2. Schweizer-Wirtschaft: Zu viele Normen für die Informationssicherheit

IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle. Sie führen uns an, sorgen für Struktur und bieten eine gesteigerte Schutzgarantie. Aber was geschieht, wenn ein Segen zum Fluch wird? Eine schiere Überflutung mit Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich.

pdf

 

Maschinenbau 2024/07: Security Operation Center: Zentraler Pfeiler der Cybersecurity

Verschiedene Statistiken zeigen, dass zwischen einem erfolgreichen Einbruch in ein Computer-Netzwerk, bis zum Entstehen eines Schadens, zum Beispiel durch Datendiebstahl oder Ransomware, zwischen zwei Wochen und drei Monaten liegen.

pdf

Maschinenbau 2024/06: TISAX 6 ist da

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkeit von sensiblen Informationen innerhalb der Lieferkette der Automobilindustrie sicherzustellen. Am 3. April 2024 wurde die Version 6.0.2 veröffentlicht.

pdf

IT Magazine 2023/06: Aktuell: TISAX 6 ist da – Anforderungen an die Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkeit von sensiblen Informationen innerhalb der Lieferkette der Automobilindustrie sicherzustellen. Am 3. April 2024 wurde die Version 6.0.2 veröffentlicht. Der richtige Zeitpunkt, genauer in das umfassende Dokument zu schauen.

pdf

Maschinenbau 2024/05: DIN SPEC 27076 – IT-Sicherheitsberatung für KMU

Viele KMU würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung beziehungsweise bedeuten einen riesigen Aufwand zur Umsetzung.

pdf

Maschinenbau 2024/04: Bewertung von Sicherheitslücken

Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS). Ende 2023 kam die neue Version des Standards heraus.

 pdf

Maschinenbau 2024/03: Schwachstellen korrekt melden

Schwachstellen kommen in praktisch jeder Software vor. Diese werden durch professionelle Penetration Tester, aber auch interessierten Informatiker gefunden (sogenannte Ethical Hacker). Doch wie sollen diese Schwächen gemeldet werden, damit sie geschlossen werden können? Mit dem Coordinated Vulnerability Disclosure (CVD) stehen ein Verfahren zur Meldung von Schwachstellen zur Verfügung.

pdf

2. Schweizer-Wirtschaft: Und täglich grüsst das Murmeltier …

Der Super-GAU: alle Daten sind verschlüsselt, auf dem Bildschirm steht eine Meldung, dass nur gegen Bezahlung eines Lösegelds die Daten wieder hergestellt werden können. Die Gefahr, Opfer von einem solchen Angriff zu werden, ist zu einem ständigen Begleiter geworden. Fast täglich kann von einem erfolgreichen Angriff gelesen werden.

pdf

Maschinenbau 2024/02: Erhöhung der Informationssicherheit

Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern.

pdf

Maschinenbau 2024/01: Einführung in die Datenanalyse

In der heutigen Zeit können Daten, beziehungsweise die Informationen darin, als wichtige Währung angeschaut werden. Praktisch überall fallen Daten an. Bei der Datenanalyse geht es darum, Daten in Erkenntnisse für bessere Geschäftsentscheidungen umzuwandeln.

pdf

Maschinenbau 2023/12: Genügend vorbereitet auf einen Notfall

Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden.

pdf

Maschinenbau 2023/11: Echt jetzt Microsoft?

Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden.

pdf

Maschinenbau 2023/10: ISO 22361:2022 – Grundlagen für das Krisenmanagement

Letzten Oktober wurde die ISO 22361 veröffentlicht. Sie bietet die Basis für das Krisenmanagement, welches für Firmen jeglicher Grösse gedacht ist. Die neue Norm beschreibt nicht nur das Krisenmanagement, sondern auch Ereignisse, beschreibt die Aufbauorganisation, die  strategische Entscheidungsfindung wie auch die Führung in der Krise. Weiter ermöglicht es internen und externen Auditoren die Prüfung dieser Prozesse. Werfen wir zusammen einen tieferen Blick in die Norm.

pdf

1. Schweizer-Wirtschaft: Echt jetzt Microsoft

Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden. Betroffen waren gemäss ersten Ergebnissen vor allem Regierungsdaten in der Microsoft Government Cloud. Doch das weiss niemand so genau. Dass diese Schwachstelle auch für Microsoft als Hintertüre (Backdoor) genutzt wurde, wäre denkbar. Das Vertrauen in Microsoft ist auf jeden Fall weg.

https://schweizer-wirtschaft.com/2023/09/echt-jetzt-microsoft/

https://issuu.com/schweizerfachmedien/docs/schweizer_wirtschaft_01_2023

pdf

Maschinenbau 2023/09: KI in der Informationssicherheit: Gefahr und Risiken

In den letzten Jahrzehnten hat sich KI zu einer treibenden Kraft in der digitalen Transformation entwickelt. Unternehmen und Organisationen setzen vermehrt KI-Technologien ein, um ihre Abläufe zu optimieren und Erkenntnisse aus ihren Daten zu gewinnen. Während die Möglichkeiten von KI beeindruckend sind, birgt diese Technologie auch Risiken im Hinblick auf die Informationssicherheit.

pdf

Maschinenbau 2023/08: Nationale Cyberstrategie des Bundes (NCS)

Die Schweiz nutzt die Chancen der Digitalisierung und mindert Cyberbedrohungen und deren Auswirkungen durch geeignete Schutzmassnahmen. Sie gehört zu den weltweit führenden Wissens-, Bildungs- und Innovationsstandorten in der Cybersicherheit. Die Handlungsfähigkeit und die Integrität ihrer Bevölkerung, ihrer Wirtschaft, ihrer Behörden und der in der Schweiz ansässigen internationalen Organisationen gegenüber Cyberbedrohungen sind gewährleistet. Doch wie möchte der Bund diese Vision erreichen? Im April 2023 wurde die neue nationale Cyberstrategie veröffentlicht. Zeit also, genauer in diese zu schauen.

pdf

Maschinenbau 2023/07: Das Passwort ist tot, lang lebe das Passwort

Jeden Monat werden tausende von Kennwörtern bei Hacker-Angriffen gestohlen. Zudem verwenden immer noch viele Menschen schlechte Kennwörter. Das Beliebteste ist noch immer 123456, gefolgt von password oder hallo. Wenn das gleiche Kennwort noch für diverse Zugänge genutzt wird, wird es gefährlich. Doch es gibt inzwischen Alternativen.

pdf

Winterthur Marathon: Mit guter Laune gegen Littering

Interviewbeitrag

Die IGSU-Botschafter-Teams sorgten am Winterthur Marathon dafür, dass der Abfall nicht auf der Strecke blieb: Gemeinsam mit den Trash Heroes aus lokalen Schulklassen haben sie im Start- und Zielgelände für die Littering-Problematik sensibilisiert und sowohl Läufer als auch Zuschauende dafür motiviert, ihre Abfälle korrekt zu entsorgen.

Maschinenbau 2023/06: ISO 27007: Leitfaden für das Auditieren von ISMS

In unserer April-Ausgabe haben wir uns um die Anforderungen an Zertifizierungsstellen gekümmert (beschrieben in der ISO 27006). Begleitend dazu gibt es die ISO 27007, zuletzt im Jahr 2022 aktualisiert, die zeigt, wie ein ISMS-Audit durchgeführt werden soll. Das Dokument gibt eine Anleitung für alle Grössen und Arten von Organisationen, die ISMS-Audits durchführen müssen/wollen, unabhängig davon, ob es sich um einen oder mehrere Auditoren handelt.

Insider Magazin : CISO und IT-SiBE sind das Gleiche. Oder doch nicht?

Aktuell suchen viele Firmen nach einem CISO. Doch was wird genau unter CISO verstanden? Und was macht ein IT-Sicherheitsbeauftragter (IT-SiBe)? Dieser Beitrag zeigt auf, was die Unterschiede zwischen einem CISO und einem IT-SiBe sind, warum es beide benötigt und wie diese Funktionen in ein Unternehmen integriert werden können.

pdf

Weka : Cybersicherheit im 21. Jahrhundert

Praktisch jeden Tag kann von Cyberangriffen gelesen werden: «Tausende Zugangsdaten gestohlen und im Internet verfügbar». Auch die gefundenen Schwachstellen in diversen Programmen haben einen neuen Höchstwert erreicht.

Der Hauptzweck für ein Unternehmen ist, dass die Informationen zur richtigen Zeit, in der richtigen Qualität, am richtigen Ort und der richtigen Person zur Verfügung stehen.

Daher ist es wichtig, dass die Informationssicherheit heute zuoberst auf der Prioritätenliste weitsichtiger KMU-Führungskräfte steht. In allen Betrieben spielt Information eine entscheidende Rolle, und diese gilt es zu schützen.

Dieses Buch zeigt die wichtigsten Punkte, die beachtet werden müssen.

Maschinenbau 2023/05: ISO 27400:2022 – Sicherheit für IoT-Geräte

Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, usw. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherheitskontrollen für das gesamte System anzuwenden und aufrechtzuerhalten. Ende Juni 2022 wurde die ISO 27400 veröffentlicht, welche die IoT-Sicherheit und den Datenschutz adressiert.

Maschinenbau 2023/04: ISO 27006 – Anforderungen an die Zertifizierer

Während die ISO 27001 die Anforderungen an das Informationssicherheitsmanagementsystems eines Unternehmens definiert, gibt die ISO 27006 die Anforderungen an die Zertifizierungsstellen vor. Doch nicht nur für diese ist ein Blick in die Norm spannend.

KMU Inside: Portrait

Potrait von mir

Maschinenbau 2023/03: Incident Response als Antwort auf Cyberangriffe

Ob ein Unternehmen zur Zielscheibe für Hacker wird, hängt nicht von dessen Grösse ab, sondern auch von den Sicherheitsmassnahmen. Sind diese schwach, haben die Angreifer leichtes Spiel. Dieser Tatsache sind sich viele kleine und mittelständische Unternehmen jedoch nicht bewusst. Als fester Bestandteil einer umfassenden Security-Strategie hätten sie mit Incident Response ein Werkzeug für den Ernstfall an der Hand.

IT Magazine 2023/03: Aktuell: ISO 27001:2022

Im Oktober 2022 war es nach neun Jahren so weit, die ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben aber die elf neuen Controls in Anhang A. Zeit also, genauer auf die Norm einzugehen.

Maschinenbau 2023/02: ISO 27001: Neue Massnahmen

Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und eine einzige wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen. Doch kann er. Einige Massnahmen wurden sinnvoll zusammengefasst.

Maschinenbau 2023/01: ISO 27001:2022 veröffentlicht

Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen.

Maschinenbau 2022/12: Risiko-Management mit ISO 27005

Im jährlich durchgeführten Allianz Risk Barometer gab es in diesem Jahr eine Verschiebung. Neu sind Cyber-Risiken auf dem ersten Platz gelandet. Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie, die alle Unternehmen beschäftigt hat. Um diesen Risiken begegnen zu können, ist das Management dieser unumgänglich. ISO 27005 ist hier ein gutes Werkzeug, das schrittweise durch den Prozess führt.

Maschinenbau 2022/11: ISO 27032 – Cybersicherheit

Cybersicherheit ist heutzutage ein Schlagwort geworden. Es reicht nicht mehr IT-Sicherheit oder Informationssicherheit umzusetzen, sondern die Gesamtheit wird mit Cyber adressiert. Bereits 2012 wurde von ISO eine Norm genau zu diesem Thema veröffentlicht. Zeit also, diese etwas genauer zu betrachten.

Maschinenbau 2022/10: PCI DSS – nicht nur Banken

Für alle Unternehmen, die mit Kreditkarten in Berührung (Verarbeiten oder Speichern) kommen, müssen die Anforderungen aus der PCI DSS (Payment Card Industry Data Security Standard) umgesetzt werden. Hinter dem Standard stehen die Kreditkartenunternehmen, aber auch viele Banken und Zahlungsdienstleister. Am 31. März 2022 wurde die neue Version 4.0 nach über neun Jahren Abstand seit dem letzten Major-Release veröffentlicht. Verbindlich wird diese für die Unternehmen aber erst per 31. März 2025.

Maschinenbau 2022/09: ISO 27099

Die ISO 27099 wurde im Dezember 2016 veröffentlicht. Sie ist aktuell nur in Englisch verfügbar und trägt den offiziellen Titel «Health informatics – Information security management in health using ISO/IEC 27002 (ISO 27799:2016)», auf Deutsch Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002. Wie im Titel ersichtlich ist, basiert diese Norm auf der ISO 27002 (aus dem Jahr 2013). Doch warum schreibe ich in einer technischen Fachzeitschrift über eine
Norm im Gesundheitswesen? Beim genauen Hinschauen verstecken sich einige interessante Punkte, die jedes Unternehmen prüfen sollte.

Maschinenbau 2022/08: Alternativen zu ISO 27001

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit und Wissen. Die ISO 27001 ist dazu der Standard, der als Referenz dient. Der erste Teil der Norm beschreibt den Aufbau des ISMS. Darin enthalten sind der Kontext, die Ressourcen, die Risiko-Bewertung, Audits und Verbesserungen. Ergänzt kommen 114 (Version 2013) beziehungsweise 93 Massnahmen (Version 2022) dazu.

Maschinenbau 2022/07: Umsetzung eines ISMS

In den vergangenen Folgen haben wir sehr viel über die Anforderungen an ein Informationssicherheitsmanagementsystems (kurz ISMS) kennengelernt. Wie die Umsetzung aussieht, wie man idealerweise vorgeht, fehlt aber komplett. Hier können die Standards 200-x des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) helfen.

Maschinenbau 2022/06: Risiken in der Informationssicherheit erfassen und verwalten

Das Cybersecurity Framework (CSF) des NIST (National Institute of Standards and Technology) ist ein Leitfaden, der Unternehmen hilft, die Risiken in der Informationssicherheit zu erfassen und zu verwalten. Bestehende Standards, Richtlinien und Praktiken werden darin referenziert.

Maschinenbau 2022/05: ISO 27001: Der Weg zur Zertifizierung

Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravieren- den Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Auditoren prüfen, ob das ISMS auch das tut, was definiert wurde. Doch bis dahin ist es ein weiter Weg.

Maschinenbau 2022/04: ISO 27002:2022 – Informationssicherheit neu organisiert

Wenn Sie diese Zeilen lesen, ist sie da, die neue Ausgabe der ISO 27002. Bei den ISO-Normen hat sich ein Zyklus von ca. fünf bis acht Jahren etabliert. Während die Anforderungen an das ISMS (ISO 27001) unverändert bleiben, hat sich bei den sogenannten Controls einiges getan. Dieser Artikel zeigt, was Sie erwartet und wie Sie die Veränderungen umsetzen können. Sollten Sie noch kein ISMS aufgebaut haben, können Sie direkt mit der neuen Ausgabe starten.

Maschinenbau 2022/03: ISMS mit Tools

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Herausforderung. Zum Beispiel wird gerne für das Risiko Management Excel verwendet.

84X0 : Meinem Guide kann ich stets blindlings vertrauen

Stefan Hofmann zählt zu den 50 Menschen mit Beeinträchtigung, die am Winterthurer Marathon starten.

 

IT Magazine 2022/03: ISO 27701 – Nachweisbarer Datenschutz?

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Im Juli 2021 folgte dann die offizielle deutsche Version der Datenschutz-Norm. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offizielle Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines». Obwohl die Norm schon zwei Jahre verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit als, sich genauer damit zu beschäftigen.

Maschinenbau 2022/02: CISO und IT-SiBE sind das Gleiche. Oder doch nicht?

Vor einigen Monaten durfte ich für eine mittelgrosse Krankenkasse ein Mandat als IT-Sicherheitsbeauftragter (kurz IT-SiBe) übernehmen. Wie meistens gibt es beim Start viel zu tun und viele Entscheidungen zu treffen. Bei den Entscheidungen über die Sicherheit ist es wichtig, wie diese Rolle organisatorisch in das Unternehmen eingebunden ist. Ist diese zu tief oder gar an der falschen Stelle angehängt, kann es sein, dass die Wege lange sind oder Informationen verloren gehen. Sind dann noch verschiedene Meinungen vorhanden, wird es schwierig. Hier kann ein CISO eine gute Lösung sein. Dieser Beitrag zeigt auf, was die Unterschiede zwischen einem CISO und einem IT-SiBe sind, warum es beide benötigt und wie diese Funktionen in ein Unternehmen integriert werden können.

Maschinenbau 2022/01: Open Source, wirklich kostenlos?

In vielen Unternehmen wird auf Open Source Software zurückgegriffen. Vermeintlich kostenlos wird die gewünschte Anwendung aus dem Internet heruntergeladen und auf dem Firmencomputer installiert. Doch Open Source ist nicht per se kostenlos, hohe Schadenersatzforderungen können die Folge sein. Wichtig daher, sich mit den verschiedenen Lizenz-Formen auseinanderzusetzen.

Maschinenbau 2021/12: Informationssicherheitsprozesse

Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen.

Maschinenbau 2021/11: Forensik – Spurensicherung

Wurde ein erfolgreicher Cyber-Angriff auf ein Unternehmen verübt, gilt es Spuren zu sichern, um den Vorfall und das Vorgehen nachvollziehen zu können. Dabei gilt es einige Dinge zu beachten, um diese auch gerichtlich verwerten zu können (Beweismittel) und nicht Spuren zu zerstören. Hier kommt die IT-Forensik zum Einsatz.

Maschinenbau 2021/10: Was ist Kanban?

In der Software-Entwicklung sind agile Methoden schon viele Jahre bekannt und werden gelebt. Die Produktivität und die Arbeitszufriedenheit erhöhen sich. Die Qualität leidet dabei nicht und konnte sogar verbessert werden. Doch wie sieht das in der Informationssicherheit aus? Können auch hier agile Werkzeuge helfen, diese zu erhöhen?

Maschinenbau 2021/09: Revidierte Verordnung zum Datenschutzgesetz

Bereits viele Jahre wurde uns das neue Datenschutzgesetz versprochen. Immer wieder wurde es nach hinten verschoben. Nach vierjährigem Gesetzgebungsprozess wurde es Ende September 2020 vom Parlament verabschiedet. In Kraft ist es jedoch noch nicht, es fehlt die Verordnung dazu. In der Verordnung werden die Details geregelt.

KMU Wirtschaft Ausgabe 3/2021: Phishing als aktuelle und zunehmende Gefahr

Die Nachrichten über Phishing-Attacken sind zu einem ständigen Begleiter geworden. Beinahe jede Woche liest man neue Meldungen über E-Mail-Aufforderungen, seine Bank-, Paypal-, E-Mail- oder sonstige persönliche Angaben preiszugeben. Ein Klick auf den beiliegenden Link genügt und ein Formular ermöglicht die einfache Eingabe dieser Daten.

Maschinenbau 2021/08: SIEM – Protokollierung und Überwachung

Monitoringsysteme zur Überwachung der Verfügbarkeit und schneller Reaktion auf Probleme sind heutzutage bei allen Unternehmen im Einsatz. Systeme, die die IT-Sicherheit und Policy-Verletzungen überwachen, sind hingegen selten anzutreffen. Die ISO 27001 fordert im Kapitel A.12.4 «Protokollierung» entsprechende Vorgaben. Dieser Artikel gibt eine Einführung in das Thema SIEM und Protokollierung.

Maschinenbau 2021/07: ISO 22301 - Vorbereitung auf den Ernstfall

Wie schnell kann es passieren, und ein System fällt aus? Oder ein Hacker verschafft sich Zugriff auf das Firmen-Netzwerk und verschlüsselt alle Dateien? Oder ein Naturereignis zerstört Teile der Infrastruktur? Oder ein wichtiger Mitarbeitender fällt aus? Die Gründe für einen Unterbruch der (IT-)Dienstleistungen sind vielzählig. Daher ist es wichtig, sich bereits vor dem Eintreten eines solchen Ereignisses Gedanken zu machen und entsprechende Vorbereitungsmassnahmen zu treffen.

Maschinenbau 2021/06: Sicherheit in Cloud-Diensten

Um die Cloud führt heute praktisch kein Weg mehr vorbei. Viele Dienste laufen direkt in der Cloud oder nutzen Cloud-Speicher im Hintergrund. Oft werden auch schützenswerte oder sensitive Daten dem Cloud-Anbieter übergeben. Daher ist es wichtig, den richtigen Partner zu haben. Die ISO 27018 ermöglicht es dem Anbieter seinen Kunden zu zeigen, dass er sicher mit den anvertrauten Daten umgeht.

IT Magazine 2021/06: Penetration Tests und Vulnerability Scans

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Ein strukturiertes Vorgehen ist dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der eingesetzten IT-Mittel zu erhalten und diese in Vergleich zu setzen.

Maschinenbau 2021/05: Informationssicherheit messen

Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen.

Maschinenbau 2021/04: ISO 27002 – Die Informationssicherheit in neuem Gewand

Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die zwölfwöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.

Maschinenbau 2021/03: Audit – Planung und Durchführung

An ein Audit werden hohe Anforderungen gestellt. Es geht nicht darum, mal schnell zu schauen und einen Bericht zu erstellen, sondern das Audit stellt eine Qualitätskontrolle dar.

IT Magazine 2021/03: Informationssicherheit in neuem Gewand

Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die 12-wöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.

pdf

oder: Online 

Maschinenbau 2021/02: Cybercrime – kein Ende in Sicht

Ende Jahr schaut man gerne zurück, was war und blickt in die Zukunft, was kommt auf uns zu. Auch im Security-Bereich ist dies nicht anders. Ein Virus hat uns dabei in Atem gehalten. Nicht nur für den Menschen waren Viren eine Bedrohung, auch auf dem Computer wüten diese.

Maschinenbau Deutschland 2021/01: Der Security-Kreislauf

Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmäßig die konsequente Umsetzung der notwendigen Schritte. Der Beitrag zeigt, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne großen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden.

pdf

Maschinenbau 2021/01: Der Security Kreislauf

Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden.

Maschinenbau 2020/12: Genügend vorbereitet auf einen Notfall

Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welche Massnahmen zur Reduktion der Folgen ergriffen werden müssen.

pdf

BundesRUNDSCHAU 2/2020: Nachweisbarer Datenschutz

Seit August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt.

pdf

Maschinenbau 2020/11: Umsetzung eines ISMS

Viele Unternehmen sind daran ein Informationssicherheitssystem aufzubauen und damit die IT-Sicherheit nachhaltig zu erhöhen. Doch der Start stellt sich oft sehr harzig dar. Wo soll man nur beginnen? Welche Reihenfolge macht Sinn? Nur die ISO 27001 Norm zu lesen bietet zwar eine gute Übersicht und Einführung in die Thematik, doch was genau bei jedem Punkt verlangt wird, ist nicht immer auf den ersten Blick klar. Die ISO 27003 kann hier eine gute Unterstützung sein.

pdf

Maschinenbau 2020/10: ISO 27701 – Nachweisbarer Datenschutz?

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines». Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit also, sich genauer damit zu beschäftigen.

pdf

Maschinenbau 2020/09: Cloud - Sind meine Daten bei Microsoft auch geschützt?

Die Produkte von Microsoft sind sehr beliebt – sei es Office 365, SharePoint oder Teams. Doch auch weitere Tools wie der OneDrive oder Sway werden immer intensiver genutzt. Da ist es wichtig, sich auch mit dem Datenschutz auseinanderzusetzen.

pdf

SwissIT Magazin 9/20: ISO 27701 - Nachweisbarer Datenschutz?

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines».  Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit also, sich genauer damit zu beschäftigen.

IT-Security 4/20: Was bringt ein ISMS?

Täglich ist von neuen IT-Schwachstellen zu lesen. Angriffe auf Firmen und Privatpersonen haben ein neues Hoch erreicht und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. Der Aufbau und die Pflege eines Informations-Sicherheits-Management-Systems helfen, die zahlreichen Anforderungen und Wünsche zusammenzubringen und nachhaltig zu steuern.

Bern Wirtschaft 2/2020: Andreas Wisler durch eine Idee zum erfolgreichen Unternehmer.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Maschinenbau 2020/08: Patchen - Pflicht oder Kür?

Jeden Tag veröffentlichen die Hersteller von Hard- und Software Aktualisierungen. Ein Katz-und-Maus-Spiel gegen die Hacker. Wird eine Schwachstelle entdeckt, gilt es diese schnell zu schliessen, bevor diese angegriffen wird. Wer nicht umgehend seine Software aktualisiert hat, geht ein grosses Risiko ein. Dabei ist nicht nur Microsoft davon betroffen, sondern auch viele andere Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage: Muss das wirklich sein?

 pdf

Maschinenbau 2020/07: Sicherheitsvorfälle erkennen und behandeln

Tritt ein Notfall ein, gilt es schnell die richtigen Schritte einzuleiten. Es ist wichtig, dass alle involvierten Personen wissen, wie und an wen ein Vorfall gemeldet werden muss. Bevor wild losgelegt wird, gilt es die Umstände genauer anzuschauen.

 pdf

ICT Wirtschaft 2/2020: Andreas Wisler durch eine Idee zum erfolgreichen Unternehmer.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Maschinenbau 2020/06: Systeme überwachen - Vorbeugen vor dem Ereignis

Angriffe auf Systeme haben einen neuen Höchststand erreicht. Praktisch kein Tag vergeht, ohne eine Schlagzeile über ein gehacktes System oder gestohlene Daten. Diese Daten werden zur Informationsspionage verwendet, im Internet verkauft oder weitere Systeme angegriffen. Auch die Erpressung, zum Beispiel via Ransomware ist sehr beliebt bei den Hackern. Dabei wird das eigene System infiziert, alle Daten verschlüsselt und Lösegeld zur Wiederherstellung gefordert.

Luzerner Wirtschaft 2/2020: Andreas Wisler durch eine Idee zum erfolgreichen Unternehmer.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Maschinenbau 2020/05: Das IT-Sicherheitskonzept

Die Rahmenbedingungen für eine sichere IT-Umgebung bilden die IT-Strategie und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen verfügen über eine Strategie, jedoch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag zeigt, wie Sie ein IT-Sicherheitskonzept  planen und damit auch die Grundlagen für ein ISMS erstellen.

BundesRUNDSCHAU 1/2020: Home Office - aber sicher

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Auch nach der Pandemie wird das Home Office beliebt bleiben. Die Krise hat gezeigt, dass es auch von zu Hause gut arbeiten lässt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

KMU Wirtschaft 2/2020: Home Office - aber sicher

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Auch nach der Pandemie wird das Home Office beliebt bleiben. Die Krise hat gezeigt, dass es auch von zu Hause gut arbeiten lässt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Zürich Wirtschaft 2/2020: Andreas Wisler durch eine Idee zum erfolgreichen Unternehmer.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Basler Wirtschaft 2/2020: Andreas Wisler durch eine Idee zum erfolgreichen Unternehmer.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Maschinenbau 2020/04: Home Office - aber sicher

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Aber auch schon vorher (und danach) war das Remote Arbeiten sehr beliebt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Basler Wirtschaft 1/2020: Home Office - aber sicher

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Aber auch schon vorher (und danach) war das Remote Arbeiten sehr beliebt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Maschinenbau 2020/03: Die mobile Gefahr

Mit unseren Daten lässt sich viel Geld verdienen. Allein das «kostenlose» Facebook erzielt einen Quartalsgewinn von $ 2 Milliarden. Das Handy spielt dabei eine wichtige Rolle. Es ist zu einem ständigen Begleiter geworden.

ICT Wirtschaft 1/2020: Home Office - aber sicher

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Auch nach der Pandemie wird das Home Office beliebt bleiben. Die Krise hat gezeigt, dass es auch von zu Hause gut arbeiten lässt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

KMU Wirtschaft 1/2020: ISMS: Mehrwert oder Geldverschwendung

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Maschinenbau 2020/02: Lassen Sie sich nicht phishen

«Bite konto daten eingeben» So kennen wir Phishing E-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Internet-Gauner oft einen Schritt voraus sind. Nicht nur beim Erschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, korrektes Deutsch oder die persönliche Wohnadresse. Doch woher kommen all diese Informationen über Sie?

Zürich Wirtschaft 1/2020: ISMS - Mehrwert oder Geldverschwendung

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Maschinenbau 2020/01: Hilfe, meine Daten sind verschlüsselt

Plötzlich erscheint auf dem Bildschirm die Meldung «Deine Daten sind verschlüsselt, bezahle eine Anzahl Bitcoins und du kommst wieder an deine Daten». In diesem Moment ist der Schock gross. Oft so, dass es nicht mehr möglich ist, an die eigenen Daten zu kommen. Der Hilfeschrei ist laut: Wie komme ich wieder an meine Daten?

Maschinenbau 2019/12: Compliance – Einhalten von Gesetzen und Verträgen

Das letzte Kapitel der ISO-Norm A.18 beschreibt Anforderungen an die Richtlinienkonformität. Damit sollen Verstösse gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen mit Bezug auf Informationssicherheit und gegen jegliche Sicherheitsanforderungen vermieden werden.

Basler Wirtschaft : ISMS - Mehrwert oder Geldverschwendung

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

kmuRUNDSCHAU 4/2019: Sicherheit im Netz

DIE SCHUTZMAUER MIT DER FIREWALL

Jedes Unternehmen besitzt heutzutage eine Firewall, um sich vor den Angriffen aus dem Internet zu schützen. Heutige Firewalls können aber nicht nur den Netzwerkverkehr filtern, sondern bieten auch eine Vielzahl von weiteren Möglichkeiten. Doch einfach kaufen, einstecken, den Einrichtungs-Wizard durchführen und dann laufen lassen, genügt bei Weitem nicht. Eine Firewall benötigt regelmässige Beachtung.

Der Landbote: Hacker zielen auf die Schwachstelle Mensch

Die Hackerattacke auf das Seuzacher Alterszentrum im Geeren lässt aufhorchen. Doch was können Firmen unternehmen, um sich zu schützen? Eine Einordnung von zwei IT-Experten.

Maschinenbau 2019/11: BCM - auf den Notfall vorbereitet

Im Kapitel 17 dreht sich alles um das Kontinuitätsmanagement (Business Continuity Management). Vorbereitungen auf einen möglichen Notfall werden getroffen, um die negativen Folgen einzugrenzen und ein Überleben des Unternehmens sicherzustellen. Die Norm verlangt, dass die Informationssicherheit auch in einer Krisensituation gewährleistet bleibt.

energieRUNDSCHAU 2/2019: Die mobile Gefahr

Mit unseren Daten lässt sich viel Geld verdienen. Alleine das «kostenlose» Facebook erzielt einen Quartalsgewinn von 2 Milliarden US Dollar. Das Handy spielt dabei eine wichtige Rolle. Es ist zu einem ständigen Begleiter geworden. Egal ob beim Warten auf den Bus, unterwegs oder zu Hause, es ist immer bei uns. Auch den Sport, unseren Puls oder den Schlaf können damit aufgezeichnet werden. Doch wo lauern die Gefahren und was kann dagegen unternommen werden?

Maschinenbau 2019/10: Informationssicherheitsvorfälle

Vorfälle kommen in jedem Unternehmen vor. Sei dies durch eigene Personen, oft durch Unwissenheit oder durch externe Bedrohungen wie Hacker. Wichtig ist es, einen Vorfall schnell zu erkennen und die richtigen Schritte einzuleiten. Das Kapitel A.16 hat zum Ziel, «eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschliesslich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicherzustellen».

Luzerner Zeitung: Feuerwehr für heikle Daten

Heute startet das erste Schweizer Kompetenzzentrum für IT-Sicherheit.

Maschinenbau 2019/9: Sicherheit in Lieferantenbeziehungen

Für viele Systeme ist es heute unabdingbar, externe Unterstützung beizuziehen. Wenn diese dann auch Zugriff auf Firmenwerte haben, gilt es diese speziell zu schützen. Das Kapitel A.15 definiert daher das Ziel: Für Lieferanten zugängliche Werte des Unternehmens sind geschützt.

Maschinenbau 2019/8: Lebenszyklus von Systemen

Das 14. Kapitel hat sich das Ziel gesetzt, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informations­systemen ist. Es knüpft an die beiden Kapitel 12 (Betriebssicherheit, Maschinenbau 6/2019) und Kapitel 13 (Kommunikationssicherheit, Maschinenbau 7/2019) an und ergänzt diese optimal.

kmuRUNDSCHAU 3/2019: Patchen - Muss das sein?

Jeden Tag kann von neuen Schwachstellen in Software gelesen werden. Nur wenige Stunden später sind Hacker bereits daran, diese Lücken anzugreifen. wer bis dahin seine Software nicht aktualisiert hat, geht ein grosses Risiko ein. Dabei ist nicht nur Microsoft davon betroffen, sondern auch viele andere Produkte. eine aufwändige Arbeit für den Administrator. Da stellt sich oft die frage: Muss das sein?

 

ICT Wirtschaft Magazin : Angst im Unternehmen

Fast täglich erfahren wir von Hacker-Angriffen und von millionenfach gestohlenen Passwörtern. Schwachstellen in Computerprogrammen erhöhen die Wahrscheinlichkeit eines Angriffs, auch auf das eigene Unternehmen; und werden Updates nicht genügend schnell eingespielt, nimmt man unnötiges Risiko in Kauf.

Maschinenbau 2019/7: Kommunikationssicherheit

Das 13. Kapitel der ISO 27002 behandelt die Sicherheit in der Kommunikation. Das Ziel ist der Schutz von Information in Netzwerken und den unter­stützenden informationsverarbeitenden Einrichtungen sicherzustellen.

IT-Security 3/19 : Sichere Kommunikation

Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden. Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen.

Maschinenbau 2019/6: Betriebssicherheit

Das Kapitel A.12 der ISO-Norm behandelt alles rund um die ICT. Das Ziel ist dementsprechend einfach: «Der ordnungsgemässe und sichere Betrieb von informationsverarbeitenden Einrichtungen ist sichergestellt.»

BundesRUNDSCHAU 1/2019: Lassen Sie sich nicht phishen

«Bite konto daten eingeben» So kennen wir Phishing E-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Internet-Gauner oft einen Schritt voraus sind. Nicht nur beim Erschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, korrektes Deutsch oder die persönliche Wohnadresse. Doch woher kommen all diese Informationen über Sie?

Maschinenbau 2019/5: Physische Sicherheit

Einbrechen ist auch heute immer noch im Hoch. Eine Türe nicht richtig geschlossen, ein Fenster vergessen und schon bricht jemand ein und stiehlt etwas. Das Kapitel 11 beschäftigt sich daher mit den Themen «Physische und umgebungsbezogene Sicherheit». Das Ziel formuliert sich dement­sprechend: «Unbefugter Zutritt, die Beschädigung und die Beeinträchtigung von Information und informationsverarbeitenden Einrichtungen der Organisation sind verhindert.»

kmuRUNDSCHAU 2/2019: Der Teufel liegt im Detail

«Bitte Kontodaten eingeben.» So kennen wir Phishing-e-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Gauner des Internets uns meist einen Schritt voraus sind. Nicht nur beim eErschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, korrektes Deutsch oder die persönliche Wohnadresse. Doch woher kommen all diese persönlichen Informationen?

Maschinenbau 2019/4: Kryptografie

Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden.  Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen.

kmuRUNDSCHAU 2019/01: Safety First

Der Zugang zu Systemen, egal ob Computer, Laptop, Mobile Device oder Server, muss geregelt sein. Die ISO-Norm 27002 fordert dazu die Umsetzung von 14 Massnahmen. Dabei wird zwischen den Begrifflichkeiten Zutritt, Zugang und Zugriff unterschieden.

Maschinenbau 2019/3: Zugangssteuerung

Der Zugang an Systeme, egal ob Computer, Laptop, Mobile Device oder Server, muss geregelt sein. Das Ziel ist kurz, aber prägnant: Der Zugang zu Informationen und informationsverarbeitenden Einrichtungen ist eingeschränkt. Dies ist einfacher geschrieben als umgesetzt.

Maschinenbau 2019/2: Verwaltung der Werte

Jedes Unternehmen besitzt Werte (Englisch: Assets), die es zu schützen gilt. Das Kapitel A.8 nimmt sich diesem Thema an und verlangt, dass diese Werte identifiziert und angemessene Verantwortlichkeiten zum Schutz definiert  werden.

Maschinenbau 2019/1: Der Mensch im Fokus - Personalsicherheit

Im siebten Kapitel der ISO 27001 dreht sich alles um den Menschen. Dies beginnt für das Unternehmen bereits vor der Einstellung und endet, nachdem der Arbeitnehmende die Firma wieder verlassen hat.

Maschinenbau 2018/12: Interne Organisation - ohne Vorgaben läuft nichts

Nach der Informationssicherheitsleitlinie geht es nun um die interne Organisation der Informationssicherheit. Das Ziel ist in der Norm wie folgt beschrieben: «Ein Rahmenwerk für die Leitung, mit dem die Umsetzung der Informationssicherheit in der Organisation eingeleitet und gesteuert werden kann, ist eingerichtet.»

Geschäftsführer Bern: Spuren im Netz haben Folgen

Informationen sind das Gold der heutigen Zeit. Mit Informationen lässt sich viel Geld verdienen. Alleine Facebook hat im ersten Quartal 2018 einen Umsatz von knapp zwölf Milliarden US-Dollar. Man muss aber nicht nach Kalifornien schauen. Auch in der Schweiz sind solche Entwicklungen zu beobachten. Die verschiedenen Anbieter unternehmen viel, um an unsere Informationen zu gelangen. Das ist nicht ungefährlich.

 

kmuRUNDSCHAU 2018/04: Geldverschwendung oder Mehrwert?

Risikoabschätzung von Cyberbedrohungen - Jeden tag lässt sich von Angriffen und Schwachstellen lesen. Die Folgen für ein Unternehmen sind oft nicht abschätzbar. Soll durch ein Software-Update die Lücke geschlossen und dabei die Gefahr eingegangen werden, dass ein System nicht mehr läuft oder soll ein Unternehmen das Risiko eines Angriffs in Kauf nehmen?

Maschinenbau 2018/11: Informationssicherheitsrichtlinien

Nach dem Aufbau, dem Unterhalt und der stetigen Pflege des ISMS sind wir beim Anhang angelangt. Im ersten Teil (A.5) werden Anforderungen an Informationssicherheitsrichtlinien gestellt.

energieRUNDSCHAU 2/2018: DSGVO - Das Schreckgespenst ist da

Am 25. Mai 2018 war es nach einer zweijährigen Übergangsfrist soweit und die Datenschutz-Grundverordnung der EU trat in Kraft. Dieser Artikel zeigt, welchen Einfluss diese Verordnung für die Informationssicherheit hat.

Maschinenbau 2018/10: Betrieb, Bewertung, Verbesserung

Nachdem wir in den vorangehenden Teilen alles vorbereitet haben, folgen nun der Betrieb, die Bewertung sowie die stetige Verbesserung des ISMS. Gemäss dem bekannten Demingkreis wurde das «Plan» umgesetzt, als nächste Schritte folgen Do, Check und Act.

kmuRUNDSCHAU 2018/03: Der gläserne Mensch

Informationen sind das Gold der heutigen Zeit. Mit Informationen lässt sich viel Geld verdienen. Alleine Facebook hat im ersten Quartal 2018 einen Umsatz von knapp zwölf Milliarden US-Dollar. Man muss aber nicht nach Kalifornien schauen. auch in der Schweiz sind solche Entwicklungen zu beobachten. Die verschiedenen Anbieter
unternehmen viel, um an unsere Informationen zu gelangen. Das ist nicht ungefährlich.

pdf

Maschinenbau 2018/9: Ressourcen

Das Kapitel 7 der ISO 27001 befasst sich mit den Themen Ressourcen, Kompetenz, Bewusstsein, Kommunikation und Dokumentation.

Die Norm verlangt, dass die notwendigen Ressourcen auch zur Verfügung stehen. Es darf nicht nur ein Lippenbekenntnis sein, «wir betreiben ein ISMS», aber die notwendigen Ressourcen, die es dazu benötigt, werden nicht zur Verfügung gestellt. Oft reicht es zwar für den Aufbau des ISMS. Da sind alle noch begeistert. Sobald aber die Zertifizierung bestanden ist, wird es vernachlässigt. «Es läuft ja, wir müssen nun nicht mehr ständig etwas machen.»

bundesRUNDSCHAU 2018/02: DSGVO - Das Schreckgespenst ist da

Am 25. Mai 2018 war es nach einer zweijährigen Übergangsfrist soweit und die Datenschutz-Grundverordnung der EU trat in Kraft. Dieser Artikel zeigt, welchen Einfluss diese Verordnung für die Informationssicherheit hat.

pdf

Maschinenbau 2018/8: Risikomanagement

Kapitel 6 der ISO-Norm 27001 setzt sich mit der Planung auseinander. Der Schwerpunkt ist dabei der Umgang mit Risiken und Chancen. Die Norm verlangt, dass die im Kapitel 4.1 (Kontext) und 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) erkannten Anforderungen berücksichtigt werden. Daher ist es essenziell wichtig, die beiden Kapitel sauber durchzuarbeiten und möglichst genau das Unternehmen zu verstehen, inklusive aller Schnittstellen.

pdf

Maschinenbau 2018/7: DSGVO - Folgen für die Informationssicherheit

Am 25. Mai war es so weit und die Datenschutz-Grundverordnung der EU trat nach einer zweijährigen Übergangsfrist in Kraft. Dieser Blog-Artikel gibt einen Einblick auf die Folgen für die Informationssicherheit.

kmuRUNDSCHAU 2018/01: Datenverschlüsselung in der Praxis

Der Wunsch nach vertraulichkeit ist so alt wie die Menschheit selbst. schon früh hat sich der Mensch darüber gedanken gemacht, wie informationen sicher zwischen zwei stellen ausgetauscht werden können. heutzutage werden moderne algorithmen eingesetzt, um die sicherheit und die vertraulichkeit der nachrichten zu gewährleisten.

pdf

Maschinenbau 2018/6: Führung

Der dritte Teil geht auf das Normenkapitel 5 Führung ein. Es genügt nicht mehr, dass die Geschäftsleitung zwar den Auftrag gibt, aber nicht aktiv mitarbeitet und die Umsetzung nicht unterstützt. Im BSI 100-1 steht sogar: «Wenn Zielvorgaben aufgrund fehlender Ressourcen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt beziehungsweise die erforderlichen Ressourcen nicht bereitgestellt haben.» Dies zeigt klar, welche Verantwortung von der Führung erwartet wird.

pdf

Maschinenbau 2018/5: Kontext des Unternehmens

Der erste Artikel (erschienen in MB 4/18, Seite 30) dieser ISO-Reihe zeigte eine Übersicht über die ISO-Normen 27001 und 27002. Der zweite Teil geht auf das Kapitel 4 «Kontext des Unternehmens» ein. Mit diesem Punkt haben die Unternehmen erfahrungsgemäss am meisten Mühe. Da dies jedoch die Basis für alle weiteren Dokumente, Definitionen und Messpunkte darstellt, sollte genügend Zeit dafür reserviert werden.

pdf

Bundes-Rundschau: Erfolgreiche IT-Sicherheit geht alle an

Egal welche Informationssicherheitsstudie gelesen wird, immer wird der Mensch als schwächstes Glied der Schutzkette bezeichnet. Je nach Studie sind bis zu 90 % der Vorfälle die eigenen Mitarbeitenden.  Oft steckt gar keine Absicht dahinter, sondern Unwissenheit oder einfach nur Bequemlichkeit. Eine regelmässige Awareness hilft, mögliche erfolgreiche Angriffe zu reduzieren.

Maschinenbau 2018/4: Ausweis für Ihre Informationssicherheit

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheits-Framework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Datenschutz: Was geht mich das an?

Weltweiter Datenschutztag: Ich konnte für Roman Kmenta folgenden Artikel betreffend Datenschutz verfassen. Lesen Sie mehr hier.

energieRUNDSCHAU 2017/02: Erfolgreiche IT-Sicherheit geht alle an

Egal welche Informationssicherheitsstudie gelesen wird, immer wird der Mensch als schwächstes Glied der Schutzkette bezeichnet. Je nach Studie sind bis zu 90 % der Vorfälle die eigenen Mitarbeitenden. Oft steckt gar keine Absicht dahinter, sondern Unwissenheit oder einfach nur Bequemlichkeit. Eine regelmässige Awareness hilft, mögliche erfolgreiche Angriffe zu reduzieren.

pdf

Websicherheit: 10 Experten zur aktuellen Lage der Internet-Security

Ich konnte mich für die 1und1 Internet SE zur Verfügung stellen und einige Antworten zur aktuellen Lage der IT-Security geben, die den ein oder anderen aufrütteln werden. Unter folgendem Link finden Sie das Interview.

Netzwoche : Hacking Day 2017 bei Digicomp

Gesunder Menschenverstand schützt vor Malware. IT-Sicherheit ist Change Management. Und die Website von Youporn ist sicherer als die des Blicks. Drei Aussagen, die die Redaktion am Hacking Day bei Digicomp gehört hat.

Der Artikel ist hier zu finden.

kmuRUNDSCHAU 2016/04: Auf dem Radar - Sicherheitsstrategien in der Praxis

Erfahrungen aus IT-Security Audits gehen in ziemlich eindeutige Richtungen und lassen sich relativ schnell und einfach in praktische Massnahmen umsetzen.

pdf

bundesRUNDSCHAU 2016/01: Hilfe, meine Daten sind verschlüsselt!

Praktisch wöchentlich berichten diverse Medien über neue Varianten von Schädlingen, die die Festplatte beziehungsweise die vorhandenen Daten verschlüsseln. Oft so, dass es nicht mehr möglich ist, an die eigenen Daten zu kommen. Der Hilfeschrei ist laut: Wie komme ich wieder an meine Daten?

pdf

Blickpunkt KMU: Zehn Punkte zum Schutz vor Malware

Die Virenflut hat ein enormes Mass erreicht, unabhängige Stellen berichten von über 350 000 neuen Viren pro Tag. Es reicht heute nicht mehr aus, das Antivirenprogramm einmal in der Woche zu aktualisieren.

pdf

Digicomp: ISO 27001 - Die Zertifizierung für sichere Informationen

Praktisch jeden Tag hört man von neuen Schwachstellen, die auch aktiv genutzt werden. Im Internet herrscht Krieg, aber es geht nicht mehr um Ruhm und Ansehen, sondern um Geld, viel Geld. Dabei spielt es keine Rolle, ob es sich um ein kleines oder grosses Unternehmen handelt. Daher gilt es, den eigenen Schutz so hoch wie möglich zu halten.

Weiterlesen ...

Maschinenbau 2016/06: Security Audit

Fast täglich liest und hört man von Angriffen auf Firmen und Regierungen. Auch der Datendiebstahl bei kleinen und mittleren Unternehmen nimmt stetig zu. Gemäss aktuellem Report von Symantec sind es bereits 50 Prozent aller Angriffe, die auf KMU-Betriebe mit bis zu 2500 Mitarbeitern abzielen.

pdf

Maschinenbau 2016/04: Cloud – ein Sicherheitsrisiko?

Die Nutzung von Cloud ist allgegenwärtig. Praktisch kein Dienst kommt mehr ohne Nutzung einer Cloud aus. Doch was passiert dabei mit den Daten? Wie sicher sind diese?

pdf

Maschinenbau 2016/03: Phishing – allgegenwärtig und gefährlich

In den vergangenen Wochen konnte viel über Phishing-Angriffe gelesen werden. Mittels mehr oder weniger trivialen E-Mails versuchen die Angreifer an persönliche Informationen, vor allem aber an Zugangsdaten und Passwörter zu gelangen.

pdf

kmuRUNDSCHAU 2016/02: ISO 27001 - Ausweis für Ihre Informationssicherheit

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu, und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 ist ein Informationssicherheits-Framework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

pdf

kmuRUNDSCHAU 2016/01: Alles ist verloren - Hilfe, meine Daten sind verschlüsselt!

Praktisch wöchentlich berichten diverse Medien über neue Varianten von Schädlingen, die die Festplatte beziehungsweise die vorhandenen Daten verschlüsseln. Oft so, dass es nicht mehr möglich ist, an die eigenen Daten zu kommen. Der Hilfeschrei ist laut: Wie komme ich wieder an meine Daten?

pdf

IT-SECURITY 2016/1: Allgegenwärtig und äusserst gefährlich

In jüngster Zeit konnte viel über Phishing-Angriffe gelesen werden. Mit mehr oder weniger trivialen E-Mails versuchen die Angreifer an persönliche Informationen, vor allem aber an Zugangsdaten und Passwörter zu gelangen.

pdf

Maschinenbau 11/2015: Die Sicherheit erhöhen

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

pdf

energieRundschau: Wie helfen Penetration Tests die Sicherheit zu erhöhen?

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

pdf

UnternehmerZeitung: Im Netz der Hacker

CYBER-KRIMINALITÄT Angesichts der zunehmenden Überwachung sollten gerade auch Unternehmen ihre Exponiertheit nicht unterschätzen. Cyber-Kriminalität ist ein lukratives Geschäft. Der Hersteller von Antivirenprogrammen McAfee hat bereits vor einigen Jahren gemeldet, dass damit mehr Geld umgesetzt wird, als mit dem weltweiten Drogenhandel.

pdf

Südostschweiz: Cyberattacke auf Hotels schreckt Kongressort Davos auf

Hotels an Konferenzorten wie Davos könnten Ziel von Hackern werden. Dies speziell wegen dem World Economic Forum. Ein Angriff auf Hotels sei kein grosses Problem, erklärt ein IT-Sicherheitsexperte. Man nehme diese Sache extrem ernst und verhalte sich nicht blauäugig, heisst es bei der Davoser Tourismusorganisation, die schon Ziel von Attacken war.

pdf

kmuRUNDSCHAU 2015/03: Strategisches Vorgehen - Das IT-Sicherheitskonzept

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. Beide Dokumente sind von der Firmenstrategie abgeleitet.

pdf

Handelszeitung: Die unsichtbaren Kosten bei Kreditkarten

Cashless Für Kunden ist das Zahlen mit Karte sicherer als mit Bargeld. Dennoch kosten Betrugsfälle viel Geld – und die Branche schweigt darüber, wer am Ende zahlen muss. Unser Experte Herr Andreas Wisler nimmt Stellung dazu.

Link zum Artikel in der Handelzeitung.

kmuRUNDSCHAU 2015/02: Security Audit - Sicherheit strategisch aufgleisen

Fast täglich liest und hört man von Angriffen auf Firmen und Regierungen. Auch der Datendiebstahl bei kleinen und mittleren Unternehmen nimmt stetig zu. Gemäss aktuellem Report von Symantec sind es bereits 50 Przent aller Angriffe, die auf KMU-Betriebe zielen. Eine einzige Schwachstelle kann genügen, und die eigenen Daten sind in den falschen Händen. Es gibt aber Gegenstrategien, dem frühzeitig zu begegnen. 

pdf

INDUSTRIEMAGAZIN: Wie sieht meine IT-Strategie aus?

Die vergangenen Wochen haben gezeigt, das Interesse an Daten und Informationen ist ungebrochen hoch. Aber nicht nur staatliche Organisationen möchten an diese gelangen, sondern auch Hacker und Cracker möchten mit diesen Daten Geld verdienen. Daher ist es weiterhin wichtig, seine Informationen zu schützen und nicht den Kopf mit der Begründung «ich kann ja doch nichts machen» hängen zu lassen.

pdf

UnternehmerZeitung : Sichere Kommunikation

WIE VERSCHLÜSSLE ICH MEINE E-MAILS? E-Mails reisen heute durchs Internet wie früher Postkarten durch die Ämter: Jede Stelle zwischen Sender und Empfänger kann den Inhalt lesen. Die Verschlüsselung verhindert dies.

pdf

INFONEWS 2014/01, Erfahrungen aus 15 Jahren Audits

Seit 15 Jahren bietet die GO OUT Production GmbH produkteneutrale IT-Security Audits, Penetration Tests und Beratungen für eine Vielzahl von verschiedenen Unternehmen und öffentlichen Verwaltungen an. Zeit, einmal zurück zu blicken und einige Erfahrungen und Eindrücke aufzuzeigen.

Dieser INFONEWS 1/14 geht unter anderem auf folgende Themen ein:

  • Externe Sicht (Penetration Test)
  • Technische Umgebung (Quick Audit)
  • Organisatorische Sicht

pdf

INFONEWS 2013/03, NTLM - Sicherheit

NT LAN Manager (NTLM) ist ein Authentifizierungsverfahren, das eine Challenge-Response-Authentifizierung einsetzt und auf den meisten Microsoft Windows Rechnern aktiv ist.

Dieser INFONEWS 3/13 geht unter anderem auf folgende Themen ein:

  • Was ist NTLM und wie funktioniert die Challenge-Response-Authentifizierung?
  • Welche Angriffe gegen NTLM sind möglich?
  • Wie kann ich mich vor Angriffen gegen NTLM wirksam schützen?

pdf

kmuRundschau 2013/04 Ganzheitliche Betrachtung: Sicherheitslücken im Griff

Jenseits des medialen Getümmels um Datenskandale im Rahmen von Cyber Crime und Cyber War, stellt sich die Frage wie Unternehmensverantwortliche in ihrem betriebswirtschaftlichen Umfeld agieren sollen. Das Hauptaugenmerk sollte sich auf Schwachstellen in der Sicherheitsarchitektur richten, um Probleme zu entdecken und geeignete Massnahmen zur Behebung aufzuzeigen.

pdf

INFONEWS 2013/02, Rechnersicherheit

Die vergangenen Wochen haben gezeigt, dass der Schutz der eigenen Infrastruktur sehr wichtig ist. Im grossen Stil wurden (und werden) Regierungen, Firmen und Private überwacht. Auch in der Schweiz ist die Cyber-Kriminalität auf dem Vormarsch. Dieser INFONEWS zeigt, wie die Rechnersicherheit erhöht werden kann.

Dieser INFONEWS geht unter anderem auf folgende Themen ein:

  • Von welchen Komponenten hängt die Rechnersicherheit ab?
  • Wie kann die Software kontrolliert und aktuell gehalten werden?
  • Welche Schutzmöglichkeiten bietet Windows?

pdf

kmuRundschau 03/2013:«Das geht Unternehmen etwas an: Cyber-Kriminalität auf dem Vormarsch»

Aktuell können wir in jeder Tageszeitung über Datenskandale und Cyberangriffe von Geheimdiensten lesen. Nicht wenige Unternehmensverantwortliche wagen die These, dass sie davon nicht betroffenen sind. Diese hält der Realität jedoch nicht stand.

pdf

INFONEWS 2013/01, ITIL

In der IT-Branche begegnet jeder früher oder später dem Begriff ITIL. Es ist aber nicht einfach zu verstehen, was ITIL ist und was damit bezweckt wird. Mit diesem INFONEWS erhalten Sie einen Überblick und lernen einige Begrifflichkeiten (Buzzwords) kennen. Des Weiteren werden wichtige Schnittstellen zur IT-Sicherheit aufgezeigt und erklärt.

Dieser INFONEWS geht unter anderem auf folgende Themen ein:

  • Was ist ITIL?
  • Wie sieht der Service Lifecycle aus?
  • Was bringt ITIL der IT-Sicherheit?

pdf

Kommunikation | UZ 2012/5: «Industriespionage auch in der Schweiz»

Am 7. März fand zum siebten Mal der SwissSecurityDay, der nationale Tag der Computer-Sicherheit, statt. Ziel war es, die Bevölkerung für den sicheren Umgang etwa beim E-Banking und in Sozialen Netzwerken zu sensibilisieren. Im Interview zeigt Andreas Wisler die Handlungsmöglichkeiten von Unternehmen diesbezüglich auf.

pdf

INFONEWS 2012/02, Kryptologie

Die Anforderungen an die Vertraulichkeit und Integrität von Nachrichten werden immer grösser. Das Verschlüsseln und/oder Signieren von Nachrichten gewährleistet beide Anforderungen.

  • Wie funktionieren symmetrische und asymmetrische Verschlüsselung?
  • Wie funktionieren moderne Verschlüsselungsverfahren?
  • Wie wird eine eigene Certificate Authority betrieben?

pdf

INFONEWS 2012/01, Penetration Test

Die Angriffe gegen Unternehmen über das Internet haben massiv zugenommen. Der Penetration Test ist ein geeignetes Mittel, Schwachstellen frühzeitig zu erkennen und Massnahmen dagegen zu ergreifen. Dieser INFONEWS geht auf folgende Themen ein:

  • Wie ist ein typisches Vorgehen?
  • Welche Hilfsmittel werden eingesetzt?
  • Wie sehen mögliche Schwachstellen aus?

pdf

IT-Security 2012/2 Verschlüsselung – heute notwendiger denn je

Nachdem die Kryptologie früher fast ausschliesslich für das Militär eine Rolle spielte, findet sie heute immer mehr Zugang in zivilen Bereichen. Besonders im Internet ist die sichere Übertragung von Informationen (z.B. Passwörtern oder Kreditkartennummern)unerlässlich geworden.

pdf

Blickpunkt:KMU 2011/8: Notfallkonzept: Vorbereitet auf die IT-Panne

Montagmorgen, 5 Uhr. Der wichtigste Server der Firma steht still. In wenigen Stunden beginnen die ersten Mitarbeiter an zu arbeiten. Nun gilt es, genau und schrittweise vorzugehen. Ein Notfallkonzept kann hier die notwendige Unterstützung liefern.

pdf

Blickpunkt:KMU 2011/06: Mobile Security: Risiken erkennen, Massnahmen ableiten

Mobile Endgeräte sind aus dem heutigen Berufsleben nicht mehr wegzudenken. Vorallem Smartphones und Tablet PCs sind zu unverzichtbaren Arbeitsmitteln geworden. Das Telefonieren ist nicht mehr Hauptsache, sondern das Verwalten von Adressen und Terminen, Standard-Office-Anwendungen, Kommunikation über Email bis hin zu sicherheitskritischen Applikationen, beispielsweise für den Zugang zum Firmennetzwerk, Speicherung von Passwörtern, (Kunden-)Datenbanken, gehören zum Leistungsumfang aktueller Geräte.

pdf

Blickpunkt:KMU 2011/3: Scareware: Gefahr im Internet

In den letzten Wochen haben die Meldungen über Scareware stark zugenommen. Dabei wird versucht, dem Benutzer mit einer gefälschten Virenwarnung Angst zu machen und ihn zum Besuch einer Webseite oder zum Download einer Software zu bringen.

pdf

INFONEWS 2011/02, Malware

Die Gefahren und Varianten von Malware haben in den letzten Wochen massive Ausmasse erreicht. Täglich kommen ca. 2500 neue Schädlinge dazu. Daher ist es wichtig, sich geeignet dagegen zu wappnen. Dieser INFONEWS geht auf folgende Fragen ein:

  • Welche Arten von Malware gibt es?
  • Welche Massnahmen können ergriffen werden?
  • Wie verändert sich die Bedrohungslage in Zukunft?

pdf

maschinenbau 2011/02: Nationaler Tag der Computer-Sicherheit

Am 9. März ist es wieder soweit, der 6. SwissSecurityDay findet statt. Verschiedene Anlässe und Sensibilisierungsmassnahmen finden in der ganzen Schweiz statt. Das Schwerpunktthema in diesem Jahr ist der Umgang mit Social Media Plattformen wie Facebook. Fünf Schritte helfen dabei, die Computersicherheit auf einem hohen Niveau zu halten.

pdf

BlickPunkt KMU 2011/2: Personal Firewall: Auch unterwegs gut geschützt

In der Ausgabe 6/2010 wurde das Thema zentrale (Firmen-) Firewall näher beleuchtet. Aber nicht nur in einem Firmennetzwerk verhindert eine Firewall, dass Fremde auf den eigenen Rechner zugreifen können, auch Private müssen sich schützen.

pdf

INFONEWS 2011/01, Business Continuity Management

st es wirklich nötig, dass immer zuerst etwas passieren muss? Ein BCM hilft die kritischen Prozesse zu kennen sowie Strategien und Notfallpläne zur Begegnung möglicher Zwischenfälle zu erarbeiten. Dieser INFONEWS geht auf den Inhalt, das Vorgehen und erweiterte Möglichkeiten für die IT ein und beantwortet folgende Fragen:

  • Zahlt sich ein BCM aus?
  • Welche Schritte sind für die Einführung eines BCMs nötig?
  • Welche Möglichkeiten hat die IT?

pdf

Blickpunkt:KMU 2011/1: Fünf Schritte in Richtung Sicherheit

Das Internet ist zu einem bedeutenden Bestandteil unseres Alltags geworden. Diese fünf Schritte helfen dabei, die Computersicherheit auf einem hohen Niveau zu halten.

pdf

BlickPunkt KMU 2010/5: Notfallplan: Wenn der Bildschirm schwarz bleibt

In der Informatik ist eine grosse Vielfalt von Notfällen möglich. Je nach betroffenem Bereich ist man mit tragbaren oder mit kritischen Auswirkungen konfrontiert. Zu unterscheiden gilt es, welcher Notfall tatsächlich den Lebensnerv einer Unternehmung trifft. 

pdf

maschinenbau 2010/10: Sicherheit in der Cloud

Der Begriff «Cloud» (frei übersetzt: Rechnen in der Wolke) ist zu einem richtigen Hype geworden. Praktisch jeder spricht darüber, alle Zeitschriften berichten darüber. Dieser Artikel geht nicht auf die Cloud ein, sondern soll einige Facetten der IT-Sicherheit zeigen, die es zu beachten gibt.

pdf

BlickPunkt KMU 2010/4: Nutzen vs. Risiken: Sicherheit in der Cloud

Der Begriff «Cloud Computing» (frei übersetzt: Rechnen in der Wolke) ist zu einem richtigen Hype geworden. Praktisch jeder spricht darüber, alle Zeitschriften berichten darüber. Dieser Artikel geht nicht auf die Cloud ein, sondern soll einige Facetten der IT-Sicherheit zeigen, die es zu beachten gibt.

pdf

BlickPunkt KMU 2010/3: Gefährliche Lücken: Schwachstellen in Web-Applikationen

Die Betriebssysteme werden immer sicherer. Für Hacker wird es schwerer, über das Betriebssystem Zugriff auf einen fremden Rechner zu erlangen. Daher versuchen sie es über Schwachstellen in Webseiten. Dieser Artikel geht auf drei dieser Angriffe detaillierter ein: Scareware, SQL-Injection und XSS.

pdf

BlickPunkt KMU 2010/2: Spuren im Netz: Das Internet vergisst nichts!

Das Internet ist allgegenwärtig. Eine Email verschicken, den Einkauf erledigen, eine Telefonnummer suchen ...: Der Griff zur Tastatur oder dem Handy ermöglicht es, schnell an die gewünschten Informationen zu gelangen. Doch das vermeintlich anonyme Netzwerk ist es bei weitem nicht, jede Bewegung hinterlässt ihre Spuren.

pdf

INFONEWS 2010/02, Sicherheit in der Cloud

Das Thema Cloud Computing ist zu einem ständigen Begleiter geworden. Viele Firmen sind sich bereits am Überlegen, ob Sie ihre Daten auslagern möchten. Dieser INFONEWS geht näher auf die Sicherheitsaspekte der Cloud ein und beantwortet dabei folgende Fragen:

  • Welche Arten von Cloud-Diensten gibt es?
  • Welche Gefährdungen existieren in der Cloud?
  • Wie kann den Risiken begegnet werden?

pdf

BlickPunkt KMU 2010/1: Transportprotokoll IPv6: Schöne, neue Welt?

Seit einigen Jahren wird diskutiert, wann der Adressvorrat von IPv4 (Internet Protokoll, Version 4) zu Ende geht. Vor allem im asiatischen Raum ist die Situation sehr prekär. Schon lange steht der Nachfolger IPv6 in den Startlöchern. Jedoch konnte sich dieses Protokoll noch immer nicht auf breiter Front durchsetzen. Da aber dieses Kommunikationsprotokoll von immer mehr Soft- und Hardware unterstützt wird, ist es nur noch eine Frage der Zeit, bis es endlich den Durchbruch feiern kann. Dieser Artikel zeigt bereits jetzt, was IPv6 ist und wie es genutzt wird.

pdf

INFONEWS 2010/01, IT-Sicherheitsstandards

Die IT-Sicherheit nimmt einen immer wichtigeren Wert in einem Unternehmen ein. Dabei ist es wichtig, das Rad nicht neu zu erfinden, sondern auf bestehende Standards aufzubauen. Dieser INFONEWS bietet eine Übersicht über die IT-Sicherheitsstandards und beantwortet dabei folgende Fragen:

  • Welche IT-Sicherheitsstandards gibt es?
  • Welche Merkmale bieten diese?
  • Wie können diese Standards angewendet werden?

pdf

BlickPunkt KMU 2009/6: Active Directory: Windows-Netzwerk steuern und konfigurieren

Das Active Directory ist der zentrale Verzeichnisdienst in einem Windows-Netzwerk. Mit der Einführung von Windows Server 2008 wurde die Kernkomponente in «Active Directory Domain Services» (ADDS) umbenannt. Das Active Directory (AD) ermöglicht es, ein Netzwerk analog einer realen Struktur oder der räumlichen Verteilung zu gliedern. Im AD können verschiedene Objekte gegliedert und verwaltet werden. Dazu gehören beispielsweise Benutzer, Gruppen, Computer, Dienste, Freigaben und viele weitere Elemente.

pdf

BlickPunkt KMU 2009/5: Neues Betriebssystem: Windows 7 ist da!

Am 22. Oktober war es so weit: Die mit Spannung erwartete Version Windows 7 kam auf dem Markt. Die Werbetrommeln laufen bereits seit einigen Wochen auf Hochtouren. Nach Wunsch von Microsoft soll Windows 7 (endlich) das beliebte Windows XP ablösen. Dieser Beitrag geht nicht auf alle neuen Merkmale ein, sondern soll nur die neuen oder verbesserten Sicherheitsfunktionen zeigen.

pdf

maschinenbau 2009/08: CobiT

Im letzten Teil der IT-Normen widmen wir uns dem CobiT, IT Governance Institute, Control Objectives for Information and related Technology.

pdf

Kompass der IT-Sicherheitsstandards

Das Herzstück des Leitfadens, der Kompass der IT-Sicherheitsstandards, klassifiziert bekannte Standards sowie Standards für spezielle Sicherheitsfunktionen, so dass der Leser diese für sein Unternehmen bewerten und gegebenenfalls als relevant einschätzen kann. Im Kompass sind auch ausgewählte Vorschriften und Gesetze aufgeführt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wieder erwähnt werden. Auch diese
sind klassifiziert und können so auf ihre Relevanz überprüft werden. Nicht jeder Standard ist für jedes Unternehmen sinnvoll. Nähere Erläuterungen und Informationen zu den aufgeführten Standards und Vorschriften sind in den darauf folgenden Kapiteln zu finden.

Ich durfte hier den ISO 270xx Teil dazu beitragen.

pdf

BlickPunkt KMU 2009/4: COBIT: IT im Dienste der Unternehmensziele

Im letzten Teil der Serie über IT-Normen widmen wir uns CobiT (Control Objectives for Information and related Technology). CobiT wurde zur internen Kontrolle von verschiedenen Aspekten entwickelt. Mehrheitlich richtet es sich an Geschäftsführer, jedoch werden auch IT-Elemente stark fokussiert. Ohne IT ist eine Firma heute kaum mehr zu führen. Diesem Umstand wird Rechnung getragen.

pdf

INFONEWS 2009/03, Netzwerkzugriffsschutz

Der Zugriff auf das eigene Netzwerk sollte nur bestimmten Personen möglich sein. Zudem soll das Clientgerät aktuell und frei von schädlicher Software sein. Dieser INFONEWS zeigt, wie dies mit Windows Server 2008 gelöst werden kann und beantwortet dabei folgende Fragen:

  • Was ist NAP/NAC?
  • Wie kann damit das Netzwerk geschützt werden?
  • Wie kann das Client-Gerät überprüft werden?

pdf

maschinenbau 2009/07: ITIL – IT Infrastructure Library

Im letzten Beitrag haben wir uns dem ISO-Standard 27001 gewidmet. Diese Ausgabe bringt die IT Infrastructure Library, kurz ITIL etwas näher.

pdf

BlickPunkt KMU 2009/3: Zwischenfälle dank klarer Verantwortlichkeiten meistern

Im letzten Beitrag haben wir uns dem ISO Standard 27001 gewidmet, nun folgt die IT Infrastructure Library, kurz ITIL. Es handelt sich hierbei um eine Sammlung von Good Practices, die in einer Reihe von Publikationen eine mögliche Umsetzung eines IT Service Managements (ITSM) beschreibt und inzwischen als Defacto-Standard für Gestaltung, Implementierung sowie Management wesentlicher Steuerungsprozesse in der IT gilt.

pdf

maschinenbau 2009/06: Security Management auf Basis von ISO 27001

Informationssicherheit hat allgemein den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein.

pdf

INFONEWS 2009/02, Active Directory

Das Active Directory ist die zentrale Steuer- und Konfigurationsschnittstelle in einem Windows-Netzwerk. Praktisch alles kann darüber verwalten und konfiguriert werden. Daher ist die korrekte und sinnvolle Konfiguration sehr wichtig. Dieser INFONEWS geht dabei auf die verschiedenen Aspekte ein und beantwortet unter anderem die folgenden Fragen:

  • Aus welchen Bestandteilen besteht das AD?
  • Welche Konfigurationen sind möglich?
  • Wie funktionieren Gruppenrichtlinien?

pdf

maschinenbau 2009/05: Neue Gefahren mit VoIP

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu.

pdf

BlickPunkt KMU 2009/2: Security Management auf Basis von ISO 27001

Informationssicherheit hat allgemein den Schutz von Informationen als Ziel.

Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Vordringliches Ziel der Informationssicherheit ist der Schutz elektronisch gespeicherter Informationen und deren Verarbeitung, wobei stets die Vertraulichkeit, Integrität und Verfügbarkeit der unternehmenskritischen Daten zu gewährleisten ist.

pdf

maschinenbau 2009/04: IKS – Internes Kontrollsystem

Über ein Jahr ist es her, seit per 1. Januar 2008 die Gesetzgebung geändert wurde. IKS erhielt eine gewichtigere Bedeutung.Was bedeutet das für kleinere und mittlere Unternehmungen? Gibt es einen Einfluss auf die IT aus dem IKS oder beeinflusst die IT gar das IKS? Dieser Beitrag zeigt, was ein IKS ist und warum es hilft, die IT-Sicherheit zu erhöhen.

pdf

Schweizer Land und Leben, So funktioniert die Internet-Telefonie

Immer mehr telefonieren übers Internet.

Was für die Internettelefonie nötig ist, wie sie funktioniert und wo mögliche Gefahren liegen, zeigt dieser Beitrag.

pdf

INFONEWS 2009/01, Security Management nach ISO 27001

Schützen Sie ihre Unternehmensdaten mit einem Security Management auf Basis der ISO 2700x Standards. Dieser INFONEWS zeigt, was ISO 27001 ist und wie die Norm angewendet werden kann. 

  • Wie kann ISO 27001 die IT-Sicherheit erhöhen? 
  • Welche Schritte umfasst ISO 27001?
  • Wie hilft die Software |Q|SEC bei der Umsetzung?

pdf

maschinenbau 2009/02, Neue Gefahren mit VoIP

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu.

pdf

maschinenbau 2009/09: Überwachung von Netzwerk und Peripherie

Die IT Mitteln sind zu einem unverzichtbaren Hilfsmittel geworden. Fällt zum Beispiel das E-Mail aus, ist die Aufregung oft sehr gross. Für den Administrator ist es dabei nicht einfach, immer den Überblick über den Zustand der vorhandenen Mittel zu behalten.

pdf

BlickPunkt KMU 2009/1, Wie entsteht ein internes Kontrollsystem

Über ein Jahr ist es her, seit per 1. Januar 2008 die Gesetzgebung geändert wurde. Das interne Kontrollsystem (IKS) erhielt eine gewichtigere Bedeutung. Was bedeutet das für kleinere und mittlere Unternehmungen? Beeinflusst das IKS die IT – oder gar umgekehrt?

pdf

maschinenbau 2009/01, Schwachstellen in Windows-Systemen

Basierend auf dem Artikel aus der letzten Ausgabe des Maschinenbaus: «Der Penetration Test» wollen wir uns diesmal mit den möglichen Schwachstellen von Betriebssystemen und Web-Anwendungen auseinandersetzen. Sobald die vorgängig ausgeführten Untersuchungen Schwachstellen anzeigen, gilt es, diese genauer zu untersuchen.

pdf

infoweek: Standards zur Datensicherung

Die Sicherheit von Information ist heute zentral. Ein Weg dazu ist ein Security Management auf Basis der ISO 2700x Standards.

pdf

maschinenbau 2008/12, Wie helfen Penetration-Tests die Sicherheit zu erhöhen

Der Penetration-Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können.

pdf

maschinenbau 2008/10, Schutz der mobilen Geräte

Das mobile Gerät ist zu einem ständigen Begleiter geworden. Sei es nun ein Handy, ein Smartphone oder ein Notebook, die wichtigsten Daten sind immer mit dabei. Oft sind hier sehr vertrauliche Informationen gespeichert, die in den falschen Händen einen grossen Schaden verursachen könnten. Umso wichtiger ist der Schutz dieser Geräte.

pdf

Jahreshauptausgabe des maschinenbau - Das IT-Sicherheitskonzept

Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man zwar ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag zeigt, wie ein wirkungsvolles IT-Sicherheitskonzept geplant und erstellt wird.

pdf

Migros Magazin - WLAN

Die Dichte an öffentlich zugänglichen WLAN-Netzwerken, sogenannten Hotspots, nimmt stetig zu. Neben den vielen Vorteilen birgt der lokale kabellose Internetzugang aber auch einige Gefahren.

pdf

INFONEWS 2008/03, Internes Kontroll-System IKS

Auf den 1. Januar 2008 wurde die Gesetzgebung geändert. IKS erhielt eine gewichtigere Bedeutung. Was bedeutet das für kleinere und mittlere Unternehmungen? Gibt es einen Einfluss auf die IT aus dem IKS oder beeinflusst die IT gar das IKS? Der vorliegende INFONEWS soll diese und weitere Fragen klären. Dabei wird insbesondere auf den Zusammenhang zwischen IKS und IT eingegangen.

  • Was ist ein IKS und wer muss ein IKS umsetzen?
  • Welchen EInfluss hat das IKS auf die IT?
  • Welcher Zusammenhang besteht zwischen IKS und IT-Risiko?

pdf

maschinenbau 2008/8, Patchen - Muss das sein?

eden Tag werden neue Lücken in Software entdeckt. Nicht nur Microsoft ist davon betroffen, sondern auch viele anderen Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage, muss das sein?

pdf

INFONEWS 2008/02, Penetration Test

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

pdf

maschinenbau 2008/7, Backup - Lebensversicherung der Daten

In jedem Unternehmen fallen tagtäglich eine Vielzahl von Daten an. Der Verlust dieser kann weit reichende Konsequenzen haben. Aus diesem Grund gilt es, diese Daten sicher aufzubewahren und bei Bedarf wiederherzustellen.

pdf

Blickpunkt:KMU 4-5/2011: Netzwerksicherheit: Der optimale Serverraum

Der Serverraum stellt ein Schlüsselelement eines Netzwerkes dar. Darin werden die Server mit den oft sehr wichtigen und vertraulichen Daten untergebracht. Daher ist es wichtig, dass dieser auch optimal aufgebaut wird. 

pdf

BlickPunkt KMU 2008/6: Schutz der Schnittstellen: Keine Überraschungen durch den USB-Anschluss!

Wie der neueste Bericht der Melde- und Analysestelle Informationssicherheit MELANI des Bundes zeigt (http://www.melani.admin.ch), bleibt Industriespionage ein aktuelles Thema. Die Schweiz gilt immer noch als sehr innovatives Land mit vielen technologisch hochstehenden Entwicklungen. Diese Informationen sind auch für ausländische Firmen von grossem Interesse. Die vergangenen beiden Artikel haben gezeigt, wie Hacker vorgehen, um in ein Netzwerk einzudringen. Diese Ausgabe beleuchtet, wie die Schnittstellen eines Computers geschützt werden können, damit nicht via CD/DVD-Brenner oder den allgegenwärtigen USB-Ports Daten das eigene Unternehmen verlassen.

pdf

maschinenbau 2008/6, Vista, was bringt das neue Betriebssystem?

Vista ist nun mehr als ein Jahr auf dem Markt. Das erste Service Pack ist kürzlich erschienen. Gemäss Aussage von Microsoft wurden über 150 Mio. Exemplare davon verkauft. Grund genug, sich auch mit den Sicherheitsaspekten dieses Betriebssystems auseinander zu setzen.

pdf

IT-Security 2008/02, Penetration Test

Penetration Tests sind ein Mittel, um Fehlerquellen zu erkennen und die IT-Sicherheit zu erhöhen. Ein strukturiertes Vorgehen ist dabei wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten.

pdf

BlickPunkt KMU 2008/5: Schwachstellen erkennen

In Blickpunkt:KMU 3/2008 erklärte SicherheitsExperte Andreas Wisler das Prinzips des »kontrollierten Einbruchs« in ITSysteme zur Aufdeckung möglicher Schwachstellen von Betriebssystemen und Web-Anwendungen Doch was ist genau zu unternehmen, wenn solche Schwachstellen entdeckt wurden? Alles Notwendige finden Sie in diesem aktuellen Beitrag.

pdf

maschinenbau 2008/5, EMail-Sicherheit

E-Mail ist in der heutigen Zeit nicht mehr wegdenkbar. Es ist zu einem unverzichtbaren Hilfsmittel geworden. Schnell noch letzte geschäftliche Informationen austauschen, einen Termin abmachen, einen Tisch im Restaurant reservieren, mit Kollegen, Bekannten und Verwandten kommunizieren, usw

Dass dabei die Nachricht wie eine Postkarte versandt wird, ist oft nicht bekannt. Somit kann die E-Mail von allen Stationen zwischen Sender und Empfänger gelesen oder gar manipuliert werden!

Dieser Beitrag soll aufzeigen, wie E-Mails sicher übermittelt werden können.

pdf

BlickPunkt KMU 2008/4: Plattform für angewandte IT-Sicherheit

IT-Sicherheit muss ganzheitlich gelöst und durchgängig in sämtliche IT-Prozesse integriert werden. Ganz besonders, seit immer mehr Menschen von überall her und rund um die Uhr auf ein Firmennetzwerk zugreifen und immer mehr Firmen über das Internet sensitive Daten austauschen oder Web-Applikationen einsetzen.

pdf

BlickPunkt KMU 2008/3, Das eigene Netzwerk kritisch überprüfen

Die Sicherheit ist für ein Unternehmen von existentieller Bedeutung. Ohne den Schutzder eigenen Infrastruktur und der sensitivenDaten kann ein Unternehmen nicht mehrüberleben. Doch wie weiss eine Firma, obihre Sicherheitsvorkehrungen korrekt sind?

pdf

BlickPunkt KMU 2008/2: Kontrollierter Einbruch

Der Penetration Test ist ein Mittel, um mögliche Fehler in der IT-Infrastruktur zu erkennen und damit die Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

pdf

INFONEWS 2008/01, Vista / Windows Server 2008 – Was bringen die neuen Betriebssysteme?

Vista ist bereits über ein Jahr auf dem Markt, bald soll Windows Server 2008 folgen. Grund genug, sich auch mit den Sicherheitsaspekten der beiden Betriebssysteme auseinanderzusetzen. Obwohl die Verbreitung von Vista sehr schleppend vorwärtsgeht, kann sich das Zusammenspiel mit Windows Server 2008 lohnen. Dieser INFONEWS beschreibt kurz die neuen Funktionen, welche die Sicherheit erhöhen können.

  • Was bietet Windows Vista neu?
  • Was bringt Windows Server 2008?
  • Wie lässt sich mit diesen Produkten die Sicherheit erhöhen?

pdf

maschinenbau 2008/2, Wirksamer Schutz: Einsatz und Risiken von Wireless LAN

Die Anzahl von Wireless LAN Access Points nimmt ständig zu. Nicht nur in privaten Haushalten, sondern immer mehr auch in kleinen und mittleren Unternehmen können die kleinen Geräte entdecken werden. Sie ermöglichen schnell eine Verbindung ins eigene Netzwerk aufzubauen, ohne viele Kabel installieren zu müssen.

pdf

maschinenbau 2008/1, Einfluss von Basel II auf die Informatik

Durch verbesserte und automatisierte Abläufe schaffte Fischer Panda die Voraussetzungen, um die raschen Änderungen und die Komplexität in der Produktentwicklung zu beherrschen und das rasante Wachstum des Unternehmens zu bewältigen. Wichtig war dabei die Verbindung der technischen Systeme und der Warenwirtschaft.

pdf

BlickPunkt KMU 2008/1, Was bringen die neuen Betriebssysteme?

Vista ist nun bereits ein Jahr auf dem Markt. Gemäss Aussage von Microsoft wurden bereits über 150 Millionen Exemplare davon verkauft. Grund genug, sich auch mit den Sicherheitsaspekten dieses Betriebssystems auseinander zu setzen.

pdf

Migros-Magazin 2008/51, Achtung,Betrüger!

Die Antiviren-Software allein genügt nicht: Wer das Internet nutzt, muss Regeln beachten, um sich vor Viren und Hackern zu schützen.

pdf

maschinenbau 2007/12, Phishing – eine aktuelle und zunehmende Gefahr

Die Nachrichten über Phishing-Attacken sind zu einem ständigen Begleiter geworden. Beinahe jede Woche liest man neue Meldungen über E-Mail-Aufforderungen, seine Bank-, Ebay-, E-Mail- oder sonstige persönliche Angaben preiszugeben. Ein Klick auf den beiliegenden Link genügt und ein Formular ermöglicht die Eingabe dieser Daten. Der Richtlinientext 2006/42/EG kann unter http://eur-lex.europa.eu/ aufgerufen und in allen EU-Amtssprachen kostenlos heruntergeladen werden.

pdf

BlickPunkt KMU 2007/6: Lizenzmanagement: Ist Ihre Software lizenziert?

Eine Studie von KPMG aus dem Juni 2002 zeigt, dass es nicht gut um das Management von Software-Lizenzen steht. 40 Prozent der IT-Leiter schätzen das eigene Lizenzmanagement als verbesserungswürdig ein, 28 Prozent davon bewerten es sogar als schlecht. Auch heute ist dieses Thema in vielen Firmen weder gelöst noch angepackt. Alleine Microsoft geht davon aus, dass bei 95 Prozent der KMU die Anzahl der genutzten Lizenzen nicht mit den tatsächlich erworbenen Nutzungsrechten übereinstimmt.

pdf

BlickPunkt KMU 2007/5: Security unterwegs: Schutz der mobilen Geräte

Das mobile Gerät ist zu einem ständigen Begleiter geworden. Sei es nun ein Handy, ein Smartphone oder ein Notebook, die wichtigsten Daten sind immer mit dabei. Oft sind hier sehr vertrauliche Informationen gespeichert, die in den falschen Händen einen grossen Schaden verursachen könnten. Umso wichtiger ist der Schutz dieser Geräte.

pdf

Jahreshauptausgabe des maschinenbau - Empfehlungen und Normen im Bereich der IT-Sicherheit

Die IT-Sicherheit ist zu einem ständigen Thema geworden. Die Meinungen, wie etwas umzusetzen ist, gehen jedoch weit auseinander. Normen und Empfehlungen sollen helfen, im Dschungel der Möglichkeiten einen Wegweiser zu geben. Doch welche Norm ist denn nun die richtige? Dieser Artikel soll aufzeigen, welche Normen existieren und wie diese anzuwenden sind.

pdf

BlickPunkt KMU 2007/ 4, Schutz vor virtuellen Einbrechern

Was passiert in Ihrem Netzwerk? Wissen Sie aber alle Aktivitäten Bescheid? In Anbetracht des riesigen Datenaufkommens ist dies von Hand nicht mehr zu bewältigen. Intrusion Detection Systeme, kurz IDS genannt, untersuchen alle Datenpakete auf Manipulationen und geben bei Veränderungen Alarm.

pdf

BlickPunkt KMU 2007/3: Wissen Sie Bescheid? Normen und Empfehlungen im Bereich der IT-Sicherheit

Die IT-Sicherheit ist zu einem ständigen Thema geworden. Die Meinungen, wie etwas umzusetzen ist, gehen jedoch weit auseinander. Normen und Empfehlungen sollen helfen, im Dschungel der Möglichkeiten einen Wegweiser zu geben. Doch welche Norm ist denn nun die richtige? Dieser Artikel soll Ihnen aufzeigen, welche Normen existieren und wie diese anzuwenden sind.

pdf

BlickPunkt KMU 2007/2: E-Mail-Sicherheit: Wer liest ihre elektronische Post?

E-Mail ist in der heutigen Zeit nicht mehr wegdenkbar. Es ist zu einem unverzichtbaren Hilfsmittel geworden. Schnell noch letzte geschäftliche Informationen austauschen, einen Termin abmachen, einen Tisch im Restaurant reservieren, mit Kollegen, Bekannten und Verwandten kommunizieren: Die elektronische Post ist geschäftlich wie privat ein täglicher Begleiter.

pdf

BlickPunkt KMU 2007/ 1, IT-Sicherheit - Ein Rück- und Ausblick

Ein neues Jahr ist immer wieder ein beliebter Anlass zurückzublicken oder neue Pläne aufzustellen. In der IT ist dies nicht anders. Seit zwei Jahren finden Sie in jeder Blickpunkt:KMU-Ausgabe einen Fachbericht im Bereich der IT-Sicherheit. Haben Sie einen verpasst, können Sie diesen kostenlos auf der Website www.blickpunktkmu.ch herunterladen. Von „einfachen" Dingen wie der Aktualisierung der Systeme, der (über-) lebenswichtigen Sicherung der Daten bis hin zu organisatorischen Aspekten wie Basel II oder der Erstellung des IT-Sicherheitskonzeptes können Sie Grundlagen sowie Tipps und Tricks nachlesen.

pdf

BlickPunkt KMU 2006/06, Spyware – eine ernstzunehmende Gefahr?

Die richtigen Informationen zur richtigen Zeit ist ein sehr wertvolles Gut. Doch die Beschaffung dieser Informationen ist nicht einfach. Eine illegale Variante um an diese Informationen zu gelangen, ist Spyware.

pdf

IT-Security 2006/03, Neue Gefahren mit VoIP

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu.

pdf

BlickPunkt KMU 2006/05, Gefahr erkannt – Gefahr gebannt?

Die IT-Sicherheit wird immer mehr zu einem Thema. Auch kleinere und mittlere Unternehmen setzen sich mit diesen Fragen rund um die Sicherheit der IT auseinander. Der erste Schritt ist, sich in einem Konzept Gedanken zu machen, was wie und warum geschützt werden muss. Dieser Beitrag basiert auf dem Artikel „Das IT-Sicherheitskonzept" aus der Ausgabe 4/06 und soll Ihnen anhand eines Beispiels zeigen, wie ein solches Konzept für ein mittleres Unternehmen aussehen könnte.

pdf

BlickPunkt KMU 2006/04, Die drei „V“ im IT-Sicherheitskonzept

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag soll Ihnen zeigen, wie Sie ein IT-Sicherheitskonzept planen und erstellen.

pdf

BlickPunkt KMU 2006/03, Mobiler Zugriff, Segen und Gefahr

Bald sind sie wieder da, die warmen Tage mit viel Sonnenschein. Schnell den Laptop unter den Arm gepackt und ab an die Sonne. Mit VPN ist es ja kein Problem, auch vom Schwimmbad aus weiterzuarbeiten. Dass sich hier aber viele Gefahren tummeln, wird oft vernachlässigt.

pdf

 

INFONEWS 2006/02, VoIP – Voice over IP

VoIP ist zu einem Dauerthema geworden. Grund genug, sich mit der Sicherheit auseinanderzusetzen. Auf den nachfolgenden Seiten erfahren Sie alles über die Technik von VoIP (H.323, SIP) und alles was bei einem Missbrauch geschehen kann. Dabei werden die unterschiedlichsten Risiken und Sicherheitsaspekte wie Soziale Angriffe, Lauschangriffe, Gesprächskontrolle und Störungen beleuchtet.

  • Wie funktioniert VoIP?
  • Welche Gefahren birgt VoIP?
  • Wie kann VoIP gesichert werden?

pdf

BlickPunkt KMU 2006/02, Neue Gefahren mit VoIP?

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu, gegen die es sich zu schützen gilt.

pdf

BlickPunkt KMU 2006/01, Einfluss von Basel II

In diesen Tagen ist das Thema Basel II wieder aktueller als je zuvor. Per Ende 2006 werden die überarbeiteten Regelungen in Kraft treten. Grund genug, sich frühzeitig mit den Konsequenzen auseinander zu setzen.

pdf

INFONEWS 2006/01, Patchmanagement – Muss das sein?

Jeden Tag werden neue Lücken in Software entdeckt. Nicht nur Microsoft ist davon betroffen, sondern auch viele anderen Pro-dukte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage, muss das sein?

  • Welche Schäden können entstehen?
  • Wie werden Patches unterschieden?
  • Wie geht man vor?
  • Wie kann ich den Sicherheitsstand kontrollieren?
  • Wo kann ich mich informieren?

pdf

BlickPunkt KMU 2005/05, Patchen – muss das sein?

Jeden Tag werden neue Lücken in Software entdeckt und durch Patches behoben. Nicht nur Microsoft ist davon betroffen, sondern auch viele andere Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage, muss das sein?

pdf

BlickPunkt KMU 2005/04, Backup: Die Lebensversicherung der Daten

In jedem Unternehmen fallen tagtäglich eine Vielzahl von Daten an. Der Verlust dieser kann weit reichende Konsequenzen haben. Aus diesem Grund gilt es, diese Daten sicher aufzubewahren und bei Bedarf wiederherzustellen.

pdf

INFONEWS 2005/02, Einfluss von Basel II auf die Informatik

Ein festgelegtes Bewertungsverfahren (Raiting) bestimmt die Bonität eines Unternehmens. Dabei wird das Unternehmen in eine so genante Risikogruppen eingeteilt. Je höher das individuelle Risiko eines Unternehmens ist, umso mehr Eigenkapital muss das Unternehmen vorweisen, um die damit verbundene Kreditverzinsung kompensieren zu können. Schlimmstenfalls kann ein negatives Raiting sogar zur Verweigerung eines Kredites führen.

Sicherlich fragen Sie sich, was das alles mit der Informatik und Sicherheit zu tun hat? Ganz einfach, die IT ist heute ein wichtiger Bestandteil zur Informationsverwaltung und Prozesssteuerung. Es beginnt bei einer einfachen Adressverwaltung und endet in einer komplexen Workflow mit CRM, Lagerverwaltung und ERP.
In den kommenden Kapiteln erhalten Sie einen vereinfachten Einblick in den Aufbau von Basel II und dem Einfluss der IT in Basel II.

  • Was ist Basel II?
  • Wie funktioniert das Bewertungsverfahren?
  • Was muss beim Outsourcing beachtet werden?
  • Fazit für die IT?

pdf

IT-Security 2005/03, IT-Sicherheitskonzept - Ein Anwendungsbeispiel

Die IT-Sicherheit wird immer mehr zu einem Thema. Auch kleinere und mittlere Unternehmen setzen sich mit Fragen rund um die Sicherheit der IT auseinander. Der erste Schritt ist, sich in einem Konzept Gedanken zu machen, was wie und warum geschützt werden muss. Dieser Beitrag basiert auf dem Artikel «Das IT-Sicherheitskonzept » aus der Ausgabe 1/05 und soll anhand eines Beispieles zeigen, wie ein solches Konzept für ein mittleres Unternehmen aussehen könnte.

pdf

SicherheitsForum 2005/04, IT-Sicherheitskonzept

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag soll zeigen, wie ein IT-Sicherheitskonzept geplant und erstellt werden kann.

pdf

BlickPunkt KMU 2005/03, Phishing – eine aktuelle und zunehmende Gefahr

Die Nachrichten über Phishing-Attacken sind zu einem ständigen Begleiter geworden. Beinahe jede Woche liest man neue Meldungen über E-Mail- Aufforderungen, Bank-, Ebay-, E-Mail- oder sonstige persönliche Angaben preiszugeben. Ein Klick auf den beiliegenden Link genügt und ein Formular ermöglicht die Eingabe dieser Daten.

pdf

SysData 2005/03, Der mobile Arbeitsplatz – ein Sicherheitsrisiko

Das unkomplizierte Arbeiten von zuhause wird immer beliebter. Kleinere wie auch grössere Firmen nutzen die  Möglichkeit, ihreMitarbeiter von zuhause oder von unterwegs auf ihre Systeme zugreifen und Arbeiten erledigen  zu lassen. Die Verbindung geschieht dabei oft mittels VPN, da es schnell umgesetzt und kostengünstig ist. Doch der schnelle Zugang birgt einige Gefahren, die es nicht zu unterschätzen gilt. 

pdf

BlickPunkt KMU 2005/02, Einsatz und Risiken von Wireless LAN

Die Anzahl von Wireless LAN Access Points nimmt ständig zu. Nicht nur in privaten Haushalten, sondern immer mehr auch in kleinen und mittleren Unternehmen kann man die kleinen Geräte entdecken. Sie ermöglichen schnell eine Verbindung ins eigene Netzwerk aufzubauen, ohne viele Kabel installieren zu müssen.

pdf

INFONEWS 2005/01, Backup Strategie

Daten und Informationen sind die wichtigsten Elemente, um ein Unternehmen betreiben zu können. Seien dies nun Briefe, Offerten oder gar Verträge, alle diese Dokumente müssen Gesetzeswegen aufbewahrt werden oder aber für den Betrieb verfügbar sein. Neben den Interessen der Firma existieren auch diverse Vorschriften von Behörden. Die Buchhaltung zum Beispiel muss während zehn Jahren in unveränderbarem Zustand archiviert sein. Obwohl Speicher (Harddisk, SAN, NAS, etc.) immer billiger werden, lohnt es sich, ein Backup in traditioneller Weise zu machen. Neben der Systemsicherung sind auch die Daten der Laptops und der Handheld zu sichern.
Grund genug, sich mit diesem Thema Konzept und Vorgehen etwas genauer zu beschäftigen.

  • Welche Daten müssen gesichert werden?
  • Wie soll ein Backup durchgeführt werden?
  • Wann soll ein Backup durchgeführt werden?
  • Wie sollen Datenträger gelagert werden?
  • Wie wird ein Disaster-Recovery getestet?
  • Welche Kontrollen sind durchzuführen?

pdf

Netzguide E-Security 2005: Security Audits bringen

Durch ihre Vernetzung steigt die Verwundbarkeit von IT-Systemen sprunghaft an. Diesem Umstand gilt es auch im Hinblick auf die strengeren rechtlichen Rahmenbedingungen Rechnung zu tragen. Damit werden regelmässige Security Audits zur Pflicht.

pdf

BlickPunkt KMU 2005/01, Elektronische Signatur: Zwei Schlüssel bringen Sicherheit

Zu Beginn des Jahres ist ein neues und weithin beachtetes Gesetz in Kraft getreten, das „Bundesgesetz über die elektronische Signatur, ZertEs". Nun ist es beileibe keine bahnbrechende Neuerung, die digitale Kommunikation mittels elektronischer Signatur zu sichern – was genau ändert sich also durch das neue Gesetz?

pdf

IT-SecurityFocus 2005/01: Das IT-Sicherheitskonzept

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag soll Ihnen zeigen, wie Sie ein IT-Sicherheitskonzept planen und erstellen.

pdf

INFONEWS 2004/04, Wireless LAN

Der aktuelle INFONEWS befasst sich mit Thema „Wireless LAN“. Mit einem vertieften Einblick in den Aufbau und die Geschichte von WLAN zeigen wir Ihnen, wo und wieso Wireless LAN beim Thema Sicherheit anspruchvoll ist.

pdf

INFONEWS 2004/03, elektronische Signatur

Der aktuelle INFONEWS kümmert sich um das Thema „elektronische Signatur". Das Parlament hat das „Bundesgesetz über die elektronische Signatur, ZertES" bestätigt. Dieses Gesetz tritt auf den 1. Januar 2005 in Kraft. Grund genug, sich mit diesem Thema etwas genauer zu beschäftigen.

  • Bedeutung der elektronischen Signatur
  • Einführung in die Funktionsweise der elektronischen Signatur
  • Sichere elektronische Signatur
  • Technische Funktionsweise der elektronischen Signatur
  • Die technischen Details
  • Situation in der Schweiz
  • Schlussbemerkung
  • Eigene Zertifizierungsstelle

pdf

INFONEWS 2004/02, Unerwünschte Werbemails – Spam

Tagtäglich werden wir durch unerwünschte Emails gestört und verlieren Zeit für die wichtigen Emails. Unser INFONEWS 2/04 zeigt, woher Spam kommt und was Sie dagegen tun können.

Schwerpunkte:

  • Was müssen Sie über Spam wissen?
  • Was kann man gegen Spam tun?
  • Was tun, wenn man Spam erhält?
  • Wie sieht der Aufbau eines Emails aus?

pdf

INFONEWS 2004/01, Intrusion Detection System

Was passiert in Ihrem Netzwerk? Wissen Sie über alle Aktivitäten bescheid? In Anbetracht des riesigen Datenaufkommens ist dies von Hand nicht mehr zu bewältigen. Intrusion Detection Systeme, kurz IDS genannt, untersuchen alle Datenpakete auf Manipulationen und geben bei Veränderungen Alarm. Unser INFONEWS zeigt Ihnen Grundlagen und Möglichkeiten zum Einsatz von IDS auf.

pdf

INFONEWS 2003/03, Die Firewall - das zentrale Security-Element

Die Firewall ist das zentrale Netzwerkelement, um die Sicherheit für ein Unternehmen aus Sicht der IT sicherzustellen. Dabei wird diesem Element aber oft zu wenig Aufmerksamkeit geschenkt. Der Schutz ist nur so gut wie die Firewall bzw. deren Einrichtung. Die Firewall muss alles „böse" filtern und nur die „guten" Pakete in das Netzwerk hereinlassen. Dazu gibt es auf dem Markt eine Viel-zahl von Produkten, die die Wahl zur Qual machen. Diese INFONEWS helfen Ihnen, sich in diesem Dschungel zu Recht zu finden und eine optimale Konfiguration vorzunehmen

Schwerpunkte:

  • Die richtige Firewall?
  • Was macht eine Firewall?
  • Wie erstelle ich ein Firewall-Konzept?
  • Kontrolle und Penetration Test?

pdf

KMU-Business, Ausgabe ORBIT : Grosses Geschäft mit IT-Sicherheit

Dreissig Prozent der Schweizer Unternehmen führen keine Überprüfung ihrer Netzwerke durch. Ein weiterer drittel prüft die Infrastruktur nur sporadisch. Diese Marktlücke erschlossen haben sich drei ehemalige Studenten der Hochschule Winterthur - mit Erfolg.

PR in der Netzwoche Nr. 25

In der Netzwoche Nr. 25 konnte ein ausführlicher Gastbeitrag lanciert werden.

INFONEWS 2003/02, E-Mail-Sicherhiet

In diesem Newsletter finden Sie Antworten zu den folgenden Fragen:

  • Wie funktioniert der E-Mail-Transport?
  • Welche Risiken nehme ich in Kauf?
  • Wie mache ich E-Mails sicher?
    • PGP
    • Zertifikate (X.509)

pdf

KMU Spezial, Ausgabe August

Dass die Informatik für Alltagsanwender ab und zu ihre Tücken hat, ist eine Binsenwahrheit. Das es heute aber angezeigt ist, bezüglich IT Sicherheit von betrieblichen Informatikanwendungen von eigentlichen Bedrohungsszenarien auszugehenden, dafür fehlt oft noch das Verständnis.

 

INFONEWS 2003/01, IT-Sicherheit

In diesem Newsletter finden Sie Antworten zu den folgenden Fragen:

  • IT-Sicherheit: Was bedeutet dies für mein Unternehmen
  • Was sind Patches?
  • Wieso werden immer neue Software-Lücken bekannt?
  • Woher bekomme ich Sicherheits-Informationen?
  • Was muss ich im Zusammenhang mit Patches beachten?

pdf