Unsere aktuellen Internet Infosec News, gespickt mit interessanten Nachrichten:
Beratung. Strategische Partnerschaft zwischen Swiss Infosec AG und NetProtect AG: Eine Zusammenarbeit, um Kunden noch besser und umfassender beraten zu können. Lesen Sie dazu mehr
Verbessern Sie die Informationssicherheit Ihres Unternehmens! Die ISMS-Methodik hilft Ihnen bei der Umsetzung Ihres Information Security Management Systems nach ISO/IEC 27001. Erfahren Sie mehr
Ausbildung. Der Intensivlehrgang "ISO/IEC 27001 Lead Auditor" mit offizieller Zertifizierung führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 17799 ein. Vom 25.-29. Juni 2007 findet in Bern der letzte Lehrgang vor den Sommerferien statt. Die Durchführung ist garantiert. Informationen und Anmeldung
Upgrade-Kurs für alle BS 7799 Lead Auditoren: Wenn Sie den Lehrgang „BS 7799 Lead Auditor“ besucht und erfolgreich bestanden haben, können Sie Ihre Titelbezeichnung in „ISO/IEC 27001 Lead Auditor“ umwandeln.
Meet Swiss Infosec! Sichere Informationen aus erster Hand!
Am 27. Juni 2007 ist es wieder soweit. Sie lernen Profis mit grosser Praxiserfahrung zu Aspekten der Integralen Sicherheit kennen und erfahren von ihnen das Neuste aus der Welt der Informations- und IT-Sicherheit. Programm und Anmeldung
Auch die Deutschen sind der Meinung: Biometrie-Pässe nicht das Gelbe vom Ei: Problemszenarien zuhauf
Erst tönte es aus Grossbritannien, jetzt kommen auch Warnungen aus Deutschland wegen der unzureichenden Sicherheit neuer Pässe.
Im Rahmen einer Anhörung des deutschen Bundestages bezüglich des neuen Passgesetzes und der Sicherheit der vorgesehenen digitalen Fingerabdrücke stellte sich heraus, dass die Daten nicht ganz so sicher sind, wie im Gesetzesentwurf gefordert. Dieser stipuliert, dass die Daten gegen unbefugtes Auslesen, Verändern sowie Löschen zu sichern seien. Obwohl das Kopieren eines solchen Chips schon im letzten Jahr erfolgreich durchgeführt worden war, gehen die Experten des deutschen Bundeskriminalamtes sowie des Bundesamtes für Sicherheit in der Informationstechnik in ihren Stellungnahmen nicht auf diese Tatsache ein. Diese Experten scheinen die Problematik nun so umgehen zu wollen, indem sie aussagen, dass mit den so gewonnen Daten nichts Gefährliches unternommen werden könne. Seitens anderer Sicherheitsexperten werden nun mögliche Szenarien durchgespielt, was sich mit einem solchen geklonten Chip anstellen liesse. Wie die Sache letztendlich ausgehen wird und was die Konsequenzen sein werden, wird die Zukunft zeigen.
In den USA sind weitere Anti-ID-Diebstahl-Gesetze zu erwarten: Legislation vs. bessere Datenschutz- und Sicherheitsstandards
Eine Arbeitsgruppe der amerikanischen Regierung fordert eine Erweiterung der Gesetze, um Identitätsdiebstahl besser bestrafen zu können.
Zwar existieren in den USA bzw. den amerikanischen Teilstaaten bereits eine ganze Reihe von Gesetzen, die Identitätsdiebstahl unter Strafe stellen, jedoch scheint der Hunger nach mehr Gesetzen ungestillt, und dies obwohl die bestehenden Gesetze bereits erfolgreich zur Anwendung kamen. Nun melden sich aber auch kritische Stimmen. Unter anderen ist Marc Rotenberg vom Electronic Privacy Information Center EPIC der Meinung, dass nur mit mehr neuen Gesetzen sich die Situation nicht unbedingt verbessern wird, sondern dass es viel wichtiger sei, dass bei Firmen, Organisationen und Privaten bessere Sicherheits- und Datenschutzpraktiken zum Einsatz kämen um für nachhaltige Verbesserung zu sorgen.
Mitarbeitende, tragbare Speichermedien und Email: Interne Gefahren wichtigste Bedrohung
Laut einer Umfrage von InfoWatch glauben gut drei Viertel der Befragten, dass Datenklau durch die eigenen Mitarbeiter die grösste Gefährdung der Datensicherheit darstelle.
Die Befragten sind auch der Meinung, dass die wichtigsten Kanäle für Datenabfluss tragbare Speichermedien sowie Email seien. Knapp 40 Prozent der Antwortenden gaben an, dass sie nicht wüssten, ob in ihrer Organisation Datenverluste vorgekommen seien. Als Hauptgründe dafür, dass gegen Datenabfluss nichts oder nicht mehr unternommen worden ist, wurden Ressourcenprobleme in finanzieller Hinsicht wie auch bezüglich fehlender Standards angegeben.
Landwirtschaftsministerium gibt Daten preis: Bis zu 150000 Personen gefährdet
Jahrelang waren die Social Security Numbers von US-Bürgern, die beim Agriculture Department (Landwirtschaftsministerium) registriert waren, über eine öffentliche Datenbank zugänglich.
Da diese Sozialversicherungsnummer in den USA auch im Verkehr mit Banken und z.B. den Finanzbehörden zum Einsatz kommt, wird sie vielerorts als allgemeines Personenkennzeichen angesehen und sollte deswegen vertraulich behandelt werden. Nachdem eine Farmerin während einer Internet-Recherche über ihre eigenen Daten auf diese datenbank gestossen war, informierte sie die entsprechenden Stellen, die dann die Sozialversicherungsnummern aus der Datenbank löschten. Es scheint aber, dass von dieser Datenbank tausende von Kopien im Umlauf sind. Die Behörde hat mittlerweile die Betroffenen informiert und bietet ihnen einen Credit Monitoring Service an.
'Pikante' Bilder auf 25% der Rechner: Netzwerkseitige Schutzmechanismen nicht ausreichend
Bei einer Untersuchung von gut 10000 PCs bei 125 Organisationen stellte es sich heraus, dass sich auf gut einem Viertel von ihnen Bilder pornographischen oder anderweitig unangebrachten Inhalts befanden. Nicht viel anders sah das Bild bei Mail Accounts und File Servern aus.
Knapp die Hälfte der Bilder kamen mit Email in die Systeme und etwas über ein Drittel war direkt aus dem Internet herunter geladen worden. Weiter zeigte es sich, dass über ein Drittel des Materials zusätzlich noch betreibsintern ausgetauscht. Dies zeigt den Irrglauben, dass Schutzeinrichtungen an der Netzwerkperipherie jegliche Pornopraphie aus der Organisation fernhält, insbesondere auch deswegen, da es sich während dieser Untersuchung gezeigt hat, dass Mitarbeiter teils unter sehr grossem Aufwand versuchen, unternehmenseigene Schutzmechanismen und -filter zu umgehen.
Studentendatenbank von Kreditfirmen angezapft: US-Datenschutz-Legislation umgangen
Eine amerikanische Datenbank mit Daten über ca. 60 Millionen Bezügern von Studentendarlehen, ist von Finanzfirmen in einer Art durchsucht worden, die gegen nationales Recht verstösst.
Die Datenbank enthält Informationen über die Social Security Number, Email-Adressen, Telefonnummern, Geburtsdaten sowie weitere sensitive Finanzinformationen wie z.B. die Höhe des ausstehenden Darlehens etc. Das Bildungsministerium als Betreiberin der Datenbank hat zwar mittlerweile Tausenden von Benutzern dieser Datenbank den Zugriff entzogen und laut eigenen Aussagen in den letzten 4 Jahren über $650'000 zur Verbesserung der Sicherheit dieser Datenbank ausgegeben, jedoch steigern sich die Befürchtungen, dass diese Datenbank zusehends für Marketingzwecke, Data Mining und ähnliche Zwecke missbraucht wird. Da momentan rund 40'000 Personen Zugriff auf diese Datenbank haben, wird nun überlegt, wie weiter vorzugehen ist, damit allfälliger Missbrauch weitestgehend vermieden werden kann.
Quelle: washingtonpost.com, 15.4.2007; Amit R. Paley
Wo waren Sie als die BlackBerrys ausfielen?: Grund des Ausfalls noch nicht klar
Am 17. April 2007 verursachten technische Probleme den Ausfall von mehr als 5 Millionen BlackBerry-Geräten in den USA. Nach langen 10 Stunden gelang es, den Service wiederherzustellen.
RIM, der Hersteller der BlackBerrys, konnte nicht sehr viel zum Grund des Ausfalls sagen und meinte nur, die Ursache werde gegenwärtig überprüft. Es wurde jedoch der Verdacht geäussert, dass es sich um Probleme in einem der beiden Betriebszentren handeln könne. BlackBerrys werden nämlich nur von je einem Betriebszentrum in Kanada und einem in Grossbritannien betrieben. Da es in Europa, Afrika und Asien keine Ausfälle gab, liegt dieser Schluss nahe. Sollte sich dies als Tatsache herausstellen, wäre gleichzeitig darauf hinzuweisen, wie anfällig dieser Betriebsmodus ist, da Millionen von BlackBerry-Usern quasi für ihre Arbeit von ihren Geräten abhängig sind.
Passwort gegen Schokolade: Mit einem bisschen Social Engineering ist fast alles zu haben
Eine Befragung von Pendlern und IT-Spezialisten an einer Fachmesse zeigte, dass zwei Drittel der Befragten ihr Passwort für ein Stück Schokolade preisgeben würden.
67 Prozent der Befragten waren der Meinung, dass jemand anderes in ihrer Organisation das Passwort des CEO kennen würde. Als wahrscheinlichste Person wurde hier die Sekretärin genannt. Wenn sich die Befragten sträubten, ihre Passwörter bekannt zu geben, wurden so einfache Mittel wie eine attraktive Befragerin oder das Angebot von Schokolade eingesetzt, um doch noch an die Passwörter zu gelangen, gleichzeitig wurde bei den Teilnehmern an der Fachmesse zusätzlich noch Namen und Firma notiert, was natürlich in Kombination das nichtauthorisierte Eindringen in ein Computersystem erheblich erleichtert. Ein weiteres interessantes Resultat der befragung war, dass rund 20 Prozent der Unternehmen keine Passwörter mehr zur Authentifizierung einsetzen, sondern sich Biometrie und Token bedienen.
US-Steuerbehörde will alle Laptops verschlüsseln: Schutz persönlicher Daten soll verbessert werden
Ein Audit bei der amerikanischen Steuerbehörde IRS hat ergeben, dass fast die Hälfte der offiziellen Laptops unverschlüsselte sensitive Daten enthielt.
Als Resultat dieses Audits sollen nun alle IRS-Laptops mit Verschlüsselung ausgestattet werden. Bei den Daten handelt es sich nicht nur um Informationen über Steuerzahler sondern auch um von Arbeitgebern gelieferte Angestelltendaten. Das Audit brachte auch ans Licht, dass im Zeitraum zwischen Januar 2003 und Juni 2006 fast 500 IRS-Laptops verloren gingen, Zahlen ähnlich eines Audits im Jahr 2003.
Quelle: computerworld.com, 9.4.2007; Robert McMillan
IT-Sicherheit der US-Behörden immer noch ungenügend: Jedoch verbessert sich die Situation
Die US-Bundesbehörden müssen sich alle jahre wieder einer Prüfung ihrer IT-Sicherheitsmassnahmen unterziehen. Auch dieses Mall sind viele druchgefallen und haben schlechte Noten bekommen, so auch das US-Verteidigungsministerium.
Besagte Prüfung ist durch das FISMA-Gesetz (Federal Information Security Management Act) seit 2001 vorgeschrieben. Alljährlich bestehen einige Behörden diese Prüfungen, die wohlgemerkt auf ihren eigenen Berichten beruhen, nicht. Bezüglich der Prüfungen für das Jahr 2006 u.a. so aus: am besten schnitt die Agentur für internationale Entwicklung mit den maximal möglichen 100 Punkten ab, das Heimatschutzministerium erhilet ein 'ausreichend', das Landwirtschaftsministerium wie in den letzen Jahren auch ein 'ungenügend', das Veteranenministerium hat wegen der letzten Vorfälle wie verlorene Computer etc.. Erst gar keinen Bericht eingereicht. Die anderen geprüften Behörden schnitten mindestens genügend ab.
Patientendaten im Internet veröffentlicht: Niemand weiss, wie es passiert ist
Persönliche Daten von Patitenten des University of Pittsburgh Medical Centre (UPMC) waren via einer Website öffentlich zugänglich. Die Daten, darunter Röntgenbilder, klinische Notizen sowie medizinische Checkups, waren für ungefähr 2 Jahre zugänglich.
In dieser Zeit ist die Website auch vom Internet Archive kopiert worden, die sie entsprechend abgespeichert hat. Nach Kontaktnahme durch das UPMC hat sie das Internet Archive wieder aus seinen speichern entfernt. Es ist jedoch anzunehmen, dass sich diese privilegierte Patienteninformationen mittlerweile auch in anderen Händen befinden. Da man nicht weiss, was damit gemacht wird, hat das Spital den betroffenen Patienten 2 Jahre Credit Monitoring finanziert.
Untersuchungsausschuss verlangt Herausgabe der Emails: Vielleicht nicht alles verloren
Obwohl die Administration von Präsident Bush behauptet, dass Emails an ein spezifisches Konto der Republikanischen Partei unwiederbringlich verloren seien, gibt es eventuell doch noch Möglichkeiten, dieser Mails wieder habhaft zu werden.
Angeblich sind die Mitteilungen von Karl Rove an das Rebublikanische National-Komitee nach 4 Jahren gelöscht worden. Die Demokraten möchten gerne in den Besitz dieser Mails kommen um fest zu stellen, welche Rolle Rove in der Entlassung von acht US-Staatsanwälten gespielt hat. Zwar sei es nicht möglich, Emails wiederherzustellen, die vom Server gelöscht worden sind, es sei denn, es gäbe Backup-Bänder oder irgendwo befindet sich noch ein alter Server oder Harddrive mit den entsprechenden Daten drauf. Jedoch besteht auch die Möglichkeit, dass die Empfänger die Mails gespeichert oder archiviert haben. Also besteht die Möglichkeit, dass deren Server die Mails abgespeichert haben oder sie sich auf Backup-Bändern dieser Organisation befinden. Ein an der Untersuchung beteiligter Senator ist jedoch überzeugt, dass sich zumindest ein Teil der Mails wieder aufspüren lässt. Er meinte, her habe grosses Vertrauen in die zugezogenen Computer-Forensiker.
Tausende von Kundendaten im Mülleimer: Firma angezeigt
In Texas steht die Firma RadioShack unter Anklage, weil eines ihrer Geschäfte in Portland Tausende von Kundenunterlagen in den Müllcontainer geworfen haben.
Der Staatsanwalt von Texas hast diesen Schritt unternommen, nachdem ihm zur Kenntnis gelangt war, dass die Angestellten von RadioShack Kundenunterlagen im grossen Stil einfach in den Müll warfen. Da die Unterlagen dem Zweck des Identitätsdiebstahls dienen können, kamen zwei Punkte zur Anklage. Der erste bringt eine Strafe von bis zu $50'000 für jedes einzelne Vergehen mit sich, der zweite eine Strafe von bis zu $500 für jedes so entsorgte Dokument. RadioShack selber meinte dazu, dass das Vorgehen dieses Ladens eine Ausnahme sei, da die RadioShack-Kette mit landesweit 4500 Geschäften ein Shredder-Programm habe, um Kundendaten angemessen zu schützen.
Die Swiss Infosec AG führt jedes Jahr mehrere Events im Bereich Integrale Sicherheit durch. Lassen auch Sie sich an einem der nachfolgend aufgelisteten Veranstaltungen auf einen spannenden Dialog mit unseren Fachspezialisten ein.
Die Referate sind mehrheitlich auf Deutsch, teilweise auf Englisch.
Mit unseren halbjährlichen Workshops "Meet Swiss Infosec!" wollen wir Ihnen die Möglichkeit bieten, sich über aktuelle Tendenzen und Lösungen im Bereich der Informations- und IT-Sicherheit umfassend und aus erster Hand zu informieren.
Daneben können Sie mit Referenten und anderen Teilnehmenden Lösungsstrategien erörtern und sowohl uns, die Swiss Infosec AG, wie auch unsere Partner besser kennen lernen.
Möchten auch Sie Ihr ISMS (Information Security Management System) vollumfänglich intranetbasiert und toolgestützt aufbauen und verwalten? Lernen Sie den unentbehrlichen Werkzeugkasten an der diesjährigen ISMS Tool Box Roadshow kennen.
Wir stellen Ihnen im Rahmen der neusten Version der ISMS Tool Box erweiterte und neue Funktionalitäten vor.
Die Swiss Infosec AG lädt wieder zu ihrer traditionellen, jährlichen Fachtagung ein.
Die SWISS INFOSEC 2007 bietet den Teilnehmenden die Möglichkeit, neue Trends und Tendenzen kennen zu lernen und ist immer auch ein Anlass, neue Kontakte zu knüpfen und Erfahrungen auszutauschen. Informationen zum Programm in kürze.
Meet Swiss Infosec! Sichere Informationen aus erster Hand! 27. Juni 2007
Meet Swiss Infosec! Wir laden Sie herzlich ein, an der traditionellen und für Sie kostenlosen Meet Swiss Infosec! vom Mittwoch, 27. Juni 2007 im Airport Conference Center, Zürich-Kloten, teilzunehmen. Zweimal jährlich treffen sich dort über 100 Teilnehmende und fachkundige Experten, um sich über die neusten Sicherheits-Trends zu informieren.
Besonders freuen wir uns, Ihnen folgende Highlights anzukündigen:
- Urs Küderli, Chief Security Advisor bei Microsoft Schweiz, ist der würdige Nachfolger von Roger Halbheer, der nach EMEA gewechselt hat. Urs Küderli wird Ihnen aus erster Hand Aktuelles zur Microsoft-Strategie für Identity und Access Lifecycle Management im Unternehmen erzählen und dabei nur am Rande auf Produkte eingehen. Natürlich steht er auch für Ihre kritischen Fragen zur Verfügung - lassen Sie sich das nicht entgehen!
- Lars Osmers, Antego, und Roger Fischer, Kaywa, sind die Top-Referenten in den Bereichen RFID, Mobile Tags und Blogs. Erstmalig zeigen uns die beiden neue Ansätze für den Einsatz dieser Technologien in Security-relevanten Bereichen. Das sollten Sie nicht verpassen!
Ein Anruf auf +41 (0)31 300 73 73 genügt, oder gleich jetzt online anmelden. Wir erwarten Ihre Anmeldung gerne bis 10.06.2007 (die Teilnehmerzahl ist limitiert).
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte
Aus der Praxis für die Praxis!
Wir führen Sie umfassend ein in die Grundlagen der Informations- und IT-Sicherheit. Diesen Lehrgang führen wir seit über 10 Jahren erfolgreich durch – profitieren auch Sie vom geballten Wissen aus mehr als 18 Jahren Erfahrung.
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte
Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.
Intensivlehrgang für Beauftragte der Integralen Sicherheit
Sicherheit ganzheitlich betrachtet!
Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder Repetition für einen Sicherheitsbeauftragten.
Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Netzwerkdienste aus dem Blickwinkel der Sicherheit funktionieren und welche Risiken sie bergen. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.
CISSP-Zertifizierung erfolgreich erlangen dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.
Einführung und Überblick über die Normen ISO/IEC 17799 und ISO/IEC 27001
Wir geben Ihnen einen fundierten, aktuellen und praxisorientierten Überblick über die Bedeutung und den Inhalt dieser beiden Standards. Wir zeigen Ihnen die Schritte zu deren erfolgreicher Umsetzung auf. Lernen Sie die Voraussetzungen eines funktionierenden ISMS (Information Security Management System) kennen.
Anwendung und Nutzung der Normen im Hinblick auf eine Zertifizierung
Dieser Kurs vermittelt Ihnen praxisorientiert das Grundwissen zur erfolgreichen Zertifizierung Ihres Unternehmens gemäss ISO 27001. Die einzelnen Teilschritte der Einführung eines gelebten und normkonformen Information Security Management Systemes werden u.a. im Rahmen von Gruppenarbeiten gemeinsam erarbeitet und vertieft. Eine fundierte Einführung für den Praktiker!
Wissen und Know-how zu ISO/IEC 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 17799 ein. Am Ende des Kurses erfolgt die Zertifizierung als ISO/IEC 27001 Lead Auditor.
Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel neu in «ISO/IEC 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO/IEC 27001.
Verantwortung im Sicherheitsbereich unternehmensweit wahrnehmen!
Mitglieder der Geschäftsleitung oder Verantwortliche für die Unternehmenssicherheit lernen die Bedeutung, den Aufbau, den Umfang und die verschiedenen Integrationsmöglichkeiten der Informations- und Informatiksicherheit für ihr Unternehmen kennen. Anhand von zahlreichen Praxisbeispielen erhalten die Teilnehmenden in kurzer Zeit einen umfassenden Einblick in diesen unternehmenswichtigen Bereich.
Elektronische Archivierung, eine wichtige und komplexe Materie
Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen.
Security Management in einer ITIL-orientierten IT-Organisation
Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL- Disziplinen.
Datenschutz und rechtliche Aspekte
Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmern, Fragen aus dem Alltag zu diskutieren und zu beantworten.
Wann sprechen wir von Internet-Kriminalität?
Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten.
Lücken oder Tücken?
Lernen Sie die Sicherheitsaspekte des neusten Windows-Betriebssystems kennen und damit umzugehen. In Form von ausführlich dokumentierten und erklärten Demo-Sessions lernen die Teilnehmenden Vista und die Konfigurationsmöglichkeiten der neuen Funktionen kennen. Erfahren Sie unter anderem, wie „Windows Vista“ auf Angriffe wie z.B. Viren und Spyware reagiert und welche neuen Schutzmechanismen generell zur Verfügung stehen.
Führendes Know-how und über 18 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1
Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen.
Der ISO/IEC 17799 beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach ISO 27001 auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie.
Mit ISO 27001 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard ISO 27001 hilft mittels Empfehlungen und einfach formulierten Regeln – sog. Controls – dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht zu werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitssystems ist hier die Antwort.
Profitieren Sie von über 18 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater – einige davon lizenzierte BS 7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI – helfen Ihnen gerne weiter!
Beispiele rund um ISO 17799 und 27001:
• Erarbeitung und Umsetzung ISO 27001-konformer Security Frameworks
• Durchführung von ISO 27001-Sicherheitsaudits
• Vorbereitung einer Zertifizierung nach ISO 27001
• Toolunterstützung bei der Umsetzung von ISO 27001-Anforderungen
• Ausbildungen zu ISO 11799 und ISO 27001
Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel.
Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse.
Erarbeitung eines Security Frameworks Die Swiss Infosec AG erarbeitet zusammen mit den Kunden das Security Framework – eine umfassende, stufenweise aufzubauende und modulare Lösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit ISO 17799 und ISO 27001:
• die Security Policy als oberstes Strategiepapier
• das Security Concept mit den Anforderungen und der Sicherheitsorganisation
• das Security Regelwerk (Regelkatalog) mit Sicherheitsregeln
Durchführung von Sicherheitsaudits Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen.
Beratung im Vorfeld einer Zertifizierung Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich ISO 27001.
Unterstützung durch ISMS Tool Box Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Tool Box bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Praxis Forum. www.ismstoolbox.com
Die ISMS-Methodik: Für ein Information Security Management System nach ISO/IEC 27001
Spürbar, nachhaltig, effizient und kostengünstig!
Mit der ISMS-Methodik erreichen Sie in der Informationssicherheit schnell und einfach überzeugende Resultate. Unter Controls verstehen wir generell gültige, einfach formulierte Grundschutz-Regeln und Massnahmen.
Durch Verabschiedung eines Regelwerkes (Sammlung sämtlicher relevanter Regeln) und dessen Umsetzung kann die Informationssicherheit eines Unternehmens spürbar, nachhaltig, effizient und kostengünstig verbessert werden.
Die ISMS-Methodik fördert die Transparenz im Bereich der Informationssicherheit, da einheitliche Dokumentenstrukturen und Regelungen eingeführt werden.
Mittels Control-Massnahmen können ungefähr 80-90% der Sicherheitsprobleme gelöst bzw. entschärft werden. Die für die restlichen 10-20% immer noch notwendigen, jedoch in ihrem Umfang beschränkten Risikoanalysen werden so übersichtlicher und besser kontrollierbar sein. Dank der ISMS-Methodik werden sie nicht mehr annähernd so viel kosten.
Erfahren Sie hierzu mehr, wie Sie die ISMS-Methodik effizient und kostengünstig umsetzen und so die Informationssicherheit Ihres Unternehmens verbessern. www.ismstoolbox.com
Informationssicherheit, dank der ISMS Tool Box: Das unentbehrliche Werkzeug für Sicherheitsbeauftragte!
Weshalb das Rad neu erfinden?
Effiziente und effektive Werkzeuge für Sicherheitsbeauftragte
Die ISMS Tool Box bietet vielfältige und praxisorientierte Funktionalitäten und Inhalte für den Aufbau, Betrieb und Unterhalt eines Information Security Management System (ISMS).
Die ISMS Tool Box ermöglicht Ihnen den Einsatz der einzelnen Tools – Ihren Bedürfnissen und Anforderungen entsprechend.
Als Lizenznehmer der ISMS Tool Box sind Sie gleichzeitig Mitglied des ISMS Praxis Forums.
Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Vorbestehende Regelwerke seitens des Kunden können effizient und schlüsselfertig aufgenommen werden. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden, die Umsetzung geplant und laufend überprüft werden.
Die ISMS Tool Box unterstützt neben dem Ownership-Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity-Aktivitäten können mittels des Tools effizient und effektiv unterstützt werden.
Neben der Möglichkeit, ein Glossar und eine Linksammlung intranetbasiert zu führen, kann mittels des Tools auch ein Security Incident Management aufgebaut werden. Daneben existieren Instrumente für die Durchführung von Risikoanalysen und Audits. Dezentrale Stellen können mittels einer Self Assessment-Funktion in die Aufrechterhaltung und laufende Verbesserung des ISMS eingebunden werden.
Das Tool erlaubt den direkten intranetbasierten Zugriff auf die aktuellsten Versionen ISO 17799/ISO 27001, COBIT, BSI-Grundschutzhandbuch und den ISO Plus-Katalog der Swiss Infosec AG – jeweils deutsch und englisch. Der ISO Plus-Katalog ergänzt ISO 17799 mit konkreten, praxisorientierten Controls und enthält direkte Verknüpfungen zu unzähligen Musterlösungen des Standardwerkes der Swiss Infosec AG.
Mandantenfähigkeit, LDAP-Kompatibilität, Import- und Exportfunktionen, Reportgeneratoren und vieles andere mehr komplettieren die ISMS Tool Box. Daneben bietet Ihnen die ISMS Tool Box die Möglichkeit, innerhalb des ISMS Praxis Forums viermal jährlich Erfahrungen in einer geschlossenen Benutzergruppe auszutauschen.
Als Mitglied des ISMS Praxis Forums haben Sie exklusiven Online-Zugriff auf die ISMS Tool Box Community. Der ISO Plus-Katalog der Swiss Infosec AG wird innerhalb der Community laufend kommentiert und weiter entwickelt. Die ISMS Tool Box Community ermöglicht Ihnen neben der laufenden Replikation der Reportinginstrumente auch den direkten Zugriff auf das Release Management und die aktuellsten Programmversionen der ISMS Tool Box.
Erfahren Sie mehr über die umfassenden Funktionalitäten und wie Sie einfach und effizient Ihe Sicherheit organisieren. www.ismstoolbox.com
Mitarbeitende nachhaltig sensibilisieren, dank Blended Learning: Workshops und eLearning
«Unsere Geschäftsleitung möchte alle unsere Mitarbeitenden möglichst umfassend in Fragen der Informations- und IT-Sicherheit sensibilisieren und ausbilden. Was ist dabei zu beachten?»
Der Schlüssel für eine erfolgreiche Sensibilisierung in Ihrem Unternehmen liegt in der Nachhaltigkeit mittels vermischtem Lernen. Bei diesem Ansatz von Blended Learning werden die Vorteile verschiedenster Methoden miteinander verbunden. Nebst den bisherigen mehr oder weniger bewährten und meist isoliert eingesetzten Formen wie Informationsbroschüren, Weisungen, Plakate, Intranet usw. werden die sich ergänzenden und aufeinander abgestimmten Lehrformen «Workshop» und «eLearning» eingesetzt.
Ziel ist es, dass Lerninhalte dauerhafter präsent bleiben und selbstverständlich angewendet werden, so zu einem Bestandteil der Sicherheitskultur werden und somit nicht mehr wiederkehrend geschult werden müssen.
Mit der Kombination der beiden Lehrformen «Workshop» und «eLearning» kann eine Grosszahl von Mitarbeitenden mit einem relativ geringen Aufwand sinnvoll und nachhaltig in Ihrem Unternehmen vor Ort sensibilisiert werden. Jede Lehrform für sich alleine weist einen ungleich geringeren Lernerfolg auf. In 1 bis 2 Stunden dauernden Workshops werden Szenen dargestellt, welche die wesentlichen Sicherheitsanforderungen Ihres Unternehmens an Ihre Mitarbeitenden beinhalten. Die Form des «Edutainments» bewährt sich dabei besonders: was mit Freude, unterhaltsam und anschaulich gelernt werden kann, hinterlässt einen grösseren Eindruck und motiviert Ihre Mitarbeitenden, die Inhalte näher kennen und verstehen zu lernen! Der praxisnahe Workshop kann beispielsweise als «Lunch & Learn» über den Mittag in einer relativ lockeren Atmosphäre stattfinden. Die Teilnehmerzahl kann 10 bis 80 Personen betragen. Die relativ grosse Gruppe wird von einem Team, bestehend aus einem Moderator, einem Techniker und einem Muster-Mitarbeiter, durch den Workshop geführt. Dabei kann der Technik-Crack beispielsweise verschiedene Situationen auf dem Bildschirm des gespielten Mitarbeiters provozieren – der Bildschirm wird für alle Teilnehmenden sichtbar projiziert. Der Mustermitarbeiter reagiert mehr oder weniger richtig auf die Situation, der Moderator kommentiert entsprechend das Verhalten. Einfache Merksätze, welche den Teilnehmenden abgegeben werden können, runden die einzelnen Sicherheitsthemen ab.
Swiss Infosec AG und NetProtect AG gehen strategische Partnerschaft ein
Mit Wirkung ab 1. April 2007 sind die Swiss Infosec AG und die NetProtect AG eine strategische Partnerschaft eingegangen. Die NetProtect AG will mit der Partnerschaft integrale, konzeptionelle und organisatorische Aspekte stärker abdecken. Die Swiss Infosec AG kann mit dieser Partnerschaft ihren Kunden verstärkt Ressourcen und Know-how im Bereich der technischen IT Security anbieten. Die beiden Unternehmen arbeiten bereits seit Jahren erfolgreich zusammen - ein Musterbeispiel gelebter Partnerschaft. Diese positiven Erfahrungen haben die beiden Unternehmen dazu bewogen, die Zusammenarbeit zu offizialisieren und zu intensivieren. Beide Unternehmen können ab sofort in ihren Mandaten noch schneller, kompetenter und umfassender auf die Kundenbedürfnisse reagieren.
Zu NetProtect AG
Die NetProtect AG mit Sitz in Zürich wurde im April 2000 gegründet. Sie fokussiert ihre Dienstleistungen im Bereich der technischen IT Security und des IT Security Auditing. Das Testing wird teilweise mittels eigens dafür entwickelten, datenbankbasierenden Tools durchgeführt. NetProtect AG ist seit 2004 offizieller Microsoft Security Partner. Die Mitarbeitenden der NetProtect AG verfügen über ausgezeichnete Skills im Bereich der technischen IT Security und über die entsprechenden Zertifizierungen.
Zu Swiss Infosec AG
Swiss Infosec AG ist seit 1989 das führende, unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit. Die umfassende Beratung im Bereich der Integralen Sicherheit ist eine der Kernkompetenzen der Swiss Infosec AG. Sie ist der Beratungspartner für den Aufbau und die Umsetzung umfassender Security Frameworks, die Vorbereitung und Zertifizierung nach ISO/IEC 27001, den Aufbau eines Information Security Management System (ISMS), Ereignis- und Krisenvorsorge inkl. Business Continuity Planning (BCP), Social Engineering und Sicherheitsaudits aller Art. Die Umsetzung der Projekte erfolgt mit 30 Sicherheitsspezialisten, welche unseren Kunden als neutrale Stelle, in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporär externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager sowie als Begutachter, Jurist oder forensischer Experte beistehen.
Für unsere vielen interessanten Aufgaben und Mandate suchen wir immer wieder motivierte und sehr gut ausgebildete Fachspezialisten.
Suchen Sie eine Dauerstelle im Bereich der Informations- und IT-Sicherheit?
Oder möchten Sie in Ihrer Unternehmung eine Dauer- oder Temporärstelle besetzen?
Die Swiss Infosec AG berät und sucht laufend Spezialisten im Bereich der Informations- und IT-Sicherheit. Im Rahmen unserer Beratungsmandate und unseren vielfältigen Kontakten treffen wir häufig auf interessante, offene Stellen in mittleren und grossen Unternehmen. Diese helfen wir gerne besetzen.
Wir unterstützen unsere Kunden ebenfalls bei der Stellendefinition, der Ausschreibung und in der Durchführung von fachbezogenen Assessments.
Selbstverständlich kann die Swiss Infosec AG mit über 30 Mitarbeitenden auf Wunsch und in frei definierbarem Umfang auch Ressourcenengpässe oder die Zeit bis zur definitiven Besetzung einer Vakanz schnell und kompetent überbrücken oder ausgleichen.
Gerne stehen wir Ihnen beratend zur Seite.
Kontaktaufnahme per Telefon +41 (0)31 300 73 73 oder infosec@infosec.ch
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.
Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Internet Infosec News.
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier: News in Englisch
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format
Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch
