Sichere Informationen aus erster Hand! Am 26. Januar durften wir über 130 Teilnehmende an unserer Informationsveranstaltung Meet Swiss Infosec! begrüssen. Die "Meet Swiss Infosec!" bietet Ihnen regelmässig die Möglichkeit, sich an einem Nachmittag über die neusten Trends in der Informations- und IT-Sicherheit zu informieren und sich mit Berufskolleginnen und Berufskollegen über aktuelle Tendenzen, Problematiken und Lösungswege auszutauschen. Impressionen.
Die Swiss Infosec AG wächst. Dank interessanten und herausfordernden Mandaten können wir an dieser Stelle vier neue Mitarbeitende im Bereich der Beratung, IT und Management Services begrüssen und vorstellen. Erfahren Sie hier mehr.
Sie erhalten dieses E-Mail als Abonnent der Swiss Infosec Internet News. Die Swiss Infosec Internet News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der IT- und Informationssicherheit. Links zur An- und Abmeldung der News finden Sie am Ende dieses E-Mails.
1 bis 2 Stunden Zeit gewinnen pro Tag mit alphaskills®
alphaskills®sind Arbeitstechniken für effizienten Umgang mit Informationen. Sie öffnen ein grosses
Potenzial an Zeit- und Geldgewinn. Beispiel: Lesen aller Art (Papier und PC/Mails) macht oft 60-90%
der Arbeitszeit aus.
Mit alphaskills® können Sie Ihr Lesematerial in 1/2 bis 1/3 der Zeit verarbeiten.
Kontakt:
Ansprechpartner: Ruth Wenger Ausbildung und Entwicklung
Lindenstr. 16
6340 Baar-Zug
Tel. 041 - 760 51 20
E-Mail info@alphaskills.ch, www.alphaskills.ch
Aktuelle Meldungen
Schweizer eGovernment: Bundesrat pusht
Der Bundesrat hat seine aus dem Jahr 1998 stammende Strategie für die "Informationsgesellschaft Schweiz" revidiert und setzt seine Schwerpunkte nun bei eHealth und eGovernment.
Die Strategie für eine Informationsgesellschaft soll sicherstellen, dass die Informations- und Kommunikationstechniken zum Nutzen aller eingesetzt werden können. Da zahlreiche Problematiken im Kompetenzbereich der Kantone liegen, legt der Bundesrat besonderen Wert auf die Zusammenarbeit und Abstimmung mit anderen staatlichen Ebenen. Im Bereich des eGovernment soll eine schweizweite Strategie formuliert werden, um im internationalen Vergleich an die Spitze vor zu stossen. Zudem soll ein Aktionsplan erarbeitet werden, um den standardisierten Umgang mit elektronischen Daten zu vereinfachen.
Handy als Retter in Not: Der Notfall-Sender ist miteingebaut
Beim US-Patentamt ist eine ganz besondere Handy-Entwicklung angemeldet worden. Das von Nokia geplante Gerät ist für Personen gedacht, die in Gefahr stehen, entführt zu werden. Das Gerät ist in der Lage, im Fall einer Entführung einen vorab aufgezeichneten Notruf abzusetzen. Nachdem dieser Notruf durch eine vertieft angebrachte Taste ausgelöst wurde, zeichnet das Gerät weiterhin Bilder und Umgebungsgeräusche auf. Enthält das Gerät einen GPS-Chip, so wird auch die jeweilige geographische Lage aufgezeichnet. Alle Aufnahmen werden umgehend weitergeleitet. Wenn die Funkverbindung beispielsweise in einer Tiefgarage unterbrochen wird, zeichnet das Gerät weiter auf, bis die Verbindung wieder hergestellt wird und sendet dann auch die gespeicherten Informationen.
Das Telefon kann im Entführungsfall in 2 Modi benutzt werden: Es kann wie beschrieben vortäuschen, deaktiviert zu sein, es kann aber auch dem Entführer mitteilen, dass ein Notruf abgesetzt wurde, um diesen eventuell zur Aufgabe des Vorhabens zu bewegen. Im stummen Modus bietet das Gerät auch eine ideale Möglichkeit, als Überwachungsinstrument eingesetzt zu werden.
Gebrannte Archiv-CDs haben eine Lebensdauer von nur 2-5 Jahren: Magnetbänder von Spezialisten empfohlen
Kurt Gerecke von IBM Deutschland warnt davor, selbstgebrannte Archiv-CDs als die Lösung der Archivierungsprobleme zu betrachten.
Nach seinen Worten haben diese CDs, seien es nun CD-R oder CD-RW, eine Lebenserwartung von maximal 5 Jahren. Diese Tatsache beruht auf der Materialzersetzung dieser Speichermedien. Optische Disks wie CD-R und CD-RW haben eine Speicheroberfläche mit einer Farbstoffschicht, die durch Hitzeveränderungen so geändert wird, dass Daten gespeichert werden können. Der Abbauprozess kann zur Folge haben, dass Daten sich auf der CD verlagern und so nicht mehr ausgelesen werden können.
Auch Hard Drives sind nicht der Weisheit letzter Schluss. Hier liegt das Problem weniger bei den Disks als bei ihrer Lagerung im Computer. Lagerungen geringerer Qualität nutzen sich schneller ab. Gerecke empfiehlt hier Hard Drive Disks mit 7200 Umdrehungen per Minute.
Gereckes Empfehlung ist die Archivierung auf Magnetbändern, da diese eine Lebensdauer von 30 bis 100 Jahren haben. Aber auch hier ist zu bedenken, dass dafür jeweils die geeigneten Medien zur Verfügung stehen müssen, um wieder auf die Speicherdaten zugreifen zu können.
Quelle: computerworld.com, John Blau, 10. Januar 2006
Botnet- und Phishing-Attacken gefährlicher als Viren: Massiver Anstieg prognostiziert
Während in den letzten Jahren die nicht kontrollierte Massenverbreitung von Viren im Vordergrund stand, werden die Angriffe immer gezielter.
Phishing, Spy und Ad Ware sowie Botnets stehen jetzt im Zentrum der Sicherheitsproblematik. Stefan Angerer von Norman Data Defense Deutschland meint: 'Die Attacken finden jetzt zierlgerichtet statt und sind zumeist auf die finanzielle Schädigung der Opfer oder das Sammeln von vertraulichen Informationen ausgerichtet.'
Righard Zwienenberg, ebenfalls von Norman, geht davon aus, dass Botnet- und Phishing-Attacken Virenangriffe bezüglich wirtschaftlichem Schaden und Sicherheitsbedrohung bereits überholt haben. Die meisten User, Private wie auch Firmen, haben mittlerweile gelernt, mit der täglichen Virenbedrohung umzugehen. Das Phänomen der Botnets ist aber immer noch vielen unbekannt. Bots können ohne Wissen der User ganze Computernetzwerke unter ihre Kontrolle bringen, um von diesen aus DoS-Attacken oder andere schädliche Aktivitäten zu straten.
E-Mail-Benutzer sind immer noch nicht sicherheitsbewusst: Vertrauliche Informationen werden weiter geleitet
Laut einer Untersuchung von Mirapoint und Radicati haben 6% aller befragten Mitarbeiter eingestanden, schon vertrauliche Arbeitgeber-E-Mails an nicht legitimierte Empfänger gesendet zu haben.
Ein weiteres Ergebnis der Studie ist, dass viele Mitarbeitende die eingesetzten technischen Kontrollösungen durch dem Gebrauch von privaten E-Mail-Accounts unterlaufen. 25% der Befragten sagten, dass sie regelmässig geschäftliche E-Mails an ihren privaten Account weiterleiten. 62% versenden auch geschäftliche Mails über den Privat-Account, 8% tun dies sogar oft.
Spioniert Ihre Firewall Sie aus?: Zone Alarm versendet Informationen an 4 verschiedene Server
Laut einem Informanten bei Infoworld soll Zone Alarm 6.0 Daten an 4 verschiedene Server senden. Zuerst sei dieses Faktum von Zone Labs abgestritten worden, nach einigen Monaten hiess es dann aber, dass dies ein Softwarefehler sei. Dies sei aber seltsam, da die Anweisungen, die Server zu kontaktieren, im XML-Code des Programms ständen. Die Firma meint nun, dass sie den 'Softwarefehler' bald beheben werde. Es scheint, dass der 'Softwarefehler' in der Verkaufsversion von Zone Alarm ist, was genau die Freeware-Version macht, ist nicht abzuschätzen.
Quelle: www.theinquirer.net, Paul Hales, 23. Januar 2006
$67,2 Milliarden pro Jahr: Soviel kostet US-Firmen der Umgang mit Viren, Spyware etc.
Laut einer umfassenden FBI-Untersuchung mit 2066 teilnehmenden Firmen haben 1324 der Befragten einen finanziellen Verlust durch einen Computersicherheitsvorfall erlitten.
Die Durchschnittskosten beliefen sich auf $24'000. Übertragen auf die Gesamtheit der USA ergibt sich also dieser erstaunliche Betrag. Vergleichsweise gering nehmen sich da die Verluste durch Telekommunikationsbetrug mit $1 Milliarde aus. Die Reaktion auf Würmer, Viren und Trojaner war am teuersten, dann folgten Computerdiebstahl, Betrug und Eindringen in Netzwerke.
Fast 10% der befragten Firmen hatten keine Firewall, eine Zahl, die unter den heutigen Umständen doch überrascht. Auch ist zu beachten, dass nicht alle Angriffe von aussen kommen. So meldeten über 44% der Befragten, dass sie Angriffsversuche von intern erlebt haben. Hier ist es also sehr wichtig, dass Policies und Prozesse zur Anwendung kommen, die dazu beitragen, Insiderangriffe zu minimieren.
Virus überschreibt Dokumente: Der 3. eines jeden Monats ist der Stichtag
Der neu entdeckte Wurm N y m e x . E bildet eine Ausnahme unter den Würmern, da er eine direkte Schadroutine enthält.
. Der Wurm überschreibt am 3. jeden Monats Files mit den Endungen .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pds, .psd und .dmp mit der Textzeile 'Data Error [47 0F 94 93 F4 K5]'. Dieser englischsprachige Wurm verbreitet sich in den Betreff- und Nachrichtentexten. Zugegriffen werden soll auf den Wurm unter Versprechung von pornographischem Material. Ebenso durchforstet der Wurm die Email-Verzeichnisse und versendet sich an die enthaltenen Adressen weiter und er sucht auch Netzwerkverzeichnisse auf, damit er sich in Firmennetzwerken verbreiten kann.
Der Wurm ruft ausserdem eine bestimmte Website auf, was deren Zählerstand erhöht. Der Stand lag vor kurzem bei 510'000, wohl die infizierten Systeme reflektierend.
Antivirenlösungen-Anbieter arbeiten momentan an den entsprechenden Virensignaturen, um den Wurm erkennen zu können.
Anti-Spyware-Firma angeklagt: Programm könnte Computer sogar unsicherer machen
Die Software-Firma Secure Computer LLC steht vor einem US-Gericht unter Anklage.
Die Hauptpunkte, die das Verfahren beantworten soll, sind: Trifft es zu, dass das Programm Spyware Cleaner die meisten Spyware-Programme überhaupt nicht feststellt? Trifft es zu, dass sehr viele legitime Daten fälschlicherweise als Spyware bezeichnet werden? Trifft es zu, dass Secure Computer LLC fälschlicherweise behauptet, dass Microsoft Spyware Cleaner empfiehlt? Gesamthaft werden 16 Punkte verhandelt werden, eine mögliche Strafe könnte Millionen von US-Dollars betragen. Wann es zu einem Urteilsspruch kommen wird, ist noch nicht bekannt.
Grossbritannien plant Strafverschärfung für Cyberkriminelle: Manchen Kritikern zu schwammig
Das britische Home Office (Innenministerium) plant verschiedene Verschärfungen bezüglich der Bestrafung von Cyberkriminellen.
Unter anderem soll die maximale Gefängnisstrafe für das Eindringen in Computer von 5 auf 10 Jahre verdoppelt werden, der Besitz von Hacker Tools soll bis zu 12 Monate Haft nach sich ziehen und es soll von Gesetzes wegen gegen DoS-Attacken und die Verbreitung von schädlichem Code vorgegangen werden können.
Es scheint aber, dass Formulierungen so schwammig ausgefallen sind, dass auch z.B. Data Recovery Software unter das Gesetz fallen könnte.
Ist Ihr Laptop Millionen wert?: Auch Informationen haben ihren Wert
Ihr Laptop mag ja 2000,00 CHF gekostet haben, aber wahrscheinlich ist Ihnen nicht bewusst, welchen Wert die drauf gespeicherten Daten haben können.
Eine von Symantec durchgeführte Untersuchung kam zum Resultat, dass der Durchschnittslaptop Daten im Wert von über 1,000,000 CHF enthalten kann und dass auf manchen Laptops sensitive Geschäftsdaten und geistiges Eigentum im Wert von über 10,000,000 CHF gespeichert sind.
Deswegen ist es unverständlich, dass so viele Firmen nicht mehr tun, um diese Daten zu schützen. Für alle Daten der Laptops ist es wichtig, dass ein regelmässiges Backup durchgeführt wird und es sollte darauf geachtet werden, dass sich nicht unnötigerweise kritische Daten auf den Laptops befinden.
Dass hier noch viel zu tun ist, zeigt auch die Tatsache, dass nur 42% der Firmen die Emails der Mitarbeitenden (wo die meisten kritischen Daten gespeichert sind) durch ein Backup sichern bzw. dass 45% der Firmen diesen Vorgang den Mitarbeitenden überlassen.
Quelle: silicon.com, 27. Januar 2006, Will Sturgeon
Laptop gestohlen: Daten von 225'000 Kunden in Gefahr
Im Dezember 2005 ist ein Laptop eines Mitarbeiters der US-Firma «Ameriprise Financial» gestohlen worden ist. Der Mitarbeiter dieser Investment-Beratungsfirma hatte den Laptop in seinem Auto gelassen. Dieses wurde aufgebrochen, der Laptop gestohlen. Auf dem Laptop befanden sich Daten von über 225'000 Kunden. Entgegen den Sicherheitsvorschriften der Firma waren die Daten nicht verschlüsselt. Die Firma hat unterdessen über 68'000 Kunden brieflich darüber informiert, dass auch deren Sozialversicherungsnummer gestohlen wurde. Der Mitarbeiter, der sich nicht an die IT-Vorschriften gehalten hatte, ist unterdessen entlassen worden. «Ameriprise Financial», eine Ausgliederung von «American Express», hat aufgrund dieses Vorfalls sowohl einen Image-, wie auch finanziellen Schaden erlitten. Über den Schaden bei der Kundschaft ist bis anhin noch nichts bekannt.
Fazit:
Laptops stellen grundsätzlich ein Sicherheitsrisiko dar. Es sind deshalb die erforderlichen Sicherheitsmassnahmen so zu installieren, dass sie durch die Mitarbeitenden nicht ausser Betrieb gesetzt werden können. Zudem sind Mitarbeitende entsprechend zu schulen.
Fahrlässiger Umgang mit Kundendaten: Kreditkartennummern mit der Zeitung verteilt
Der fahrlässige Umgang mit Daten ist keineswegs ein Privileg der Online-Welt. Zwei zur Verlagsgruppe der New York Times gehörende US-Tageszeitungen - Boston Globe und Worcester Telegram & Gazette - haben am letzten Wochenende versehentlich die Namen und die Kreditkartenummern von 240’000 Lesern in Umlauf gebracht. Die Daten befanden sich auf der Rückseite von Laufzetteln aufgelistet, die den 9’000 Zeitungsbündeln bei der Auslieferung beigelegt wurden. Das Papier war versehentlich "recycled" worden. Der ganze Vorgang war den Zeitungen erst bekannt geworden, nachdem ein Händler in einem Anruf darauf aufmerksam gemacht hatte.
Zweiter Ausfall bei Hostpoint: Noch keine Entwarnung
Der Rapperswiler Internetservice-Provider Hostpoint kämpft seit der Umstellung auf ein neues Speichersystem mit massiven Problemen. Entwarnung kann Hostpoint leider noch nicht geben, obschon nach mehrtägiger Störung wieder alle Server erreichbar sind. Die Daten befinden sich weiterhin auf der gleichen Speicherlösung.
Ueber die letzten Weihnachten war während Tagen ein Teil der Server nicht mehr erreichbar. Anfang dieser Woche ereignete sich der zweite grosse Ausfall, wie schon der erste dauerte er mehrere Tage. Vom Ausfall sind mehrere tausend Kunden.
Quelle: www.computerworld.ch, www.hostpoint.ch, 10. Februar 2006
Wir bieten Ihnen den Kurs Kryptologie ab 2006 neu an.
Die Kursteilnehmenden fühlen sich sicher im Umgang mit kryptografischen Fachbegriffen. Sie kennen Stärken und Schwächen kryptografischer Architekturen und Algorithmen. Sie wissen, welche Verfahren im Alltag eingesetzt werden.
Aus dem Inhalt
Geschichte der Kryptologie
Kryptografie, Kryptoanalyse, Steganografie
Die Rolle des Zufalls
Hashing
Symmetrische, asymmetrische und hybride Verfahren
IPSec, SSL, SSH, HTTPS
Zertifikate X.509/PKI
Secure E-Mail
Kryptografie - ein Sicherheitsrisiko?
Praktische Übungen und Präsentationen Kryptografie/Kryptoanalyse
Der Kurs richtet sich an Sicherheitsbeauftragte, IT-Sicherheitsbeauftragte, IT-Leitende, System- und Netzwerkverantwortliche sowie an Sales Manager und Projektleiter, die ein umfangreiches und praktisches Verständnis für Kryptologie haben wollen.
Neu! Kurs Web Service Security: XML Enryption - XML Signature - XKMS - SAML
Wir bieten Ihnen den Kurs Web Service Security ab 2006 neu an.
Die Kursteilnehmenden kennen die Grundlagen und den Anwendungsbereich entsprechender Standards im Bereich von Web Service Technologien. Sie kennen die verschiedenen standardisierten Technologien zur Sicherung von Web Services und können deren Vor- und Nachteile bei der praktischen Anwendung beurteilen.
Aus dem Inhalt
Web Services bieten eine Möglichkeit des Datenaustausches zwischen (heterogenen) Systemen. Durch die Übertragung der Informationen in XML-Formaten sind die Geschäftsdaten im Klartext einsehbar und erfordern entsprechende Sicherheitsmassnahmen. Um das volle Potenzial der Web Services nutzen zu können, sollten dementsprechend Sicherheitstechnologien eingesetzt werden, welche auf deren Stärken ausgerichtet sind und die Flexibilität und Interoperabilität von Web Services voll nutzen:
XML Encryption und XML Signature zum Schutz von Vertraulichkeit und Integrität
XKMS zur konsequenten Umsetzung von PKI-Lösungen
SAML zur Realisierung von Single Sign-on Lösungen und zur Realisierung von Federated Identity Management
Der Kurs richtet sich an Personen, die in die Planung oder die Umsetzung von Anwendungen involviert sind, welche Schnittstellen zum Datenaustausch mit anderen Systemen erfordern, sowie an alle, die sich einen ersten Überblick über die Standards im Bereich Web Service Security verschaffen möchten.
Verpassen Sie den nächsten Termin für den Kurs "IT-SIBE" nicht!
Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen.
Kurs ISO/IEC 27001 Vertiefung: Anwendung und Nutzung
Verpassen Sie den nächsten Termin für den Kurs "ISO/IEC 27001 Vertiefung" nicht!
Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen.
Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein.
Verpassen Sie den nächsten Termin für den neu im Programm ausgeschriebenen Kurs "Kryptologie" nicht!
Die Kursteilnehmenden fühlen sich sicher im Umgang mit kryptografischen Fachbegriffen. Sie kennen Stärken und Schwächen kryptografischer Architekturen und Algorithmen. Sie wissen, welche Verfahren im Alltag eingesetzt werden.
Aus dem Inhalt
Geschichte der Kryptologie
Kryptografie, Kryptoanalyse, Steganografie
Die Rolle des Zufalls
Hashing
Symmetrische, asymmetrische und hybride Verfahren
IPSec, SSL, SSH, HTTPS
Zertifikate X.509/PKI
Secure E-Mail
Kryptografie – ein Sicherheitsrisiko?
Praktische Übungen und Präsentationen Kryptografie/Kryptoanalyse
Folgende Kurse der Swiss Infosec AG sind für die Monate Februar und März 2006 ausgeschrieben:
Web Service Security, 6. Februar 2006
Die Kursteilnehmenden kennen die Grundlagen und den Anwendungsbereich entsprechender Standards im Bereich von Web Service Technologien. Sie kennen die verschiedenen standardisierten Technologien zur Sicherung von Web Services und können deren Vor- und Nachteile bei der praktischen Anwendung beurteilen. weitere Informationen
Management-Einführung Informations- und IT-Sicherheit, 9. Februar 2006
Die KursteilnehmerInnen werden umfassend und systemneutral in die praxisorientierten Grundlagen der Informations- und Informatiksicherheit eingeführt. Die TeilnehmerInnen lernen die Bedeutung des Themas für das Unternehmen und verschiedene Möglichkeiten, Informationssicherheit innerhalb des Unternehmens zu integrieren und auszubauen. Die entscheidenden Informationen für den Aufbau einer geeigneten Sicherheitsorganisation im eigenen Unternehmen werden vermittelt. weitere Informationen
IT-SIBE - Vertiefungskurs, 13. bis 17. Februar 2006
Als Anlaufstelle für IT-Sicherheit im Unternehmen und Berater der Geschäftsleitung braucht der Informations- und IT-Sicherheitsbeauftragte (IT-SIBE) ein sehr breites Fachwissen. Da er oft als Alleinverantwortlicher für die Sicherheit im Unternehmen zuständig ist, muss er wissen, wo er die notwendigen Informationen in nützlicher Frist beschaffen kann. Aus diesem Grund arbeitet er eng mit internen und externen Stellen zusammen, die diese Informationen zur Verfügung stellen. Es gehört ebenfalls zu seinem Aufgabenbereich abzuwägen, unter welchen Voraussetzungen externe Stellen in die Umsetzung der Sicherheit einbezogen werden. weitere Informationen
Technische Sicherheit, 27. Februar bis 2. März 2006
Die Kursteilnehmenden kennen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Internetdienste aus dem Blickwinkel der Sicherheit funktionieren. Diesbezüglich werden Sicherheitskonzepte und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln den Teilnehmenden veranschaulicht. Durch das Ausführen von Attacken gegen Zielsysteme in einer Testumgebung lernen sie die Vorgehensweise eines Angreifers praktisch kennen.
Die Teilnehmenden werden mit Werkzeugen arbeiten, die sie gezielt als Massnahme gegen das Eindringen in Systeme einsetzen können. Im Weiteren erhalten Sie einen umfassenden Einblick in die Theamtik des "sicheren" Internet Access. weitere Informationen
IT-SIBE, 13. bis 17. März 2006
Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den TeilnehmerInnen optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. weitere Informationen
ISO/IEC 17799 Einführung, 20. März 2006
Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden?
Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. weitere Informationen
ISO/IEC 27001 Vertiefung, 21. bis 22. März 2006
Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen.
Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein. weitere Informationen
Workplace Security, 24. März 2006
Die Kursteilnehmenden erhalten eine umfassende Ausbildung zur Wahrung der Informationssicherheit am PC-Arbeitsplatz. Die Ausbildung führt ein in Massnahmen aus den Bereichen Datenschutz, Informationsschutz und Informatiksicherheit, wobei Merksätze die spätere Umsetzung und Einhaltung am Arbeitsplatz erleichtern helfen. Anhand von Demos wird das Erlernte visualisiert. Die Teilnehmenden erhalten Tipps und Anregungen, wie sie unter Wahrung der allgemein üblichen Sicherheitsmassnahmen arbeiten können. Sie kennen und verstehen die Gründe der am Arbeitsplatz üblichen Massnahmen. weitere Informationen
Kriminalität/Protikollierung/Ermittlung/Monitoring auf dem Internet, 30. bis 31. März 2006
Der Kursteilnehmende wird in die Lage versetzt, strafbare Inhalte zu identifizieren, die Grenzen und rechtlichen Grundlagen im Zusammenhang mit personenbezogener Protokollierung und Auswertung zu beurteilen. Der Kursteilnehmende kennt die rechtlichen Grundlagen im Bereich Internet Kriminalität. Der Kursteilnehmende kann fundiert Anfragen von Ermittlungsbehörden bearbeiten. Der Kursteilnehmende kennt die verfahrensrechtlichen Problembereiche. weitere Informationen
Neu! Kurs Intensivlehrgang für Sicherheitsbeauftragte: Umfassende Einführung in die Integralen Sicherheitsbelangen
Verpassen Sie den nächsten Termin für den Kurs "Intensivlehrgang für Sicherheitsbeauftragte" nicht!
Die Kursteilnehmenden werden umfassend und systemneutral in alle wichtigen Belange der Integralen Sicherheit eingeführt. Anhand von zahlreichen Praxisbeispielen, Fallstudien, Checklisten, Konzeptvorlagen und Hintergrundinformationen lernen die Teilnehmenden die Methoden und Arbeitstechniken für die einzelnen Sicherheitsbereiche kennen.
Aus dem Inhalt
Sicherheitsframeworks
Sicherheitsorganisation
Security Management System
Risikomanagement/Methoden
Notfall- und Krisenmanagement
Complinace
Versicherungsschutz
Physische Sicherheit
Umweltschutz
Informations- und IT-Sicherheit: Clear Desk; PC-/Netz-/LAN-/WLAN-Sicherheit
Verpassen Sie den nächsten Termin für den Kurs "IT-SIBE Vertiefung" nicht!
In einer Projektarbeit erarbeiten die Kursteilnehmenden in Gruppen die Sicherheitspolitik und Sicherheitskonzepte eines Unternehmens. Dabei müssen sie alle organisatorischen und technischen Überlegungen einbeziehen, die für die Planung, Realisierung und Durchsetzung der daraus resultierenden Massnahmen nötig sind. Die Konzepte sind mit wirtschaftlichen und personellen Überlegungen in Einklang bringen.
Aus dem Inhalt
Erarbeitung einer Sicherheitspolitik
Planung, Realisation und Durchsetzung von Sicherheitskonzepten
Verpassen Sie den nächsten Termin für den Kurs "Vorbereitung CISSP" nicht!
Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmer auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur.
Kurs Technische Sicherheit: Grundlagen der Datenkommunikation
Verpassen Sie den nächsten Termin für den Kurs "Technische Sicherheit" nicht!
Die Kursteilnehmenden kennen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Internetdienste aus dem Blickwinkel der Sicherheit funktionieren. Diesbezüglich werden Sicherheitskonzepte und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln den Teilnehmenden veranschaulicht. Durch das Ausführen von Attacken gegen Zielsysteme in einer Testumgebung lernen sie die Vorgehensweise eines Angreifers praktisch kennen.
Aus dem Inhalt
Grundlagen Netzwerk- und Kommunikationstechnologie
Sicherheitsaspekte von TCP/IP
Kryptographie im praktischen Einsatz
Secure Remote Access
PKI
Sicherheit bei Internetdiensten
Intrusion Detection
Malicious Code
Sniffing, Penetration Testing und Vulnerability Assessment
Sicherheit von mobilen Systemen und Telearbeitsplätzen
Die ISMS Tool Box Version 3.2 unterstützt Sie und Ihr Unternehmen mit erweiterten und neuen praxisorientierten Funktionalitäten bei Ihrem Vorhaben, ein ISMS (Information Security Management System) erfolgreich aufzubauen und zu betreiben.
Neben den bewährten Funktionalitäten wie der mandantenfähigen Inventarisierung, dem Zugriffsschutz auf Inventardaten, der Klassifizierung, der Erarbeitung von Baselines/Controls, dem Basel II-konformen Incident Management und der dynamischen Einbindung des Glossars in Baselinekataloge u.v.a. bietet Ihnen die neue Version 3.2 weitere praxisorientierte Möglichkeiten, Sie in Ihrem Bestreben nach einer idealen und erfolgreichen Lösung Ihres Vorhabens zu unterstützen.
Neu können Sie mit der aktuellsten Version der ISMS Tool Box folgende Bereiche mit ergänzenden und neuen Funktionen noch besser abdecken:
Risk Analysis und Risk Treatment
Erweiterte Administration
Import und Export des Schutzobjektinventars über Microsoft Excel
Optimierte Detailansichten von Baselines
Export eines Regelwerkes in Microsoft Word
Was Swiss Infosec AG Ihnen weiter anbietet: Online-Demonstration unter www.ismstoolbox.com.; Präsentation und Tool-Demonstration in Bern oder bei Ihnen vor Ort; Beratung für den Aufbau und Betrieb Ihres erfolgreichen ISMS.
Integration von Informationssicherheit und Operational Risk Management: Zusammenarbeit Swiss Infosec AG und COMIT AG
Geschäftsleitungen und Verwaltungsräte sehen ihre Unternehmen einer steigenden Zahl regulatorischer Anforderungen an das Risiko Management, die Informationssicherheit, die Compliance oder das interne Kontrollsystem (IKS) ausgesetzt (Basel II, Solvency II, KonTrag, Aktienrecht, HIPAA, Sarbanes Oxley, etc.). Demgegenüber steht eine Vielzahl an Lösungs- und Managementansätzen wie OpRisk Sound Practices, CobiT, ISO17799, ITIL, Coso, ERM etc.
Neu ist die Regulierungsdichte, die vom Hauptziel abzulenken droht, ein unternehmerisch sinnvolles Risikomanagement aufzubauen und zu betreiben. Auch das Management der operationellen Risiken, zu welchen wir ebenso Risiken der Informationssicherheit, der allgemeinen Sicherheit sowie von Compliance-Verletzungen zählen, soll in erster Linie den unternehmerischen Zielen dienen und einen Wertbeitrag leisten. Regulatorische Erfordernisse geben verbindliche Rahmenbedingungen vor.
Die Herausforderung liegt darin, aus dem regulatorisch Erforderlichen einen Nutzen für die Firma zu ziehen und gleichzeitig die folgenden zwei unternehmerischen Hauptaufgaben im Risk Management in einem abgestimmten, zielführenden Gesamtrisikomanagement für operationelle Risiken, Informationssicherheit und Ereignis- und Krisenvorsorge zusammenzufassen.
Sicherung der Geschäftsprozess im Rahmen einer bewussten Risikopolitik mit transparenten Risiko- und Sicherheitszielen.
Optimierung des Gesamtrisikoprofils und eines Risiko-Eigenkapital-Verhältnisses mit Fokus auf das Kapitalmanagement.
Swiss Infosec AG und COMIT AG entwickeln gemeinsam Lösungen im Bereich Risiko- und Informationssicherheitsmanagement, die Doppelspurigkeiten vermeiden und Synergien zwischen Operational Risk Management, Informationssicherheit sowie regulatorischen Anforderungen nut-zen. Kritische Erfolgsfaktoren sind dabei die genaue Kenntnis möglicher und passender Lösungs-ansätze und eine enge Abstimmung mit den Bereichs- und Linienverantwortlichen bei den Kunden. Die Partnerfirmen verfügen über breite Projekterfahrung bei der erfolgreichen Implementierung von Operational Risk Management und Information Security Frameworks. Zu unseren Kunden gehören nationale und internationale Firmen aus stark (Banken, Versicherungen) oder weniger stark (Industrie, Dienstleistung, Handel) regulierten Branchen.
Dank interessanten und herausfordernden Mandaten können wir an dieser Stelle vier neue Mitarbeitende im Bereich der Beratung, IT und Services begrüssen und vorstellen. Wir wünschen Peter Herger, Gion Padrun, Lorenz Ruppen und Céline Althaus in ihren wichtigen Funktionen viel Geschick und Energie, die anstehenden Projekte Swiss Infosec-like anzugehen – flexibel, schnell und umsetzungsstark!
Peter Herger absolvierte sein Studium zum Elektroingenieur an der Hochschule Luzern, wo er auch ein Nachdiplom in Betriebswirtschaft erlangte. Durch seine langjährige Erfahrung als Netzwerkingenieur, als Leiter Internet-Security bei einem grossen Schweizer Versicherungskonzern sowie als Mitarbeiter eines Forschungs- und Entwicklungsinstitutes verfügt er über breite Erfahrung in den Bereichen Netzwerktechnik sowie Informations- und IT-Sicherheit. Herr Herger führt für die Swiss Infosec AG hauptsächlich Kundenprojekte im Bereich der technischen Informations- und IT Security-Auditierung und -Konzeptionierung durch.
Gion Padrun beschäftigt sich als TS-Telematiker seit mehreren Jahren mit den Gebieten Consulting, Installation, Konfiguration und Migration von Security-Systemen. Seine Spezialkenntnisse liegen in den Bereichen Netzwerke und Serversysteme. In seiner Funktion als IT-Supporter bei der Swiss Infosec AG gewährleistet er den reibungslosen Betrieb der internen Arbeitsplatz-, Netzwerk- und Serversysteme und unterstützt zudem als Consultant technisch-konzeptionelle Beratungsprojekte.
Lorenz Ruppen, Head of Management Services, Member of the Executive Board, arbeitete während 18 Jahren in der Hotel- und Tourismusindustrie. In den Jahren 1994 bis 2002 war er für zwei der grössten Reedereien der Welt im Ausland tätig. Dort hatte er unter anderem die Verantwortung für die Mitarbeitenden, die Einhaltung der Budgets, der Sicherstellung der korrekten Buchführung sowie der Leistungs- und Qualitätskontrolle. Als Consultant und Surveyor überwachte er weltweit verschiedene Projekte. Innerhalb der Reedereien belegte er unterschiedliche Sicherheitskurse. In den vergangenen drei Jahren absolvierte er das Studium der Betriebsökonomie an der HSW Luzern.
Innerhalb der Swiss Infosec wird Herr Ruppen die fachliche und personelle Führung der Management Services innehaben und an Projekten der Integralen Sicherheit mitarbeiten.
Céline Althaus konnte nach Abschluss der Handelsschule in Neuchâtel ihre Kenntnisse in einem Personalvermittlungsunternehmen einsetzen und vertiefen. Innerhalb der Swiss Infosec AG ist Céline Althaus Ansprechperson für administrative Belange rund um unser Aus- und Weiterbildungsangebot. Sie stellt die Kursunterlagen zusammen, betreut die Kursteilnehmenden und organisiert alles rund ums Ausbildungswesen. Weiter unterstützt Céline Althaus das Marketing, insbesondere das Event Management, und arbeitet bei der administrativen Bearbeitung unserer Kundenmandate und der Produkteadminstration mit.
eLearning: Informations- und IT-Sicherheit: Sensibilisierung der Mitarbeitenden durch ein modulares eLearning-Programm
Das Thema Informations- und IT-Sicherheit ist heute in aller Munde. Trotz all der technischen Möglichkeiten zum Schutz Ihrer Informationen sind die Mitarbeitenden der grösste Schwachpunkt, aber auch die grösste Chance in einem Unternehmen. Sie müssen ein Bewusstsein für diese Problematik entwickeln und für den entsprechenden Umgang mit Informationen sensibilisiert werden.
Die modular aufgebaute Lernprogrammreihe „Informations- und IT-Sicherheit“ zeigt Ihren Mitarbeitenden wo sich die Gefahren verbergen und wie man darauf reagieren muss. Ein Profiling-Fragebogen als Einstiegselement prüft den Wissensstand der einzelnen Mitarbeitenden. Auf Grund der Beantwortung wird dem jeweiligen Mitarbeitenden eine Lernwegempfehlung abgegeben. So wird vermieden, dass bereits vorhandenes Wissen nochmals durchgearbeitet werden muss. Durch die transparente Struktur ist es jederzeit möglich, einzelne Teile intensiver zu bearbeiten oder aber auszulassen. Das gesamte Lernprogramm ist in Form einer praxisnahen Geschichte aufgebaut. So finden sich die Mitarbeitenden in den täglichen Problemsituationen wieder und können diese danach im Büroalltag beheben bzw. vermeiden. Dank der fachlichen Unterstützung von Swiss Infosec AG, dem führenden unabhängigen Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informationssicherheit und IT-Sicherheit, ist ein wirklichkeitsnahes Lernprogramm für Ihre Unternehmenssicherheit entstanden.
Folgende Themen sind momentan verfügbar:
Einführung
Zutritts- und Zugangsschutz
E-Mails bearbeiten
Arbeitsplatz sichern beim kurzzeitigen Verlassen
Geschäftsreise vorbereiten
Vertraulichkeit beim gesprochenen Wort
Internet-Nutzung
Umgang mit Passwörtern und Zugriffsschutz
Verlassen des Gebäudes
Social Engineering
Dank der webbasierenden Lernreihe ist garantiert, dass man in nützlicher Frist alle Mitarbeitenden an ihren Arbeitsplätzen gezielt schulen kann. Idealerweise wird die Lernprogrammreihe in einen „Blended Learning-Prozess“ integriert, in welchem auch Informationsveranstaltungen und Präsenzschulungen zum Tragen kommen. Ein Abschlusstest kann aufzeigen, ob das angestrebte Wissensziel erreicht worden ist.
Die Mitarbeitenden sind der grösste Schwachpunkt, aber eben auch die grösste Chance für eine Verbesserung der Informations- und IT-Sicherheit in Ihrem Unternehmen.
«Das Ziel war es, die Wichtigkeit einer ordentlich erfassten Schutzobjektinventarisierung unseren Mitarbeitenden aufzuzeigen und dies gleich anhand von kantonsinternen Praxisbeispielen durchzuführen.
Nachdem wir die Struktur der IT-Landschaft aufgezeichnet hatten, konnten wir pragmatisch an die beispielhafte Inventarisierung gehen und uns so für die Schulung der Mitarbeitenden vorbereiten. In einem ersten Schritt definierten wir mit dem Zweierteam der Swiss Infosec AG die Schutzobjektarten, als nächster Schritt gruppierten wir einzelne Komponenten der IT-Landschaft und erfassten die daraus entstandenen Schutzobjekte. Diese Schutzobjekte bilden unser Schutzobjektinventar, welche auf die vordefinierten Schutzobjektarten aufgeteilt werden.
Dank einer flexiblen und unkomplizierten Vorgehensweise seitens der Swiss Infosec AG wurde unserem Anliegen effizient und effektiv entsprochen. Wir sind nun in der Lage, die Sicherheitsbeauftragten der Departemente tatkräftig zu unterstützen und die angestrebten Aufgaben im Bereich der Informatiksicherheit voranzutreiben.»
Bruno Eng, Projektleiter Risiko Management, Kanton Aargau
Thomas Königshofen, Claus D. Ulmer
Datenschutz-Handbuch Telekommunikation
ISBN: 3895773654 bestellen
Josef L. Staud
Geschäftsprozessanalyse
ISBN: 3540245103 bestellen
Cornelia Richter- von Hagen, Wolffried Stucky
Business-Process- und Workflow-Management. Prozessverbesserung durch Prozess-Management.
ISBN: 3519004917 bestellen
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern.
Konzeption und Umsetzung von Ausbildungskonzepten und Awarenesskampagnen
Konzeption und Implementierung von Intranet Security Sites inklusive Content Management
Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an.
Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
Die Swiss Infosec AG ist in der Schweiz als produkte- und herstellerneutrales, unabhängiges Dienstleistungs-unternehmen im Bereich Informations- und IT-Sicherheit tätig.
Als Beratungsunternehmen unterstützen wir unsere Kunden interdisziplinär bei der Konzeption, Umsetzung und beim Betrieb von Lösungen für die integrale Sicherheit generell sowie für die Informations- und IT-Sicherheit speziell. Dabei sind wir im organisatorisch konzeptionellen Bereich ebenso zuhause wie im technischen Bereich.
Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Swiss Infosec Internet News.
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format
Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch
