 Nr. 7 / Juli 2006 ISSN 1424-4217 Wieder durften wir zahlreiche Teilnehmende an der diesjährigen Sommer-Ausgabe der Meet Swiss Infosec! in Zürich-Kloten begrüssen. Trotz der heissen WM-Atmosphäre fanden über 90 Teilnehmende den Weg ins Airport Conference Center, Zürich-Kloten. Hier finden Sie die interessanten Referate in digitaler Form zum downloaden. Als weiteres Highlight findet am 7. September 2006 die ISMS Tool Box Roadshow statt. Wir freuen uns, Sie ebenso in einer guten Atmosphäre über die aktuellsten Trends im Bereich der Umsetzung eines Information Security Management System zu informieren und Ihnen die Herausforderungen anhand von Praxisbeispielen aufzuzeigen. Reservieren Sie sich diesen Termin! 7. September 2006! Wir unterstützen Sie. Möchten Sie Ressourcenengpässe bei Ihren unternehmensinternen Projekten entschärfen oder überbrücken? Dann bietet die Swiss Infosec AG Ihnen projekterfahrene Spezialisten und Projektleiter an. Mehr Informationen. Dank der langjährigen Erfahrung im Bereich Aufbewahrungsvorschriften/ Geschäftsbücherverordnung ist es der Swiss Infosec AG möglich, neu den zweitägigen Intensivkurs "Elektronische Archivierung" anzubieten. Weitere Informationen oder direkte Beratungsunterstützung. Sie erhalten dieses E-Mail als Abonnent der Swiss Infosec Internet News. Die Swiss Infosec Internet News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der IT- und Informationssicherheit. Links zur An- und Abmeldung der News finden Sie am Ende dieses E-Mails.
Aktuelle Meldungen
|
Spam: Zunahme von Medi-Spam Mit der Absicht, Medikamente oder Finanzdinestleistungen an die Benutzer zu bringen, belaufen sich laut der halbjährlichen Spam-Trend-Analyse der Sicherheitsexperten von SurfControl derzeit die Medi- und Finanzspams auf 80 Prozent des gesamten Spam-Aufkommens. Des weiteren beinhalten Spam-Links zunehmend Verweise auf legitime, aber höchst dubiose Websites, die Schadprogramme und Trojaner beherbergen. Quelle: SurfControl.com, Juni 2006 < zu den Themen Geheimdaten auf ebay ersteigert: Dutzende vertrauliche Dateien des Verkehrsministeriums befanden sich auf der Festplatte Im April hat ein Redakteur der östereichischen Zeitung "Kurier" eine Festplatte bei ebay für EUR 38.40 ersteigert. Darauf waren neben Werkverträgen und Löhnen auch vertauliche Informationen für den Minister zu finden. Holger Engelland, Chef des Datenrettungslabors von KrollOntrack, sagte die Festplatte sei formatiert gewesen. Mit einer Datenrettungssoftware konnten die Daten jedoch rekonstruiert werden. Beim Ministerium für Verkehr, Innovation und Technologie in Wien ist man entsetzt. Das Ministerium sagte aus, dass Festplatten ausgedienter PCs normalerweise jahrelang gelagert, formatiert und verschrottet werden. Der Sprecher des Ministeriums, Herr Carl Ferrari-Brunnenfled fügte an, dass die Festplatte illegal verschwunden ist. Quelle: Kurier, 13.06.2006 < zu den Themen Schweden erwägt Urheberrechtsabgabe: Künftig straffrei downloaden? Der schwedische Justizminister Thomas Bodström hält es für denkbar, eine Urheberrechtsabgabe für Breitbandzugänge einzuführen. Wie er gegenüber der Tageszeitung Sydsvenskan erklärt hat, ist er zwar nach wie vor Befürworter einer rechtlichen Regelung, die den illegalen Download urheberrechtlich geschützter Werke unter Strafe stellt. Doch ein entsprechendes Gesetz, das im vergangenen Jahr eingeführt worden war, hat sich als wenig wirksam erwiesen. Um den Schaden abzuwenden, der den Künstlern daraus erwächst, wird von Teilen der Regierung aber auch von der Opposition eine Pauschalabgabe diskutiert. Der Justizminister scheint bereit, sich an dieser Diskussion zu beteiligen. Die Folge einer solchen Abgabe wäre es aber, dass der Download von Musik und Filmen in Schweden künftig straffrei zu sein hätte. Quelle: www.thelocal.se, 15. Juni 2006 < zu den Themen Virtueller Recorder auf Eis gelegt: Tests eingestellt Der US-Kabelanbieter Cablevision hat einen Rückzieher bei seinen Plänen eines virtuellen Videorecorders gemacht. Geplant war, dass die etwa 3 Millionen Kunden des Dienstes künftig Aufzeichnungen des laufenden Fernsehprogramms machen können, ohne dazu einen Videoreorder oder eine andere lokale Speichertechnik zu benutzen. Die Aufzeichnung für die zeitversetzte Benutzung der Fernsehinhalte wäre bei Cablevision erfolgt, erste Tests sollten schon in diesem Monat beginnen. Doch eine Gruppe von Hollywood Studios und Fernsehgesellschaften hat im Mai Klage gegen Cablevision eingelegt. Die Kläger sehen durch die Cablevision-Pläne und die damit verbundene Erstellung von Kopien ihre Urheberrechte verletzt. Quelle: www.nytimes.com, 14. Juni 2006 < zu den Themen Mail-Kontrolle weit verbreitet: Aktuelle Studie zum Thema Elektronische Mail scheint in US-Firmen zunehmend als Gefährdung angesehen zu werden, glaubt man dem Bericht von Proofpoint, einem Unternehmen für Sicherheitslösungen im Kommunikationsbereich. Laut dieser gemeinsam mit Forrester Consulting vorgestellten PR-Auftragsstudie beschäftigen 38% aller Unternehmen mit über 1000 Mitarbeitenden spezielles Personal, um die "nach aussen" gehenden Mails ihrer Mitarbeitenden zu lesen. Für grosse Unternehmen mit über 20000 Mitarbeitenden trifft das sogar in 44% aller Fälle zu. Auch die weiteren Zahlen der Befragung können bedenklich stimmen: Die Firmen schätzen, dass jedes fünfte Mail (22,8%) an externe Empfänger Informationen enthält, die rechtlich oder geschäftlich riskant sind. Jedes vierte Unternehmen (25,4%) musste im letzten Jahr aufgrund einer formellen Anordnung Mitarbeiter-Mails als Beweismittel abtreten. Und mehr als die Hälfte alle Unternehmen (55,4%) sind teilweise sehr besorgt, dass auch andere Wege wie Web-Mail, FTP, Instant Messenger oder auch die P2P-Nutzung dazu gebraucht werden, geschützte oder gefährliche Informationen aus dem Unternehmen zu befördern. Quelle: www.proofpoint.com, 5. Juni 2006 < zu den Themen Lockvogel USB-Stick: Neugierige vor Das Sicherheitsunternehmen Secure Network Technologies war von einem Kunden beauftragt worden, die Sicherheit des Firmennetzwerks zu überprüfen. Insbesondere sollten Aspekte des "Social Engeneering" geprüft werden. Denn man hatte in der jüngsten Vergangenheit bei einzelnen Mitarbeitenden eine gewisse Fahrlässigkeit festgestellt. Für Stasiukonis, Gründer des Unternehmens, ein normaler Job, der allerdings dadurch erschwert wurde, dass auch Gerüchte über den Sicherheits-Check durchgesickert waren. Man musste also mit der erhöhten Vorsicht der Mitarbeitenden rechnen. Die üblichen Methoden, wie etwa das scheinbar kollegiale Zusammenstehen mit den Rauchern oder der Flirt mit der Empfangsdame schieden daher aus. Ein neuer Trick erwies sich allerdings als erfolgreich. Die Kontrolleure infizierten USB-Sticks mit einem Trojaner, der - auf dem Rechner installiert - Passwörter ausspionieren konnte. Details zum Versteck dieser ausführbaren Datei wurden keine gegeben. Doch die Sticks wurden offenbar mit einer ganzen Reihe anderer Daten (z.B. Bilder) gefüllt, um den Trojaner zu tarnen. Dann wurden die USB-Sticks am frühen Morgen auf dem Firmengelände sowie im Parkhaus verstreut. Ganz so als habe jemand sie zufällig verloren. Tatsächlich benahmen sich die Finder so, wie man es in diesem Fall erwarten würde. 15 der 20 ausgeworfenen Köder wurden gefunden und jeder einzelne dieser USB-Sticks wurde "noch in der gleichen Minute" vom Finder in den Rechner eingesteckt. Kurz darauf trudelten auch bei dem Techniker, der den Trojaner überwachte, die ersten Informationen ein. Sollte seine Darstellung bezweifelt werden, empfiehlt der Sicherheitsberater einen einfachen Test: "Legen Sie im Süssigkeitenkörbchen an der Rezeption einfach ein paar USB-Sticks aus. Beobachten Sie dann, wie lange es dauert, bis sich die (neugierige) Natur des Menschen manifestiert". Quelle: www.darkreading.com < zu den Themen Spielen bis zum Zusammenbruch: Computerspielsucht In den Niederlanden öffnet Europas Klinik für Computerspielsüchtige ihre Pforten. Sie bietet Hilfe für diejenigen, die ohne Joystick nicht mehr leben können. Keith Bakker, Direktor von Smith & Jones Addiction Consultants in Amsterdam sagte, Computerspiele sähen oft harmlos aus, sie könnten aber genauso süchtig machen wie Alkohol oder Glücksspiel. Zu den Entzugserscheinungen gehörten beispielsweise Schweissausbrüche schon beim Anblick einer Spielekonsole. Weltweit ist inzwischen anerkannt, dass übermässiges Computerspielen behandelt werden muss. In den Vereinigten Staaten und Kanada gibt es schon rund ein Dutzend Kliniken gegen die Computerspielsucht, auch in China existiert eine solche Einrichtung. Quelle: www.faznet.de, 13. Juni 2006 < zu den Themen Mehr Aufmerksamkeit für IT-Risiken: Neues Strategiepapier der EU-Kommission Mit einem Strategiepapier setzt sich die EU-Kommission für eine verstärkte Aufklärung bei den Risiken ungeschützter Unternehmensnetze ein. Mit ihrer verabschiedeten Mitteilung möchte die Kommission das allgemeine Bewusstsein für Sicherheitsfragen stärken und darüber aufklären, was neben Firmen auch Privatpersonen und die öffentliche Verwaltung selbst tun müssen, um ihre eigenen Informationen und Geräte zu schützen. Nur etwa 5 bis 13 Prozent der IT-Ausgaben fallen derzeit auf die Sicherheit. Das sei bedenklich wenig, heisst es aus Brüssel. In einer Partnerschaft der Mitgliedstaaten, der IT-Branche, der Nutzer sowie der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) sollen daher jetzt vertrauenswürdige, sichere und zuverlässige Informations- und Kommunikationstechnologien entstehen. Konkret schlägt die Kommission vor, eine vergleichende Bewertung der nationalen Massnahmen zur Netz- und Informationssicherheit durchzuführen, um den Dialog zwischen den öffentlichen Verwaltungen zu verbessern, bewährte Vorgehensweisen festzustellen und das Sicherheitsbewusstsein der Endnutzer zu erhöhen. Quelle: www.europa.eu.int, 31. Mai 2006 < zu den Themen Vorsicht "Ghost Mails": Experten warnen vor möglichem Angriff Sicherheitsexperten warnen vor einer auffälligen Häufung von sogenannten 'Ghost Mails'. Sie enthalten zwar keine Malware, könnten aber auf einen weltweiten Hacker-Angriff vorbereiten. Ghost Mails wirken auf den ersten Blick, als hätte der Nutzer sich selbst eine Nachricht geschickt. Absender- und Empfängerfeld sind identisch, Betreffzeile und Text bestehen aus zusammengewürfelten Zahlen. Bösartige Software beinhaltet die Software zwar nicht, so die Analyse der Experten von Panda Software. Einen Zweck verfolgen sie trotzdem: Wahrscheinlich überprüfen Hacker mit dem Versenden solcher Mails, ob die Adressen einer oder mehrerer Datenbanken, auf die sie Zugriff haben, aktiv sind und somit für einen wirklichen Malware-Angriff genutzt werden können oder entfernt werden müssen. Das Rätsel um die identische Absender- und Empfänger-Adresse ist leicht gelöst. Auf diese Weise entgehen sie einer möglichen Verbannung aus dem Posteingangsordner durch ein Filterungssystem. Ein einfacher aber raffinierter Einfall, da wohl niemand seine eigene E-Mail-Adresse herausfiltern lässt. Experten rechnen mit einem nachfolgenden Angriff, unklar sei jedoch ob es sich um eine Spam-, Phishing- oder Malware-Attacke handeln werde. Nutzer, die eine Ghost Mail bekommen haben, sollten besonders vorsichtig sein und ihre Sicherheitssoftware auf den neuesten Stand bringen. Quelle: www.silicon.de, 8. Juni 2006 < zu den Themen Racheaktion gegen Polizei: Websites gehackt Die Websites der schwedischen Polizei und jene der schwedischen Regierung sind vorübergehend durch einen konzentrierten Angriff von Hackern lahm gelegt worden. Zu den so genannten Denial-of-Service-Attacken bekannte sich eine Gruppe, die sich World Wide Hackers nennt. Ermittler gehen davon aus, dass es sich um eine Racheaktion für das Vorgehen der Polizei gegen die populäre schwedische File-Sharing-Böre "The PirateBay" gehandetl habe. Quelle: www.de.internet.com, 7. Juni 2006 < zu den Themen Umfassende Notfallplanung: Vorbereitung ist alles! Die Auswirkung einer Grippe-Pandemie wäre fatal auf die Wirtschaft, auch wenn die Gefahr weit weg scheint. Dem "US Pandemic Implementation Plan" zufolge müssen Unternehmen damit rechnen, dass im Zuge eines weltweiten Ausbruchs bis zu 40 Prozent ihrer Belegschaft für zwei oder mehr Wochen ausfallen würden. Vor diesem Hintergrund hat IBM jetzt einen Beratungsservice für Firmen angekündigt, der sich speziell diesem Thema widmet. Im so genannten Contingency Planning Assessment (CPA) enthalten ist eine Analyse der bisherigen Notfallplanung des jeweiligen Unternehmens, die normalerweise Disaster-Recovery- und Business-Continuity-Konzepte umfasst, sowie spezielle Anleitungen, was im Falle einer Pandemie zu tun ist. Daneben sollen sich die im Rahmen des CPA entwickelten Pläne und Verfahrensweisen auch auf andere Ausnahmesituationen wie Hurricanes, Stromausfälle oder Erdbeben anwenden lassen. Quelle: www.computerwoche.de, 16. Juni 2006 < zu den Themen Neues Risiko „Spear-Phishing“: Mitarbeitende sollten sensibilisiert werden Sicherheitsexperten stufen das immer häufigere „Spear Phishing“ als besonders gefährlich und tückisch ein: Bei dieser Methode verschicken Angreifer E-Mails nicht mehr massenweise, sondern ganz gezielt an eine spezifische Gruppe von Empfängern. Beispielsweise an die gesamte Belegschaft eines Unternehmens. Die gefälschten Nachrichten sehen dabei aus wie interne Mails. Nicht nur finanzielle Bereicherung, sondern auch Schädigung eines konkurrierenden Unternehmens kann ein Motiv für Phishing sein. Zur Erinnerung: Ziel der Phisher ist es, die Mitarbeitenden zur Herausgabe von Benutzernamen und Kennwörtern zu verleiten, um sich Zugriff auf das Firmennetz zu verschaffen. Eine der wichtigsten Schutzmassnahmen besteht darin, die Belegschaft über die Gefahren zu sensibilisieren und eindeutige Regeln im Umgang mit E-Mails zu definieren. Auf technischer Seite ist die Überwachung mittels Filter- und Schutzlösungen am Zugang des Computernetzes unerlässlich, um verdächtige Aktivitäten zu erkennen und abzuwehren. Quelle: www.pcwelt.de, 17. Juni 2006 < zu den Themen Phishing-Angriff gegen Postfinance: Erneute Internet-Attacke Postfinance ist ein beliebtes Ziel für Internet-Betrüger. Erneut wurde die Post-Tocher ins Visier genommen. Bereits im vergangenen Jahr wurde Postfinance zweimal Opfer solcher Attacken. Das erste Mal gab es drei Geschädigte, beim zweiten Angriff keine. Postfinance-Sprecher Alex Josty bestätigte die erneute Phishing-Attacke. Die Informatiker des Unternehmens gingen sofort an die Arbeit, um möglichen Schaden vom Unternehmen und den Kunden abzuwenden, sagte Josty. Bei diesen Phishing-Attacken verschicken Betrüger E-Mails, mit denen sie die Empfänger bitten, die Codes der Strichlisten auf einer Internet-Seite zu erfassen, die derjenigen von Postfinance täuschend ähnlich sieht. Um Ihre Online-Geschäfte noch besser zu schützen, führe Postfinance zusätzliche Schutzmassnahmen ein, schrieben die Betrüger im aktuell kursierenden Mail. Sie bitten die Empfänger in holprigem Deutsch, 20 Nummern aus ihrer Strichliste einzugeben. Und zum Schluss drohen die Betrüger: „Alle Postfinancekonten die nicht innerhalb eines Tages authentifiziert werden, werden gesperrt!“ Quelle: www.espace.ch, 20. Juni 2006 < zu den Themen Sachverhaltsabklärung des EDSB in Sachen CSS: Verletzung der Bestimmungen des Datenschutzgesetzes Im Februar dieses Jahres wurde in den Medien behauptet, dass rund 400 Mitarbeitende der CSS Versicherung – unter ihnen auch Sekretärinnen und Mitarbeitende der Administration – auf das elektronische System „Anfragebewirtschaftung vertrauensärztlicher Dienst“ (AVD) Zugriff gehabt hätten. Das Bundesamt für Gesundheit hat inzwischen in Zusammenarbeit mit dem Eidgenössischen Datenschutzbeauftragten (EDSB) im Rahmen ihrer Aufsichtstätigkeiten Vorabklärungen durchgeführt, welche ergeben haben, dass die medizinischen Daten des vertrauensärztlichen Dienstes 150 CSS-Mitarbeitenden zugänglich sind. Es besteht der Verdacht, dass damit berufliche Geheimhaltungspflichten verletzt wurden. Gestützt auf diesen Sachverhalt hat der EDSB in der Folge entschieden, eine Sachverhaltsabklärung im Sinne von Art. 27 des Datenschutzgesetzes durchzuführen zwecks Abklärung der Frage, ob Bestimmungen des Datenschutzgesetzes verletzt wurden. Der EDSB wird die Öffentlichkeit über die Ergebnisse seiner Sachverhaltsabklärung informieren. Quelle: www.edsb.ch, 1. Juni 2006 < zu den Themen ComCom vergibt Konzession für drahtlosen Breitbandanschluss: Swisscom Mobile als einzige Gebot eingereicht Die Eidgenössische Kommunikationskommission (ComCom) hat an Swisscom Mobile eine Konzession für den drahtlosen Breitbandanschluss (Broadband Wireless Access, BWA) vergeben. Von fünf Firmen, die sich für die drei BWA-Konzessionen beworben haben, hat Swisscom Mobile als einzige ein Gebot eingereicht. Die ebenfalls für eine allfällige Auktion zugelassenen Firmen Deutsche Breitbanddienste GmbH, Orascom Telecom Holding S.A.E., Swissphone Invest Holding AG und TDC Switzerland AG haben sich entschlossen, kein Gebot einzureichen. Die Konzession wird voraussichtlich im August 2006 erteilt und ist bis zum 31. Dezember 2016 gültig. Damit die nun zugeteilten Frequenzen zu Gunsten der Konsumenten auch genutzt werden, enthält die Konzession Minimalauflagen betreffend den Netzaufbau. Die Konzessionärin ist verpflichtet, bis spätestens am 31. Dezember 2007 den kommerziellen Betrieb aufzunehmen und bis Ende 2009 mindestens 120 Sende-/Empfangseinheiten zu betreiben. Diese Auflage erlaubt es der Konzessionärin, den aus Marktsicht sinnvollen Netzaufbau weitgehend selber zu bestimmen. Beim Netzaufbau sind die Vorgaben der Verordnung über den Schutz vor nichtionisierenden Strahlen (NISV) einzuhalten. Quelle: www.fedcomcom.ch, 8. Juni 2006 < zu den Themen
Neu! Intensivkurs "Elektronische Archivierung": Grundlagen, rechtliche Anforderungen und praktische Umsetzung
Die Kursteilnehmenden werden umfassend und systemneutral in den Bereich elektronische Archivierung eingeführt. Die vermittelte fachliche Kompetenz erlaubt den Teilnehmenden, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen. Zielgruppen: IT-Spezialisten, Jurist, Entscheidungsträger, Revisoren, Sicherheitsspezialisten, Archivverantwortliche, Compliance Officers Nächstes Kursdatum: 21./22. August 2006 Kosten: CHF 1'780.- / EUR 1'180.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen IT-SIBE: Eine Erfolgsgeschichte seit 1992
Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. Zielgruppen: Personen, die mit der Planung, Realisierung und Durchsetzung von Massnahmen im Bereich der Informations- und IT-Sicherheit konfrontiert sind. Nächste Kursdatum: 21. bis 25. August 2006 Kosten: CHF 4'200.- / EUR 2'700.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen IT-SIBE Vertiefung: Intensivlehrgang
Zielgruppen: Informations- und IT-Sicherheitsbeauftragte; Personen, die mit der Planung, Realisation und Durchsetzung von Massnahmen im Bereich der Informations- und IT-Sicherheit konfrontiert sind. Nächstes Kursdatum: 13. bis 17. November 2006 Kosten: CHF 4'500.- / EUR 2'900.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen Neu! Intensivlehrgang für Sicherheitsbeauftragte: Umfassende Einführung in die Integralen Sicherheitsbelange
Die Kursteilnehmenden werden umfassend und systemneutral in alle wichtigen Belange der Integralen Sicherheit eingeführt. Anhand von zahlreichen Praxisbeispielen, Fallstudien, Checklisten, Konzeptvorlagen und Hintergrundinformationen lernen die Teilnehmenden die Methoden und Arbeitstechniken für die einzelnen Sicherheitsbereiche kennen. Zielgruppen: Personen, die sich mit der Planung, Realisierung oder dem Controlling von Massnahmen im Bereich der Integralen Sicherheit auseinander setzen Nächstes Kursdatum: 4. bis 8. September 2006 Kosten: CHF 4'200.- / EUR 2'700.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen ISO/IEC 17799 Einführung: Einführung und Überblick über die Normen Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können. Zielgruppen: Management; IT-Leitung; Sicherheits- und Qualitätsbeauftragte; Revisoren Nächstes Kursdatum: 29. August 2006 Kosten: CHF 850.- / EUR 550.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen ISO/IEC 27001 Vertiefung: Anwendung und Nutzung Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein. Zielgruppen: Management; IT-Leitung; Sicherheits- und Qualitätsbeauftragte; Revisoren Nächstes Kursdatum: 30./31. August 2006 Kosten: CHF 1'650.- / EUR 1'065.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen ISO/IEC 27001 Lead Auditor: Lehrgang mit offizieller Zertifizierung Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmenden, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als ISO/IEC 27001 Lead Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Autor in englischer Sprache durchgeführt. Zielgruppen: Praktizierende Sicherheitsauditoren, die ihr Auditwissen erweitern wollen; Fachleute, die im Bereich IT und Qualitätsmanagement arbeiten und im Bereich von ISO/IEC 27001-Zertifizierungen tätig werden möchten resp. ein formales Informationssicherheitsmanagement nach ISO/IEC 27001 einführen wollen Nächstes Kursdatum: 4. bis 8. September 2006 Kosten: CHF 4'500.- / EUR 2'900.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen Vorbereitung CISSP: Intensivlehrgang Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. Zielgruppen: Zukünftige Absolvierende der CISSP-Prüfung Nächstes Kursdatum: 7. bis 13. September 2006 Kosten: CHF 4'625.- exkl. Mittagessen Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen
Unsere Spezialisten überbrücken Ressourcen- oder Kompetenzengpässe: Kompetent, unkompliziert und flexibel
Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen? Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss. Kompetenz, Erfahrung und Erfolg, seit 1989. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT Sicherheit zu Ihren Kompetenzen. Das sind auch die Stärken unserer Spezialisten! Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. + Pool von Projektleitern mit mehrjähriger Projektleitungserfahrung + zur Überbrückung von Kapazitäts- und Know-how-Engpässen + zur Verstärkung Ihrer Projektteams + zur Beschleunigung von Projekten + Konzept- und umsetzungsstarke Spezialisten + Know-how-Transfer Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer. Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild. Unsere Spezialisten zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch. Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden. Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen. Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. E-Mail infosec@infosec.ch; Telefon +41 (0)31 300 73 73. < zu den Themen Zertifizierung von Informationssicherheits-Managementsystemen: Normen ISO/IEC 17799 und ISO/IEC 27001 Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein. Ihr Nutzen einer Zertifizierung:
< zu den Themen ISMS Tool Box: Weshalb das Rad neu erfinden?: Effiziente und effektive Werkzeuge für Sicherheitsbeauftragte Die ISMS Tool Box bietet vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines Information Security Management System. Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden, die Umsetzung geplant und laufend überprüft werden. Die Tool Box unterstützt neben dem Ownership Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity Aktivitäten können mittels des Tools effektiv unterstützt werden. Neben der Möglichkeit, ein Glossar und eine Linksammlung intranetbasiert zu führen, kann auch ein Basel II-konformes Security Incident Management aufgebaut werden. Daneben existieren Instrumente für die Durchführung von Risikoanalysen und Audits. Dezentrale Stellen können mittels einer Self Assessment- Funktion in die Aufrechterhaltung und laufende Verbesserung des ISMS eingebunden werden. Das Tool erlaubt den direkten intranetbasierten Zugriff auf ISO17799/BS7799, Cobit, BSI-Grundschutzhandbuch und den Baselinekatalog der Swiss Infosec AG. Mandantenfähigkeit, LDAP-Kompatibilität, Import- und Exportfunktionen, Reportgeneratoren und vieles andere mehr komplettieren die ISMS Tool Box. Daneben bietet Ihnen die ISMS Tool Box die Möglichkeit, innerhalb des Praxisforums viermal jährlich Erfahrungen in einer geschlossenen Benutzergruppe auszutauschen. Weitere Informationen finden Sie hier. < zu den Themen Swiss Infosec AG - Ihr eduQua zertifiziertes Aus- und Weiterbildungsteam: Zertifikat für Weiterbildungen  Mit eduQua wurde das erste Schweizer Label geschaffen, das auf Anbieter von Weiterbildung zugeschnitten ist. Dabei werden diverse Punkte geprüft, welche für die Qualität von Weiterbildungen massgebend sind. So werden neben dem eigentlichen Kursangebot die Kommunikation mit den Kunden, die Art und Weise der Leistungserbringung, das eingesetzte Personal (Ausbildner), der Lernerfolg sowie Qualitätssicherung und -entwicklung unter die Lupe genommen und bei erfolgreichem Nachweis mit dem eduQua-Label versehen. Die Swiss Infosec AG freut sich, dieses Label tragen zu dürfen und ist darum bemüht, ihren Kunden qualitativ hoch stehende Weiterbildungen im Bereich der IT- und Informationssicherheit anbieten zu können. Informationen zu unserem Kursangebot finden Sie hier. < zu den Themen «Wir sind Lehrbetrieb!»: Viele gute Gründe Lernende auszubilden  Damit junge Frauen und Männer in der Berufswelt Fuss fassen, brauchen sie eine qualifizierte Grundausbildung. Diese Chance bieten wir jungen Menschen und bilden Lernende zur Kauffrau oder zum Kaufmann aus. Wir setzen grösstes Vertrauen in die Zukunft der Branche und fördern ein starker und innovativer Wirtschaftsstandort Schweiz, der gut ausgebildete Fach- und Nachwuchskräfte braucht. Wir nutzen das Potential der Jugendlichen: Sie haben Mut für Neues, sind kreativ, bringen unkonventionelle Ideen und Lösungen ein, dies erachten wir als wichtige Basis für unseren künftigen Erfolg. Wir profitieren vom frischen Wind, der Spontanität junger Menschen und dem aktuellen Wissen, das die Lernenden aus der Berufsschule mit in unseren Betrieb bringen. Lernende sind wissbegierig, dadurch werden auch unsere Mitarbeitenden zur kontinuierlichen Weiterbildung motiviert. Mit Stolz sagen wir: «Wir sind Lehrbetrieb!» < zu den Themen
Fachliteratur: Neuerscheinungen
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der
Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
| ||||||||||||||||||||||||
