 Nr. 9 / September 2005 ISSN 1424-4217 Jetzt anmelden und neue effiziente Wege und Möglichkeiten zum Thema «Information Security Management System» kennen lernen! Sie sind herzlich eingeladen, kostenlos an der diesjährigen ISMS Tool Box Roadshow vom 7. September 2005 im Airport Conference Center, Zürich-Kloten teilzunehmen. Nutzen Sie die Gelegenheit, die ISMS Tool Box kennen zu lernen: das webbasierte Sicherheits-Management-Tool inklusive Datenbank der Swiss Infosec AG. Informieren Sie sich über die Grundfunktionen sowie Neuerungen der ISMS Tool Box. Möchten auch Sie Ihr ISMS (Information Security Management System) vollumfänglich intranetbasiert und toolgestützt verwalten: Regeln erarbeiten, Massnahmen definieren und tracken, Risikoanalysen durchführen, Schutzobjekte inventarisieren und klassifizieren, Audits und Erledigungskontrollen dezentral durchführen u.v.a.m.? Dies und vieles andere mehr bietet Ihnen die neue Version 3.0 der ISMS Tool Box - intranetbasiert und praxiserprobt. Hier können Sie sich kostenlos anmelden! Weitere Informationen finden Sie auf unserer Produktwebsite www.ismstoolbox.com. Gerne laden wir Sie zur branchenbekannten Fachtagung SWISS INFOSEC 2005 im Airport Conference Center, Zürich-Kloten ein. Lernen und hören Sie Neues aus der Welt der Informations- und IT-Sicherheit. Vom 26. bis 28. Oktober können Sie hochklassige Referenten und Profis hautnah zu aktuellen Sicherheits-Themen erleben. Mehr erfahren Sie unter www.infosec.ch. Wir freuen uns, Sie begrüssen zu dürfen. Melden Sie sich noch heute an! Die Teilnehmerzahl ist limitiert. Sie erhalten diese E-Mail als Abonnent der Swiss Infosec Internet News. Die Internet Infosec News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der Informationssicherheit. Links zur An- und Abmeldung der Newslist finden Sie am Ende dieser E-Mail.
Aktuelle Meldungen
|
Wussten Sie, dass auf solchen Systemen Datenspuren existieren?
Überzeugen Sie sich persönlich anlässlich der Swiss Document Solution Roadshow von Canon: 
 Microsoft IT Forum 05 – Three days of learning, one year of solutions. Microsoft IT Forum is Microsoft's annual infrastructure conference designed to provide you with technical training, information and community resources to plan, deploy and manage the secure connected enterprise. The conference is based on Microsoft's full range of products that are currently shipping or scheduled for release in the near future. You can visit the Web site to see the agenda packed with new content including: Windows Server 2003 R2 Release, SQL Server 2005, BizTalk Server 2006, Windows Vista and the next version of Microsoft Office. With 170+ Technical Breakout sessions, plus over 100 interactive sessions and 65+ Self Paced Hands-on Labs, you will have the opportunity to join 3,000 of your European peers and Microsoft experts, including the people from the products groups in Redmond. See the Swiss registration site for detailed registration information and take advantage of one of the attractive Swiss packages. Microsoft IT Forum 2005 will help you build a toolkit of ideas to increase your productivity and support your business with new opportunities and ideas. We look forward to welcoming you in Barcelona.
 Security made easy - mit SafeGuard by Utimaco Safeware! Utimaco Safeware gehört zu den führenden europäischen Herstellern von innovativen und professionellen Lösungen für die Informationssicherheit. Unsere SafeGuard Produktpalette bietet Sicherheitsprodukte zum Schutz von Daten vor unberechtigtem Zugriff und Manipulationen auf Endgeräten wie z.B. Desktops, Notebooks, PDAs und in Netzwerken. Der Schutz von Daten beim Mobile Computing gehört zu unseren Kernkompetenzen, denn trotz aller Vorteile ist Mobile Computing immer auch ein Sicherheitsthema. Schutz vor unberechtigtem Zugriff auf sensible Daten bietet SafeGuard Easy, mit dem Notebooks und PCs perfekt gegen unberechtigten Zugriff geschützt werden können. Mit SafeGuard PrivateDisk werden ausgewählte Dateien und Verzeichnisse durch Verschlüsselung wie in einem elektronischen Safe gesichert. SafeGuard PDA ist eine intelligente Authentisierungs- und Verschlüsselungstechnologie für Handhelds und Smartphones und ermöglicht Ihnen, die Vorteile mobiler Endgeräte zu nutzen, ohne die Sicherheit Ihres Unternehmensnetzwerks zu gefährden. Weitere Informationen finden Sie unter www.utimaco.ch
Testen Sie uns - eine gratis Demo-Version erhalten Sie unter:
In Dubio Pro Reo: Mangelnde Beweise lassen Schlimmes befürchten Die australische Verkehrsbehörde kann nicht beweisen, dass Photos von Verkehrssündern nach der Aufnahme nicht verändert worden sind. Trotz des Beizugs von Experten ist es nicht gelungen den Nachweis zu erbringen, dass der auf den Photos aufgebrachte Zahlensatz nicht nachträglich noch verändert worden sein könnte. Dies könnte für die Verkehrsbehörde von New South Wales bedeuten, dass alle Temposünder, die mittels dieser Methode 'überführt' worden sind, versuchen werden, diese Argumentation zu benutzen um straffrei auszugehen. Quelle: www.news.com.au, 11.8.2005 < zu den Themen Ressourcen ja: Schutz eher nein Eine amerikanische Studie über die IT-Sicherheit von KMU ergab ein düsteres Ergebnis. Ca. 25% der grösseren KMU vertrauen die Verwaltung ihrer IT Nicht-Experten an. Mehr als 30% der befragten Unternehmen haben mehr als 1 Jahr lang ihre Backup- und Restore-Funktionen nicht kontrolliert. Von den 75% der Firmen, die angaben, einen Highspeed-Anschluss zu benutzen, sagten 25%, dass sie dessen Sicherheit seit mehr als einem Jahr nicht mehr überprüft hätten. Zieht man alle Resultate der Studie in Betracht und bedenkt, dass die Palette eingesetzter Software immer grösser wird, so unterlassen es viele KMU unverständlicherweise immer noch, rechtzeitig umfassende und adäquate Sicherheitsstrukturen für ihre Unternehmen einzurichten. Quelle: www.pressetext.ch, 05.08.2005 < zu den Themen Nun hat auch New York ein eigenes Gesetz: Verpflichtung zur Bekanntgabe von Sicherheitsverstössen Nach Kalifornien und einigen anderen amerikanischen Teilstaaten ist nun auch in New York ein Gesetz verabschiedet worden, welches Firmen mit Kunden in New York dazu verpflichtet, allfällige Sicherheitsverstösse bekannt zu machen. Diese Gesetze dienen hauptsächlich dazu, mögliche Fälle von Identity Theft möglichst schnell den Betroffenen zur Kenntnis zu bringen, damit diese die Möglichkeit haben, die entsprechenden Vorkehrungen zu ihrem Schutz zu treffen. Quelle: www.nytimes.com, 05.08.2005 < zu den Themen Call Centre-Auslagerungen bergen Probleme: Indischer Regulator will Problem auf den Grund gehen Seit einiger Zeit schon kursieren Meldungen, dass Angestellte indischer Call Centres, welche Anrufe aus den verschiedensten Regionen der Welt entgegennehmen, persönliche Kundendaten zum Verkauf angeboten haben. Nasscom (National Association of Software and Service Companies) hat nun versprochen, den Anschuldigungen auf den Grund zu gehen und die Schuldigen in Zusammenarbeit mit der Regierung vor Gericht zu bringen. Ferner will Nasscom auch dazu beitragen, dass die IT-relevante Legislation entsprechend angepasst wird und die Vollzugsbehörden entsprechend ausgebildet sind. Aber es bleibt festzuhalten, dass das Problem von Identity Theft nicht Asien-spezifisch ist, sondern in all seinen verschiedenen Formen ein weltweites Problem darstellt. Quelle: www. nasscom.org, 19.08.2005; www.theregister.co.uk, 18.08.2005 < zu den Themen Schuldspruch für Datendieb: Haft plus Schadenersatz für Wiedergutmachung Der inzwischen 25 Jahre alte Jason Smathers, der in der Vergangenheit als "AOL-Programmierer", oder als "Desktop-Mitarbeiter" bezeichnet wurde, soll insgesamt 92 Millionen Benutzer-Namen und Mail-Adressen an einen Spammer verkauft haben. Diese Zahl übersteigt die Zahl der AOL-Mitglieder bei weitem, denn die Datensätze enthalten unter anderem auch die Mitbenutzer einzelner AOL-Konten. Neben der Haftstrafe wurde der Täter zu einer Wiedergutmachung von 84’000 Dollar verurteilt. Das entspricht demnach dem Dreifachen jenes Betrags, den er für den einmaligen Verkauf an einen Spammer erhalten hat. Allerdings soll ihm bekannt gewesen sein, dass der Käufer möglicherweise die Daten weiter verkaufen wird. Die Forderung des Online-Dienstes nach Schadensersatz in Höhe von 300’000 Dollar bezeichnete der Richter dagegen als spekulativ. Dabei hatte er noch im Dezember selbst bestätigt, seine AOL-Mitgliedschaft wegen der vielen Spam-Mails gelöscht zu haben. Quelle: http://apnews.excite.com, 17. August 2005 < zu den Themen Tod durch Computerspiel: Mehr Freizeit mit dem Tod gebüsst Ein 28-jähriger Koreaner, grosser Fan von Computerspielen, musste nach über 50 Stunden Dauerspiel für immer aufgeben. Die Teilnahme an einem simulierten Krieg kostete ihn offenbar soviel Kraft, dass er an Erschöpfung noch im Internet-Café an Herzversagen starb. Der Mann hatte erst kürzlich seinen Job aufgegeben, um angeblich mehr Freizeit zu haben und so mehr Zeit fürs Spielen aufbringen zu können. Seine Spiel-Marathons unterbrach er jeweils nur um auf die Toilette zu gehen oder für kurze Schlafphasen. Quelle: www.msnbc.msn.com, 9. August 2005 < zu den Themen Geldautomaten leicht zu knacken: Schwache Sicherheitsmechanismen Eine Studie des Marktforschungsunternehmen Gartner besagt, dass Banken in den USA monatlich bis zu einer Million Dollar durch gefälschte Kundenkarten verlieren. Die Angreifer nutzen die schwachen Sicherheitsmechanismen in den Geräten aus und die Täter gelangen mit Phishing-Mails oder Tools zur Entschlüsselung von Informationen auf gestohlenen Kundenkarten an Kontonummern oder PIN-Codes. Etwa die Hälfte der Banken setzen nach Angaben der Studie leicht zu umgehende Sicherheitsmechanismen in ihren Geldautomaten ein und dies genügt in fast allen Fällen, um eine gefälschte Karte zu basteln, die von den zu schwach geschützten Geldautomaten gelesen werden kann. Quelle: www.de.internet.com, 2. August 2005 < zu den Themen Phishing-Mail vom Chef: Einzelner Mitarbeiter als Zielscheibe Einen neuen Trick haben sich Datendiebe seit kurzem ausgedacht, um an vertrauliche Daten zu gelangen. Einzelne Mitarbeitende von Behörden oder Grossunternehmen erhalten Mails, die angeblich von ihren Vorgesetzten oder anderen Führungskräften stammen. Das raffinierte dabei ist, dass jeweils nur ein einzelner Mitarbeiter ein solches Mail erhält. Die neue ausgeklügelte Technik, die bei grossen Unternehmen sehr wirkungsvoll sein könnte, hat bereits einen Namen: Spear Phishing. Nach Berichten der US-Presse verzeichnet das Sicherheitsunternehmen MessageLabs derzeit ein bis zwei Spear Phishing-Angriffe pro Woche. Die Angriffe seien schwer zurückverfolgbar, viele dieser gezielten Attacken würden von Rechnern in Asien gestartet, heisst es vom britischen Zentrum zur Koordination der Sicherheit der nationalen Infrastruktur (NISCC). Quelle: www.silicon.de, 18. August 2005 < zu den Themen Vorsicht vor den eigenen Mitarbeitenden: Sicherheits-Banker ertappt Ausgerechnet der Chef für Datensicherheit der GE Money Bank in Helsinki wollte sich betrügerisch an seinem Arbeitgeber bereichern. Er stahl eine Bank-Software samt Passwörtern und gab diese einem Komplizen, der mit Hilfe eines Notebooks und eines ungeschützten privaten WLAN-Zugangs ein Konto der Bank um 200’000 Euro erleichtern sollte. Durch die Nutzung des Funk-Netzwerks erhofften sich die Täter, ihre Spuren verwischen zu können. Doch die Adresse des Rechners wurde bei der Nutzung registriert und gespeichert. Da der Komplize ein Notebook der Bank benutzte, führte diese Adresse sehr schnell zum Täter. Quelle: www.infoworld.com, 18. August 2005 < zu den Themen Mehrere US-Flughäfen lahm gelegt: Virus als Verursacher Auf mehreren Flughäfen in den USA ist es auf Grund eines virusverseuchten Datenbank-Servers, der für über fünf Stunden ausser Betrieb war, zu massiven Verspätungen bei den Grenzkontrollen gekommen. Am International Airport von Miami sassen zwischen 4000 und 5000 Personen über mehrere Stunden im Kontrollbereich fest. Auch die Flughäfen in New York, San Francisco, Los Angeles und Dallas waren vom selben Computervirus betroffen. Die Verspätungen waren auf die langsameren Back-up-Systeme oder die manuelle Abfertigung zurück zu führen. Quelle: www.computerworld.ch, 22. August 2005 < zu den Themen Gütesiegel für Datensicherheit: Mehr Vertrauen in den Internethandel Auf einem Kongress über Sicherheit im Internethandel in Berlin hat die deutsche Verbraucherschutzministerin Renate Künast die Vergabe eines Gütesiegels vorgeschlagen. Mit einem so genannten e-Siegel könne mehr Sicherheit im Umgang mit Daten im Internethandel erreicht werden, um mehr Vertrauen bei den Nutzern zu schaffen. Die Wirtschaft solle sorgsam mit den Daten ihrer Kunden umgehen, fordert sie weiter. Ein solches Siegel habe schliesslich auch wirtschaftliche Vorteile. Künast hält eine europaweite Einführung des Siegels für sinnvoll. Verschiedene Umfragen beweisen, dass die Verbraucher Siegel bei der Entscheidung des täglichen Konsums für wichtig halten. Nach wie vor bestehe ein erhebliches Misstrauen gegenüber dem elektronischen Handel, so Künast, und mit einer Einführung eines e-Siegels könnte dem stark entgegen gewirkt werden. Quelle: www.n-tv.de, 19. August 2005 < zu den Themen Telekommunikation Opfer der Unwetter: Notfall „vereint“ Schweizer Mobilnetzanbieter Die Infrastrukturen der Telekommunikationsgesellschaften der Schweiz wurden infolge der schweren Überschwemmungen und Unwetter massiv beeinträchtigt. In mehreren Regionen der Schweiz sind Festnetz, Mobilfunk und ADSL ganz oder teilweise ausgefallen. Die Zentralschweiz und das Berner Oberland waren am stärksten von den Ausfällen betroffen. In diesen Regionen haben die Wassermassen drei Glasfaserkabel unterspült. Die drei Schweizer Mobilnetze, ansonsten harte Konkurrenten, boten einander die Zusammenarbeit an: Notrufe über das Handy konnten während den Ausfällen über die Nummer 112 abgesetzt werden, wenn mindestens eines der drei Mobilnetze verfügbar war. Quelle: www.swisscom.com, www.espace.ch, 24. August 2004 < zu den Themen
Kursangebot Swiss Infosec AG: Kurse September und Oktober 2005 Folgende Kurse der Swiss Infosec AG sind für die Monate September und Oktober 2005 ausgeschrieben: Intensivlehrgang Vorbereitung CISSP, 8. bis 14. September 2005 Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmer auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. weitere Informationen Information Security Awareness, 13. September 2005 Die Erhöhung der Sensibilität im Umgang mit Informationen ist ein effektives Mittel, die Sicherheit im Unternehmen mit relativ wenig Aufwand massiv zu erhöhen. Eine Sicherheitskette ist nur so stark wie ihr schwächstes Glied. So sind in der Informationssicherheit nicht die Technologie oder der physische Schutz die kritischen Faktoren. Viel mehr sind es die Menschen, die durch ihre Fehlbarkeit, aber auch auf Grund der stets steigenden Komplexität ihrer Mitwelt, ein grosses Risiko darstellen, respektive eine Vielzahl von zum Teil teuren Vorfällen verursachen. Damit einhergehen die entsprechenden Image-, Personen- und Sachschäden. Die massgebenden Entscheidungsfaktoren liegen beim Sensibilisieren aller Mitarbeitenden. Wissensvermittlung, Aufmerksamkeit und "Fitness" bei allen Mitarbeitenden in Sachen Sicherheit zu erlangen ist eine hohe Herausforderung für die Verantwortlichen. weitere Informationen Workplace Security, 15. September 2005 Die KursteilnehmerInnen erhalten eine umfassende Ausbildung zur Wahrung der Informationssicherheit am PC-Arbeitsplatz. Die Ausbildung führt ein in Massnahmen aus den Bereichen Datenschutz, Informationsschutz und Informatiksicherheit, wobei Merksätze die spätere Umsetzung und Einhaltung am Arbeitsplatz erleichtern helfen. Anhand von Demos wird das Erlernte visualisiert. Die TeilnehmerInnen erhalten Tipps und Anregungen, wie sie unter Wahrung der allgemein üblichen Sicherheitsmassnahmen arbeiten können. Sie kennen und verstehen die Gründe der am Arbeitsplatz üblichen Massnahmen. weitere Informationen BS7799 Einführungskurs, 19. September 2005 Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm BS 7799 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil BS 7799 zertifizierbar ist. weitere Informationen BS7799 Vertiefungskurs, 20. und 21. September 2005 Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der BS 7799-Norm bekannt sein. weitere Informationen Verhalten in Konfliktsituationen, 23. September 2005 Die Kursteilnehmenden erhalten allgemeine Informationen über die Entstehung von Konflikten und lernen das richtige Verhalten in Konfliktsituationen. Sie machen sich in Rollenspielen ihr bisheriges Verhalten bewusst und lernen praxisorientiert neue Verhaltsoptionen kennen. weitere Informationen Technische Sicherheit, 26. bis 29. September 2005 Die Kursteilnehmenden kennen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Internetdienste aus dem Blickwinkel der Sicherheit funktionieren. Diesbezüglich werden Sicherheitskonzepte und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln den Teilnehmenden veranschaulicht. Durch das Ausführen von Attacken gegen Zielsysteme in einer Testumgebung lernen sie die Vorgehensweise eines Angreifers praktisch kennen. weitere Informationen IT-SiBe Intensivlehrgang, 17. bis 21. Oktober 2005 Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. Anhand von Fallbeispielen aus der Praxis, Checklisten und Formulare lernen die Teilnehmenden, die interne Informatik- und Informationssicherheit umfassend zu analysieren, zu organisieren und zu administrieren. Alle notwendigen Kenntnisse, Methoden und Arbeitstechniken werden vermittelt, um verantwortungsvolle Aufgaben in der Informations- und IT-Sicherheit wahrnehmen zu können. weitere Informationen Quelle: Programm 4-2005 < zu den Themen Neu! Kurs Kryptologie: Kryptologie - Kryptografie - Kryptoanalyse - Steganografie Wir bieten Ihnen den Kurs Kryptologie ab 2006 neu an. Die Kursteilnehmenden fühlen sich sicher im Umgang mit kryptografischen Fachbegriffen. Sie kennen Stärken und Schwächen kryptografischer Architekturen und Algorithmen. Sie wissen, welche Verfahren im Alltag eingesetzt werden. Aus dem Inhalt
Kursdauer 1 Tag Kosten CHF 850.-/EUR 590.- Quelle: Programm 5-2005 < zu den Themen Neu! Kurs Web Service Security: XML Enryption - XML Signature - XKMS - SAML Wir bieten Ihnen den Kurs Web Service Security ab 2006 neu an. Die Kursteilnehmenden kennen die Grundlagen und den Anwendungsbereich entsprechender Standards im Bereich von Web Service Technologien. Sie kennen die verschiedenen standardisierten Technologien zur Sicherung von Web Services und können deren Vor- und Nachteile bei der praktischen Anwendung beurteilen. Aus dem Inhalt Web Services bieten eine Möglichkeit des Datenaustausches zwischen (heterogenen) Systemen. Durch die Übertragung der Informationen in XML-Formaten sind die Geschäftsdaten im Klartext einsehbar und erfordern entsprechende Sicherheitsmassnahmen. Um das volle Potenzial der Web Services nutzen zu können, sollten dementsprechend Sicherheitstechnologien eingesetzt werden, welche auf deren Stärken ausgerichtet sind und die Flexibilität und Interoperabilität von Web Services voll nutzen:
Kursdauer 1 Tag Kosten CHF 850.-/EUR 590.- Quelle: Programm 5-2005 < zu den Themen
Die ISMS Tool Box: Die nächste Generation des Swiss Infosec Baseline Tool 
Die ISMS Tool Box bietet vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines ISMS (Information Security Management System). Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden, die Umsetzung geplant und laufend überprüft werden. Die ISMS Tool Box unterstützt neben dem Ownership Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity Aktivitäten können mittels des Tools effektiv unterstützt werden. Neben der Möglichkeit, ein Glossar und eine Linksammlung intranetbasiert zu führen, kann auch ein Basel II-konformes Security Incident Management aufgebaut werden. Daneben existieren Instrumente für die Durchführung von Risikoanalysen und Audits. Dezentrale Stellen können mittels einer Self Assessment-Funktion in die Aufrechterhaltung und laufende Verbesserung des ISMS eingebunden werden. Das Tool erlaubt den direkten intranetbasierten Zugriff auf ISO17799/BS7799, Cobit, BSI-Grundschutzhandbuch und den Baselinekatalog der Swiss Infosec AG. Mandantenfähigkeit, LDAP-Kompatibilität, Import- und Exportfunktionen, Reportgeneratoren und vieles andere mehr komplettieren die ISMS Tool Box. Daneben bietet Ihnen die ISMS Tool Box die Möglichkeit, innerhalb des ISMS Tool Box Praxis Forums viermal jährlich Erfahrungen in einer geschlossenen Benutzergruppe auszutauschen. www.ismstoolbox.com An der diesjährigen ISMS Tool Box Roadshow stellen wir erstmals die neue Funktionalität "Automatische Reviewfunktion für Arbeitsgruppen des Baselinekataloges“, "Klassifizierung von Baselines", "Historisierung, Reviewing, Validierung von Regelwerken“, "Basel II-konformes Incident Management“, "Dynamische Einbindung des Glossars in Baselinekatalog" sowie die "Mandantenfähige Inventarisierung“ und den "Zugriffsschutz auf Inventardaten" vor, die sich einfach in die bereits bestehende Version einfügen und in der Praxis sehr effizient einsetzen lassen können. Interessiert? Reservieren Sie sich Ihren Platz und melden Sie sich für die ISMS Tool Box Roadshow an. Hier können Sie sich kostenlos anmelden! < zu den Themen Blended Learning bringts: Frage: Unsere Geschäftsleitung möchte die Mitarbeiter möglichst umfassend in Fragen der Informations- und IT-Sicherheit sensibilisieren und ausbilden. Was ist dabei zu beachten? Viele Unternehmen haben schon erkannt, dass in der Informations- und IT-Sicherheit der «Faktor Mensch» das grösste Risiko und die grösste Chance zugleich darstellt. Andere haben in dieser Hinsicht noch etwas Nachholbedarf. In Fragen der Ausbildung profitieren wir von den enormen Anstrengungen der Forschung, wie sie in den letzten Jahren betrieben worden ist. Dabei wurde klar, dass drei unterschiedliche Lernformen zu unterscheiden sind. Lassen Sie mich diese hier vorstellen. Erstens haben wir die klassische Präsenzschulung, wie wir sie im Prinzip bereits aus der Schule kennen. Diese kommt als Workshop oder Kurs daher, in welchem die Teilnehmer persönlich anwesend sind und von einem Tutor die zu lernenden Informationseinheiten empfangen. Grundsätzlich ist das Setting hier weit offen, eine Obergrenze für diese Art von Gruppen liegt bei 10 bis 15 Personen. An den Kursleiter werden hohe Anforderungen gestellt: er muss in der Lage sein, die Gruppenstimmung zu modulieren, er soll den Stoff didaktisch geschickt aufbereiten, auf individuelle Wünsche und Fragen eingehen, unterschiedliche Wissensniveaus adressieren können, usw. Die Qualität der Präsenzschulung hängt wesentlich vom Kursleiter ab – informieren Sie sich deshalb vorab, wer einen Kurs gibt und lassen Sie sich allenfalls Referenzen geben! Der Hauptnachteil dieser Unterrichtsform liegt darin, dass der Lernerfolg praktisch nicht kontrolliert werden kann (ausser durch anschliessende Prüfungen, die allerdings selten durchgeführt werden). Das erreichte Niveau ist sowohl sehr unterschiedlich als auch nicht messbar. An zweiter Stelle steht das e-Learning, welches sich auch dank der akademischen Arbeit in letzter Zeit zu einem hervorragenden Werkzeug entwickelt hat. E-Learning ist im Gegensatz zur Präsenzschulung hoch individuell und hoch kontrollierbar. Darüber hinaus sind die Lerneinheiten sehr fein granulierbar und können dann konsumiert werden, wenn es für den Lernenden am passendsten ist. Weil die Lernfortschritte hoch kontrollierbar sind, ist noch ein ganz besonders wichtiges Thema betroffen: die Beweisbarkeit der Ausbildung und des erzielten Lernniveaus. Ein Beispiel: Die Eidgenössische Bankenkommission (EBK) fordert, dass 100% der involvierten Mitarbeitenden über das Geldwäschereigesetz GwG Bescheid wissen. Wie beweisen Sie das? Dank e-Learning kann der Arbeitgeber belegen, dass er seiner Ausbildungspflicht nachgekommen ist und in welchem Umfang. E-Learning kann auditiert werden. Als dritte und neueste Form für Ausbildungskampagnen bieten sich Massenveranstaltungen an. Diese werden in Gruppen mit 20 bis 100 Teilnehmenden durchgeführt. Dabei möchte ich insbesondere auf «Edutainment» als neue Unterrichtsform hinweisen. Der Begriff Edutainment entsteht aus Education und Entertainment; Ausbildung als Unterhaltung. Dabei nutzen wir ein starkes wissenschaftliches Argument: was mit Spass gelernt wird, bleibt viel länger präsent! Die grosse Anzahl Teilnehmender wird unterhalten und geschult von einem Team von zwei bis drei Tutoren, welches durchaus auch schauspielerische Qualitäten haben soll. So kann beispielsweise ein Technik-Crack, ein DAU (Dümmster Anzunehmender User) und ein integrierender Moderator ein solches Tutoren-Team bilden. Grosszügiger Einsatz von Technik und Multimedia hilft dabei, die Aufmerksamkeit für 1 bis 2 Stunden aufrecht zu erhalten. Alle drei Unterrichtsformen zusammen werden als «Blended Learning» (gemischtes Lernen) bezeichnet. Der Schlüssel für eine erfolgreiche Ausbildung in Ihrem Unternehmen liegt in der Nachhaltigkeit durch vermischtes Lernen. Je länger nämlich die Lerninhalte präsent bleiben, desto mehr werden sie zum Teil der gelebten Sicherheitskultur. «Der Schlüssel liegt in der Nachhaltigkeit durch gemischtes Lernen» Quelle: www.computerworld.ch, Autor: Andre Jacomet, Managing Consultant und Kursleiter, Swiss Infosec AG < zu den Themen Beispielsweise Stromausfall - was nun?: Wie sind Sie bezüglich Stromausfall vorbereitet? Ist Ihr Alarmsystem beispielsweise bei Naturkatastrophen auf ein funktionierendes Mobiletelefonnetz angewiesen? Welche Schutzmassnahmen haben Sie vorgesehen im Bereich Zutritt, Diebstahl, Naturkatastrophen, Umwelteinflüsse, technische Pannen, Demonstrationen, Sabotage u.a.? Welche weiteren Schutzmassnahmen erfordern Ihre schützenswerten Informationen? Diese und viele andere Fragen sind bei der Erarbeitung eines physischen Sicherheitskonzeptes zu stellen. Ist das Konzept bereits umgesetzt, sind regelmässige Überprüfungen durchzuführen, um die Effektivität der stark voneinander abhängigen organisatorischen und physischen Sicherheitsmassnahmen feststellen zu können. Noch lange nicht können alle erkannten und wünschenswerten Sicherheitsmassnahmen umgesetzt werden. Vielfach müssen die bekannten Risiken aus Kostengründen aktiv durch die Verantwortlichen übernommen werden. Treten diese Gefahren dann aber tatsächlich unverhofft ein - beispielsweise in Form von Überschwemmungen verbunden mit Stromausfällen, Ausfällen des Kommunikations- und IT-Netzes, Versorgungsengpässen, Lieferschwierigkeiten u.a. - und sind diese Umstände resp. Schäden dermassen, dass sie nicht mittels der Normalorganisation wieder behoben werden können, so ist das Krisenmanagement gefordert! Nach der Alarmierung des Krisenstabes ist die Situation unverzüglich vertieft zu analysieren sowie sind parallel dazu rasch Sofortmassnahmen anzuordnen, geplante Reaktionen gezielt und situativ auszulösen, Reservemittel sinnvoll einzusetzen und neue wieder zu bilden und mittels vorbehaltenen Entschlüssen oder präventiven Massnahmen ist auf mögliche Ereignisse effizient zu reagieren. Die Swiss Infosec AG kann Sie in all diesen Bereichen kompetent und umfassend unterstützen - genau so viel, wie Sie benötigen. Auf Grund unserer über 15jährigen Erfahrung im Bereich der Integralen Sicherheit können wir zusammen mit Ihren Mitarbeitenden ein physisches Sicherheitskonzept oder ein Konzept für die Ereignis- und Krisenvorsorge erarbeiten, Ihre Unterlagen durch Dokumentenreview und Ihre umgesetzten physischen Sicherheitsmassnahmen durch Begehungen bei Ihnen vor Ort auditieren, Ihre Sicherheitsverantwortlichen im Bereiche der physischen Sicherheit praxisnah aus- und weiterbilden oder Ihr Krisenmanagement in realitätsnahen Übungen auf seine anspruchsvolle Aufgaben vorbereiten resp. anlässlich von effektiven Unternehmenskrisen als Coach tatkräftig unterstützen. Ihre unverbindliche Anfrage. Für eine Konkretisierung Ihres Vorhabens steht Ihnen unser Managing Consultant Herr Cornel Furrer zusammen mit seinem Beratungsteam gerne zur Verfügung: cornel.furrer@infosec.ch ; +41 (0)79 209 17 36 oder +41 (0)31 300 73 73 < zu den Themen Swiss Infosec AG und eGovernment: eCH gibt die Musterlösung "Informationssicherheit im eGovernment" frei Bei der praktischen Umsetzung von Prozessen im eGovernment fehlte bis anhin ein standardisiertes Verfahren für die Wahl angemessener Sicherheitstechnologien in Abhängigkeit zum Schutzbedürfnis der übertragenen Informationen. Im Rahmen eines Beratungsmandats erarbeitete die Swiss Infosec AG zusammen mit der Leitung eGovernment des Kantons Aargau ein Entscheidungsraster, welches die Wahl geeigneter Informationssicherheitstechnologien für die Geschäftsabwicklung über das Internet und E-Mail im Rahmen der Möglichkeiten von eGovernment ermöglicht. Das Ergebnis wurde dem Verein eCH zur Aufnahme als standardisierte Musterlösung für eGovernment-Dienstleistungen in der Schweiz angemeldet und per 25.08.05 als solche von eCH freigegeben. Quelle: www.ech.ch < zu den Themen
Fachliteratur: Neuerscheinung
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der
Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
| ||||||||||||||||||||||||||||||||||||
