seine Unschuld beweisen. Ihm wird vorgeworfen, an einem Betrug teilgenommen zu haben, bei dem das Opfer via Online-Banking und eingeschlepptem Trojaner um sein Geld gebracht wurde. Die Bank des Opfers verlangt ihrerseits schon 2100 Euro von ihm.

Quelle: www.presseportal.de, 10. Juni 2005

< zu den Themen

Angeblicher Selbstmordversuch von Michael Jackson: Verlinkte Website mit Trojaner

In E-Mails mit Betreffzeile "Re: Suicidal attempt" wird von einem angeblichen Selbstmordversuch von Michael Jackson auf seiner Neverland-Ranch berichtet. Weiter steht in den E-Mails, dass Jackson einen Abschiedsbrief hinterlassen habe und um den Inhalt des Briefes zu erfahren, müsse auf einen Link geklickt werden. Der Link führt jedoch die User auf eine Website, die Rechner mit einem Trojaner infizieren. Auf der angewählten Website kommt die Nachricht, dass die Seite momentan überlastet sei und dies überrascht die wenigsten, die wirklich glauben, auf der Seite wären brisante Neuigkeiten zu lesen. Natürlich ist dies ein geschicktes Täuschungsmanöver, während im Hintergrund heimlich ein Schadprogramm auf den Rechner geladen wird.

Bereits im Oktober 2004 waren ähnliche Mails im Umlauf, die behaupteten, dass private belastende Videos von Michael Jackson entdeckt worden seien.

Quelle: www.zdnet.de, www.sophos.com, 10. Juni 2005

< zu den Themen

Voice over IP (VoIP): Risiko Internet-Telefonie

Günstiges oder gar kostenloses Telefonieren über das Internet wird immer beliebter. Vorsicht ist allerdings geboten wenn sicherheitsrelevante Daten über Telefonverbindungen, die über das Internet aufgebaut werden, ausgetauscht werden. Beim so genannten Voice over IP (VoIP) können die Informationen von Unbekannten abgefangen und abgehört werden. Die Sprachverbindungen werden als unverschlüsselte Datenpakete durch das Netz transferiert. Insbesondere beim Telefon-Banking ist höchste Vorsicht geboten, wenn die Eingabe der PIN über die Telefontastatur gefordert wird.

Es empfiehlt sich auf das herkömmliche Telefon oder das Handy zurück zu greifen, jedoch hat man auch hier keine 100-prozentige Sicherheit. Theoretisch sind auch Schnurlostelefone abhörbar.

Quelle: www.n-tv.de, Montag, 13. Juni 2005

< zu den Themen

Irren ist menschlich: Vergessen ist männlich

Ein Meinungsforschungsinstitut hat in Deutschland den Umgang mit Passwörtern untersucht. Dabei wird festgehalten, dass die Männer ihre Kenndaten für den PC eher vergessen als Frauen. 62 Prozent der Männer und 50 Prozent der Frauen haben sich mindestens einmal pro Jahr nicht mehr an das eigene Passwort erinnert.

Fast alle der befragten Computernutzer (95 Prozent) besitzen bis zu zehn geheime Passwörter. Davon benutzt ein Viertel überall das gleiche Passwort, wobei das eigene Geburtsdatum, der Name des Partners oder des Haustieres am häufigsten eingesetzt werden. Weiter wurde ein Auseinanderklaffen des Alters in Bezug auf die Bereitschaft, die Zugangsdaten aus Sicherheitsgründen zu ändern, festgestellt. Die Mehrheit der unter 24-jährigen ist besser sensibilisiert und bereit, die Zugangsdaten regelmässig zu ändern. Die über 30-jährigen warten in der gleichen Angelegenheit länger oder gar erst, bis sie dazu aufgefordert werden.

Quelle: www.tagesspiegel.de, 13. Juni 2005

< zu den Themen

Verärgerter Investor: Drohung per Spam

Ein 41 Jahre alter Mann aus Kalifornien wurde wegen einer bisher unbekannten Spam-Variante verhaftet. Er bombardierte die Mitarbeitenden eines börsennotierten Unternehmens teilweise mehrmals pro Tag mit Hunderten von Mails. In diesen Mails drohte er auch mit körperlicher Gewalt, sollten die Mitarbeitenden nicht ihr Bestes tun, um den Börsenkurs des Unternehmens wieder anzukurbeln. In den gerichtlichen Unterlagen wird er als "verärgerter Investor" bezeichnet.

Quelle: www.sfgate.com, 15. Juni 2005

< zu den Themen

Tatwaffe iPod: Einsatz als Spionagewerkzeug

iPods geraten zunehmend in den Verdacht, als Spionagewerkzeug Einsatz zu finden. Solche und ähnliche Geräte, die auf ihren Festplatten 20 Gigabyte an Speicherplatz bieten, könnten einfach mit dem PC am Arbeitsplatz verbunden werden, um dort Daten illegal in Besitz zu nehmen. Die "Association of Certified Fraud Examiners", ein Berufsverband von Privatermittlern, ermahnt Unternehmen daher zur Wachsamkeit, denn schon in mehreren Fällen seien iPods beim Datendiebstahl verwendet worden.

Quelle: www.guardian.co.uk, 14. Juni 2005

< zu den Themen

Ultimativer Kreditkarten-Coup: Auch Schweizer betroffen

In den USA hat sich einer der grössten Daten-Diebstähle aller Zeiten ereignet. Ein Hacker beschaffte sich von einer US-Abrechnungsfirma vertrauliche Daten von 40 Millionen Kreditkarten. Die Kreditkartenfirma CardSystems Solutions übernimmt für Händler und Banken die Ausführung von Kreditkartentransaktionen, nun wurde das Unternehmen Opfer eines Hackers. Der Grossteil der Schuld trifft die Abrechnungsfirma allerdings selber, denn sie hat Daten der Kreditkartenbesitzer in einer Datei gespeichert, obwohl dies untersagt ist. Theoretisch können alle die irgendwann im Internet mit einer Kreditkarte bezahlt haben, betroffen sein.

Der Schweizer Kartenherausgeber Viseca arbeitet nun daran, eine Liste mit den gestohlenen Nummern herauszugeben und die betroffenen Personen direkt anzugehen oder allenfalls die Karte zu sperren. Wie viele Kreditkartenbesitzer in der Schweiz vom Diebstahl betroffen sind, sei gemäss dem Viseca-Marketingchef noch unklar. Zudem seien in der Schweiz alle Karteninhaber gegen solche Fälle des Missbrauchs geschützt. In der Schweiz am stärksten betroffen ist der Kartenherausgeber Swisscard. Andere Kartenherausgeber wie beispielsweise UBS oder Corner Bank sind nach eigenen Angaben nicht betroffen.

Quelle: www.computerworld.ch, www.20min.ch, 20. Juni 2005

< zu den Themen

Software-Entwicklung für Irak-Krieg: Deutscher Offizier freigesprochen

In einem Prozess wegen Befehlsverweigerung ist ein deutscher IT-Offizier nun vom Gericht freigesprochen worden. Der Auftrag, den er verweigert hatte, lautete auf Entwicklung einer Software, die im Irak-Krieg hätte eingesetzt werden müssen.

Im Urteil stufte das Gericht die Einbindung in die Befehlskette der Armee tiefer ein als die Gewissensfrage und die damit zusammenhängende Entscheidungsfreiheit des Offiziers. Der Offizier im Rang eines Majors argumentierte, dass seines Erachtens die Software-Entwicklung eine Verletzung des Internationalen Rechts dargestellt hätte. Die militärische Disziplinarkommission degradierte den Mann zuerst zum Hauptmann. Nach dem Urteil darf er seinen Rang aber behalten und die in Erwägung gezogene Entlassung aus der Truppe ist hinfällig geworden..

Quelle: www.computerworld.ch, 23. Juni 2005

< zu den Themen

SBB-Netz zusammengebrochen: Kurzschluss als Auslöser

Das gesamte Netz der Normalspurbahnen SBB, BLS, RM, SOB und TPF brach infolge eines Stromausfalles zusammen. Über 100'000 Passagiere standen mitten im Feierabendverkehr vergeblich auf den Perrons oder blieben schweizweit in den Zügen stecken. Während fast vier Stunden fuhren praktisch keine Züge mehr.

Das Problem mit der Stromspannung nahm seinen Anfang im Tessin, danach breitete sich der Spannungsabfall über die ganze Schweiz aus und die SBB musste darauf hin ihren Betrieb ganz einstellen. Züge die in Tunneln stecken blieben wurden in erster Priorität geborgen, indem Dieselloks die Züge herauszogen. Passagiere in Zügen die auf offenem Feld strandeten, wurden mit Bussen abgeholt. Andere Passagiere wurden durch die Feuerwehr mit Trinkwasser versorgt.

Die Ursache des grossflächigen Stromausfalls ist auf eine fatale Kettenreaktion zurück zu führen. Ein Kurzschluss an der Übertragungsleitung von Amsteg UR nach Rotkreuz ZG ereignete sich kurz nach 17 Uhr. Wegen Bauarbeiten waren zu dieser Zeit zwei andere Leitungen durch das Urnerland ausgeschaltet. Danach wurde die Stromversorgung des Bahnnetzes in zwei Teilnetze getrennt: im Norden mit zu wenig Energie und im Süden mit zu viel, was schlussendlich das Blackout verursachte.

Quelle: www.espace.ch, www.sbb.ch, 23. Juni 2005

< zu den Themen

Sicherheitsrisiko Mensch: Mehr Sensibilisierung statt Technik

Die Mitarbeitenden sind das grösste Sicherheitsrisiko. Hacker nutzen die Schwachstelle Mensch, der beispielsweise auf Phishing-Mails hereinfällt und eine Reihe von geheimen Informationen preis gibt, ohne zu wissen, an wen. Die Unwissenheit von Mitarbeitenden und deren Naivität im Umgang mit elektronischem Datenverkehr ist in jedem Unternehmen ein grosses Problem. Im Finanzsektor könnte jedoch der Schaden ein noch grösserer sein als in anderen Bereichen. Hier wird tagtäglich mit geheimen und privaten Daten gearbeitet, die bei unberechtigter Benutzung viel Unheil anrichten können. Dies geht aus einer Studie des Wirtschaftsprüfers Deloitte hervor, die jährlich durchgeführt wird, um den Sicherheitsstatus von IT-Systemen im Finanzsektor festzustellen.

Banken konzentrieren sich bisher immer noch zu stark auf rein technische Schutzmassnahmen und Sicherheitsrisiken. Die zunehmende Verbreitung neuer Risiken wie Identitätsdiebstahl, Phishing oder Pharming erfordert zwar Identity-Management-Systeme, die nicht nur den Systemzugriff kontrollieren und Schwachstellen erkennen, sondern auch die Sensibilisierung der Mitarbeitenden. Umfassende Strategien zur Kunden- und Mitarbeiter-Authentifizierung, nachverfolgbare Sicherheitsrichtlinien und -standards und Schulungsmassnahmen zur Erhöhung des Sicherheitsbewusstsein können diese Sicherheitslücke schliessen.

Quelle: www.silicon.de, www.deloitte.de, 23. Juni 2005

< zu den Themen

Raubkopien und keine Ende: Spanien Nr. 1 in Europa

Aus dem Jahresbericht des Verbandes der Phonoindustrie IFPI geht hervor, dass im Jahr 2004 jede dritte Musik-CD eine Raubkopie war. In 31 Ländern seien mehr Raubkopien verkauft worden als legale Tonträger. Europäischer Spitzenreiter ist hier Spanien. Der Strassenverkauf von CDs und DVDs sei dort eine Alltäglichkeit. Die Entscheidung, den Bericht in Spanien zu veröffentlichen, überrascht daher gar nicht. Weltweit sind Länder wie Brasilien, China, Indien, Indonesien, Mexiko, Pakistan, Russland, Ukraine und Paraguay an vorderster Stelle beim Verkauf von Raubkopien. In Paraguay seien laut Bericht 99 Prozent aller Verkäufe Raubkopien.

Als Fazit geht hervor, dass das illegale Geschäft mittlerweile so schwach wie seit fünf Jahren sei, aber man dürfe trotzdem nicht vergessen, dass sich die Zahl der Raubkopien seit dem Jahr 2000 verdoppelte.

Quelle: www.ifpi.org, 27. Juni 2005

< zu den Themen

Datendiebstahl bei der Bank Julius Bär: Ex-Mitarbeitender in Verdacht

Die Bank Julius Bär verdächtigt einen früheren Mitarbeitenden, sensible Kundendaten aus den Jahren 1997 bis 2003 aus der Niederlassung der Bank auf den Cayman Islands gestohlen zu haben. Die kompletten Datensätze über vermögende Kunden sind nun auf CD-ROM auf der Redaktion der Wirtschaftszeitung „Cash“ gelandet und werden dort mit höchster Diskretion behandelt.

Laut Jürg Stählin, Sprecher der Bank, wird ein technisches Problem ausgeschlossen. Offensichtlich habe ein ehemaliger Mitarbeitender Datenmissbrauch betrieben und das Unternehmen konnte das Restrisiko „Mensch“ trotz modernster Infrastruktur und Sicherheitsmassnahmen nicht vollständig eindämmen, wie der Fall zeigt.

Der Vermögensverwalter arbeitet nun mit Hochdruck an diesem „unschönen“ Fall, in enger Zusammenarbeit mit der Polizei und der Kriminalbehörden.

Quelle: www.cash.ch, www.n-tv.de, 16. Juni 2005

< zu den Themen



Kurse


Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte: Grundkurs

Der Intensivlehrgang fuer Informations- und IT-Sicherheitsbeauftragte dauert 5 Tage und beinhaltet folgende Elemente:
Die KursteilnehmerInnen werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingefuehrt. Die vermittelte fachliche Kompetenz erlaubt es ihnen, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten optimal wahrzunehmen.
Anhand von Fallbeispielen aus der Praxis, Checklisten und Formularen lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren. Es werden alle notwendigen Kenntnisse, Methoden und Arbeitstechniken vermittelt, um die verantwortungsvolle Aufgabe des Informations- und IT-Sicherheitsbeauftragten wahrnehmen zu koennen.
Die nächsten Kurse finden statt am: 13. - 17. Juni 2005, 22. - 26. August 2005, 17. - 21. Oktober 2005,
14. - 18. November 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.

Quelle: Kursbroschuere Swiss Infosec AG

< zu den Themen

Auditorenkurs nach BS7799 mit Abschlussprüfung: BS7799 Lead Auditoren-Lehrgang

Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als BS7799-Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Tutor in englischer Sprache durchgeführt.
Die nächsten Kurse finden statt am: 5. - 9. September 2005, 5. - 9. Dezember 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.


Quelle: Swiss Infosec AG

< zu den Themen

Kurs Einführung BS 7799: Überblick über die Normen

Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können.
Die Kursteilnehmenden lernen Inhalt und Einsatzmöglichkeiten der Norm BS 7799 kennen. Sie wissen um die Vor- und Nachteile der Norm, auch bei einer Anwendung im eigenen Unternehmen. Sie kennen die Unterschiede zwischen BS 7799 und ISO 17799.

Aus dem Inhalt:
- Ziel und Zweck BS 7799
- Vor- und Nachteile / Positionierung
- Inhalt/Umfang der Normen BS 7799 und ISO 17799
- Struktur und Rolle des BS 7799
- Was ist ein ISMS (Informationssicherheits-Management-System)?
- Wie wird der BS 7799 eingeführt und welche Vorteile hätte er für Ihr Unternehmen?
- Allgemeines und Diskussion

Die nächsten Kurse finden statt am: 30. August 2005, 19. September 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG

< zu den Themen

Kurs Vertiefung BS 7799: Anwendung und Nutzung des Standards

Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen In-formationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unterneh-men aus Effizienzgruenden unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. Welche Vorteile und Möglichkeiten bietet die Einführung des BS 7799? Welchen Nutzen hat ein ISMS und wie wird es nach BS 7799 eingeführt? Schliesslich werden Sie mit den nach der Einführung von BS 7799 durchzuführenden Controllings und Systemaudits vertraut gemacht.
Im Kurs lernen die Teilnehmenden, wie man die Norm BS 7799-2:2002 anwendet, Risiken bewertet und analysiert, den Aufbau eines ISMS nach BS 7799-2:2002 plant, steuert und ueberwacht, eine Sicherheitspolitik erstellt und pflegt, Sicherheitsaudits plant, durchführt und auswertet.

Aus dem Inhalt:
- Nutzen eines ISMS
- Rechtliche Grundlagen
- Risk Management
- Einführung eines ISMS nach BS 7799-2:2002
- Controlling und Systemaudits

Die nächsten Kurse finden statt am: 31. August - 01. September 2005, 20. - 21. September 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG

< zu den Themen

Kursangebot Swiss Infosec AG: Kurse Juli / August 2005

Folgende Kurse der Swiss Infosec AG sind für die Monate Juli und August 2005 ausgeschrieben:

Psychologische Aspekte der Sicherheit, 4. Juli 2005
Der Kursteilnehmer erkennt, dass Sicherheit ebensosehr ein Thema der Psychologie wie der Technik ist. Es soll gezeigt werden, dass der in einem Unternehmen praktizierte Führungsstil ebensoviel Einfluss auf die Sicherheit hat wie der Einsatz zeitgemässer technischer Hilfsmittel. Mitarbeiter, die als mündige Individuen angesprochen werden, werden in Situationen in denen die Sicherheit des Unternehmens bedroht ist, eher in der Lage sein, selbständig und verantwortungsbewusst zu handeln als solche, die als blosse Weisungsempfänger angesprochen werden.
weitere Informationen


IT-SiBe - Vertiefungskurs, 4. bis 8. Juli 2005
Als Anlaufstelle für IT-Sicherheit im Unternehmen und Berater der Geschäftsleitung braucht der Informations- und IT-Sicherheitsbeauftragte (IT-SIBE) ein sehr breites Fachwissen. Da er oft als Alleinverantwortlicher für die Sicherheit im Unternehmen zuständig ist, muss er wissen, wo er die notwendigen Informationen in nützlicher Frist beschaffen kann. Aus diesem Grund arbeitet er eng mit internen und externen Stellen zusammen, die diese Informationen zur Verfügung stellen. Es gehört ebenfalls zu seinem Aufgabenbereich abzuwägen, unter welchen Voraussetzungen externe Stellen in die Umsetzung der Sicherheit einbezogen werden.
weitere Informationen


IT-SiBe - Intensivlehrgang, 22. bis 26. August 2005
Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. Anhand von Fallbeispielen aus der Praxis, Checklisten und Formulare lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren.
weitere Informationen


Intensivkurs Datenschutzgesetz und dessen Umsetzung, 29. August 2005
Die Kursteilnehmenden können die Schutzwürdigkeit personenbezogener Daten beurteilen. Sie lernen, die Anliegen des Datenschutzes in ihren Unternehmen umzusetzen. Die Teilnehmenden kennen die gesetzlichen Vorschriften und können diese weitervermitteln.
weitere Informationen


BS7799 Einführungskurs, 30. August 2005
Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist.
weitere Informationen


BS7799 Vertiefungskurs, 31. August bis 1. September 2005
Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein.
weitere Informationen



Quelle: Programm 4-2005

< zu den Themen



Mitteilungen


Social Engineering als Beratungskompetenz der Swiss Infosec AG: Social Engineering - Risikofaktor Mensch

Keine noch so ausgeklügelten technischen Sicherheitsmassnahmen allein bewahren Unternehmen vor Schaden. Als grösstes Risiko und auch schwächstes Glied in der Kette ist und bleibt der eigene Mitarbeiter jene Stelle im Unternehmen, wo eine Attacke durch einfachste Mitteln gestartet werden kann und eine nicht zu unterschätzende Angriffsfläche bietet.
In bösartiger Absicht werden mit Social Engineering gezielt Attacken auf sozialer Ebene ausgeführt um an sicherheitsrelevante Informationen zu gelangen. Ein Social Engineer versucht sein Opfer soweit zu manipulieren, dass dieses ihm die gewünschten Informationen direkt aushändigt, oder ihm aber die Möglichkeit zur Beschaffung eröffnet.

Methodik beim Social Engineering
Generell beinhaltet Social Engineering folgende Kernpunkte:
  • Vertrauensgewinnung des "Opfers"
  • Kommunikation im Fachjargon des Unternehmens
  • Vortäuschen eine Autoritätsperson zu sein
  • Vortäuschung von verschiedenen Stimmungslagen (hektisch, ärgerlich, freundlich)
  • Selbst ein Problem verursachen und als "Retter in der Not" agieren
  • Personen ohne Fachwissen zu sicherheitsgefährdenden Aktionen bewegen
  • Durchsuchung von Müllanlagen der Zielperson/des Zielunternehmens
  • usw.

    • Swiss Infosec – Ihr Social Engineering-Partner
    Da Angriffe eines Social Engineers schwere Folgen haben können, ist es wichtig, die Mitarbeiter einer Firma über solcherlei Attacken aufzuklären und zu sensibilisieren. Zudem sollten Sicherheitsrichtlinien eingeführt werden, die z.B. verbieten, einer Person, die sich als Mitarbeiter ausgibt, ohne gründliche Prüfung von Identität und Befugnis Daten mitzuteilen.

    Hier stehen wir Ihnen als kompetenter Berater mit der Durchführung von Audits zur Seite:
    Bei einem Social Engineering Audit decken wir die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken auf, dokumentieren und analysieren diese in Zusammenarbeit mit den Verantwortlichen und erarbeiten wirkungsvolle Massnahmen zu Verminderung oder Eliminierung des Risikos. Ein Social Engineering Audit dient insbesondere auch als Mittel zur Bewusstseinsförderung der Mitarbeitenden im Umgang mit der Sicherheit.

    Mit zahlreichen durchgeführten Audits bei namhaften Schweizer Grossbanken und anderen Kunden konnten wir unser Know-how beweisen und erweitern.

    Wir unterstützen Sie dabei,
  • realitätsnah die Sensibilität, die Kenntnisse und das Verhalten Ihrer Mitarbeiter in den verschiedenen Sicherheitsbereichen zu überprüfen.
  • Ihren Verantwortlichen eine Rückmeldung auf vorgängig durchgeführte Awareness-Kampagnen wie Schulungen, Rundschreiben usw. zu geben.
  • einige Grundlagen für die Weiterentwicklung Ihrer Sicherheitsschulungen zu erarbeiten.
  • alle Beteiligten zu sensibilisieren und um ihre – für die Sicherheit erforderlichen – Verhaltensweisen nachhaltig einzuhalten.
  • ihr schwächstes Glied in der Sicherheitskette zu überprüfen und damit Risiken wie Gefährdung des Lebens, Imageverlust, materielle und finanzielle Verluste zu minimieren.


    • Weitere Informationen zu Social Engineering sowie zu weiteren Beratungskompetenzen der Swiss Infosec finden Sie auf unserer Website.

    Quelle: Swiss Infosec AG, 02.02.2005

    < zu den Themen

    BS 7799/ISO 17799 als Beratungskompetenz: Führendes Know-how und 15 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1

    Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen.

    Der vom British Standards Institute BSI herausgegebene „British Standard 7799“ (in Europa übernommen durch ISO 17799) beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach BS 7799 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie.

    Mit BS 7799 Teil 2 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard BS 7799 hilft mittels Empfehlungen und einfach formulierten Regeln - sog. Baselines - dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitsmanagement ist hier die Antwort.

    Profitieren Sie von 15 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater - einige davon lizenzierte BS 7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI - helfen Ihnen gerne weiter!

    Beispiele unseres Portfolios rund um BS 7799:
  • Erarbeitung und Umsetzung BS 7799 konformer Security Frameworks
  • Durchführung von BS 7799 Sicherheitsaudits
  • Vorbereitung einer Zertifizierung nach BS 7799
  • Toolunterstützung bei der Umsetzung von BS 7799 Anforderungen
  • Ausbildungen zu BS 7799


    • Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel.
    Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse.

    Erarbeitung eines Security Frameworks
    Die Swiss Infosec AG erarbeitet zusammen mit dem Projektteam des Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Gesamtlösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit BS 7799 /ISO 17799:
  • die Security Policy als oberstes Strategiepapier
  • das Security Concept mit den Anforderungen und der Sicherheitsorganisation
  • das Security Regelwerk (Baselinekatalog) mit Sicherheitsregeln


    • Durchführung von Sicherheitsaudits
    Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen.

    Beratung im Vorfeld einer Zertifizierung
    Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich BS 7799.

    Unterstützung durch ISMS Tool Box
    Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Toolbox bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Expert Forum.

    Ausbildung zu BS 7799
    Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung aus einer Hand: Profitierens Sie von unserer täglichen Consulting-Erfahrung mit den BS 7799-Kursen „Einführung“, „Vertiefung“ und „BS 7799 Lead Auditor“.
    Alle Informationen zu unserem Ausbildungsangebot finden Sie auf unserer Website.

    Quelle: Swiss Infosec AG, 02.02.2005

    < zu den Themen

    Swiss Infosec-Studie: Schweizer Unternehmen erkennen steigenden Risikofaktor Mensch: Grössere Bedrohung durch Social Engineering als durch Hacking-Attacken

    Bern, im April 2005- Zwei von drei Unternehmen erachten die Gefahr von unrechtmässigem Informationsabfluss durch gezielte Manipulations- und Täuschungsversuche als grösser denn durch technische (Hacker-)Attacken. Dies hat eine von der Swiss Infosec AG, führendes Schweizer Beratungs- und Ausbildungsunternehmen für Informations- und IT-Sicherheit, durchgeführte Befragung zum Thema Social Engineering ergeben. 96 Prozent der befragten Sicherheitsbeauftragten und Kaderleute von 330 Schweizer Firmen wissen um Social Engineering als Methode, an sensible Daten zu gelangen, 95 Prozent sehen eine reelle Gefahr darin.

    Mensch als grösstes Risiko - und Chance zugleich In den letzten Jahren wurde in die IT-Sicherheit viel Geld und Technologie investiert und man ist auf einem relativ hohen Niveau technischer Schutzmassnahmen angelangt. So ist es für Hacker zunehmend schwieriger geworden, gezielte Angriffe auf Unternehmen zu starten; eine solche Attacke erachten "nur" noch rund 24 Prozent als die grösste Gefahr für ihr Unternehmen. Als grösstes Risiko und auch schwächstes Glied in der Kette jedoch wird der eigene Mitarbeiter identifiziert: 66 Prozent der Umfrageteilnehmer sehen hier die grösste Gefahr für eine Attacke.

    Social Engineering als Beratungskompetenz Die Swiss Infosec AG (www.infosec.ch) führt für ihre Kunden Audits durch, um deren Mitarbeiter aufzuklären und zu sensibilisieren; da Angriffe eines Social Engineers schwerwiegende Folgen haben können, muss dieses Risiko allen bewusst gemacht und Kader und Mitarbeiter müssen entsprechend geschult werden: Ein Social-Engineering-Audit hilft, die für den Geschäftsbetrieb relevanten Schwachstellen und Risiken aufzudecken und zu analysieren. Anschliessend werden wirkungsvolle Massnahmen zur Risikominderung- oder Eliminierung aufgezeigt.



    Quelle: Swiss Infosec, 04.2005

    < zu den Themen



    Neuerscheinungen


    Fachliteratur: Neuerscheinung


    Bei Amazon bestellen    		WarDriving
    ISBN: 3826615166
    bestellen

    Bei Amazon bestellen
    Annett Melchior
    CRM und Datenschutz
    ISBN: 3865500978
    bestellen

    Bei Amazon bestellen
    Jan von Knop (Herausgeber), Martin Zilkens
    Datenschutz im Spannungsfeld zwischen Sicherheit und Privatheit
    ISBN: 3763933085
    bestellen


    Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern.

    Wir unterstützen Sie bei der

    Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an.

    Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
    Die Swiss Infosec AG ist in der Schweiz als produkte- und herstellerneutrales, unabhängiges Dienstleistungs-unternehmen im Bereich Informations- und IT-Sicherheit tätig.
    Als Beratungsunternehmen unterstützen wir unsere Kunden interdisziplinär bei der Konzeption, Umsetzung und beim Betrieb von Lösungen für die integrale Sicherheit generell sowie für die Informations- und IT-Sicherheit speziell. Dabei sind wir im organisatorisch konzeptionellen Bereich ebenso zuhause wie im technischen Bereich.
    Sie möchten sich an- oder abmelden?
    Sie erhalten dieses Mail als Abonnent der Swiss Infosec Internet News.
    Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format
    Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
    Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
    Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
    Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch