 Nr. 3 / März 2006 ISSN 1424-4217 Informationssicherheit ist ein immer wichtigeres und ernstzunehmendes Thema. Der sichere Umgang mit Geschäftsdaten will verstanden und gelernt sein, deshalb sind Unternehmen und Sicherheitsbeauftragte gleichermassen gefordert, diese anspruchs- volle Aufgabe effektiv und nachhaltig zu erfüllen. Weshalb das Rad neu erfinden? Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Mittel in die Hand, mit denen Sie den steigenden und sich stetig ändernden Anforderungen an den Schutz Ihrer Informationen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS (Information Security Management System) als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. Seit 1989 ist die Swiss Infosec AG das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit. Basierend auf dieser Erfahrung entwickelte die Swiss Infosec AG ein softwaregestütztes Werkzeug, die ISMS Tool Box, die Ihnen vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines erfolgreichen ISMS bietet. Sie erhalten dieses E-Mail als Abonnent der Swiss Infosec Internet News. Die Swiss Infosec Internet News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der IT- und Informationssicherheit. Links zur An- und Abmeldung der News finden Sie am Ende dieses E-Mails.
Aktuelle Meldungen
|
 Jetzt Ihre Mitarbeitenden durch ein modulares eLearning-Programm sensibilisieren Informations- und IT-Sicherheit Folgende Themen sind momentan verfügbar:
Dank der webbasierenden Lernreihe ist garantiert, dass man in nützlicher Frist alle Mitarbeitenden an ihren Arbeitsplätzen gezielt schulen kann. Idealerweise wird die Lernprogrammreihe in einen "Blended Learning-Prozess" integriert, in welchem auch Informationsveranstaltungen und Präsenzschulungen zum Tragen kommen. Ein Abschlusstest kann aufzeigen, wie das angestrebte Wissensziel erreicht worden ist. Ihre Mitarbeitenden sind der grösste Schwachpunkt, aber eben auch die grösste Chance für eine Verbesserung der Informations- und IT-Sicherheit in Ihrem Unternehmen. Weitere Informationen finden Sie hier First WebCollege AG, Grundstrasse 18, 6343 Rotkreuz, Telefon 041 792 03 92 E-Mail info@1stwc.com, www.erfolgreich-lernen.ch
Laptop gestohlen: Daten von 225'000 Kunden in Gefahr Im Dezember 2005 ist ein Laptop eines Mitarbeiters der US-Firma «Ameriprise Financial» gestohlen worden ist. Der Mitarbeiter dieser Investment-Beratungsfirma hatte den Laptop in seinem Auto gelassen. Dieses wurde aufgebrochen, der Laptop gestohlen. Auf dem Laptop befanden sich Daten von über 225'000 Kunden. Entgegen den Sicherheitsvorschriften der Firma waren die Daten nicht verschlüsselt. Die Firma hat unterdessen über 68'000 Kunden brieflich darüber informiert, dass auch deren Sozialversicherungsnummer gestohlen wurde. Der Mitarbeiter, der sich nicht an die IT-Vorschriften gehalten hatte, ist unterdessen entlassen worden. «Ameriprise Financial», eine Ausgliederung von «American Express», hat aufgrund dieses Vorfalls sowohl einen Image-, wie auch finanziellen Schaden erlitten. Über den Schaden bei der Kundschaft ist bis anhin noch nichts bekannt. Fazit: Laptops stellen grundsätzlich ein Sicherheitsrisiko dar. Es sind deshalb die erforderlichen Sicherheitsmassnahmen so zu installieren, dass sie durch die Mitarbeitenden nicht ausser Betrieb gesetzt werden können. Zudem sind Mitarbeitende entsprechend zu schulen. Quelle: www.foxnews.com, 25. Januar 2006 < zu den Themen Fahrlässiger Umgang mit Kundendaten: Kreditkartennummern mit der Zeitung verteilt Der fahrlässige Umgang mit Daten ist keineswegs ein Privileg der Online-Welt. Zwei zur Verlagsgruppe der New York Times gehörende US-Tageszeitungen - Boston Globe und Worcester Telegram & Gazette - haben am letzten Wochenende versehentlich die Namen und die Kreditkartenummern von 240’000 Lesern in Umlauf gebracht. Die Daten befanden sich auf der Rückseite von Laufzetteln aufgelistet, die den 9’000 Zeitungsbündeln bei der Auslieferung beigelegt wurden. Das Papier war versehentlich "recycled" worden. Der ganze Vorgang war den Zeitungen erst bekannt geworden, nachdem ein Händler in einem Anruf darauf aufmerksam gemacht hatte. Quelle: www.siliconvalley.com, 3. Februar 2006 < zu den Themen Zweiter Ausfall bei Hostpoint: Noch keine Entwarnung Der Rapperswiler Internetservice-Provider Hostpoint kämpft seit der Umstellung auf ein neues Speichersystem mit massiven Problemen. Entwarnung kann Hostpoint leider noch nicht geben, obschon nach mehrtägiger Störung wieder alle Server erreichbar sind. Die Daten befinden sich weiterhin auf der gleichen Speicherlösung. Ueber die letzten Weihnachten war während Tagen ein Teil der Server nicht mehr erreichbar. Anfang dieser Woche ereignete sich der zweite grosse Ausfall, wie schon der erste dauerte er mehrere Tage. Vom Ausfall sind mehrere tausend Kunden betroffen. Quelle: www.computerworld.ch, www.hostpoint.ch, 10. Februar 2006 < zu den Themen Schlafstudie des BfS: Untersuchung der Auswirkungen des Mobilfunks Das deutsche Bundesamt für Strahlenschutz (BfS) lässt die Schlafqualität unter Einfluss der Mobilfunkstrahlung untersuchen. Forscher der Berliner Charité sollen im Rahmen des deutschen Mobilfunk-Forschungsprogramms herausfinden, ob psychologische und physiologische Effekte des Mobilfunks unter häuslichen Bedingungen feststellbar sind. An sechs Standorten in Deutschland, die noch ausgesucht werden müssen, wird eine mobile Basisstation aufgestellt. Untersucht werden insgesamt 300 Teilnehmende der Studie, die im Umkreis von 500 Metern um die mobile Basisstation wohnen. So kann festgestellt werden, ob unter Mobilfunkexposition im Schlaf z. B. die Gehirnströme (EEG) beeinflusst werden. Die Exposition wird am Kopfende ihrer Betten gemessen. Tragbare Geräte werden eingesetzt, um die Gehirnströme während des Schlafens zu registrieren. Zusätzlich werden morgens und abends mit Fragebögen subjektive Daten zum Schlafverlauf und zum allgemeinen Wohlbefinden erhoben. Quelle: www.bfs.de, 13. Februar 2006 < zu den Themen Manipulationen auf Wikipedia: Computer im US-Senat stehen im Mittelpunkt Die IP-Adresse 143.231.249.141 steht im Zentrum der Manipulationen der Website von Wikipedia, der kostenlosen Internet-Enzyklopädie. Über Computer mit dieser IP-Adresse haben Mitarbeitende des amerikanischen Repräsentantenhauses in den vergangenen Monaten zahlreiche Texte manipuliert. Auch über Computer im US-Senat wurde die frei zugängliche Internet-Enzyklopädie, deren Websites leicht verändert werden können, für den Kampf um die Gunst der Wähler missbraucht. Eine Prüfung durch Wikipedia ergab, dass Biographien von demokratischen wie republikanischen Parlamentariern geschönt oder sogar komplett ausgetauscht wurden. Beispielsweise war in der Wikipedia-Biographie von Eric Cantor, Kongressabgeordneter aus Virginia, zu lesen, er rieche „nach Kuhmist”. Der republikanische Mehrheitsführer im Senat, Bill First, wurde als „unfähig” beschrieben und über den republikanischen Senator Tom Coburn aus Oklahoma hiess es, er sei 2005 im Kongress zum lästigsten Senator gewählt worden, weil er ein Volltrottel sei. Quelle: www.faz.net, 2. Februar 2006 < zu den Themen Hacker stehlen Identitäten für ein Rollenspiel: Heftige Diskussion über Benutzer-Praktiken In Südkorea haben sich rund 2000 Menschen bei dem Online-Spiele-Anbieter NC Soft beschwert, nachdem sie ihre Namen und Ausweisnummern in einem Rollenspiel wiedergefunden hatten. Die Identitäten seien zuvor gestohlen und dann in das Spiel 'Lineage' eingepflegt worden. Der Anbieter vermutet, die Zahl der Betroffenen könne noch ansteigen, denn in Südkorea müssen Internet-User ihre Ausweisnummern angeben, wenn sie in Online-Shops einkaufen oder via Internet an Spielen teilnehmen. Nach Angaben von NC Soft hat es bislang keinen finanziellen Schaden gegeben, die Hacker seien scheinbar ausschliesslich auf die Identitäten für das Rollenspiel scharf gewesen. Ohne die persönlichen Daten von anderen hätten sie selbst nämlich nur maximal zwei Accounts eröffnen können. Der Zugang für das Spiel ist begrenzt und wird über eben diese Nummern kontrolliert. Der Vorfall löste eine Diskussion über die südkoreanischen Benutzer-Praktiken im Internet aus. Die Regierung hält es für überflüssig, so detaillierte Informationen über Spieler zu sammeln. Hacker könnten auf diese Weise Daten wie Telefonnummern, Wohnort, oder die Anzahl der Familienmitglieder stehlen und damit Missbrauch betreiben. Quelle: www.silicon.de, 24. Februar 2006 < zu den Themen Handy weg vom Ohr!: Rücksicht der eigenen Gesundheit Aus Rücksicht auf die eigene Gesundheit sollte das Handy erst dann an das Ohr gehalten werden, wenn der Verbindungsaufbau abgeschlossen ist. Dazu rät das deutsche Bundesamt für Strahlenschutz (BfS). Während des Verbindungsaufbaus sei die Sendeleistung, nach Messungen, am höchsten. Steht die Verbindung, wird die Sendeleistung und damit die Strahlungsbelastung auf das notwendige Minimum gesenkt. Auch beim Wechsel von einer Funkzelle in die nächste findet ein Verbindungsaufbau statt. Daher ist es auch ratsam, im Auto, in Zügen oder Bahnen auf den Einsatz des Handys zu verzichten. Bisher gibt es noch keine Beweise dafür, dass das Telefonieren mit dem Handy gesundheitsschädlich ist, vorsichtshalber sollte jedoch so wenig wie möglich mobil telefoniert werden, empfiehlt das BfS. Quelle: www.n-tv.de, 23. Februar 2006 < zu den Themen Metadaten enttarnen Hacker: Vertraulichkeit missbraucht Die Washington Post hatte für ihre Sonntagsausgabe ein interessantes Thema ausgewählt, es ging um die Welt der Hacker und deren Auftraggeber aus dem Lager der Spyware-Distributoren. Um diesem Thema etwas mehr Gesicht zu verleihen, hatte der Autor sogar einen leibhaftigen Hacker ausfindig gemacht. Im Interview gab dieser unter anderem an, jeden Monat mehrere tausend Dollar mit der Verbreitung von Spyware zu verdienen. Wobei seine "Arbeit" oft nur wenige Minuten pro Tag in Anspruch nimmt. Verständlicherweise erklärte der junge Mann sich nur dann zu einem Interview bereit, wenn sein Name und sein Wohnort ungenannt blieben. Das wurde ihm auch zugesichert, doch offenbar war dem Journalisten nicht bewusst, dass seine Fotografin ihre Arbeit mit Hilfe von Metadaten dokumentiert, wie sie als IPTC-Daten von Adobes Photoshop genutzt werden. So konnte einem ansonsten wenig aussagekräftigen Foto des Beitrags die zusätzliche Information entlockt werden, dass die Fotografin es mit ihrer Canon EOS 20D in dem kleinen Städtchen Roland, Oklahoma, aufgenommen hatte. Für den Hacker sicherlich kein sehr erfreulicher Umstand, auch wenn er sich in einem anonymen Forum zu erkennen gibt und behauptet, es handle sich glücklicherweise um den falschen Ort. Aber auch für den Journalisten dürfte dieses Ergebnis sehr ärgerlich sein. Welcher Informant wird ihm in Zukunft wohl noch glauben, wenn er vor dem Gespräch absolute Vertraulichkeit zusichert? Quelle: www.washingtonpost.com, 21. Februar 2006 < zu den Themen Regierung will schweiz.ch: David gegen Goliath – oder Regierung gegen Privatmann Die Bemühungen der Schweizer Regierung, die Rechte an der prestigeträchtigen Internet-Adresse www.schweiz.ch zu erlangen, gehen in eine weitere Runde. Nach mehrjährigen erfolglosen Bemühungen ist ein Verfahren bei der UN-Weltorganisation für geistiges Eigentum (WIPO) beantragt worden, teilte die Bundeskanzlei in Bern mit. Seit über 10 Jahren gehört die Domain, wie auch www.suisse.ch und www.svizzera.ch, einem Privatmann aus Zürich. Auf den Homepages bietet er Informationen zu Geschichte und Politik der Schweiz sowie verschiedene Souvenirs an. Quelle: www.n-tv.de < zu den Themen
Kurs IT-SIBE: Intensivlehrgang Verpassen Sie den nächsten Termin für den Kurs "IT-SIBE" nicht! Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. Aus dem Inhalt
Nächstes Kursdatum 13. bis 17. März 2006 Kursdauer 5 Tage Kosten CHF 4'200.- / EUR 2'700.- AnmeldungQuelle: Programm 2-2006 < zu den Themen Kurs Kryptologie: Neu! Verpassen Sie den nächsten Termin für den neu im Programm ausgeschriebenen Kurs "Kryptologie" nicht! Die Kursteilnehmenden fühlen sich sicher im Umgang mit kryptografischen Fachbegriffen. Sie kennen Stärken und Schwächen kryptografischer Architekturen und Algorithmen. Sie wissen, welche Verfahren im Alltag eingesetzt werden. Aus dem Inhalt
Nächstes Kursdatum 3. April 2006 Kursdauer 1 Tag Kosten CHF 850.- / EUR 550.- AnmeldungQuelle: Programm 2-2006 < zu den Themen Neu! Kurs Intensivlehrgang für Sicherheitsbeauftragte: Umfassende Einführung in die Integralen Sicherheitsbelangen
Die Kursteilnehmenden werden umfassend und systemneutral in alle wichtigen Belange der Integralen Sicherheit eingeführt. Anhand von zahlreichen Praxisbeispielen, Fallstudien, Checklisten, Konzeptvorlagen und Hintergrundinformationen lernen die Teilnehmenden die Methoden und Arbeitstechniken für die einzelnen Sicherheitsbereiche kennen. Aus dem Inhalt
Nächstes Kursdatum 29. Mai bis 2. Juni 2006 Kursdauer 5 Tage Kosten CHF 4'200.- / EUR 2'700.- AnmeldungQuelle: Programm 2-2006 < zu den Themen IT-SIBE Vertiefung: Vertiefungskurs Verpassen Sie den nächsten Termin für den Kurs "IT-SIBE Vertiefung" nicht! In einer Projektarbeit erarbeiten die Kursteilnehmenden in Gruppen die Sicherheitspolitik und Sicherheitskonzepte eines Unternehmens. Dabei müssen sie alle organisatorischen und technischen Überlegungen einbeziehen, die für die Planung, Realisierung und Durchsetzung der daraus resultierenden Massnahmen nötig sind. Die Konzepte sind mit wirtschaftlichen und personellen Überlegungen in Einklang bringen. Aus dem Inhalt
Nächstes Kursdatum 3. bis 7. Juli 2006 Kursdauer 5 Tage Kosten CHF 4'500.- / EUR 2'900.- AnmeldungQuelle: Programm 2-2006 < zu den Themen Kurs Vorbereitung CISSP: Prüfungsvorbereitungskurs Verpassen Sie den nächsten Termin für den Kurs "Vorbereitung CISSP" nicht! Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmer auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. Aus dem Inhalt
Nächstes Kursdatum 6. bis 12. April 2006 Kursdauer 5 Tage Kosten CHF 4'625.- exkl. Mittagessen AnmeldungQuelle: Programm 2-2006 < zu den Themen Swiss Infosec AG - Ihr eduQua zertifiziertes Aus- und Weiterbildungsteam: Zertifikat für Weiterbildungen  Mit eduQua wurde das erste Schweizer Label geschaffen, das auf Anbieter von Weiterbildung zugeschnitten ist. Dabei werden diverse Punkte geprüft, welche für die Qualität von Weiterbildungen massgebend sind. So werden neben dem eigentlichen Kursangebot die Kommunikation mit den Kunden, die Art und Weise der Leistungserbringung, das eingesetzte Personal (Ausbildner), der Lernerfolg sowie Qualitätssicherung und -entwicklung unter die Lupe genommen und bei erfolgreichem Nachweis mit dem eduQua-Label versehen. Die Swiss Infosec AG freut sich, dieses Label tragen zu dürfen und ist darum bemüht, ihren Kunden qualitativ hoch stehende Weiterbildungen im Bereich der IT- und Informationssicherheit anbieten zu können. Informationen zu unserem Kursangebot finden Sie hier. < zu den Themen Kursangebot: Kurse März und April 2006 Folgende Kurse der Swiss Infosec AG sind für die Monate März und April 2006 ausgeschrieben: IT-SIBE, 13. bis 17. März 2006 Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den TeilnehmerInnen optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. weitere Informationen ISO/IEC 17799 Einführung, 20. März 2006 Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. weitere Informationen ISO/IEC 27001 Vertiefung, 21. bis 22. März 2006 Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein. weitere Informationen Workplace Security, 24. März 2006 Die Kursteilnehmenden erhalten eine umfassende Ausbildung zur Wahrung der Informationssicherheit am PC-Arbeitsplatz. Die Ausbildung führt ein in Massnahmen aus den Bereichen Datenschutz, Informationsschutz und Informatiksicherheit, wobei Merksätze die spätere Umsetzung und Einhaltung am Arbeitsplatz erleichtern helfen. Anhand von Demos wird das Erlernte visualisiert. Die Teilnehmenden erhalten Tipps und Anregungen, wie sie unter Wahrung der allgemein üblichen Sicherheitsmassnahmen arbeiten können. Sie kennen und verstehen die Gründe der am Arbeitsplatz üblichen Massnahmen. weitere Informationen Kriminalität/Protikollierung/Ermittlung/Monitoring auf dem Internet, 30. bis 31. März 2006 Der Kursteilnehmende wird in die Lage versetzt, strafbare Inhalte zu identifizieren, die Grenzen und rechtlichen Grundlagen im Zusammenhang mit personenbezogener Protokollierung und Auswertung zu beurteilen. Der Kursteilnehmende kennt die rechtlichen Grundlagen im Bereich Internet Kriminalität. Der Kursteilnehmende kann fundiert Anfragen von Ermittlungsbehörden bearbeiten. Der Kursteilnehmende kennt die verfahrensrechtlichen Problembereiche. weitere Informationen Kryptologie, 3. April 2006 Die Kursteilnehmenden fühlen sich sicher im Umgang mit kryptografischen Fachbegriffen. Sie kennen Stärken und Schwächen kryptografischer Architekturen und Algorithmen. Sie wissen, welche Verfahren im Alltag eingesetzt werden. weitere Informationen Vorbereitung CISSP, 6. bis 12. April 2006 Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmer auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. weitere Informationen Incident & Crisis Management, 7. April 2006 Das Ziel dieses Kurses ist es, auf Schwerpukte der Ereignis- und Krisenvorsorge aufmerksam zu machen. Fallbeispiele aus der Praxis sollen dies veranschaulichen. Die Grundlagen und Begriffe werden erläutert und ebenso werden beispielhafte Bedrohungslagen und Szenarien aufgezeigt. weitere Informationen Datenschutzgesetz und dessen Umsetzung, 10. April 2006 Die Kursteilnehmenden können die Schutzwürdigkeit personenbezogener Daten beurteilen. Sie lernen, die Anliegen des Datenschutzes in ihren Unternehmen umzusetzen. Die Teilnehmenden kennen die gesetzlichen Vorschriften und können diese weitervermitteln. weitere Informationen Quelle: Programm 3-2006 < zu den Themen Kurs Datenschutzgesetz und dessen Umsetzung: Intensivkurs Verpassen Sie den nächsten Termin für den Kurs "Datenschutzgesetz und dessen Umsetzung" nicht! Die KursteilnehmerInnen können die Schutzwürdigkeit personenbezogener Daten beurteilen. Sie lernen, die Anliegen des Datenschutzes in ihren Unternehmen umzusetzen. Die Teilnehmenden kennen die gesetzlichen Vorschriften und können diese weitervermitteln. Aus dem Inhalt
Nächstes Kursdatum 10. April 2006 Kursdauer 1 Tag Kosten CHF 850.- / EUR 550.- AnmeldungQuelle: Programm 3-2006 < zu den Themen Kurs Incident & Crisis Management: Mit einer guten Vorbereitung ist die Krise schon halb bewältigt Verpassen Sie den nächsten Termin für den Kurs "Incident & Crisis Management" nicht! Das Ziel dieses Kurses ist es, auf Schwerpukte der Ereignis- und Krisenvorsorge aufmerksam zu machen. Fallbeispiele aus der Praxis sollen dies veranschaulichen. Die Grundlagen und Begriffe werden erläutert und ebenso werden beispielhafte Bedrohungslagen und Szenarien aufgezeigt. Wesentliche Schritte zu einer funktionierenden und effizienten Ereignis- und Krisenorganisation werden dargelegt. Dazu gehören u.a. die Alarmorganisation, das Notfallhandbuch und der Krisenstab. Aus dem Inhalt
Nächstes Kursdatum 7. April 2006 Kursdauer 1 Tag Kosten CHF 850.- / EUR 550.- AnmeldungQuelle: Programm 3-2006 < zu den Themen Neu! Kurs Kryptografie Vertiefung: Contemporary Cryptography Die Kursteilnehmenden werden umfassend in die Fragestellungen und Lösungsansätze der zeitgenössischen Kryptographie eingeführt. Exemplarisch werden ein paar konkrete Kryptosysteme (z.B. SHA-1, AES und RSA) vertieft und mit ihren Stärken und Schwächen diskutiert. Der Kurs wird in Deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. Aus dem Inhalt: Der Inhalt des Kurses orientiert sich am Buch "Contemporary Cryptography" (Artech House, Norwood, MA, 2005, ISBN 1-58053-642-5). Das Buch wird an die Kursteilnehmenden abgegeben.
Nächste Kursdaten 15. bis 17. Mai 200611. bis 13. September 2006 Kursdauer 3 Tage Kosten CHF 3'000.- / EURO 2'260.- Hier können Sie sich anmeldenQuelle: Programm 3-2006 < zu den Themen
ISMS Tool Box: Weshalb das Rad neu erfinden?: Effiziente und effektive Werkzeuge für Sicherheitsbeauftragte Die ISMS Tool Box bietet vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines Information Security Management System. Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden, die Umsetzung geplant und laufend überprüft werden. Die Tool Box unterstützt neben dem Ownership Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity Aktivitäten können mittels des Tools effektiv unterstützt werden. Neben der Möglichkeit, ein Glossar und eine Linksammlung intranetbasiert zu führen, kann auch ein Basel II-konformes Security Incident Management aufgebaut werden. Daneben existieren Instrumente für die Durchführung von Risikoanalysen und Audits. Dezentrale Stellen können mittels einer Self Assessment- Funktion in die Aufrechterhaltung und laufende Verbesserung des ISMS eingebunden werden. Das Tool erlaubt den direkten intranetbasierten Zugriff auf ISO17799/BS7799, Cobit, BSI-Grundschutzhandbuch und den Baselinekatalog der Swiss Infosec AG. Mandantenfähigkeit, LDAP-Kompatibilität, Import- und Exportfunktionen, Reportgeneratoren und vieles andere mehr komplettieren die ISMS Tool Box. Daneben bietet Ihnen die ISMS Tool Box die Möglichkeit, innerhalb des Praxisforums viermal jährlich Erfahrungen in einer geschlossenen Benutzergruppe auszutauschen. Weitere Informationen finden Sie hier. < zu den Themen Das Baseline-Konzept: Ueberzeugende Resultate in der Informatiksicherheit Mit dem Baseline-Konzept erreichen Sie in der Informatiksicherheit schnell und einfach überzeugende Resultate. Unter Baselines verstehen wir generell gültige, einfach formulierte Grundschutz-Regeln und Massnahmen. Durch Verabschiedung eines Baseline-Kataloges (Sammlung sämtlicher relevanter Regeln) und dessen Umsetzung kann die Informatiksicherheit eines Unternehmens spürbar, nachhaltig, effizient und kostengünstig verbessert werden. Das Baseline-Konzept fördert die Transparenz im Bereich der Informatiksicherheit, da einheitliche Dokumentenstrukturen und Regelungen eingeführt werden. Mittels Baseline-Massnahmen können ungefähr 80-90% der Sicherheitsprobleme gelöst bzw. entschärft werden. Die für die restlichen 10-20% immer noch notwendigen, jedoch in ihrem Umfang beschränkten Risikoanalysen werden so übersichtlicher und besser kontrollierbar sein. Dank dem Baseline-Konzept werden sie nicht mehr annähernd so viel kosten. Der Baseline-Katalog Der Baseline-Katalog stellt ein umfassendes Regelwerk dar, das sämtliche Aspekte der Informatiksicherheit abdeckt. Aufgrund der aktuellen technischen Entwicklung werden laufend Ergänzungen vorgenommen. Die ISMS Tool Box Die Tool Box dient der Verwaltung der Baselines, die den Anforderungen eines Unternehmens angepasst werden müssen. Eine angepasste Formulierung kombiniert mit einer Überprüfung der Relevanz aller Baselines garantiert die bestmögliche Akzeptanz bei den Mitarbeitern und so den grösstmöglichen Erfolg. ISMS Tool Box Praxis Forum Das ISMS Tool Box Praxis Forum stellt eine geschlossene Benutzergruppe von IT-Sicherheitsbeauftragten dar. Es widmet seine Tätigkeit ausschliesslich dem kompetenten Einsatz und der zielgerichteten Weiter-entwicklung der Baseline-Methode und des Baseline-Kataloges. Der im Auftrag des Praxis Forums durch Swiss Infosec AG angepasste Baseline-Katalog steht in dieser Form nur den Mitgliedern zur Verfügung. Das Praxis Forum trifft sich 4 Mal pro Jahr, wobei auch ein intensiver Gedanken- und Erfahrungsaustausch stattfindet. < zu den Themen Der Baseline Approach: Eine solide Lösung für Ihr Sicherheitsmanagement Die Baseline-Methode ist ein standardisiertes Vorgehen zur Verbesserung der Sicherheit des Unternehmens. Sie ist ein unentbehrliches Mittel, um den Wissensstand der Mitarbeitenden im Sicherheitsbereich eines Unternehmens zu vereinheitlichen. Baselines sind Regeln, die für einen bestimmten Aspekt der Sicherheit verbindliche Vorgaben enthalten. Die Gesamtheit dieser Regeln wird als Baselinekatalog bezeichnet. Die ISMS Tool Box steht den Sicherheitsverantwortlichen als Instrument zur Verwaltung und zur Umsetzung des Baselinekatalogs zur Verfügung. Das Tool ist für alle Mitarbeitenden ein wichtiges Hilfsmittel, um die sicherheitsrelevanten Aufgaben wahrzunehmen und den organisationsweiten Zugriff auf den Baselinekatalog sicherzustellen. Mit dem Baselinekatalog erhalten Sicherheitsbeauftragte, Projektleiter und andere Fachspezialisten eine einheitliche Grundlage für die Ausführung ihrer sicherheitsrelevanten Aufgaben. Der Baselinekatalog ist eine wichtige Informationsquelle, der sie Lösungen und Hinweise zu Sicherheitsproblemen entnehmen können. Sie ersparen sich dadurch weitgehend die Schaffung eigener Arbeitsgrundlagen. Der Baselinekatalog zeigt ihnen zudem die Erwartungen des Unternehmens im Sicherheitsbereich. Wenn sie sich an den Baselines orientieren, haben sie die Gewissheit, das Richtige zu tun. Ziele Die Baseline-Methode ist ein standardisiertes Vorgehen zum Aufbau und zur Optimierung eines effizienten IT-Sicherheitsmanagements innerhalb des Unternehmens. Dank ihrer Einsatzmöglichkeiten auf allen Organisationsebenen ist die Baselinemethode ein unentbehrliches Mittel, um den Wissensstand der Mitarbeiter und das betriebsinterne Sicherheitsniveau zu vereinheitlichen. Aufbau Das Grundelement der Baseline-Methode bilden die Baselines. Sie sind Regeln, die für einen bestimmten Aspekt der Sicherheit verbindliche Vorgaben definieren. Unter Baselines sind also generell gültige, einfach formulierte Regeln zu verstehen. Die Gesamtheit dieser Regeln wird als Baselinekatalog bezeichnet. Zusammen mit der ISMS Tool Box konstituiert der Baselinekatalog einen der drei Grundpfeiler der Baseline-Methode. Weitere Informationen finden Sie hier. < zu den Themen Zertifizierung von Informationssicherheits-Managementsystemen: Normen ISO/IEC 17799 und ISO/IEC 27001 Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein. Ihr Nutzen einer Zertifizierung: < zu den Themen Prüfung bestanden! 2 neue lizenzierte Auditoren bei der Swiss Infosec AG: Die Swiss Infosec AG gratuliert! Die beiden Managing Consultants Hans Zemp und Matthias Grütter sind jetzt Auditoren für ISO 27001-Audits auf der Basis von IT-Grundschutz des BSI. Damit sich die Swiss Infosec AG den Anforderungen ihrer Kunden noch besser widmen kann, haben die Herren Zemp und Grütter im Februar 2006 die Prüfung erfolgreich abgelegt. Damit verfügt die Swiss Infosec AG über 4 lizenzierte Lead Auditoren (ISO 27001) des englischen BSI sowie 2 lizenzierte Auditoren für ISO 27001-Audits auf der Basis des IT-Grundschutz des BSI in Bonn. < zu den Themen «Wir sind Lehrbetrieb!»: Viele gute Gründe Lernende auszubilden  Damit junge Frauen und Männer in der Berufswelt Fuss fassen, brauchen sie eine qualifizierte Grundausbildung. Diese Chance bieten wir jungen Menschen und bilden Lernende zur Kauffrau oder zum Kaufmann aus. Wir setzen grösstes Vertrauen in die Zukunft der Branche und fördern ein starker und innovativer Wirtschaftsstandort Schweiz, der gut ausgebildete Fach- und Nachwuchskräfte braucht. Wir nutzen das Potential der Jugendlichen: Sie haben Mut für Neues, sind kreativ, bringen unkonventionelle Ideen und Lösungen ein, dies erachten wir als wichtige Basis für unseren künftigen Erfolg. Wir profitieren vom frischen Wind, der Spontanität junger Menschen und dem aktuellen Wissen, das die Lernenden aus der Berufsschule mit in unseren Betrieb bringen. Lernende sind wissbegierig, dadurch werden auch unsere Mitarbeitenden zur kontinuierlichen Weiterbildung motiviert. Mit Stolz sagen wir: «Wir sind Lehrbetrieb!» < zu den Themen
Fachliteratur: Neuerscheinungen
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
| |||||||||||||||||||||||||||
