 Nr. 8 / August 2006 ISSN 1424-4217 Sie sind herzlich eingeladen, kostenlos an der ISMS Tool Box Roadshow, 7. September 2006, 13.30 Uhr, Airport Conference Center, Zürich-Kloten teilzunehmen. Wir stellen Ihnen im Rahmen der neuen Version 3.4 der ISMS Tool Box erweiterte und neue Funktionalitäten vor. Hier können Sie sich kostenlos anmelden! Der unentbehrliche Werkzeugkasten für Sicherheitsbeauftragte. Informieren Sie sich, wie Sie zum Beispiel Regelwerke effizient und effektiv erarbeiten und diese mehrsprachig intranetbasiert kommunizieren, Regelwerke in einer Arbeitsgruppe elektronisch reviewen und validieren und die Umsetzung planen und laufend überprüfen können. Lernen Sie, wie Sie anhand des Grundschutzes 80-90% des gesamten Schutzbedarfes einfach abdecken können und wie Sie die restlichen 10-20% durch eine individuelle Risikoanalyse, deren Prozesse die ISMS Tool Box ebenfalls unterstützt, effizient planen und verwalten können. Wir unterstützen Sie. Möchten Sie Ressourcenengpässe bei Ihren unternehmensinternen Projekten entschärfen oder überbrücken? Dann bietet die Swiss Infosec AG Ihnen projekterfahrene Spezialisten und Projektleiter an. Mehr Informationen. Dank der langjährigen Erfahrung im Bereich Aufbewahrungsvorschriften/ Geschäftsbücherverordnung ist es der Swiss Infosec AG möglich, neu den zweitägigen Intensivkurs "Elektronische Archivierung" anzubieten. Weitere Informationen oder direkte Beratungsunterstützung. Sie erhalten dieses E-Mail als Abonnent der Swiss Infosec Internet News. Die Swiss Infosec Internet News behandeln aktuelle Themen und Sicherheitsvorkommnisse im Bereich der IT- und Informationssicherheit. Links zur An- und Abmeldung der News finden Sie am Ende dieses E-Mails.
Aktuelle Meldungen
|
Warnung vor neuer Betrugsmasche "Vishing": VoIP-Phishing Die niedrigen Kosten von VoIP nutzen Identitäts-Diebe neuerdings als kriminelle Methode, um an wertvolle persönliche Daten wie die von Kreditkartenbesitzern und Bankkunden zu gelangen. Angelehnt an Phishing wird dieses Vorgehen Vishing genannt. Der Trick läuft in der Regel so ab: Der Identitätsdieb richtet einen IP-basierten War Dialer ein, der automatisiert regionale Telefonnummern anruft. Sobald die Zielperson das Telefon abnimmt, läuft ein Band ab, das dem Hörer beispielsweise folgendes mitteilt: "Ihre Kreditkarte wurde missbraucht. Bitte rufen Sie umgehend folgende Nummer an." Letztere ist oftmals regional oder entspricht dem Sitz des Kreditinstituts. Wählt das Opfer tatsächlich die genannte Nummer, empfängt ihn ein Sprachportal mit Sätzen wie: "Vielen Dank für Ihren Anruf. Bitte verifizieren Sie Ihren Account mit Ihrer Kreditkartennummer. Geben Sie die Ziffern bitte jetzt ein." Tippt ein gutgläubiger Kunde tatsächlich die Geheimnummer in sein Tastentelefon, haben die „Visher“ alles, was sie brauchen: die Telefonnummer, den vollen Namen, die Adresse des Opfers und die Kreditkartennummer. Visher könnten sich zudem auch für PIN-Nummern, Auslaufdaten von Kreditkarten, Geburtstage oder Bankkontennummern interessieren. Quelle: www.zdnet.de, 10. Juli 2006 < zu den Themen Bürgerumfrage zu RFID: Online-Konsultation der EU Die europäische Kommission sammelt in einer Online-Umfrage Stimmen der Europäer zum zukünftigen Umgang mit der RFID-Technik. Die Ergebnisse sollen im Dezember 2006 zu Vorschlägen für eine EU-Richtlinie zusammengefasst werden. Die Befragung ist Teil des Programms 'Ihre Stimme in Europa', mit dem die EU die Stimmung in der Bevölkerung bereits zu Themen wie Tier- und Umweltschutz oder der Jugendpolitik abgefragt hat. Offenbar sieht die Kommission auch den Umgang mit moderner Funktechnik als Angelegenheit von öffentlichem Interesse an. Die Angst vor Überwachung und einem Verlust der persönlichen Freiheit durch vielleicht Dutzende Funketiketten, die man in Kleidung und Gebrauchsgegenständen mit sich herumträgt, ist anscheinend auch bei der EU angekommen. Bis Oktober 2006 soll dann eine Konferenz zu den Ergebnissen der Umfrage stattfinden, auf der die für Dezember 2006 erwarteten Ratschläge an die Kommission besprochen werden sollen. Wann dann eine in nationales Recht umzusetzende EU-Richtlinie zu erwarten ist, ist derzeit noch nicht bekannt. Quelle: www.golem.de, 5. Juli 2006 < zu den Themen Visa und MasterCard verschärfen Sicherheitsregeln: Neue Pflichten im Umgang mit Kreditkartendaten Laut Visa wird es in den kommenden zwei Monaten neue Security-Regeln für alle Organisationen geben, die Kreditkartendaten verarbeiten. Dabei handelt es sich um eine Aktualisierung des vor einem Jahr eingeführten PCI-Standards, der sich Analysten zufolge nach einem schleppenden Start nun langsam, aber sicher durchsetzt. Der Ende Juni 2005 weltweit eingeführte PCI-Standard enthält Vorgaben im Hinblick auf die Sicherung der Netze, den Schutz der Kreditkartendaten sowie die regelmässige Überprüfung der Security-Systeme. Er umfasst Aspekte wie Datenverschlüsselung, Endnutzer-Zugangskontrolle sowie aktives Monitoring und verfahrensbezogene Vorgaben. Organisationen, die gegen diesen Standard verstossen, riskieren Strafgebühren oder dürfen im schlimmsten Fall keine Kreditkartendaten mehr verarbeiten. Quelle: www.computerwoche.de, 10. Juli 2006 < zu den Themen Spionagegefahr: Externer IT-Profi spioniert FBI-Netze aus Vor einem Bezirksgericht in den USA muss sich ein Angestellter des US-Dienstleisters BAE Systems vor Gericht verantworten. Er soll seine Arbeit dazu genutzt haben, illegal im Netzwerk des FBI herumzuschnüffeln. Der Angeklagte hat zugegeben, in vier Fällen vorsätzlich die Grenzen seines beschränkten Systemzugangs überschritten zu haben, um an Informationen verschiedener Behörden der US-Regierung zu gelangen. Dem Mann drohen jetzt bis zu 18 Monate Haft. Der Fall sorgt in den USA auch deshalb für Aufsehen, weil die Spionagegefahr in diesem Fall weder von einem internen Mitarbeiter noch von einem externen Hacker ausgegangen ist, sondern von dem Angestellten einer IT-Service-Firma. Fest steht, dass der Angeklagte nicht zufällig über diese Informationen gestolpert ist. Er benutzte eine spezielle Software, um die geheimen Passwörter für die Accounts zu entschlüsseln. Quelle: www.silicon.de, 7. Juli 2006 < zu den Themen Gegen Online-Betrug: Datenbank listet Diebesgut auf Die britische Polizei will mit einer öffentlich zugänglichen Datenbank verhindern, dass bei Internet-Auktionen ohne grössere Probleme Diebesgut verkauft wird. Dazu listet die Site checkmend.org 3,8 Millionen gestohlene Güter im Gesamtwert von fast einer Milliarde Euro auf. Wer im Internet oder bei anderen Second-Hand-Geschäften sicher gehen will, dass er keine Hehlerware erwirbt, kann auf der Seite gegen eine Gebühr Erkundigungen einziehen. Die Daten stammen von der Polizei und vom Zoll. Der am häufigsten gestohlene Gegenstand, der sich in der Datensammlung findet, sind Handys. Die Abfrage für Privatpersonen soll maximal 4,30 Euro kosten und auch aus dem Ausland möglich sein. Bisher war es für Anwender schwer, zu erkennen, ob sie bei einer Online-Auktion einem Betrüger aufgesessen sind, insbesondere wenn es sich bei dem Angebot um Hehlerware gehandelt hat. Quelle: www.bbc.co.uk, 6. Juli 2006 < zu den Themen US-Wahlmaschinen lassen sich kinderleicht hacken: PDAs als Werkzeug Mit Hilfe eines PDAs lässt sich das Ergebnis der kommenden US-Wahlen problemlos beeinflussen. Schon bei der Wahl von US-Präsident Bush wurden kritische Stimmen laut, die den Republikanern massive Wahlmanipulationen vorwarfen. Im Herbst 2007 wird in den Vereinigten Staaten von Amerika erneut gewählt und Experten warnen erneut vor Manipulationen. Laut einer aktuellen Studie der School of Law der New York University weisen die eingesetzten elektronischen Wahlmaschinen zahlreiche Sicherheitslücken auf. 120 Sicherheitslücken wurden von einer Expertengruppe festgestellt. Besonders Wahlmaschinen, die mit Drahtlostechnologie ausgestattet sind, seien gefährdet. Diese können mit einem PDA leicht ausgetrickst werden. Von einem Einsatz der genannten Wahlmaschinen wird deshalb im Expertenbericht abgeraten. Derzeit verzichten nur drei Bundesstaaten auf diese Wahlmaschinen: New York, Minnesota und Kalifornien. Quelle: heise.de, Juli 2007 < zu den Themen Passwort von FBI-Direktor geknackt: Speditiveres Arbeiten als Grund Ein Mitarbeiter hat die persönlichen Zugangsdaten des FBI-Direktors Robert Mueller entschlüsselt. Der IT-Berater, welcher nun unter Anklage steht, hatte die ständigen Verzögerungen bei Routinejobs und banalen Dingen wie dem Einrichten von PCs, Druckern und User-Accounts so satt, dass er nach seiner Behauptung das Passwort seines Vorgesetzten knackte, um seine Arbeiten speditiver erledigen zu können. Der Staatsanwalt fordert 1 Jahr Haft. Quelle: yahoo.com, Juli 2006 < zu den Themen Streichelzoo als Terroristenziel?: Auch das Apfel- und Schweinefestival im Register Die amerikanische 'National Asset Database', die auch zur Verteilung von Anti-Terror-Geldern heran gezogen wird, scheint nicht ihren Zweck zu erfüllen. Zu diesem Schluss kam der Inspector General des Department of Homeland Security in einem soeben veröffentlichten Report. Die Qualität der Informationen sei nicht angemessen und mache die Datenbank unglaubhaft. Während der Pressesprecher des Homeland Security-Ministeriums die Liste als hilfreich einstuft, befanden Mitarbeiter, dass die Informationen teilweise veraltet seien und sie ihnen nicht trauen würden. Wenn man Bäckereien, Altersheime, Friedhöfe, Geschäfte für Angelzubehör oder einen Popcorn-Hersteller mit 5 Angestellten in einer Liste möglicher Terroristenziele findet, sind diese Zweifel nur zu verständlich. Hier ergeben sich Parallelen mit Personenregistern, die im Kampf gegen den Terror eingesetzt werden, die Säuglinge, Stars und selbst amerikanische Senatoren enthalten. Quelle: New York Times, Eric Lipton, 12. Juli 2006 < zu den Themen Fundgrube für Social Engineering-Angriffe: Networking-Sites bieten reiche Informationen Die englische Sicherheitsberatungsfirma SecureTest warnt vor berufsbezogenen Networking Sites wie Rye, LinkeIn und Ecademy In einem Testfall hatten die Berater innert kürzester Zeit die gesamte Arbeitsgeschichte, Kontaktnamen von Arbeitskollegen, Details über Familienangehörige, Hobbies sowie Mitgliedschaften in beruflichen Organisationen einer Person zusammen. Verbindet man diese Resultate mit einer genauen Suche im Internet sowie mit den entsprechenden Kreuzreferenzen, erhält man so Daten und Informationen, die man mit den 'klassischen' Telefon-basierten Social Engineering-Methoden wohl kaum erreicht hätte. SecureTest rät Firmen deshalb, ihre Security Policies entsprechend anzupassen und die Mitarbeitenden über die möglichen diesbezüglichen Gefahren aufzuklären. Quelle: The Register, John Leyden, 14. Juli 2006 < zu den Themen Das Überwachungspotential steigt und steigt: Grossbritannien könnte automatisch gegen lärmige Parties vorgehen Mit den Plänen von British Telecom (BT) ganze Städtze WiFi-fähig zu machen, kommen auch sogleich Ideen auf, wie man diese Netzwerke zum Zwecke sozialer Kontrolle einsetzen könnte. Grossbritannien, mit einem der dichtesten Netzwerke von Überwachungskameras in den Städten weltweit, könnte diese WiFi-Netze dazu einsetzen, mit zusätzlichen Sensoren und Überwachungskameras lärmigen Parties und ähnlichen Dingen auf die Spur zu kommen. Dies jedenfalls, wenn es nach Steven Andrews von BT geht. 'Im Falle einer lärmigen Party wäre es für Nachbarn nicht mehr nötig, sich beklagen zu müssen, dies würde dann automatisiert erfolgen'. Nach den Worten von Steven Andrews könnte der Einsatz solcher Systeme den gleichen Einfluss auf die Verbrechensstatistik haben wie die Einführung von Strassenbeleuchtung dazumal. Quelle: The Inquirer, Tony Dennis, 16. Juli 2006 < zu den Themen Die US-Regierung versucht sicherer zu werden: Vierte Anordnung in zwei Monaten Die US-Bundesbehörden sind angewiesen worden, tatsächliche und vermutete Verstösse gegen die Sicherheit von personenbezogenen Daten dem US-CERT innert einer Stunde zu melden. Kurz vorher waren die Behörden vom 'Office of Management and Budget' des Weissen Hauses aufgefordert worden, in den Inventaren fehlende Computersysteme zu melden sowie sensitive Daten auf Laptops zu verschlüsseln. Diese, und andere, Weisungen erfolgten, nachdem es bei verschiedenen US-Behörden zu peinlichen Vorfällen bezüglich Datenverlusten gekommen war. Diese betrafen persönliche Informationen von Millionen von Personen. Im Jahr 2005 erhielt die US-Regierung ein 'Mangelhaft' für ihre Computersicherheit. Quelle: SecurityFocus, Robert Lemos, 18. Juli 2006 < zu den Themen Fast £13 Milliarden ausgegeben…: …und das System ist immer noch nicht sicher Gegenwärtig steht das IT-System der britischen Gesundheitsverwaltung NHS (National Health Service) in der Kritik. Obwohl das System bis dato knapp CHF24'000'000'000.-- gekostet hat, haben Tests ergeben, dass die Sicherheit der Patientendaten leicht kompromittiert werden kann. Das System soll in einem Computer die Gesundheitsakten für 50 Millionen Patienten speichern und damit zu den erforderlichen Einsparungen und Effizienzsteigerungen des britischen Gesundheitssystems beitragen. Tests haben mittlerweile gezeigt, dass allgemeine Sicherheitsvorkehrungen nicht funktionieren und dass insbesondere die Sicherheit der mobilen IT-Ausrüstung der NHS grosse Schwächen aufzeigt. Quelle: theregister.co.uk; out-law.com, 19. Juli 2006 < zu den Themen PlusNet hat schon wieder Pech: Diesmal 20'000 Email-Adressen versandt Der ISP PlusNet hat kein Glück. Nachdem erst durch menschliches Versagen 700GB Email-Daten der Kunden gelöscht wurden, sind jetzt 20'000 Email-Adressen an die Abonnenten des PlusNet-Services Force9 geschickt worden. Der gemailte Ordner im .csv-Format enthielt Details über die abonnierten Produkte, die Email-Adressen sowie die Namen der Abonnenten. Quelle: theregister.com, John Oates, 26. Juli 2006 < zu den Themen SOX-Compliance bald für alle zwingend: SEC und Section 404 Das Ende des Finanzjahres nach dem 15. Juli 2006 heisst für alle an der US-Börse kotierten nicht-amerikanischen Firmen, dass sie mit Section 404 von SOx konform sein müssen. Kurz gefasst besagt Section 404, dass Unternehmen Kontrollen und interne Weisungen haben müssen, um die Informationen für das Finanzberichtswesen zu schützen, dokumentieren und verarbeiten zu können Jeffrey Hoo von Symantec rät denjenigen Unternehmen, die aus welchen Gründen auch immer, noch nicht die nötigen Schritte unternommen haben, sich zuerst mal mit ISO 27001 und ISO 17799 zu befassen. Diese internationalen Standards enthalten umfangreiche Richtlinien für die SOx-Problematik. Auf jeden Fall bleibt kaum Spielraum, den Anforderungen nicht zu entsprechen, da die amerikanische Börsenaufsicht SEC Nichtkonformität sehr negativ betrachten würde. Quelle: silicon.com, Vivian Yeo, 26. Juli 2006 < zu den Themen Brände in 2 Archivhallen vernichteten Akten: Grund für beschleunigte elektronische Archivierung 2 Brände bei der auch in Europa tätigen Archivierungs- und Dokumentenmanagementfirma Iron Mountain könnten Kunden dazu bewegen, sich schneller mit elektronischer Archivierung zu befassen. Am 12. Juli 2006 zerstörte ein Feuer eine knapp 12'000 qm grosse Archivierungsräumlichkeit und zerstörte alle Akten. Am 11. Juli 2006 brannte es in einer knapp halb so grossen Halle der gleichen Firma. Der Grund für dieses Feuer liegt in Dachdeckerarbeiten. Diese Vorkommnisse haben einen Kunden dazu bewogen, einerseits die Pläne zur Umsetzung von elektronischer Archivierung zu beschleunigen, andererseits sich bei Iron Mountain nach den Feuerlöschmechanismen in denjenigen Gebäuden zu erkundigen, wo dessen Akten eingelagert sind. Für eine Anwaltskanzlei, die 7000 Akten verloren hat, haben die Vorkommnisse zum Resultat, dass die bereits eingeleiteten Massnahmen zur elektronischen Archivierung beschleunigt werden. Der Versicherungsmakler Gilsbar Inc. hat sich bereits vor diesen beiden Bränden nach Alternativen umgesehen. Obwohl die Firma von Iron Mountain verlangt hatte, dass Akten während des Wirbelsturmes Katrina woanders gelagert würden, war dies nicht geschehen und so waren die Akten für lange Zeit unzugänglich. Für den technischen Direktor von Gilsbar, Neal Hennegan, ist soweit klar: "Wenn wir eine kleinere Firma wären, würden wir nur noch elektronisch archivieren", aber er sagt, dass er bis anhin keinen Weg gefunden hat, so kosteneffektiv zu archivieren wie mit Iron Mountain. "Die Tage der physischen Archivierung in einer Aussenstelle sind gezählt", so Hennegan. Quelle: computerworld.com, Sharon Fisher, 31. Juli 2006 < zu den Themen Website von Interpol gefälscht: Der dazugehörende Server ist in China Webbetrüger haben eine als echt erscheinende Website von Interpol auf einem chinesischen Webserver eingerichtet. Sicherheitsexperten sind der Ansicht, dass dies bis jetzt die beste gefälschte Website sei, die sie gesehen hätten. Sie nehmen an, dass es den Betrügern gelungen sein muss, sich über 250 MB des Originalinhaltes der Interpol-Website zu beschaffen. Interpol weist auf jeden Fall darauf hin, dass unter keinen Umständen allfälligen Emails mit Forderungen nach Geldtransfers oder mit dem Inhalt, dass sich Interpol in den Transfer einer grösseren Geldsumme einschalten muss, Glauben zu schenken ist und solche Emails als Fälschungen zu behandeln seien. Quelle: xatrix.org, Nikola Strahija, 1. August 2006 < zu den Themen Mangelnde Verschlüsselung gefährdet Sicherheit: Information als Kapital muss besser geschützt werden Eine Untersuchung der Firma Safenet zeigt, dass Unternehmen immer noch viel zu wenig zum Schutze ihrer Informationen unternehmen. Die Zahlen zeigen, dass nur 12% der mobilen Geräte verschlüsselt sind und 75% der USB-Sticks ebenfalls nicht durch Verschlüsselung geschützt werden. Etwas besser sieht es bei Notebooks aus, wo mittlerweile bei über der Hälfte der Geräte Verschlüsselung eingesetzt wird. Zieht man in Betracht, dass die Speicherkapazität von USB-Sticks und Handheld-Geräten im Bereich von mehreren Gigabyte liegen kann, ist das Schadenpotential riesig. Dazu kommt, verfolgt man die Diebstähle und Verluste von Laptops etc. mit Daten über Zehntausende von Menschen, die Verschlüsselung mobiler Speicher- und Datenverarbeitungsgeräten ein integraler Teil der Unternehmensprozesse sein sollte. Quelle: ZDNet, Jason Curtis, 1. August 2006 < zu den Themen
Neu! Intensivlehrgang für Sicherheitsbeauftragte: Umfassende Einführung in die Integralen Sicherheitsbelange
Die Kursteilnehmenden werden umfassend und systemneutral in alle wichtigen Belange der Integralen Sicherheit eingeführt. Anhand von zahlreichen Praxisbeispielen, Fallstudien, Checklisten, Konzeptvorlagen und Hintergrundinformationen lernen die Teilnehmenden die Methoden und Arbeitstechniken für die einzelnen Sicherheitsbereiche kennen. Zielgruppen: Personen, die sich mit der Planung, Realisierung oder dem Controlling von Massnahmen im Bereich der Integralen Sicherheit auseinander setzen Nächstes Kursdatum: 4. bis 8. September 2006 Kosten: CHF 4'200.- / EUR 2'700.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen IT-SIBE: Eine Erfolgsgeschichte seit 1992
Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen. Zielgruppen: Personen, die mit der Planung, Realisierung und Durchsetzung von Massnahmen im Bereich der Informations- und IT-Sicherheit konfrontiert sind. Nächste Kursdatum: 21. bis 25. August 2006 Kosten: CHF 4'200.- / EUR 2'700.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen IT-SIBE Vertiefung: Intensivlehrgang
Zielgruppen: Informations- und IT-Sicherheitsbeauftragte; Personen, die mit der Planung, Realisation und Durchsetzung von Massnahmen im Bereich der Informations- und IT-Sicherheit konfrontiert sind. Nächstes Kursdatum: 13. bis 17. November 2006 Kosten: CHF 4'500.- / EUR 2'900.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen Neu! Kurs Kryptologie Vertiefung: Contemporary Cryptography Rolf Oppliger, Studium in Informatik, Mathematik und Betriebswirtschaft an der Universität Bern, tritt als Referent im neu konzipierten Kurs "Kryptologie Vertiefung" auf. Die Kursteilnehmenden werden umfassend in die Fragestellungen und Lösungsansätze der zeitgenössischen Kryptographie eingeführt. Exemplarisch werden ein paar konkrete Kryptosysteme (z.B. SHA-1, AES und RSA) vertieft und mit ihren Stärken und Schwächen diskutiert. Der Kurs wird in Deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur. Zielgruppen: IT-Sicherheitsbeauftragte mit Interesse an Kryptografie Nächstes Kursdatum: 11. bis 13. September 2006 Kosten: CHF 3'000.- / EUR 2'260.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen Neu! Intensivkurs "Elektronische Archivierung": Grundlagen, rechtliche Anforderungen und praktische Umsetzung
Die Kursteilnehmenden werden umfassend und systemneutral in den Bereich elektronische Archivierung eingeführt. Die vermittelte fachliche Kompetenz erlaubt den Teilnehmenden, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen. Zielgruppen: IT-Spezialisten, Jurist, Entscheidungsträger, Revisoren, Sicherheitsspezialisten, Archivverantwortliche, Compliance Officers Nächstes Kursdatum: 21./22. August 2006 Kosten: CHF 1'780.- / EUR 1'180.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen ISO/IEC 17799 Einführung: Einführung und Überblick über die Normen Informationen und die sie verarbeitenden Systeme werden für die effiziente Unternehmensführung immer wertvoller. Wie aber sollen Ihre Informationen und die damit verbundene Infrastruktur in einer Zeit grosser Abhängigkeit von Informationen und IT und der zunehmenden Vernetzung der Kommunikationssysteme geschützt werden? Die Normen ISO/IEC 17799 und ISO/IEC 27001 geben Ihnen Werkzeuge in die Hand, mit denen Sie diesen steigenden und sich stetig ändernden Anforderungen gerecht werden können. Die Norm ISO/IEC 27001 hat sich bei der Einführung, Implementierung und Aufrechterhaltung eines effizienten und zuverlässigen ISMS als sehr erfolgreich herausgestellt, nicht zuletzt deshalb, weil ISO/IEC 27001 zertifizierbar ist. Dieser Einführungstag gibt Ihnen einen Überblick über die Funktionsweise der beiden Normen und zeigt, wie Sie der Problematik der immer wichtiger werdenden Informationssicherheit begegnen können. Zielgruppen: Management; IT-Leitung; Sicherheits- und Qualitätsbeauftragte; Revisoren Nächstes Kursdatum: 29. August 2006 Kosten: CHF 850.- / EUR 550.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen ISO/IEC 27001 Vertiefung: Anwendung und Nutzung Das immer komplexer werdende Problem der Informationssicherheit und des Schutzes der unternehmenskritischen Informationen, sowie die steigenden externen und insbesondere rechtlichen Anforderungen, machen es für ein Unternehmen aus Effizienzgründen unabdingbar, international anerkannte Standards einzusetzen. Um einen solchen Standard erfolgreich einführen und mit ihm arbeiten zu können, müssen die rechtlichen Grundlagen der Einführung der ISO/IEC 27001-Norm bekannt sein. Zielgruppen: Management; IT-Leitung; Sicherheits- und Qualitätsbeauftragte; Revisoren Nächstes Kursdatum: 30./31. August 2006 Kosten: CHF 1'650.- / EUR 1'065.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen ISO/IEC 27001 Lead Auditor: Lehrgang mit offizieller Zertifizierung Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmenden, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als ISO/IEC 27001 Lead Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Autor in englischer Sprache durchgeführt. Zielgruppen: Praktizierende Sicherheitsauditoren, die ihr Auditwissen erweitern wollen; Fachleute, die im Bereich IT und Qualitätsmanagement arbeiten und im Bereich von ISO/IEC 27001-Zertifizierungen tätig werden möchten resp. ein formales Informationssicherheitsmanagement nach ISO/IEC 27001 einführen wollen Nächstes Kursdatum: 4. bis 8. September 2006 Kosten: CHF 4'500.- / EUR 2'900.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen Technische Sicherheit: Grundlagen der Datenkommunikation Die Kursteilnehmenden kennen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Internetdienste aus dem Blickwinkel der Sicherheit funktionieren. Diesbezüglich werden Sicherheitskonzepte und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit praxisbezogenen Mitteln den Teilnehmenden veranschaulicht. Durch das Ausführen von Attacken gegen Zielsysteme in einer Testumgebung lernen sie die Vorgehensweise eines Angreifers praktisch kennen. Die Teilnehmenden werden mit Werkzeugen arbeiten, die sie gezielt als Massnahme gegen das Eindringen in Systeme einsetzen können. Im Weiteren erhalten Sie einen umfassenden Einblick in die Theamtik des "sicheren" Internet Access. Zielgruppen: Sicherheitsbeauftragte; IT-Sicherheitsbeauftragte; IT-Leiter; System- und Netzwerkverantwortliche und an Manager, die ein umfangreiches Verständnis für technische Sicherheit bezüglich ihren Aufgaben im Bereich Planung, Realisierung und Controlling erhalten wollen Nächstes Kursdatum: 25. bis 28. September 2006 Kosten: CHF 3'500.- / EUR 2'260.- Hier finden Sie weitere Informationen und Anmeldemöglichkeit. Quelle: Programm 5-2006 < zu den Themen
Swiss Infosec ISMS Tool Box Roadshow: 7. September 2006: Sie sind herzlich willkommen!
Sie erhalten die Gelegenheit, interessanten Referaten zu IT- und Informationssicherheit beizuwohnen. Dabei lernen Sie die ISMS Tool Box kennen: das webbasierte Sicherheits-Management-Tool inklusive Datenbank der Swiss Infosec AG. Informieren Sie sich über die Grundfunktionen sowie Neuerungen der ISMS Tool Box. Wir freuen uns, Ihnen folgende Referenten und Themen bekannt geben zu können:
< zu den Themen Unsere Spezialisten überbrücken Ressourcen- oder Kompetenzengpässe: Kompetent, unkompliziert und flexibel
Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen? Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss. Kompetenz, Erfahrung und Erfolg, seit 1989. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT Sicherheit zu Ihren Kompetenzen. Das sind auch die Stärken unserer Spezialisten! Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz. + Pool von Projektleitern mit mehrjähriger Projektleitungserfahrung + zur Überbrückung von Kapazitäts- und Know-how-Engpässen + zur Verstärkung Ihrer Projektteams + zur Beschleunigung von Projekten + Konzept- und umsetzungsstarke Spezialisten + Know-how-Transfer Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer. Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild. Unsere Spezialisten zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch. Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden. Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen. Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. E-Mail infosec@infosec.ch; Telefon +41 (0)31 300 73 73. < zu den Themen Das Baseline-Konzept: Ueberzeugende Resultate in der Informatiksicherheit Mit dem Baseline-Konzept erreichen Sie in der Informatiksicherheit schnell und einfach überzeugende Resultate. Unter Baselines verstehen wir generell gültige, einfach formulierte Grundschutz-Regeln und Massnahmen. Durch Verabschiedung eines Baseline-Kataloges (Sammlung sämtlicher relevanter Regeln) und dessen Umsetzung kann die Informatiksicherheit eines Unternehmens spürbar, nachhaltig, effizient und kostengünstig verbessert werden. Das Baseline-Konzept fördert die Transparenz im Bereich der Informatiksicherheit, da einheitliche Dokumentenstrukturen und Regelungen eingeführt werden. Mittels Baseline-Massnahmen können ungefähr 80-90% der Sicherheitsprobleme gelöst bzw. entschärft werden. Die für die restlichen 10-20% immer noch notwendigen, jedoch in ihrem Umfang beschränkten Risikoanalysen werden so übersichtlicher und besser kontrollierbar sein. Dank dem Baseline-Konzept werden sie nicht mehr annähernd so viel kosten. Der Baseline-Katalog Der Baseline-Katalog stellt ein umfassendes Regelwerk dar, das sämtliche Aspekte der Informatiksicherheit abdeckt. Aufgrund der aktuellen technischen Entwicklung werden laufend Ergänzungen vorgenommen. Die ISMS Tool Box Die Tool Box dient der Verwaltung der Baselines, die den Anforderungen eines Unternehmens angepasst werden müssen. Eine angepasste Formulierung kombiniert mit einer Überprüfung der Relevanz aller Baselines garantiert die bestmögliche Akzeptanz bei den Mitarbeitern und so den grösstmöglichen Erfolg. ISMS Tool Box Praxis Forum Das ISMS Tool Box Praxis Forum stellt eine geschlossene Benutzergruppe von IT-Sicherheitsbeauftragten dar. Es widmet seine Tätigkeit ausschliesslich dem kompetenten Einsatz und der zielgerichteten Weiter-entwicklung der Baseline-Methode und des Baseline-Kataloges. Der im Auftrag des Praxis Forums durch Swiss Infosec AG angepasste Baseline-Katalog steht in dieser Form nur den Mitgliedern zur Verfügung. Das Praxis Forum trifft sich 4 Mal pro Jahr, wobei auch ein intensiver Gedanken- und Erfahrungsaustausch stattfindet. < zu den Themen Der Baseline Approach: Eine solide Lösung für Ihr Sicherheitsmanagement Die Baseline-Methode ist ein standardisiertes Vorgehen zur Verbesserung der Sicherheit des Unternehmens. Sie ist ein unentbehrliches Mittel, um den Wissensstand der Mitarbeitenden im Sicherheitsbereich eines Unternehmens zu vereinheitlichen. Baselines sind Regeln, die für einen bestimmten Aspekt der Sicherheit verbindliche Vorgaben enthalten. Die Gesamtheit dieser Regeln wird als Baselinekatalog bezeichnet. Die ISMS Tool Box steht den Sicherheitsverantwortlichen als Instrument zur Verwaltung und zur Umsetzung des Baselinekatalogs zur Verfügung. Das Tool ist für alle Mitarbeitenden ein wichtiges Hilfsmittel, um die sicherheitsrelevanten Aufgaben wahrzunehmen und den organisationsweiten Zugriff auf den Baselinekatalog sicherzustellen. Mit dem Baselinekatalog erhalten Sicherheitsbeauftragte, Projektleiter und andere Fachspezialisten eine einheitliche Grundlage für die Ausführung ihrer sicherheitsrelevanten Aufgaben. Der Baselinekatalog ist eine wichtige Informationsquelle, der sie Lösungen und Hinweise zu Sicherheitsproblemen entnehmen können. Sie ersparen sich dadurch weitgehend die Schaffung eigener Arbeitsgrundlagen. Der Baselinekatalog zeigt ihnen zudem die Erwartungen des Unternehmens im Sicherheitsbereich. Wenn sie sich an den Baselines orientieren, haben sie die Gewissheit, das Richtige zu tun. Ziele Die Baseline-Methode ist ein standardisiertes Vorgehen zum Aufbau und zur Optimierung eines effizienten IT-Sicherheitsmanagements innerhalb des Unternehmens. Dank ihrer Einsatzmöglichkeiten auf allen Organisationsebenen ist die Baselinemethode ein unentbehrliches Mittel, um den Wissensstand der Mitarbeiter und das betriebsinterne Sicherheitsniveau zu vereinheitlichen. Aufbau Das Grundelement der Baseline-Methode bilden die Baselines. Sie sind Regeln, die für einen bestimmten Aspekt der Sicherheit verbindliche Vorgaben definieren. Unter Baselines sind also generell gültige, einfach formulierte Regeln zu verstehen. Die Gesamtheit dieser Regeln wird als Baselinekatalog bezeichnet. Zusammen mit der ISMS Tool Box konstituiert der Baselinekatalog einen der drei Grundpfeiler der Baseline-Methode. Weitere Informationen finden Sie hier. < zu den Themen Mit Blended Learning Mitarbeitende für Ihr Vorhaben gewinnen!: Sensibilisierungspaket Die Sensibilisierung für Informationssicherheit ist ein wichtiger Punkt, wenn es darum geht Mitarbeitende für das Thema Informations- und IT-Sicherheit zu gewinnen und so für die Chancen und Risiken der heutigen Geschäftswelt zu sensibilisieren. Die Swiss Infosec AG bietet mit ihren über 25 Sicherheitsspezialisten ein Sensibilisierungspaket zur Schulung Ihrer Mitarbeitenden an. Nutzen Sie dieses Angebot und schaffen Sie sich eine breite Aufmerksamkeit rund um das Thema der Informations- und IT-Sicherheit. Mit Blended Learning, einer Mischform aus Workshops und eLearning, können Sie Mitarbeitende aller Stufen effektiv, nachhaltig und nachweisbar für das Thema der Informations- und IT-Sicherheit sensibilisieren und gewinnen. Bestellen Sie sich ein unverbindliches Sensibilisierungsangebot. Ein E-Mail oder Telefon genügt: infosec@infosec.ch oder unter +41 (0)31 300 73 73. < zu den Themen Unterstützung bei personellen Engpässen: Momentan unterstützt die Swiss Infosec AG mehre Firmen in den verschiedensten Bereichen bei personellen Engpässen. Unsere Mitarbeitenden tragen massgeblich dazu bei, dass die bei diesen Firmen anfallenden Aufgaben, auch unter erschwerten Bedingungen, professionell und effizient ausgeführt werden. Hier ein Beispiel aus der Praxis: Als Projektleiter BCP (Business Continuity Planning) unterstützt ein Spezialist der Swiss Infosec AG ein Unternehmen aus der Finanzdienstleistungsbranche bei der Erarbeitung der entsprechenden Konzepte sowie bei deren Umsetzung. Beim BCP werden die Kerngeschäftsprozesse zusammen mit den Verantwortlichen isoliert. Nachdem diese Kerngeschäftsprozesse eruiert worden sind, werden diesbezüglich die maximal zulässigen Ausfallzeiten bestimmt. Anhand dieser Angaben erarbeitet unser Projektleiter BCP die verschiedenen Varianten, wie die Kerngeschäftsprozesse innerhalb der definierten Zeit wieder zur Funktion gebracht werden können. Das Mandat beinhaltet einerseits die Analyse der Prozesse, die Untersuchung der vorhandenen Infrastruktur sowie auch die Bestimmung von möglichen Notfallszenarien und Wiederanlaufplänen. Somit wird sichergestellt, dass bei einem Katastrophenfall (Brand, Wasser, etc) die vorgängig erarbeiteten Geschäftsprozesse mit den dazugehörigen personellen und materiellen Ressourcen in der benötigten Zeit zur Verfügung gestellt werden können. Wir unterstützen Sie. Möchten Sie Ressourcenengpässe in Ihren unternehmensinternen Projekten entschärfen oder überbrücken? Gerne stehen wir Ihnen beratend zur Seite. Sie erreichen uns unter Telefon +41 (0)31 300 73 73 und infosec@infosec.ch. < zu den Themen ISMS Tool Box: Weshalb das Rad neu erfinden?: Effiziente und effektive Werkzeuge für Sicherheitsbeauftragte Die ISMS Tool Box bietet vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines Information Security Management System. Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden, die Umsetzung geplant und laufend überprüft werden. Die Tool Box unterstützt neben dem Ownership Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity Aktivitäten können mittels des Tools effektiv unterstützt werden. Neben der Möglichkeit, ein Glossar und eine Linksammlung intranetbasiert zu führen, kann auch ein Basel II-konformes Security Incident Management aufgebaut werden. Daneben existieren Instrumente für die Durchführung von Risikoanalysen und Audits. Dezentrale Stellen können mittels einer Self Assessment- Funktion in die Aufrechterhaltung und laufende Verbesserung des ISMS eingebunden werden. Das Tool erlaubt den direkten intranetbasierten Zugriff auf ISO17799/BS7799, Cobit, BSI-Grundschutzhandbuch und den Baselinekatalog der Swiss Infosec AG. Mandantenfähigkeit, LDAP-Kompatibilität, Import- und Exportfunktionen, Reportgeneratoren und vieles andere mehr komplettieren die ISMS Tool Box. Daneben bietet Ihnen die ISMS Tool Box die Möglichkeit, innerhalb des Praxisforums viermal jährlich Erfahrungen in einer geschlossenen Benutzergruppe auszutauschen. Weitere Informationen finden Sie hier. < zu den Themen
Fachliteratur: Neuerscheinungen
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich seit 1989 als Beratungs- und Ausbildungsunternehmen ausschliesslich mit Themen der Integralen Sicherheit, Informationssicherheit und IT Sicherheit - hersteller- und produktneutral - mit mehr als 25 Mitarbeitern. Wir unterstützen Sie bei der
Neben Beratung bieten wir standardisierte und praxiserprobte Ausbildungen und weiterführende Publikationen an. Die erfolgreiche Lösung von Aufgaben im Bereich der Informationssicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: IT-Spezialisten, Juristen, Psychologen, Organisatoren, Architekten, Entwickler. Ein solch breit abgestütztes Team haben wir und werden wir zukünftig noch weiter ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
| ||||||||||||||||||||||||
