Jeden Monat interessante News aus der Welt der Informations- und IT-Sicherheit. So ist auch unsere aktuelle Oktober-Ausgabe gespickt mit vielen Antworten auf Fragen im Bereich der Integralen Sicherheit, Informations- und IT-Sicherheit.
Die Swiss Infosec AG lädt Sie herzlich ein zur traditionellen Fachtagung SWISS INFOSEC 2006 vom 25. bis 27. Oktober im Airport Conference Center, Zürich-Kloten.
Wir fassen das Wichtigste zusammen. Damit Sie Ihre Aufgaben im Bereich der Informations- und IT-Sicherheit praxis- und erfolgsorientiert angehen können, haben Sie die Möglichkeit an jedem der drei Veranstaltungstage der SWISS INFOSEC 2006 morgens hochklassige Referenten aus Industrie und Dienstleistung zu aktuellen Themen beizuwohnen. An den Nachmittagen finden jeweils Breakout Sessions und Workshops zu den Themen statt, diese können vor Ort frei gewählt werden.
Ankündigung. Neu haben Sie die Möglichkeit die monatlich erscheinenden Internet Infosec News auch in Englisch zu abonnieren. Nutzen Sie dieses Angebot und registrieren Sie sich hier und jetzt.
SWIFT und das CIA: Umfang der Auswertung der Bankdaten noch unklar
Seit nun gut 5 Jahren übermittelt die global tätige SWIFT (Society for Worldwide Interbank Financial Telecommunication) vertrauliche Daten über Finanztransaktionen an US-Behörden. Die gigantischen Datenströme, SWIFT bearbeitet täglich rund 11,5 Millionen Transaktionen, werden nun u.a. auch von den verschiedenen US-Geheimdiensten ausgewertet.
Es scheint, dass allgemein Konfusion herrscht, wieviele Daten übermittelt wurden und was genau die Geheimdienste mit ihnen machen. Weder der deutsche Bundesbeauftragte für den Datenschutz noch seine österreichische Amtskollegin wissen genaueres.
Thilo Weichert, der Leiter des Unabhängigen Datenschutzzentrums Schleswig-Holstein meint, dass alle Daten an das CIA weitergeleitet wurden, diese Meinung wird auch von John Snow, dem ehemaligen US-Finanzminister, geteilt. Jedoch sagte ein Aufsichtsratmitglied von SWIFT, man habe nur etwa ein Prozent der Transaktionen an die USA gemeldet.
Die Datenschützer der EU haben sich mittlerweile der Sache angenommen.
Unsichere Überwachungskameras: Schauen Sie doch mal bei einer fremden Firma rein
Die Bilder von IP-Kameras, für wenig Geld erhältlich und nicht zu verwechseln mit den Web-Cams, sind oft einfach mittels eines Browsers über das Internet einsehbar.
Das Problem entsteht dadurch, dass diese Systeme oft installiert werden, ohne dass ihre Sicherheitsfunktionen wie z.B. Passwortschutz aktiviert werden. Zoom-, Winkel- und andere Funktionalitäten erlauben es sogar, sich genauer auf eine Person oder einen Gegenstand zu konzentrieren.
IP-Kameras können nicht nur Einzelbilder sondern auch Live-Übertragungen senden. Setzt man dann noch eine ungeschützte Kamera (auch Wi-Fi-Versionen sind erhältlich) ein, sind die vielfältigsten Sicherheitsbelange in Gefahr.
Die Post legt die Email-Adressen von Kunden offen: :cc statt :bcc oder sonst eine ähnliche Lösung
Die Post hat in einer Email an ca. 1000 Geschäftskunden deren Email-Adressen offengelegt, indem die Adressen ins :cc-Feld eingefügt wurden. Nicht nur sind dies Geschäftsinformationen, die nicht unbedingt an die Öffentlichkeit gehören, dieser Vorfall ist ebenso ein gefundenes Fressen für Spammer und andere, die mit diesen Adressen ihre eigenen Interessen verfolgen.
Terror-Datei in Deutschland verabschiedet: Viele Fragen offen
Die deutschen Innenminister haben sich nun auf eine Anti-Terror-Datei geeinigt. Klar ist, dass immer noch sehr wichtige Fragen spezifischer zu regeln und unmissverständlich zu beantworten sind.
Offen sind noch eingehendere Regelungen zur Datenweitergabe. Auch wird klar definiert werden müssen, wer genau die zukünftigen Kontakt- und Begleitpersonen Terrorverdächtiger sein könnten. Ebenso noch zu regeln sind die Zugriffsrechte auf die Anti-Terror-Datei.
Diese und weitere Fragen werden in der Gesetzgebung zu beantworten sein.
Trojaner knackt Virtual Keyboard: Wirklich sicherer Schutz des Online-Banking erforderlich
Finanzdienstleister versuchen seit längerer Zeit, ihre angebotenen E-Services sicherer zu machen.
Eines der ins Auge gefassten Sicherheitsfeatures ist das Virtual Keyboard, wo die Kunden ihre Passwörter nicht mehr über die Computertastatur eingeben, sondern die Zeichen der Passwörter via der grafischen Abbildung der Tastatur auf dem Bildschirm anklicken.
Nun ist aber ein neuer Trojaner im Umlauf, der Screenshots vom Bereich der Mausanzeige (also den angeklickten Zeichen) erstellt und diese dann im .avi-Format speichert. Diese Datei wird dann ohne Wissen des ausgespähten Users später weitergeleitet.
Dieses neue System der Datenweiterleitung bedeutet, dass ein als sicher geltendes Schutzsystem überarbeitet werden muss, da Sicherheitsexperten der Meinung sind, dass dieses System effektiver ist und die gestohlenen Daten für den Hacker einfacher zu entschlüsseln sind, da in der Videodatei der gesamte Anmeldevorgang abgebildet wird.
Die immer kürzer werdenden Lebenszyklen von Hard- und Software bedeuten, dass Firmen wie auch Privatpersonen ihre IT immer schneller auf- und umrüsten.
So sind z.B. auf eBay täglich Hunderte vom Computern zu ersteigern, die die eine oder andere interessante Information enthalten können.
So wurde kürzlich für 15 Euro inklusive Versand ein Computer ersteigert, der nach dem nicht sonderlich schwierigen Knacken des Passwortes die nicht gelöschte Festplatte freigab. So war es denn schnell ersichtlich, dass der Computer im Lager einer Baumittelfirma gestanden hatte, denn die Lagerbewirtschaftungssoftware enthielt alles, was einem Konkurrenten dienlich sein könnte: Liefermengen, Einkaufspreise, Kundenliste.
Unternehmen wie auch Private müssen unbedingt darauf achten, dass Computerfestplatten immer sauber gelöscht werden, ansonsten sie Gefahr laufen, Informationen preiszugeben, die nichts in der Öffentlichkeit zu suchen haben.
Zweifel an Jugenddatei: Zugriff und Sicherheit die Schwachpunkte
Die geplante britische Jugenddatei stösst bei den Zielpersonen auf keine grosse Gegenliebe, da diese nicht an die Sicherheit und Vertraulichkeit der Daten glauben.
Die 14-20 Jahre alten Teilnehmer eine Befragung der nationalen Kinderschutz-Gesellschaft brachte zu Tage, dass diese die angebotenen Dienste für Familienplanung und zur Gesundheitsförderung nicht benutzen würden, falls sie den Eindruck hätten, dass diese Informationen nicht vertraulich seien. Sie machten sich auch Sorgen über die Sicherheit der Datei und über die möglichen Risiken der Massierung einer solchen Informationsmenge an einer Stelle.
Die Datei, die 2008 zum Preis von £224 Millionen in England und Wales eingeführt werden soll, dient dem Jugendschutz. Zu diesem Zwecke müsse der Staat Informationen über 12 Millionen Kinder und deren Familien sammeln.
Surfen grösseres Risiko als Spam: Nicht nur Emails sind eine Gefahr
Laut einer Untersuchung von IDC Dänemark haben 40% der teilnehmenden Firmen mitgeteilt, dass schon Infektionen durch einen Virus oder Wurm erfolgt seien, dies trotz der Tatsache, dass 75% eine Sicherheitsweisung implementiert hatten.
Es ist aber nicht mehr so, dass Emails das grösste Risiko sind, sich zu infizieren. Laut der IDC-Untersuchung hat es sich gezeigt, dass bis zu 30% der Firmen mit 500 und mehr Mitarbeitenden durch Surfen im Internet infiziert worden sind, während nur ca. 20-25% der gleichen Firmen Viren und Würmer durch Emails eingeschleppt hatten.
Fremde Emails haben im Web nichts zu suchen: Geheimhaltungsinteressen haben Vorrang
Das Kölner Landgericht hat entschieden, dass die Veröffentlichung auf einer Website von Emails, die nicht an die veröffentlichende Person gerichtet sind, ungesetzlich ist.
Ein Website-Betreiber hatte sich vor Gericht zu verantworten, weil er auf seiner Website Informationen zum Geschäftsgebahren einer Firma bereit gestellt hatte sowie zwei Emails aus der Geschäftsleitung, die Interna enthielten.
Laut dem Landgericht Köln seien Emails einem verschlossenen Kuvert vergleichbar, dass auch mit der Absendung nicht aus der Geheimnissphäre entlassen werde. Unter anderem aus diesem Grunde stelle die Veröffentlichung von vertraulichen geschäftlichen Emails einen Eingriff in das allgemeine Persönlichkeitsrecht dar, der in diesem Falle nicht gerechtfertigt werden könne.
SOX hat Vorteile: Regulative sind nicht nur für die Regulatoren
Als Kathleen Barret von den Anforderungen von SOx hörte, bemühte sie sich, ihren Arbeitgeber, die Bank of Montreal, fristgerecht zur Erfüllung der Compliance-Anforderungen zu bringen. Barret und ihr Team waren erfolgreich und zum Schlusstermin Ende 2005 war ihre Bank SOx-konform.
Nun stellte es sich zur Freude von Barret und ihrem Team heraus, dass durch die Implementierung dieses Regulativs die Technologiewerte und -prozesse effektiver eingesetzt werden. Dies als Folge der Zentralisierung und Konsistenz, der die Bank durch SOx unterworfen war. Die Erfüllung der Anforderungen von SOx resultierte in einem Bewusstsein der IT-Prozesse, das so vorher nicht bestanden hatte und ergab so Wettbewerbsvorteile und Möglichkeiten zur Kosteneinsparung.
Datendiebstahl ist nicht gleich Identitätsdiebstahl: Massnahmen zum Schutz sensitiver Kundendaten wichtiger
Entgegen der landläufigen Meinung resultieren Datendiebstähle weniger oft in Identitätsdiebstahl als es zum Beispiel gestohlene oder verlorene Brieftaschen tun.
Zu diesem Resultat kam eine einjährige Studie unter 5000 US-Konsumenten. Trotz der oft publizierten Diebstähle von mittlerweile Millionen von Datensätzen über Personen, resultierten daraus nur 6% der bekannten Fälle von Identitätsdiebstahl. Dies im Vergleich mit 30% der Identitätsdiebstähle als Resultat von verlorenen Brieftaschen und ähnlichem. Weiter brachte die Studie zu Tage, dass nur 1% der Personen, deren Daten verloren wurden, Opfer von Identitätsdiebstahl wurden.
Es ist zu unterscheiden, auf welche Art und Weise die Daten gestohlen wurden. Absichtliches Hacken ist risikoreicher als der reine Verlust einer Diskette oder eines Laptops, meint Thomas Oscherwitz von ID Analytics in San Diego.
1984 in England: Das könnte von George Orwell stammen
Antisoziales Benehmen soll in England und Wales immer stärker kontrolliert werden. In der 150'000 Einwohner zählenden Stadt Middlesbrough wurden 7 der 158 Überwachungskameras mit Lautsprechern ausgerüstet. Dies erlaubt es dem Wachpersonal, Personen, die sich "ungebührlich" verhalten, über eben diese Lautsprecher zurecht zu weisen. Weitere Lautsprecher an Kameras könnten folgen.
Grossbritannien ist das Land mit der weitesten Verbreitung von Überwachungskameras. So wird davon ausgegangen, dass im ganzen Land 4 Millionen solcher Kameras installiert worden sind und das entsprechend auf 14 Personen 1 Kamera kommt. Falls man z.B. in London lebt, kann man davon ausgehen, dass man 300 Mal pro Tag von einer Überwachungskamera gefilmt wird.
40% der Firmen mögliche Opfer: Cyberkriminalität wird immer gezielter werden
Der IT-Analyst Gartner hat anlässlich seines IT Security Summit seine Einschätzung der Zukunft präsentiert. So sollten sich Unternehmen in erster Linie vor gezielten Attacken, Identitätsdiebstahl, Spyware, Social Engineering und Viren schützen.
A. Williams, Research Director bei Gartner, meint:"Wir stellen ein zunehmned feindliches Klima fest, das von finanziell motivierten und gezielten Attacken geprägt ist." Es sei davon auszugehen, dass bis im Jahr 2008 40% aller Unternehmen Opfer finanziell motivierter Cyberkriminalität werden könnten. Geändert habe sich vor allem die Motivation. Es seien nicht mehr Hobby-Hacker und einfache Cybervandalen am Werk, nun seien es "Profis, die eine Person, ein Unternehmen oder eine Industrie anvisierten".
Weiter geht Gartner davon aus, dass in den nächsten beiden Jahren mindestens die Hälfte aller Unternehmen Angriffe mittels Social Engineering oder Viren ausgesetzt sein werden.
Botnetze statt normaler Arbeit: Computer für sich Geld verdienen lassen
Laut Thorsten Holz, einem Mitgründer des German Honeypot Project, lässt sich mit Botnetzen gutes Geld verdienen. In seinem Blog beschreibt er, wie Botnetze mittels Kompromittierung von weiteren fremden Computern Spyware und Adware platzieren. Insbesondere erwähnt er hier die Installation der Adware 'Dollarrevenue'. Im Rahmen der Affiliate-Programme bringt die Installation dieser Software auf kompromittierten Rechnern je nach Land unterschiedliche "Prämien". So etwa einen amerikanischen Cent pro chinesischem Rechner bis zu 30 US-Cent je kompromittiertem US-Rechner. Dem von Holz untersuchten Botnet gelang es innert 24 Stunden, 7700 Computer mit dieser Adware zu verseuchen. Dies resultierte dann nach seinen Berechnungen in USD 430.00 Tageseinkünfte nur für diese Adware.
Botnetze können aber auch anderweitig eingesetzt werden. So untersuchte Holz den Datenverkehr eines verseuchten Rechners, der ihn zu einem anderen Server führte. Die Auswertung der Protokolldateien dieses Servers und des damit betriebenen Botnetzes ergaben über 250MB an Daten, die an 9 Apriltagen auf verseuchten Computern von 39'000 IP-Adressen gesammelt wurden.
In diesen Datenmengen fand Holz unter anderem mindestens 280 komplette Datensätze mit Kontendaten bei 15 Banken, 28 Kreditkartennummern mit allen Details sowie Zugangsdaten für Email-Konten und Diskussionsforen.
Quelle: pcwelt.de; Frank Zieman; 11.09.2006; 18.09.2006
Neues Hacker-Tool: Automatischer Download von USB-Sticks
Die Firma Centennial Software warnt vor einem neuen Werkzeug, mit dem Hacker auf USB-Sticks zugreifen können. Die Software USBDumper lädt Dateien völlig unbemerkt von USB-Sticks. Jedes mal, wenn ein Stick an den Computer angeschlossen wird, kopiert USBDumper den gesamten Inhalt automatisch. Der Einsatz von Recovery-Tools ermöglicht sogar den Zugriff auf bereits gelöschte Daten.
"USBDumper ist ein einzigartiges und äusserst gefährliches Programm", sagte Matt Fisher, Vice President der Softwarefirma. "Vorher wurden mobile Speichermedien benutzt, um Daten von einem PC herunterzuladen." USBDumper hingegen sei auf dem PC installiert und kopiere Daten von angeschlossenen USB-Sticks. Wer Firmeninformationen auf USB-Speichermedien mitführe, um sie auf einem fremden Computer zu nutzen, solle seine Daten auf dem Stick unbedingt vorher verschlüsseln, so Fisher weiter.
Nach den Computerherstellern Dell und Apple hat nun auch Toshiba eine Rückrufaktion für defekte Notebook-Akkus gestartet. Betroffen sind weltweit 340’000 Bauteile, die von Sony hergestellt wurden. Bei Dell waren 4.1 Millionen un bei Apple 1.8 Millionen Akkus betroffen. Es bestehe keine Gefahr, dass sich die fehlerhaften Akkus entzündeten.
Wie Toshiba mitteilte, könne es neben dem Aufladen aber Probleme bei der Stromübertragung geben. Die Akkus beenden den Wiederaufladevorgang vorzeitig oder geben keine Energie mehr ab. Unglücksfälle aufgrund defekter Akkus seien bisher nicht bekannt, sagte der Firmensprecher von Toshiba. Sony gerät durch die Pannenserie enorm unter Druck. Die Aktie fiel in Tokio um rund 1,4 Prozent.
Die Fachtagung: SWISS INFOSEC 2006 vom 25. bis 27. Oktober 2006
Swiss Infosec AG, in Partnerschaft mit CA, Olor und Symantec, präsentiert:
SWISS INFOSEC 2006 25. bis 27. Oktober 2006, Zürich-Kloten
Die Swiss Infosec AG lädt Sie herzlich ein zur traditionellen Fachtagung SWISS INFOSEC 2006 vom 25. bis 27. Oktober im Airport Conference Center, Zürich-Kloten. Jeden Tag neue Meldungen über die Informations- und IT-Sicherheit, wir fassen das Wichtigste zusammen – damit Sie Ihre Aufgabe im Bereich Informations- und IT-Sicherheit praxis- und erfolgsorientiert angehen können!
SWISS INFOSEC 2006 ist die besondere, national wie international bekannte Fachtagung zum Thema Informations- und IT-Sicherheit. An jedem der drei Veranstaltungstage bieten wir Ihnen morgens hochklassige Referenten aus Industrie und Dienstleistung zu aktuellen Themen und an den Nachmittagen finden jeweils Breakout Sessions und Workshops zu den entsprechenden Themen statt, diese können vor Ort frei gewählt werden.
Stellen Sie sich Ihre Tagung nach Ihren Wünschen zusammen. Wir freuen uns, Sie an der SWISS INFOSEC 2006 – der besonderen und national wie international bekannten Fachtagung – begrüssen zu dürfen. Reservieren Sie sich frühzeitig einen, zwei oder alle drei Tage zu einem interessanten Tagungspreis, alles inklusive.
Zum Anmelden füllen Sie bitte das Anmeldeformular auf www.infosec.ch/tagung aus oder melden Sie sich per Telefon unter 031 300 73 73 an. Die Teilnehmerzahl ist limitiert.
DAS TAGUNGSPROGRAMM
Tag 1 :: Mittwoch, 25. Oktober 2006
Strategisch-organisatorische und konzeptionelle Sicherheit Sicherheitsstrategien und -konzepte: eine ganzheitliche Betrachtung von Aufgaben, Kompetenzen, Verantwortungen, Verfahren und Prozessen ist gefordert.
09.00
Begrüssung und Einstimmung
09.15
Reto C. Zbinden, CEO, Swiss Infosec AG Das Security Framework als Grundlage koordinierter und effizienter Informationssicherheit
10.00
Professor Dr. Urs E. Gattiker, Direktor CyTRAP Labs und CASEScontact.org Awareness Kampagnen und Präventionsmassnahmen im IT Sicherheitsbereich: Manches kann einfach nicht gut gehen
11.00
Urs Schmid, Information Security & Technology Officer, Manor AG IT-Sicherheit im Unternehmen: Prinzipientreue oder Pragmatismus?
11.45
Beat Lehmann, Jurist Theoretische Einführung: Die Haftung der Angestellten für Verletzung der Informationssicherheit - und die Vorsorgemassnahmen des Unternehmens
Breakout Session 1
Alles zum Thema ITIL und Normen
14.00
Thomas Hänisch, Senior Consultant, Swiss Infosec AG ITIL und Seitenblick auf Normen: ISO 17799, 27001, Grundschutzhandbuch, Zertifizierungen.
14.45
Michael Busch, Geschäftsführer, it SolutionCrew GmbH Sicherheit organisiert. Denn es braucht mehr als nur ins Blaue hinaus zu arbeiten und zu hoffen.
15.45
Christoph Baumgartner, lic. oec. publ., CEO, OneConsult GmbH Security Audits nach OSSTMM – Transparenz und Vergleichbarkeit dank Normenkonformität
Breakout Session 2
Mensch und Organisation
14.00
Norbert Schweiger, OpRisk Consultant, COMIT AG Wie „verheiraten“ Sie Operational Risk Management (ORM) und Information Security?
14.45
Dr. Patrick Wegmann, Member of the Executive Board, Riskmanagement Concepts Systems RCS AG Wie „verheiraten“ Sie Operational Risk Management (ORM) und Information Security?
15.45
Heidi Pollmann (Workness.ch) Risiko unzufriedene Mitarbeiter: Konfliktprävention und -bewältigung als organisatorische Massnahme.
Tag 2 :: Donnerstag, 26. Oktober 2006
Erfahrungsberichte aus der Praxis Umsetzung von Sicherheitspolitik und Sicherheitskonzepten: Erfolgsfaktoren aus der praktischen Erfahrung.
09.00
Begrüssung und Einstimmung
09.15
Giampaolo Trenta, Group Chief Security Officer, Bank Julius Bär Security Awareness-Kampagnen - ein Allerheilmittel?
10.00
Siegfried G. Arlt, CEO, Olor AG Die Einflüsse äusserer Risikofaktoren als Grundlage für physikalische Sicherheitsentscheidungen
11.00
Rolf Kraus-Ruppert, Chef LBO Informatik Luftwaffe, VBS Informatiksicherheitskultur und Awareness-Massnahmen bei der Luftwaffe
11.45
Beat Gattlen, Leiter Corporate Security und Datenschutzbeauftragter, SBB Schweizerische Bundesbahnen Informationssicherheit bei der SBB
Breakout Session 1 Erfahrungen mit erfolgreichen IT Security-Projekten
14.00
Andreas Bischoff, Idel Consulting GmbH, Endpoint Compliance mit Symantec Sygate Enterprise Protection
14.45
Manuel Maranta, Senior Consultant, runIT Identity & Access Management: Kostenreduktion und erhöhte Sicherheit - ein Widerspruch? Ein Beispiel aus der Finanzbranche
15.45
Andreas Wisler, CISSP, IT-Sicherheitsspezialist Anforderungen an die IT-Sicherheit – vom IST Zustand zum SOLL am Beispiel einer Schweizer Gemeinde
Breakout Session 2 Der Mensch im Fokus der Sicherheit
14.00
Beat Lehmann, Jurist Praktischer Workshop mit Fallbeispielen: Die Haftung der Angestellten für Verletzung der Informationssicherheit - und die Vorsorgemassnahmen des Unternehmens
14.45
Hansueli Suter, Geschäftsführer, First Web College Wie erreiche ich eine unternehmensweite, nachhaltige Security-Awareness? Beispiele aus der Praxis.
15.45
Ralf Hauser, CEO, PrivaSphere AG E-Mail: Verantwortlichkeit endet nicht an der Unternehmensgrenze
Tag 3 :: 27. Oktober 2006 Sicherheit durch Technologie
Der Wertewandel in der IT Security: Technische Sicherheit und der „Faktor Mensch“ verschmelzen immer mehr.
09.00
Begrüssung und Einstimmung
09.15
PD Dr. Hannes P. Lubich, IT Security Strategist, CA Sicherheit für Web Services – Standards und Architektur-Bausteine
10.00
Marc Ahlgrim, Senior Principal Presales Consultant, Symantec Instant Messaging sicher managen
11.00
Roger Halbheer, Chief Security Advisor, Microsoft Windows Vista – aber sicher!
11.45
Frank Heinzmann, Group IT RiskManagement, Zurich Financial Services Technische Umsetzung eines IT Risk Management Frameworks in einem internationalen Unternehmen
Marcel Rölli, Security Engineer, Check Point Software Technologies AG Security Event Management - Die Umsetzung regulatorischer Richtlinien in der Praxis
14.45
Markus Martinides, Geschäftsführer SUA Telenet GmbH SEC-CHECK® Swiss Made Innovation
Ganzheitliche Überprüfung der Client & Server Sicherheit im vertraulichen Umfeld
15.45
Lars Osmers, Geschäftsführender Gesellschafter, Antego GmbH High-Tech: MitRFID und Local Positioning System in Echtzeit die Position und den Zustand von Menschen und Gegenständen ermitteln und Geld sparen
Breakout Session 2 „State of the Art“ in der IT Security
14.00
Bettina Roth, Swisscom Fixnet AG, Bluewin Sicherheit im Internet - ein "Jobsharing"! Welche Schwachstellen werden am häufigsten ausgenutzt? Wie begegnet Bluewin heute der Erwartungshaltung der Kunden?
Welche Strategie und Massnahmen haben sich im In- und Ausland als "State of the Art" etabliert?
14.45
Überraschungsreferent
15.45
Martin Rutishauser, Senior Security Consultant Live-Demo: Wireless? Mit Sicherheit! Erleben Sie eine Live-Demo der Extra-Klasse. Für Spannung und Überraschungen ist gesorgt!
Vorschau: Das Swiss Infosec Fachseminar: Sicherheitsüberprüfung von IT-Systemen mit Beat Lehmann
Es ist davon auszugehen, dass heute jeder IT-Verantwortliche darum bemüht ist, seine IT-Infrastruktur gegen die bekannten Bedrohungen der Integrität, Verfügbarkeit und Vertraulichkeit der Daten und Programme zu sichern. Diesbezüglich stellen sich folgende Fragen:
• Mit welchen neuartigen Bedrohungsformen der IT-Sicherheit ist heute zu rechnen?
• Welche organisatorischen und technischen Mittel und Verfahren stehen heute zur Wahrung der IT-Sicherheit zur Verfügung?
• Pflichten des IT-Verantwortlichen zur Gewährleistung der IT-Sicherheit?
• Wie können das eigene Personal sowie die Kunden, Lieferanten und Outsourcingpartner in das IT-Sicherheitsdispositiv eingebunden werden?
Zielgruppen
Das Fachseminar richtet sich an Fachverantwortliche für den Bereich Recht, Fürsprecher und Juristen
Neu! Intensivkurs "Elektronische Archivierung": Grundlagen, rechtliche Anforderungen und praktische Umsetzung
Wir bieten Ihnen den neu konzipierten Intensivkurs "Elektronische Archivierung" an:
Die Kursteilnehmenden werden umfassend und systemneutral in den Bereich elektronische Archivierung eingeführt. Die vermittelte fachliche Kompetenz erlaubt den Teilnehmenden, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen.
ISO/IEC 27001 Lead Auditor: Lehrgang mit offizieller Zertifizierung
Effektives Auditing ist ein unabdingbarer Grundstein für den Erfolg eines Managementsystems. Dadurch entsteht grosse Verantwortung, verbunden mit komplexen Problemen. Dieser fünftägige Kurs erlaubt es den Teilnehmenden, sich in die Audit-Problematik nach internationalen Standards einzuarbeiten. Am Ende des Kurses steht die Abschlussprüfung als ISO/IEC 27001 Lead Auditor. Dies ermöglicht es den Kursteilnehmern auch, Audits für eine Zertifizierungsinstanz durchzuführen bzw. Zertifizierungsinteressenten mit praktischer Hilfe und Informationen zu unterstützen. Der Kurs wird von einem BSI-Autor in englischer Sprache durchgeführt.
Zielgruppen: Praktizierende Sicherheitsauditoren, die ihr Auditwissen erweitern wollen; Fachleute, die im Bereich IT und Qualitätsmanagement arbeiten und im Bereich von ISO/IEC 27001-Zertifizierungen tätig werden möchten resp. ein formales Informationssicherheitsmanagement nach ISO/IEC 27001 einführen wollen
Nächstes Kursdatum: 4. bis 8. Dezember 2006
Kosten: CHF 4'500.- / EUR 2'900.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Wir veranstalten diesen einmaligen Intensivlehrgang in der Schweiz seit 1992 mit grossem Erfolg. Die durchwegs positiven Referenzen zu diesem Intensivlehrgang beweisen dessen Qualität.
Die Kursteilnehmenden werden umfassend und systemneutral in die Bereiche Informationssicherheit und IT-Sicherheit eingeführt. Die vermittelte fachliche Kompetenz erlaubt es den Teilnehmenden optimal, die Aufgaben und Verantwortlichkeiten des Informations- und IT-Sicherheitsbeauftragten wahrzunehmen.
Zielgruppen: Personen, die mit der Planung, Realisierung und Durchsetzung von Massnahmen im Bereich der Informations- und IT-Sicherheit konfrontiert sind.
Nächste Kursdaten: 16. bis 20. Oktober 2006 sowie 27. November bis 1. Dezember 2006
Kosten: CHF 4'200.- / EUR 2'700.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
In einer Projektarbeit erarbeiten die Kursteilnehmenden in Gruppen die Sicherheitspolitik und Sicherheitskonzepte eines Unternehmens. Dabei müssen sie alle organisatorischen und technischen Überlegungen einbeziehen, die für die Planung, Realisierung und Durchsetzung der daraus resultierenden Massnahmen nötig sind. Die Konzepte sind mit wirtschaftlichen und personellen Überlegungen in Einklang bringen.
Zielgruppen: Informations- und IT-Sicherheitsbeauftragte; Personen, die mit der Planung, Realisation und Durchsetzung von Massnahmen im Bereich der Informations- und IT-Sicherheit konfrontiert sind.
Nächstes Kursdatum: 13. bis 17. November 2006
Kosten: CHF 4'500.- / EUR 2'900.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Intensivlehrgang für Sicherheitsbeauftragte: Umfassende Einführung in die Integralen Sicherheitsbelange
Verpassen Sie den nächsten Termin für den neu konzipierten Kurs "Intensivlehrgang für Sicherheitsbeauftragte" nicht!
Die Kursteilnehmenden werden umfassend und systemneutral in alle wichtigen Belange der Integralen Sicherheit eingeführt. Anhand von zahlreichen Praxisbeispielen, Fallstudien, Checklisten, Konzeptvorlagen und Hintergrundinformationen lernen die Teilnehmenden die Methoden und Arbeitstechniken für die einzelnen Sicherheitsbereiche kennen.
Zielgruppen: Personen, die sich mit der Planung, Realisierung oder dem Controlling von Massnahmen im Bereich der Integralen Sicherheit auseinander setzen
Nächstes Kursdatum: 11. bis 15. Dezember 2006
Kosten: CHF 4'200.- / EUR 2'700.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Die Kursteilnehmenden fühlen sich sicher im Umgang mit kryptografischen Fachbegriffen. Sie kennen Stärken und Schwächen kryptografischer Architekturen und Algorithmen. Sie wissen, welche Verfahren im Alltag eingesetzt werden.
Zielgruppen: Sicherheitsbeauftragte; IT-Sicherheitsbeauftragte; IT-Leitende; System- und Netzwerkverantwortliche sowie Sales Manager und Projektleiter, die ein umfangreiches und praktisches Verständnis für Kryptologie haben wollen
Nächstes Kursdatum: 23. Oktober 2006
Kosten: CHF 850.- / EUR 550.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Management-Einführung: Einführungskurs in Informations- und Informatiksicherheit
Die Kursteilnehmenden werden umfassend und systemneutral in die praxisorientierten Grundlagen der Informations- und Informatiksicherheit eingeführt. Die Teilnehmenden lernen die Bedeutung des Themas für das Unternehmen und verschiedene Möglichkeiten, Informationssicherheit innerhalb des Unternehmens zu integrieren und auszubauen.
Zielgruppen: Personen die unternehmensintern Funktionen im Zusammenhang mit Informations- und Informatiksicherheit innehaben oder zu übernehmen haben: Mitglieder der Geschäftsleitung; Angehörige des Kaders; Sicherheitsbeauftragte
Nächstes Kursdatum: 2. November 2006
Kosten: CHF 850.- / EUR 550.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Kriminalität/Protokollierung/Ermittlung/Monitoring auf dem Internet: 2-tägiger Themenkurs
Der Kursteilnehmer wird in die Lage versetzt, strafbare Inhalte zu identifizieren, die Grenzen und rechtlichen Grundlagen im Zusammenhang mit personenbezogener Protokollierung und Auswertung zu beurteilen. Der Kursteilnehmer kennt die rechtlichen Grundlagen im Bereich Internet Kriminalität, kann kann fundiert Anfragen von Ermittlungsbehörden bearbeiten und kennt die verfahrensrechtlichen Problembereiche.
Zielgruppen: Sicherheitsbeauftragte; Firewall-Administratoren; IT-Leiter; Manager; Strafverfolgungs- und Untersuchungsbehörden
Nächstes Kursdatum: 6. und 7. November 2006
Kosten: CHF 1'650.- / EUR 1'065.-
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Die Certified Information Systems Security Professional (CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab. Die Prüfung besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in deutsch gehalten mit teilweise englischen Dokumentationen und englischer Literatur.
Zielgruppen: Zukünftige Absolvierende der CISSP-Prüfung
Nächstes Kursdatum: 19. bis 25. Oktober 2006
Kosten: CHF 4'625.- exkl. Mittagessen
Hier finden Sie weitere Informationen und Anmeldemöglichkeit.
Unsere Spezialisten überbrücken Ressourcen- oder Kompetenzengpässe: Kompetent, unkompliziert und flexibel
Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken?
Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen?
Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss.
Kompetenz, Erfahrung und Erfolg, seit 1989. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT Sicherheit zu Ihren Kompetenzen. Das sind auch die Stärken unserer Spezialisten!
Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz.
+ Pool von Projektleitern mit mehrjähriger Projektleitungserfahrung
+ zur Überbrückung von Kapazitäts- und Know-how-Engpässen
+ zur Verstärkung Ihrer Projektteams
+ zur Beschleunigung von Projekten
+ Konzept- und umsetzungsstarke Spezialisten
+ Know-how-Transfer
Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer.
Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild.
Unsere Spezialisten zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch.
Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden.
Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen.
Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung.
E-Mail infosec@infosec.ch; Telefon +41 (0)31 300 73 73. Quelle: Swiss Infosec AG
Blended Learning - Mitarbeitende nachhaltig sensibilisieren!: Workshops und eLearning
«Unsere Geschäftsleitung möchte alle unsere Mitarbeitenden möglichst umfassend in Fragen der Informations- und IT-Sicherheit sensibilisieren und ausbilden. Was ist dabei zu beachten?»
Der Schlüssel für eine erfolgreiche Sensibilisierung in Ihrem Unternehmen liegt in der Nachhaltigkeit mittels vermischtem Lernen. Bei diesem Ansatz von Blended Learning werden die Vorteile verschiedenster Methoden miteinander verbunden. Nebst den bisherigen mehr oder weniger bewährtenund meist isoliert eingesetzten Formen wie Informationsbroschüren, Weisungen, Plakate, Intranet usw. werden die sich ergänzenden und aufeinander abgestimmten Lehrformen «Workshop» und «eLearning» eingesetzt.
Ziel ist es, dass Lerninhalte dauerhafter präsent bleiben und selbstverständlich angewendet werden, so zu einem Bestandteil der Sicherheitskultur werden und somit nicht mehr wiederkehrend geschult werden müssen.
Mit der Kombination der beiden Lehrformen «Workshop» und «eLearning» kann eine Grosszahl von Mitarbeitenden mit einem relativ geringen Aufwand sinnvoll und nachhaltig in Ihrem Unternehmen vor Ort sensibilisiert werden. Jede Lernform für sich alleine weist einen ungleich geringeren Erfolg auf. In 1 bis 2 Stunden dauernden Workshops werden Szenen dargestellt, welche die wesentlichen Sicherheitsanforderungen Ihres Unternehmens an Ihre Mitarbeitenden beinhalten.
Die Form des «Edutainments» bewährt sich dabei besonders: was mit Freude, unterhaltsam und anschaulich gelernt werden kann, hinterlässt einen grösseren Eindruck und motiviert Ihre Mitarbeitenden, die Inhalte näher kennen und verstehen zu lernen! Der praxisnahe Workshop kann beispielsweise als «Lunch & Learn» über den Mittag in einer relativ lockeren Atmosphäre stattfinden.
Die Teilnehmerzahl kann 10 bis 80 Personen betragen. Die relativ grosse Gruppe wird von einem Team, bestehend aus einem Moderator, einem Techniker und einem Muster-Mitarbeiter, durch den Workshop geführt. Dabei kann der Technik-Crack beispielsweise verschiedene Situationen auf dem Bildschirm des gespielten Mitarbeiters provozieren – der Bildschirm wird für alle Teilnehmenden sichtbar projiziert. Der Mustermitarbeiter reagiert mehr oder weniger richtig auf die Situation, der Moderator kommentiert entsprechend das Verhalten. Einfache Merksätze, welche den Teilnehmenden abgegeben werden können, runden die einzelnen Sicherheitsthemen ab.
Rabatt auf Ausbildung, Beratung und Publikationen!: Einmaliges Angebot
Nutzen Sie die einmalige Gelegenheit unseres Gutscheinangebotes, Gutscheine einlösbar für die kommenden zwei Jahre für Ausbildung, Beratung und Publikationen und profitieren Sie von bis zu 20% Sonderrabatt.
Wenn Sie bis zum 31.10.2006 Gutscheine im Wert von CHF 10'000.-- kaufen, garantieren wir Ihnen einen Sonderrabatt von 10%.
Wenn Sie sich dafür entschliessen, Gutscheine im Wert von CHF 20'000.-- zu buchen, können wir Ihnen bis zu 20% Rabatt einräumen.
Diese Sonderkonditionen gelten für unser gesamtes Ausbildungsangebot, das Sie nach Belieben abrufen können, sei es bei Ihnen vor Ort oder in einem unser öffentlichen Kurse. Sie können die Gutscheine bis Ende 2008 auch für unsere Publikationen oder Tagungen einlösen.
Es gelten unsere üblichen Konditionen, welche hier abrufbar sind.
Rufen Sie uns unverbindlich an unter +41 (0)31 300 73 73. Wir beraten Sie gerne.
Die Swiss Infosec AG sucht Senior Consultant: Projektleiter IT Security
Für die Optimierung unseres Wachstums suchen wir einen versierten IT-Security-Spezialisten (m/w) in der Funktion als
Senior Consultant / Projektleiter IT Security
Ihr Aufgabengebiet:
Sie leiten anspruchsvolle technische IT Security Projekte, auditieren Systeme, Netzwerke und Organisationen im Bereich der Sicherheit, begleiten die Umsetzung der von Ihnen vorgeschlagenen Massnahmen und bilden Nahtstellen zwischen Organisation und Technik. Sie beschäftigen sich mit Fragen in den Bereichen Penetration Testing, Social Engineering, System Hardening, Ethical Hacking. Zudem treten Sie als Kursleiter in den Ausbildungen der Technischen Sicherheit auf.
Ihr Profil:
Fachhochschulabschluss in Informatik oder gleichwertige Ausbildung
5-10 Jahre praktische Erfahrung in der Informatik bzw. technischen IT-Security
Erfolgreiche Sicherheitspraxis auf MS- und Unixplattformen
Stärken in der organisatorisch/konzeptionellen Sicherheitsberatung und im Projektmanagement
Ausgeprägte analytisch-konzeptionelle Fähigkeiten
Sehr gute Kommunikationsfähigkeit in Wort und Schrift (d/e)
Durchsetzungsvermögen
Haben wir Ihr Interesse geweckt?
Wir bieten Ihnen eine verantwortungsvolle Tätigkeit mit interessanten Entwicklungsmöglichkeiten. Für eine erste Kontaktnahme wenden Sie sich bitte an Herrn Cornel Furrer, Chief Operation Officer oder senden Sie Ihre Bewerbungsunterlagen in elektronischer Form an cornel.furrer@infosec.ch. Quelle: Swiss Infosec AG
Newsletter neu auch in Englisch :: Newsletter now also in English!
Neu bietet sich Ihnen die Möglichkeit ab November 2006 die
Internet Infosec News auch in Englisch zu abonnieren. Nutzen Sie dieses
Angebot und registrieren Sie sich
gleich!
Registrieren
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier:
News in Englisch
Möchten Sie die Internet Infosec News künftig in TXT-Format erhalten, klicken Sie hier:
News in TXT-Format
Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier:
Andere E-Mail-Adresse anmelden
New: From November 2006 onwards an English version of our newsletter is also available.
Register now!
Registration
If you would like to receive the Internet Infosec News in English, click here: News in English
If you would like to receive the Internet Infosec News in TXT-Format, click here: News in TXT-Format
If you would like to register another e-mail address, click here: Register another e-mail address
Update 17 zum Standardwerk: ISMS, Computerforensik und weitere gesetzliche Dokumente
Das 17. Update zum Standardwerk "Informations- und IT-Sicherheit in Theorie und Praxis" ist erschienen. Diesmal geht es im Rahmen der Sicherheitsanforderungen von Unternehmungen sowie den noch anstehenden Ergänzungen zum Datenschutzgesetz um die folgenden Themen: ISMS mit einem Konzept sowie einem Prüfplan, dabei ist auch eine Aufstellung über gesetzliche Aufbewahrungspflichten, die natürlich auch bezüglich elektronischer Archivierung zum Tragen kommen. Des weiteren enthält das neue Update die folgenden (Muster-)Dokumente: Benutzer- und Administratorenweisung, Krisenkonzept bei Ausfall der Kommunikationsmittel, ein kleines Kompendium zur Computerforensik, eine Integrale Sicherheitspolitik, ein Risikoanalysekonzept und andere.
Das gesamte Standardwerk (über 2000 Seiten) ist entweder in der Papierversion (5 Ordner) oder als CD-ROM-Version mit Volltextsuche erhältlich, zum Preis von CHF 790.00. Zusätzlich erhalten die Käufer des Standardwerkes ca. alle 4 Monate eine Lieferung von neuen Musterdokumenten, Neuerungen usw. damit das Standardwerk jederzeit aktuell und auf dem neuesten Stand ist.
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle
und noch vieles mehr.
Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Internet Infosec News.
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier:
News in Englisch
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier:
News in TXT-Format
Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier:
Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier:
Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier:
E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an:
infosec@infosec.ch
