Mitte November 2024 wurden von Open Web Application Security Project (OWASP) die Top 10 Sicherheitsrisiken für KI-Sprachmodelle 2025 heraus- gegeben. Diese Risiken adressieren bekannte, aber auch neue Punkte, die es einzuhalten gilt. Werden bereits im Vorfeld Massnahmen ergriffen, können diese Modelle manipulationssicher betrieben werden.

Mit der fortschreitenden Entwicklung in der IT kommen nicht nur neue Chancen, sondern auch erhöhte Risiken, insbesondere im Bereich der IT-Sicherheit und operativen Resilienz. Um diesen Herausforderungen zu begegnen, hat die Europäische Union die Digital Operational Resilience Act (DORA) verabschiedet.

Am 10. Oktober 2024 wurde von der EU der Cyber Resilience Act verabschiedet. Diese Verordnung dient der Erhöhung der Cybersicherheit von Produkten mit einer digitalen Komponente, um Verbraucherinnen, Verbraucher und Unternehmen besser zu schützen.

Bei unserem eigenen Zertifizierungsaudit stiessen wir auf ein Zertifikat, das auf den ersten Blick überzeugend aussah: «ISO 27001 zertifiziert durch Firma XY». Doch bei genauerer Betrachtung handelte es sich um ein fragwürdiges Angebot, das nicht den strengen Anforderungen einer ISO-Zertifizierung entspricht. Warum ist also ein Zertifikat nicht gleich ein Zertifikat? Und welche Risiken bergen diese vermeintlich günstigen Angebote?

In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen.

Die Digitalisierung bringt nicht nur Vorteile mit sich, sondern auch neue Gefahren. Der Sicherheitsbedarf in der Informations- und Kommunikationstechnologie (IKT) nimmt zu. Unternehmen und Organisationen müssen sich vor den zunehmenden Gefahren durch Cyberangriffe schützen.

IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle, wie eine Art Kompass bieten sie eine Struktur und eine Erhöhung der Informationssicherheit. Aber was geschieht, wenn ein Segen zu einem Fluch wird? Eine schiere Überflutung an Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich.

IT-Standards spielen in der heutigen komplexen Welt eine entscheidende Rolle. Sie führen uns an, sorgen für Struktur und bieten eine gesteigerte Schutzgarantie. Aber was geschieht, wenn ein Segen zum Fluch wird? Eine schiere Überflutung mit Standards droht uns zu ertränken, anstatt uns zu helfen – genau das erleben wir derzeit im IT-Sicherheitsbereich.

Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: «Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein». Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSCM).

Verschiedene Statistiken zeigen, dass zwischen einem erfolgreichen Einbruch in ein Computer-Netzwerk, bis zum Entstehen eines Schadens, zum Beispiel durch Datendiebstahl oder Ransomware, zwischen zwei Wochen und drei Monaten liegen.

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkeit von sensiblen Informationen innerhalb der Lieferkette der Automobilindustrie sicherzustellen. Am 3. April 2024 wurde die Version 6.0.2 veröffentlicht.

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit, speziell entwickelt für die Automobilindustrie. Er basiert auf den Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment), welcher wiederum auf dem internationalen Standard ISO/IEC 27001 aufbaut. Das Ziel von TISAX ist es, einen einheitlichen Sicherheitsstandard zu schaffen, um den Schutz und die Vertraulichkeit von sensiblen Informationen innerhalb der Lieferkette der Automobilindustrie sicherzustellen. Am 3. April 2024 wurde die Version 6.0.2 veröffentlicht. Der richtige Zeitpunkt, genauer in das umfassende Dokument zu schauen.

Viele KMU würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung beziehungsweise bedeuten einen riesigen Aufwand zur Umsetzung.

Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS). Ende 2023 kam die neue Version des Standards heraus.

Schwachstellen kommen in praktisch jeder Software vor. Diese werden durch professionelle Penetration Tester, aber auch interessierten Informatiker gefunden (sogenannte Ethical Hacker). Doch wie sollen diese Schwächen gemeldet werden, damit sie geschlossen werden können? Mit dem Coordinated Vulnerability Disclosure (CVD) stehen ein Verfahren zur Meldung von Schwachstellen zur Verfügung.

Der Super-GAU: alle Daten sind verschlüsselt, auf dem Bildschirm steht eine Meldung, dass nur gegen Bezahlung eines Lösegelds die Daten wieder hergestellt werden können. Die Gefahr, Opfer von einem solchen Angriff zu werden, ist zu einem ständigen Begleiter geworden. Fast täglich kann von einem erfolgreichen Angriff gelesen werden.

Die EU-Richtlinie NIS 2 ersetzt die Vorgängerversion, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt. Die Verschärfung wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern.

In der heutigen Zeit können Daten, beziehungsweise die Informationen darin, als wichtige Währung angeschaut werden. Praktisch überall fallen Daten an. Bei der Datenanalyse geht es darum, Daten in Erkenntnisse für bessere Geschäftsentscheidungen umzuwandeln.

Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden.

Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden.

Letzten Oktober wurde die ISO 22361 veröffentlicht. Sie bietet die Basis für das Krisenmanagement, welches für Firmen jeglicher Grösse gedacht ist. Die neue Norm beschreibt nicht nur das Krisenmanagement, sondern auch Ereignisse, beschreibt die Aufbauorganisation, die  strategische Entscheidungsfindung wie auch die Führung in der Krise. Weiter ermöglicht es internen und externen Auditoren die Prüfung dieser Prozesse. Werfen wir zusammen einen tieferen Blick in die Norm.

Wer mich kennt, weiss, dass mich selten etwas aus der Fassung bringt. Aber was da bei Microsoft passiert ist, macht mich sauer. Sinnbildlich mit dem Briefkastenschlüssel konnte das Schloss der Atombombe geöffnet werden. Oder etwas genauer: mit einem einfachen Zertifikat konnten alle anderen verschlüsselten Daten lesbar gemacht werden. Betroffen waren gemäss ersten Ergebnissen vor allem Regierungsdaten in der Microsoft Government Cloud. Doch das weiss niemand so genau. Dass diese Schwachstelle auch für Microsoft als Hintertüre (Backdoor) genutzt wurde, wäre denkbar. Das Vertrauen in Microsoft ist auf jeden Fall weg.

https://schweizer-wirtschaft.com/2023/09/echt-jetzt-microsoft/

https://issuu.com/schweizerfachmedien/docs/schweizer_wirtschaft_01_2023

In den letzten Jahrzehnten hat sich KI zu einer treibenden Kraft in der digitalen Transformation entwickelt. Unternehmen und Organisationen setzen vermehrt KI-Technologien ein, um ihre Abläufe zu optimieren und Erkenntnisse aus ihren Daten zu gewinnen. Während die Möglichkeiten von KI beeindruckend sind, birgt diese Technologie auch Risiken im Hinblick auf die Informationssicherheit.

Die Schweiz nutzt die Chancen der Digitalisierung und mindert Cyberbedrohungen und deren Auswirkungen durch geeignete Schutzmassnahmen. Sie gehört zu den weltweit führenden Wissens-, Bildungs- und Innovationsstandorten in der Cybersicherheit. Die Handlungsfähigkeit und die Integrität ihrer Bevölkerung, ihrer Wirtschaft, ihrer Behörden und der in der Schweiz ansässigen internationalen Organisationen gegenüber Cyberbedrohungen sind gewährleistet. Doch wie möchte der Bund diese Vision erreichen? Im April 2023 wurde die neue nationale Cyberstrategie veröffentlicht. Zeit also, genauer in diese zu schauen.

Jeden Monat werden tausende von Kennwörtern bei Hacker-Angriffen gestohlen. Zudem verwenden immer noch viele Menschen schlechte Kennwörter. Das Beliebteste ist noch immer 123456, gefolgt von password oder hallo. Wenn das gleiche Kennwort noch für diverse Zugänge genutzt wird, wird es gefährlich. Doch es gibt inzwischen Alternativen.

Interviewbeitrag

Die IGSU-Botschafter-Teams sorgten am Winterthur Marathon dafür, dass der Abfall nicht auf der Strecke blieb: Gemeinsam mit den Trash Heroes aus lokalen Schulklassen haben sie im Start- und Zielgelände für die Littering-Problematik sensibilisiert und sowohl Läufer als auch Zuschauende dafür motiviert, ihre Abfälle korrekt zu entsorgen.

In unserer April-Ausgabe haben wir uns um die Anforderungen an Zertifizierungsstellen gekümmert (beschrieben in der ISO 27006). Begleitend dazu gibt es die ISO 27007, zuletzt im Jahr 2022 aktualisiert, die zeigt, wie ein ISMS-Audit durchgeführt werden soll. Das Dokument gibt eine Anleitung für alle Grössen und Arten von Organisationen, die ISMS-Audits durchführen müssen/wollen, unabhängig davon, ob es sich um einen oder mehrere Auditoren handelt.

Aktuell suchen viele Firmen nach einem CISO. Doch was wird genau unter CISO verstanden? Und was macht ein IT-Sicherheitsbeauftragter (IT-SiBe)? Dieser Beitrag zeigt auf, was die Unterschiede zwischen einem CISO und einem IT-SiBe sind, warum es beide benötigt und wie diese Funktionen in ein Unternehmen integriert werden können.

Praktisch jeden Tag kann von Cyberangriffen gelesen werden: «Tausende Zugangsdaten gestohlen und im Internet verfügbar». Auch die gefundenen Schwachstellen in diversen Programmen haben einen neuen Höchstwert erreicht.

Der Hauptzweck für ein Unternehmen ist, dass die Informationen zur richtigen Zeit, in der richtigen Qualität, am richtigen Ort und der richtigen Person zur Verfügung stehen.

Daher ist es wichtig, dass die Informationssicherheit heute zuoberst auf der Prioritätenliste weitsichtiger KMU-Führungskräfte steht. In allen Betrieben spielt Information eine entscheidende Rolle, und diese gilt es zu schützen.

Dieses Buch zeigt die wichtigsten Punkte, die beachtet werden müssen.

Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, usw. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherheitskontrollen für das gesamte System anzuwenden und aufrechtzuerhalten. Ende Juni 2022 wurde die ISO 27400 veröffentlicht, welche die IoT-Sicherheit und den Datenschutz adressiert.

Während die ISO 27001 die Anforderungen an das Informationssicherheitsmanagementsystems eines Unternehmens definiert, gibt die ISO 27006 die Anforderungen an die Zertifizierungsstellen vor. Doch nicht nur für diese ist ein Blick in die Norm spannend.

Potrait von mir

Ob ein Unternehmen zur Zielscheibe für Hacker wird, hängt nicht von dessen Grösse ab, sondern auch von den Sicherheitsmassnahmen. Sind diese schwach, haben die Angreifer leichtes Spiel. Dieser Tatsache sind sich viele kleine und mittelständische Unternehmen jedoch nicht bewusst. Als fester Bestandteil einer umfassenden Security-Strategie hätten sie mit Incident Response ein Werkzeug für den Ernstfall an der Hand.

Im Oktober 2022 war es nach neun Jahren so weit, die ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben aber die elf neuen Controls in Anhang A. Zeit also, genauer auf die Norm einzugehen.

Ende Oktober 2022 wurde nach fast neun Jahren die ISO 27001 in einer aktualisierten Form herausgegeben. Während sich beim Informationssicherheits-Managementsystem (ISMS) nur wenig verändert hat, wurde der Anhang komplett überarbeitet. Anstelle 14 Kapiteln sind es nur noch deren vier. Bis anhin waren es 114 Massnahmen, elf kamen dazu und eine einzige wurde gestrichen, sind es neu 93. Falls Sie jetzt das Gefühl haben, der Autor könne nicht rechnen. Doch kann er. Einige Massnahmen wurden sinnvoll zusammengefasst.

Ende Oktober war es nach einigen Verzögerungen so weit, die neue ISO 27001:2022 wurde veröffentlicht. Vorneweg, es hat sich inhaltlich nicht sehr viel geändert. Eine grosse Tragweite haben lediglich die Controls in Anhang A. Trotzdem ist es Zeit, genauer auf die Änderungen und das weitere Vorgehen einzugehen.

Im jährlich durchgeführten Allianz Risk Barometer gab es in diesem Jahr eine Verschiebung. Neu sind Cyber-Risiken auf dem ersten Platz gelandet. Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie, die alle Unternehmen beschäftigt hat. Um diesen Risiken begegnen zu können, ist das Management dieser unumgänglich. ISO 27005 ist hier ein gutes Werkzeug, das schrittweise durch den Prozess führt.

Cybersicherheit ist heutzutage ein Schlagwort geworden. Es reicht nicht mehr IT-Sicherheit oder Informationssicherheit umzusetzen, sondern die Gesamtheit wird mit Cyber adressiert. Bereits 2012 wurde von ISO eine Norm genau zu diesem Thema veröffentlicht. Zeit also, diese etwas genauer zu betrachten.

Für alle Unternehmen, die mit Kreditkarten in Berührung (Verarbeiten oder Speichern) kommen, müssen die Anforderungen aus der PCI DSS (Payment Card Industry Data Security Standard) umgesetzt werden. Hinter dem Standard stehen die Kreditkartenunternehmen, aber auch viele Banken und Zahlungsdienstleister. Am 31. März 2022 wurde die neue Version 4.0 nach über neun Jahren Abstand seit dem letzten Major-Release veröffentlicht. Verbindlich wird diese für die Unternehmen aber erst per 31. März 2025.

Die ISO 27099 wurde im Dezember 2016 veröffentlicht. Sie ist aktuell nur in Englisch verfügbar und trägt den offiziellen Titel «Health informatics – Information security management in health using ISO/IEC 27002 (ISO 27799:2016)», auf Deutsch Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002. Wie im Titel ersichtlich ist, basiert diese Norm auf der ISO 27002 (aus dem Jahr 2013). Doch warum schreibe ich in einer technischen Fachzeitschrift über eine
Norm im Gesundheitswesen? Beim genauen Hinschauen verstecken sich einige interessante Punkte, die jedes Unternehmen prüfen sollte.

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit und Wissen. Die ISO 27001 ist dazu der Standard, der als Referenz dient. Der erste Teil der Norm beschreibt den Aufbau des ISMS. Darin enthalten sind der Kontext, die Ressourcen, die Risiko-Bewertung, Audits und Verbesserungen. Ergänzt kommen 114 (Version 2013) beziehungsweise 93 Massnahmen (Version 2022) dazu.

In den vergangenen Folgen haben wir sehr viel über die Anforderungen an ein Informationssicherheitsmanagementsystems (kurz ISMS) kennengelernt. Wie die Umsetzung aussieht, wie man idealerweise vorgeht, fehlt aber komplett. Hier können die Standards 200-x des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) helfen.

Das Cybersecurity Framework (CSF) des NIST (National Institute of Standards and Technology) ist ein Leitfaden, der Unternehmen hilft, die Risiken in der Informationssicherheit zu erfassen und zu verwalten. Bestehende Standards, Richtlinien und Praktiken werden darin referenziert.

Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravieren- den Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Auditoren prüfen, ob das ISMS auch das tut, was definiert wurde. Doch bis dahin ist es ein weiter Weg.

Wenn Sie diese Zeilen lesen, ist sie da, die neue Ausgabe der ISO 27002. Bei den ISO-Normen hat sich ein Zyklus von ca. fünf bis acht Jahren etabliert. Während die Anforderungen an das ISMS (ISO 27001) unverändert bleiben, hat sich bei den sogenannten Controls einiges getan. Dieser Artikel zeigt, was Sie erwartet und wie Sie die Veränderungen umsetzen können. Sollten Sie noch kein ISMS aufgebaut haben, können Sie direkt mit der neuen Ausgabe starten.

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Herausforderung. Zum Beispiel wird gerne für das Risiko Management Excel verwendet.

Stefan Hofmann zählt zu den 50 Menschen mit Beeinträchtigung, die am Winterthurer Marathon starten.

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Im Juli 2021 folgte dann die offizielle deutsche Version der Datenschutz-Norm. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offizielle Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines». Obwohl die Norm schon zwei Jahre verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit als, sich genauer damit zu beschäftigen.

Vor einigen Monaten durfte ich für eine mittelgrosse Krankenkasse ein Mandat als IT-Sicherheitsbeauftragter (kurz IT-SiBe) übernehmen. Wie meistens gibt es beim Start viel zu tun und viele Entscheidungen zu treffen. Bei den Entscheidungen über die Sicherheit ist es wichtig, wie diese Rolle organisatorisch in das Unternehmen eingebunden ist. Ist diese zu tief oder gar an der falschen Stelle angehängt, kann es sein, dass die Wege lange sind oder Informationen verloren gehen. Sind dann noch verschiedene Meinungen vorhanden, wird es schwierig. Hier kann ein CISO eine gute Lösung sein. Dieser Beitrag zeigt auf, was die Unterschiede zwischen einem CISO und einem IT-SiBe sind, warum es beide benötigt und wie diese Funktionen in ein Unternehmen integriert werden können.

In vielen Unternehmen wird auf Open Source Software zurückgegriffen. Vermeintlich kostenlos wird die gewünschte Anwendung aus dem Internet heruntergeladen und auf dem Firmencomputer installiert. Doch Open Source ist nicht per se kostenlos, hohe Schadenersatzforderungen können die Folge sein. Wichtig daher, sich mit den verschiedenen Lizenz-Formen auseinanderzusetzen.

Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen.

Wurde ein erfolgreicher Cyber-Angriff auf ein Unternehmen verübt, gilt es Spuren zu sichern, um den Vorfall und das Vorgehen nachvollziehen zu können. Dabei gilt es einige Dinge zu beachten, um diese auch gerichtlich verwerten zu können (Beweismittel) und nicht Spuren zu zerstören. Hier kommt die IT-Forensik zum Einsatz.

In der Software-Entwicklung sind agile Methoden schon viele Jahre bekannt und werden gelebt. Die Produktivität und die Arbeitszufriedenheit erhöhen sich. Die Qualität leidet dabei nicht und konnte sogar verbessert werden. Doch wie sieht das in der Informationssicherheit aus? Können auch hier agile Werkzeuge helfen, diese zu erhöhen?

Bereits viele Jahre wurde uns das neue Datenschutzgesetz versprochen. Immer wieder wurde es nach hinten verschoben. Nach vierjährigem Gesetzgebungsprozess wurde es Ende September 2020 vom Parlament verabschiedet. In Kraft ist es jedoch noch nicht, es fehlt die Verordnung dazu. In der Verordnung werden die Details geregelt.

Die Nachrichten über Phishing-Attacken sind zu einem ständigen Begleiter geworden. Beinahe jede Woche liest man neue Meldungen über E-Mail-Aufforderungen, seine Bank-, Paypal-, E-Mail- oder sonstige persönliche Angaben preiszugeben. Ein Klick auf den beiliegenden Link genügt und ein Formular ermöglicht die einfache Eingabe dieser Daten.

Monitoringsysteme zur Überwachung der Verfügbarkeit und schneller Reaktion auf Probleme sind heutzutage bei allen Unternehmen im Einsatz. Systeme, die die IT-Sicherheit und Policy-Verletzungen überwachen, sind hingegen selten anzutreffen. Die ISO 27001 fordert im Kapitel A.12.4 «Protokollierung» entsprechende Vorgaben. Dieser Artikel gibt eine Einführung in das Thema SIEM und Protokollierung.

Wie schnell kann es passieren, und ein System fällt aus? Oder ein Hacker verschafft sich Zugriff auf das Firmen-Netzwerk und verschlüsselt alle Dateien? Oder ein Naturereignis zerstört Teile der Infrastruktur? Oder ein wichtiger Mitarbeitender fällt aus? Die Gründe für einen Unterbruch der (IT-)Dienstleistungen sind vielzählig. Daher ist es wichtig, sich bereits vor dem Eintreten eines solchen Ereignisses Gedanken zu machen und entsprechende Vorbereitungsmassnahmen zu treffen.

Um die Cloud führt heute praktisch kein Weg mehr vorbei. Viele Dienste laufen direkt in der Cloud oder nutzen Cloud-Speicher im Hintergrund. Oft werden auch schützenswerte oder sensitive Daten dem Cloud-Anbieter übergeben. Daher ist es wichtig, den richtigen Partner zu haben. Die ISO 27018 ermöglicht es dem Anbieter seinen Kunden zu zeigen, dass er sicher mit den anvertrauten Daten umgeht.

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Ein strukturiertes Vorgehen ist dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der eingesetzten IT-Mittel zu erhalten und diese in Vergleich zu setzen.

Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen.

Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die zwölfwöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.

An ein Audit werden hohe Anforderungen gestellt. Es geht nicht darum, mal schnell zu schauen und einen Bericht zu erstellen, sondern das Audit stellt eine Qualitätskontrolle dar.

Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die 12-wöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.

oder: Online 

Ende Jahr schaut man gerne zurück, was war und blickt in die Zukunft, was kommt auf uns zu. Auch im Security-Bereich ist dies nicht anders. Ein Virus hat uns dabei in Atem gehalten. Nicht nur für den Menschen waren Viren eine Bedrohung, auch auf dem Computer wüten diese.

Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmäßig die konsequente Umsetzung der notwendigen Schritte. Der Beitrag zeigt, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne großen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden.

Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden.

Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welche Massnahmen zur Reduktion der Folgen ergriffen werden müssen.

Seit August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt.

Viele Unternehmen sind daran ein Informationssicherheitssystem aufzubauen und damit die IT-Sicherheit nachhaltig zu erhöhen. Doch der Start stellt sich oft sehr harzig dar. Wo soll man nur beginnen? Welche Reihenfolge macht Sinn? Nur die ISO 27001 Norm zu lesen bietet zwar eine gute Übersicht und Einführung in die Thematik, doch was genau bei jedem Punkt verlangt wird, ist nicht immer auf den ersten Blick klar. Die ISO 27003 kann hier eine gute Unterstützung sein.

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines». Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit also, sich genauer damit zu beschäftigen.

Die Produkte von Microsoft sind sehr beliebt – sei es Office 365, SharePoint oder Teams. Doch auch weitere Tools wie der OneDrive oder Sway werden immer intensiver genutzt. Da ist es wichtig, sich auch mit dem Datenschutz auseinanderzusetzen.

Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines».  Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit also, sich genauer damit zu beschäftigen.

Täglich ist von neuen IT-Schwachstellen zu lesen. Angriffe auf Firmen und Privatpersonen haben ein neues Hoch erreicht und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. Der Aufbau und die Pflege eines Informations-Sicherheits-Management-Systems helfen, die zahlreichen Anforderungen und Wünsche zusammenzubringen und nachhaltig zu steuern.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Jeden Tag veröffentlichen die Hersteller von Hard- und Software Aktualisierungen. Ein Katz-und-Maus-Spiel gegen die Hacker. Wird eine Schwachstelle entdeckt, gilt es diese schnell zu schliessen, bevor diese angegriffen wird. Wer nicht umgehend seine Software aktualisiert hat, geht ein grosses Risiko ein. Dabei ist nicht nur Microsoft davon betroffen, sondern auch viele andere Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage: Muss das wirklich sein?

Tritt ein Notfall ein, gilt es schnell die richtigen Schritte einzuleiten. Es ist wichtig, dass alle involvierten Personen wissen, wie und an wen ein Vorfall gemeldet werden muss. Bevor wild losgelegt wird, gilt es die Umstände genauer anzuschauen.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Angriffe auf Systeme haben einen neuen Höchststand erreicht. Praktisch kein Tag vergeht, ohne eine Schlagzeile über ein gehacktes System oder gestohlene Daten. Diese Daten werden zur Informationsspionage verwendet, im Internet verkauft oder weitere Systeme angegriffen. Auch die Erpressung, zum Beispiel via Ransomware ist sehr beliebt bei den Hackern. Dabei wird das eigene System infiziert, alle Daten verschlüsselt und Lösegeld zur Wiederherstellung gefordert.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Die Rahmenbedingungen für eine sichere IT-Umgebung bilden die IT-Strategie und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen verfügen über eine Strategie, jedoch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag zeigt, wie Sie ein IT-Sicherheitskonzept  planen und damit auch die Grundlagen für ein ISMS erstellen.

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Auch nach der Pandemie wird das Home Office beliebt bleiben. Die Krise hat gezeigt, dass es auch von zu Hause gut arbeiten lässt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Auch nach der Pandemie wird das Home Office beliebt bleiben. Die Krise hat gezeigt, dass es auch von zu Hause gut arbeiten lässt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Sehr geehrter Herr Wisler, im Jahr 1999 haben Sie mit 2 Studien Kollegen die Firma gegründet, wie kam es zur Idee der Firmen Gründung? War es dazumal so, weil das Millennium vor der Tür stand oder dass der IT-Kollaps drohte?

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Aber auch schon vorher (und danach) war das Remote Arbeiten sehr beliebt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Aber auch schon vorher (und danach) war das Remote Arbeiten sehr beliebt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Mit unseren Daten lässt sich viel Geld verdienen. Allein das «kostenlose» Facebook erzielt einen Quartalsgewinn von $ 2 Milliarden. Das Handy spielt dabei eine wichtige Rolle. Es ist zu einem ständigen Begleiter geworden.

Von zu Hause aus arbeiten hat mit Vorsichtsmassnahmen rund um Corona neuen Auftrieb erhalten. Auch nach der Pandemie wird das Home Office beliebt bleiben. Die Krise hat gezeigt, dass es auch von zu Hause gut arbeiten lässt. Doch auch am heimatlichen Arbeitsplatz gelten klare Vorgaben an den Datenschutz und die Informationssicherheit.

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

«Bite konto daten eingeben» So kennen wir Phishing E-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Internet-Gauner oft einen Schritt voraus sind. Nicht nur beim Erschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, korrektes Deutsch oder die persönliche Wohnadresse. Doch woher kommen all diese Informationen über Sie?

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Plötzlich erscheint auf dem Bildschirm die Meldung «Deine Daten sind verschlüsselt, bezahle eine Anzahl Bitcoins und du kommst wieder an deine Daten». In diesem Moment ist der Schock gross. Oft so, dass es nicht mehr möglich ist, an die eigenen Daten zu kommen. Der Hilfeschrei ist laut: Wie komme ich wieder an meine Daten?

Das letzte Kapitel der ISO-Norm A.18 beschreibt Anforderungen an die Richtlinienkonformität. Damit sollen Verstösse gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen mit Bezug auf Informationssicherheit und gegen jegliche Sicherheitsanforderungen vermieden werden.

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

DIE SCHUTZMAUER MIT DER FIREWALL

Jedes Unternehmen besitzt heutzutage eine Firewall, um sich vor den Angriffen aus dem Internet zu schützen. Heutige Firewalls können aber nicht nur den Netzwerkverkehr filtern, sondern bieten auch eine Vielzahl von weiteren Möglichkeiten. Doch einfach kaufen, einstecken, den Einrichtungs-Wizard durchführen und dann laufen lassen, genügt bei Weitem nicht. Eine Firewall benötigt regelmässige Beachtung.

Die Hackerattacke auf das Seuzacher Alterszentrum im Geeren lässt aufhorchen. Doch was können Firmen unternehmen, um sich zu schützen? Eine Einordnung von zwei IT-Experten.

Im Kapitel 17 dreht sich alles um das Kontinuitätsmanagement (Business Continuity Management). Vorbereitungen auf einen möglichen Notfall werden getroffen, um die negativen Folgen einzugrenzen und ein Überleben des Unternehmens sicherzustellen. Die Norm verlangt, dass die Informationssicherheit auch in einer Krisensituation gewährleistet bleibt.

Mit unseren Daten lässt sich viel Geld verdienen. Alleine das «kostenlose» Facebook erzielt einen Quartalsgewinn von 2 Milliarden US Dollar. Das Handy spielt dabei eine wichtige Rolle. Es ist zu einem ständigen Begleiter geworden. Egal ob beim Warten auf den Bus, unterwegs oder zu Hause, es ist immer bei uns. Auch den Sport, unseren Puls oder den Schlaf können damit aufgezeichnet werden. Doch wo lauern die Gefahren und was kann dagegen unternommen werden?

Vorfälle kommen in jedem Unternehmen vor. Sei dies durch eigene Personen, oft durch Unwissenheit oder durch externe Bedrohungen wie Hacker. Wichtig ist es, einen Vorfall schnell zu erkennen und die richtigen Schritte einzuleiten. Das Kapitel A.16 hat zum Ziel, «eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschliesslich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicherzustellen».

Heute startet das erste Schweizer Kompetenzzentrum für IT-Sicherheit.

Für viele Systeme ist es heute unabdingbar, externe Unterstützung beizuziehen. Wenn diese dann auch Zugriff auf Firmenwerte haben, gilt es diese speziell zu schützen. Das Kapitel A.15 definiert daher das Ziel: Für Lieferanten zugängliche Werte des Unternehmens sind geschützt.

Das 14. Kapitel hat sich das Ziel gesetzt, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informations­systemen ist. Es knüpft an die beiden Kapitel 12 (Betriebssicherheit, Maschinenbau 6/2019) und Kapitel 13 (Kommunikationssicherheit, Maschinenbau 7/2019) an und ergänzt diese optimal.

Jeden Tag kann von neuen Schwachstellen in Software gelesen werden. Nur wenige Stunden später sind Hacker bereits daran, diese Lücken anzugreifen. wer bis dahin seine Software nicht aktualisiert hat, geht ein grosses Risiko ein. Dabei ist nicht nur Microsoft davon betroffen, sondern auch viele andere Produkte. eine aufwändige Arbeit für den Administrator. Da stellt sich oft die frage: Muss das sein?

Fast täglich erfahren wir von Hacker-Angriffen und von millionenfach gestohlenen Passwörtern. Schwachstellen in Computerprogrammen erhöhen die Wahrscheinlichkeit eines Angriffs, auch auf das eigene Unternehmen; und werden Updates nicht genügend schnell eingespielt, nimmt man unnötiges Risiko in Kauf.

Das 13. Kapitel der ISO 27002 behandelt die Sicherheit in der Kommunikation. Das Ziel ist der Schutz von Information in Netzwerken und den unter­stützenden informationsverarbeitenden Einrichtungen sicherzustellen.

Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden. Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen.

Das Kapitel A.12 der ISO-Norm behandelt alles rund um die ICT. Das Ziel ist dementsprechend einfach: «Der ordnungsgemässe und sichere Betrieb von informationsverarbeitenden Einrichtungen ist sichergestellt.»

«Bite konto daten eingeben» So kennen wir Phishing E-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Internet-Gauner oft einen Schritt voraus sind. Nicht nur beim Erschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, korrektes Deutsch oder die persönliche Wohnadresse. Doch woher kommen all diese Informationen über Sie?

Einbrechen ist auch heute immer noch im Hoch. Eine Türe nicht richtig geschlossen, ein Fenster vergessen und schon bricht jemand ein und stiehlt etwas. Das Kapitel 11 beschäftigt sich daher mit den Themen «Physische und umgebungsbezogene Sicherheit». Das Ziel formuliert sich dement­sprechend: «Unbefugter Zutritt, die Beschädigung und die Beeinträchtigung von Information und informationsverarbeitenden Einrichtungen der Organisation sind verhindert.»

«Bitte Kontodaten eingeben.» So kennen wir Phishing-e-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Gauner des Internets uns meist einen Schritt voraus sind. Nicht nur beim eErschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, korrektes Deutsch oder die persönliche Wohnadresse. Doch woher kommen all diese persönlichen Informationen?

Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden.  Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen.

Der Zugang zu Systemen, egal ob Computer, Laptop, Mobile Device oder Server, muss geregelt sein. Die ISO-Norm 27002 fordert dazu die Umsetzung von 14 Massnahmen. Dabei wird zwischen den Begrifflichkeiten Zutritt, Zugang und Zugriff unterschieden.

Der Zugang an Systeme, egal ob Computer, Laptop, Mobile Device oder Server, muss geregelt sein. Das Ziel ist kurz, aber prägnant: Der Zugang zu Informationen und informationsverarbeitenden Einrichtungen ist eingeschränkt. Dies ist einfacher geschrieben als umgesetzt.

Jedes Unternehmen besitzt Werte (Englisch: Assets), die es zu schützen gilt. Das Kapitel A.8 nimmt sich diesem Thema an und verlangt, dass diese Werte identifiziert und angemessene Verantwortlichkeiten zum Schutz definiert  werden.

Im siebten Kapitel der ISO 27001 dreht sich alles um den Menschen. Dies beginnt für das Unternehmen bereits vor der Einstellung und endet, nachdem der Arbeitnehmende die Firma wieder verlassen hat.

Nach der Informationssicherheitsleitlinie geht es nun um die interne Organisation der Informationssicherheit. Das Ziel ist in der Norm wie folgt beschrieben: «Ein Rahmenwerk für die Leitung, mit dem die Umsetzung der Informationssicherheit in der Organisation eingeleitet und gesteuert werden kann, ist eingerichtet.»

Informationen sind das Gold der heutigen Zeit. Mit Informationen lässt sich viel Geld verdienen. Alleine Facebook hat im ersten Quartal 2018 einen Umsatz von knapp zwölf Milliarden US-Dollar. Man muss aber nicht nach Kalifornien schauen. Auch in der Schweiz sind solche Entwicklungen zu beobachten. Die verschiedenen Anbieter unternehmen viel, um an unsere Informationen zu gelangen. Das ist nicht ungefährlich.

Risikoabschätzung von Cyberbedrohungen - Jeden tag lässt sich von Angriffen und Schwachstellen lesen. Die Folgen für ein Unternehmen sind oft nicht abschätzbar. Soll durch ein Software-Update die Lücke geschlossen und dabei die Gefahr eingegangen werden, dass ein System nicht mehr läuft oder soll ein Unternehmen das Risiko eines Angriffs in Kauf nehmen?

Nach dem Aufbau, dem Unterhalt und der stetigen Pflege des ISMS sind wir beim Anhang angelangt. Im ersten Teil (A.5) werden Anforderungen an Informationssicherheitsrichtlinien gestellt.

Am 25. Mai 2018 war es nach einer zweijährigen Übergangsfrist soweit und die Datenschutz-Grundverordnung der EU trat in Kraft. Dieser Artikel zeigt, welchen Einfluss diese Verordnung für die Informationssicherheit hat.

Nachdem wir in den vorangehenden Teilen alles vorbereitet haben, folgen nun der Betrieb, die Bewertung sowie die stetige Verbesserung des ISMS. Gemäss dem bekannten Demingkreis wurde das «Plan» umgesetzt, als nächste Schritte folgen Do, Check und Act.

Informationen sind das Gold der heutigen Zeit. Mit Informationen lässt sich viel Geld verdienen. Alleine Facebook hat im ersten Quartal 2018 einen Umsatz von knapp zwölf Milliarden US-Dollar. Man muss aber nicht nach Kalifornien schauen. auch in der Schweiz sind solche Entwicklungen zu beobachten. Die verschiedenen Anbieter
unternehmen viel, um an unsere Informationen zu gelangen. Das ist nicht ungefährlich.

Das Kapitel 7 der ISO 27001 befasst sich mit den Themen Ressourcen, Kompetenz, Bewusstsein, Kommunikation und Dokumentation.

Die Norm verlangt, dass die notwendigen Ressourcen auch zur Verfügung stehen. Es darf nicht nur ein Lippenbekenntnis sein, «wir betreiben ein ISMS», aber die notwendigen Ressourcen, die es dazu benötigt, werden nicht zur Verfügung gestellt. Oft reicht es zwar für den Aufbau des ISMS. Da sind alle noch begeistert. Sobald aber die Zertifizierung bestanden ist, wird es vernachlässigt. «Es läuft ja, wir müssen nun nicht mehr ständig etwas machen.»

Am 25. Mai 2018 war es nach einer zweijährigen Übergangsfrist soweit und die Datenschutz-Grundverordnung der EU trat in Kraft. Dieser Artikel zeigt, welchen Einfluss diese Verordnung für die Informationssicherheit hat.

Kapitel 6 der ISO-Norm 27001 setzt sich mit der Planung auseinander. Der Schwerpunkt ist dabei der Umgang mit Risiken und Chancen. Die Norm verlangt, dass die im Kapitel 4.1 (Kontext) und 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) erkannten Anforderungen berücksichtigt werden. Daher ist es essenziell wichtig, die beiden Kapitel sauber durchzuarbeiten und möglichst genau das Unternehmen zu verstehen, inklusive aller Schnittstellen.

Am 25. Mai war es so weit und die Datenschutz-Grundverordnung der EU trat nach einer zweijährigen Übergangsfrist in Kraft. Dieser Blog-Artikel gibt einen Einblick auf die Folgen für die Informationssicherheit.

Der Wunsch nach vertraulichkeit ist so alt wie die Menschheit selbst. schon früh hat sich der Mensch darüber gedanken gemacht, wie informationen sicher zwischen zwei stellen ausgetauscht werden können. heutzutage werden moderne algorithmen eingesetzt, um die sicherheit und die vertraulichkeit der nachrichten zu gewährleisten.

Der dritte Teil geht auf das Normenkapitel 5 Führung ein. Es genügt nicht mehr, dass die Geschäftsleitung zwar den Auftrag gibt, aber nicht aktiv mitarbeitet und die Umsetzung nicht unterstützt. Im BSI 100-1 steht sogar: «Wenn Zielvorgaben aufgrund fehlender Ressourcen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt beziehungsweise die erforderlichen Ressourcen nicht bereitgestellt haben.» Dies zeigt klar, welche Verantwortung von der Führung erwartet wird.

Der erste Artikel (erschienen in MB 4/18, Seite 30) dieser ISO-Reihe zeigte eine Übersicht über die ISO-Normen 27001 und 27002. Der zweite Teil geht auf das Kapitel 4 «Kontext des Unternehmens» ein. Mit diesem Punkt haben die Unternehmen erfahrungsgemäss am meisten Mühe. Da dies jedoch die Basis für alle weiteren Dokumente, Definitionen und Messpunkte darstellt, sollte genügend Zeit dafür reserviert werden.

Egal welche Informationssicherheitsstudie gelesen wird, immer wird der Mensch als schwächstes Glied der Schutzkette bezeichnet. Je nach Studie sind bis zu 90 % der Vorfälle die eigenen Mitarbeitenden.  Oft steckt gar keine Absicht dahinter, sondern Unwissenheit oder einfach nur Bequemlichkeit. Eine regelmässige Awareness hilft, mögliche erfolgreiche Angriffe zu reduzieren.

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheits-Framework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Weltweiter Datenschutztag: Ich konnte für Roman Kmenta folgenden Artikel betreffend Datenschutz verfassen. Lesen Sie mehr hier.

Egal welche Informationssicherheitsstudie gelesen wird, immer wird der Mensch als schwächstes Glied der Schutzkette bezeichnet. Je nach Studie sind bis zu 90 % der Vorfälle die eigenen Mitarbeitenden. Oft steckt gar keine Absicht dahinter, sondern Unwissenheit oder einfach nur Bequemlichkeit. Eine regelmässige Awareness hilft, mögliche erfolgreiche Angriffe zu reduzieren.

Ich konnte mich für die 1und1 Internet SE zur Verfügung stellen und einige Antworten zur aktuellen Lage der IT-Security geben, die den ein oder anderen aufrütteln werden. Unter folgendem Link finden Sie das Interview.

Gesunder Menschenverstand schützt vor Malware. IT-Sicherheit ist Change Management. Und die Website von Youporn ist sicherer als die des Blicks. Drei Aussagen, die die Redaktion am Hacking Day bei Digicomp gehört hat.

Der Artikel ist hier zu finden.

Erfahrungen aus IT-Security Audits gehen in ziemlich eindeutige Richtungen und lassen sich relativ schnell und einfach in praktische Massnahmen umsetzen.

Praktisch wöchentlich berichten diverse Medien über neue Varianten von Schädlingen, die die Festplatte beziehungsweise die vorhandenen Daten verschlüsseln. Oft so, dass es nicht mehr möglich ist, an die eigenen Daten zu kommen. Der Hilfeschrei ist laut: Wie komme ich wieder an meine Daten?

Die Virenflut hat ein enormes Mass erreicht, unabhängige Stellen berichten von über 350 000 neuen Viren pro Tag. Es reicht heute nicht mehr aus, das Antivirenprogramm einmal in der Woche zu aktualisieren.

Praktisch jeden Tag hört man von neuen Schwachstellen, die auch aktiv genutzt werden. Im Internet herrscht Krieg, aber es geht nicht mehr um Ruhm und Ansehen, sondern um Geld, viel Geld. Dabei spielt es keine Rolle, ob es sich um ein kleines oder grosses Unternehmen handelt. Daher gilt es, den eigenen Schutz so hoch wie möglich zu halten.

Weiterlesen ...

Fast täglich liest und hört man von Angriffen auf Firmen und Regierungen. Auch der Datendiebstahl bei kleinen und mittleren Unternehmen nimmt stetig zu. Gemäss aktuellem Report von Symantec sind es bereits 50 Prozent aller Angriffe, die auf KMU-Betriebe mit bis zu 2500 Mitarbeitern abzielen.

Die Nutzung von Cloud ist allgegenwärtig. Praktisch kein Dienst kommt mehr ohne Nutzung einer Cloud aus. Doch was passiert dabei mit den Daten? Wie sicher sind diese?

In den vergangenen Wochen konnte viel über Phishing-Angriffe gelesen werden. Mittels mehr oder weniger trivialen E-Mails versuchen die Angreifer an persönliche Informationen, vor allem aber an Zugangsdaten und Passwörter zu gelangen.

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu, und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 ist ein Informationssicherheits-Framework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Praktisch wöchentlich berichten diverse Medien über neue Varianten von Schädlingen, die die Festplatte beziehungsweise die vorhandenen Daten verschlüsseln. Oft so, dass es nicht mehr möglich ist, an die eigenen Daten zu kommen. Der Hilfeschrei ist laut: Wie komme ich wieder an meine Daten?

In jüngster Zeit konnte viel über Phishing-Angriffe gelesen werden. Mit mehr oder weniger trivialen E-Mails versuchen die Angreifer an persönliche Informationen, vor allem aber an Zugangsdaten und Passwörter zu gelangen.

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

CYBER-KRIMINALITÄT Angesichts der zunehmenden Überwachung sollten gerade auch Unternehmen ihre Exponiertheit nicht unterschätzen. Cyber-Kriminalität ist ein lukratives Geschäft. Der Hersteller von Antivirenprogrammen McAfee hat bereits vor einigen Jahren gemeldet, dass damit mehr Geld umgesetzt wird, als mit dem weltweiten Drogenhandel.

Hotels an Konferenzorten wie Davos könnten Ziel von Hackern werden. Dies speziell wegen dem World Economic Forum. Ein Angriff auf Hotels sei kein grosses Problem, erklärt ein IT-Sicherheitsexperte. Man nehme diese Sache extrem ernst und verhalte sich nicht blauäugig, heisst es bei der Davoser Tourismusorganisation, die schon Ziel von Attacken war.

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. Beide Dokumente sind von der Firmenstrategie abgeleitet.

Cashless Für Kunden ist das Zahlen mit Karte sicherer als mit Bargeld. Dennoch kosten Betrugsfälle viel Geld – und die Branche schweigt darüber, wer am Ende zahlen muss. Unser Experte Herr Andreas Wisler nimmt Stellung dazu.

Link zum Artikel in der Handelzeitung.

Fast täglich liest und hört man von Angriffen auf Firmen und Regierungen. Auch der Datendiebstahl bei kleinen und mittleren Unternehmen nimmt stetig zu. Gemäss aktuellem Report von Symantec sind es bereits 50 Przent aller Angriffe, die auf KMU-Betriebe zielen. Eine einzige Schwachstelle kann genügen, und die eigenen Daten sind in den falschen Händen. Es gibt aber Gegenstrategien, dem frühzeitig zu begegnen. 

Die vergangenen Wochen haben gezeigt, das Interesse an Daten und Informationen ist ungebrochen hoch. Aber nicht nur staatliche Organisationen möchten an diese gelangen, sondern auch Hacker und Cracker möchten mit diesen Daten Geld verdienen. Daher ist es weiterhin wichtig, seine Informationen zu schützen und nicht den Kopf mit der Begründung «ich kann ja doch nichts machen» hängen zu lassen.

WIE VERSCHLÜSSLE ICH MEINE E-MAILS? E-Mails reisen heute durchs Internet wie früher Postkarten durch die Ämter: Jede Stelle zwischen Sender und Empfänger kann den Inhalt lesen. Die Verschlüsselung verhindert dies.

Seit 15 Jahren bietet die GO OUT Production GmbH produkteneutrale IT-Security Audits, Penetration Tests und Beratungen für eine Vielzahl von verschiedenen Unternehmen und öffentlichen Verwaltungen an. Zeit, einmal zurück zu blicken und einige Erfahrungen und Eindrücke aufzuzeigen.

Dieser INFONEWS 1/14 geht unter anderem auf folgende Themen ein:

• Externe Sicht (Penetration Test)
• Technische Umgebung (Quick Audit)
• Organisatorische Sicht

NT LAN Manager (NTLM) ist ein Authentifizierungsverfahren, das eine Challenge-Response-Authentifizierung einsetzt und auf den meisten Microsoft Windows Rechnern aktiv ist.

Dieser INFONEWS 3/13 geht unter anderem auf folgende Themen ein:

• Was ist NTLM und wie funktioniert die Challenge-Response-Authentifizierung?
• Welche Angriffe gegen NTLM sind möglich?
• Wie kann ich mich vor Angriffen gegen NTLM wirksam schützen?

Jenseits des medialen Getümmels um Datenskandale im Rahmen von Cyber Crime und Cyber War, stellt sich die Frage wie Unternehmensverantwortliche in ihrem betriebswirtschaftlichen Umfeld agieren sollen. Das Hauptaugenmerk sollte sich auf Schwachstellen in der Sicherheitsarchitektur richten, um Probleme zu entdecken und geeignete Massnahmen zur Behebung aufzuzeigen.

Die vergangenen Wochen haben gezeigt, dass der Schutz der eigenen Infrastruktur sehr wichtig ist. Im grossen Stil wurden (und werden) Regierungen, Firmen und Private überwacht. Auch in der Schweiz ist die Cyber-Kriminalität auf dem Vormarsch. Dieser INFONEWS zeigt, wie die Rechnersicherheit erhöht werden kann.

Dieser INFONEWS geht unter anderem auf folgende Themen ein:

• Von welchen Komponenten hängt die Rechnersicherheit ab?
• Wie kann die Software kontrolliert und aktuell gehalten werden?
• Welche Schutzmöglichkeiten bietet Windows?

Aktuell können wir in jeder Tageszeitung über Datenskandale und Cyberangriffe von Geheimdiensten lesen. Nicht wenige Unternehmensverantwortliche wagen die These, dass sie davon nicht betroffenen sind. Diese hält der Realität jedoch nicht stand.

In der IT-Branche begegnet jeder früher oder später dem Begriff ITIL. Es ist aber nicht einfach zu verstehen, was ITIL ist und was damit bezweckt wird. Mit diesem INFONEWS erhalten Sie einen Überblick und lernen einige Begrifflichkeiten (Buzzwords) kennen. Des Weiteren werden wichtige Schnittstellen zur IT-Sicherheit aufgezeigt und erklärt.

Dieser INFONEWS geht unter anderem auf folgende Themen ein:

• Was ist ITIL?
• Wie sieht der Service Lifecycle aus?
• Was bringt ITIL der IT-Sicherheit?

Am 7. März fand zum siebten Mal der SwissSecurityDay, der nationale Tag der Computer-Sicherheit, statt. Ziel war es, die Bevölkerung für den sicheren Umgang etwa beim E-Banking und in Sozialen Netzwerken zu sensibilisieren. Im Interview zeigt Andreas Wisler die Handlungsmöglichkeiten von Unternehmen diesbezüglich auf.

Die Anforderungen an die Vertraulichkeit und Integrität von Nachrichten werden immer grösser. Das Verschlüsseln und/oder Signieren von Nachrichten gewährleistet beide Anforderungen.

• Wie funktionieren symmetrische und asymmetrische Verschlüsselung?
• Wie funktionieren moderne Verschlüsselungsverfahren?
• Wie wird eine eigene Certificate Authority betrieben?

Die Angriffe gegen Unternehmen über das Internet haben massiv zugenommen. Der Penetration Test ist ein geeignetes Mittel, Schwachstellen frühzeitig zu erkennen und Massnahmen dagegen zu ergreifen. Dieser INFONEWS geht auf folgende Themen ein:

• Wie ist ein typisches Vorgehen?
• Welche Hilfsmittel werden eingesetzt?
• Wie sehen mögliche Schwachstellen aus?

Nachdem die Kryptologie früher fast ausschliesslich für das Militär eine Rolle spielte, findet sie heute immer mehr Zugang in zivilen Bereichen. Besonders im Internet ist die sichere Übertragung von Informationen (z.B. Passwörtern oder Kreditkartennummern)unerlässlich geworden.

Montagmorgen, 5 Uhr. Der wichtigste Server der Firma steht still. In wenigen Stunden beginnen die ersten Mitarbeiter an zu arbeiten. Nun gilt es, genau und schrittweise vorzugehen. Ein Notfallkonzept kann hier die notwendige Unterstützung liefern.

Mobile Endgeräte sind aus dem heutigen Berufsleben nicht mehr wegzudenken. Vorallem Smartphones und Tablet PCs sind zu unverzichtbaren Arbeitsmitteln geworden. Das Telefonieren ist nicht mehr Hauptsache, sondern das Verwalten von Adressen und Terminen, Standard-Office-Anwendungen, Kommunikation über Email bis hin zu sicherheitskritischen Applikationen, beispielsweise für den Zugang zum Firmennetzwerk, Speicherung von Passwörtern, (Kunden-)Datenbanken, gehören zum Leistungsumfang aktueller Geräte.

In den letzten Wochen haben die Meldungen über Scareware stark zugenommen. Dabei wird versucht, dem Benutzer mit einer gefälschten Virenwarnung Angst zu machen und ihn zum Besuch einer Webseite oder zum Download einer Software zu bringen.

Die Gefahren und Varianten von Malware haben in den letzten Wochen massive Ausmasse erreicht. Täglich kommen ca. 2500 neue Schädlinge dazu. Daher ist es wichtig, sich geeignet dagegen zu wappnen. Dieser INFONEWS geht auf folgende Fragen ein:

• Welche Arten von Malware gibt es?
• Welche Massnahmen können ergriffen werden?
• Wie verändert sich die Bedrohungslage in Zukunft?

Am 9. März ist es wieder soweit, der 6. SwissSecurityDay findet statt. Verschiedene Anlässe und Sensibilisierungsmassnahmen finden in der ganzen Schweiz statt. Das Schwerpunktthema in diesem Jahr ist der Umgang mit Social Media Plattformen wie Facebook. Fünf Schritte helfen dabei, die Computersicherheit auf einem hohen Niveau zu halten.

In der Ausgabe 6/2010 wurde das Thema zentrale (Firmen-) Firewall näher beleuchtet. Aber nicht nur in einem Firmennetzwerk verhindert eine Firewall, dass Fremde auf den eigenen Rechner zugreifen können, auch Private müssen sich schützen.

st es wirklich nötig, dass immer zuerst etwas passieren muss? Ein BCM hilft die kritischen Prozesse zu kennen sowie Strategien und Notfallpläne zur Begegnung möglicher Zwischenfälle zu erarbeiten. Dieser INFONEWS geht auf den Inhalt, das Vorgehen und erweiterte Möglichkeiten für die IT ein und beantwortet folgende Fragen:

• Zahlt sich ein BCM aus?
• Welche Schritte sind für die Einführung eines BCMs nötig?
• Welche Möglichkeiten hat die IT?

Das Internet ist zu einem bedeutenden Bestandteil unseres Alltags geworden. Diese fünf Schritte helfen dabei, die Computersicherheit auf einem hohen Niveau zu halten.

In der Informatik ist eine grosse Vielfalt von Notfällen möglich. Je nach betroffenem Bereich ist man mit tragbaren oder mit kritischen Auswirkungen konfrontiert. Zu unterscheiden gilt es, welcher Notfall tatsächlich den Lebensnerv einer Unternehmung trifft. 

Der Begriff «Cloud» (frei übersetzt: Rechnen in der Wolke) ist zu einem richtigen Hype geworden. Praktisch jeder spricht darüber, alle Zeitschriften berichten darüber. Dieser Artikel geht nicht auf die Cloud ein, sondern soll einige Facetten der IT-Sicherheit zeigen, die es zu beachten gibt.

Der Begriff «Cloud Computing» (frei übersetzt: Rechnen in der Wolke) ist zu einem richtigen Hype geworden. Praktisch jeder spricht darüber, alle Zeitschriften berichten darüber. Dieser Artikel geht nicht auf die Cloud ein, sondern soll einige Facetten der IT-Sicherheit zeigen, die es zu beachten gibt.

Die Betriebssysteme werden immer sicherer. Für Hacker wird es schwerer, über das Betriebssystem Zugriff auf einen fremden Rechner zu erlangen. Daher versuchen sie es über Schwachstellen in Webseiten. Dieser Artikel geht auf drei dieser Angriffe detaillierter ein: Scareware, SQL-Injection und XSS.

Das Internet ist allgegenwärtig. Eine Email verschicken, den Einkauf erledigen, eine Telefonnummer suchen ...: Der Griff zur Tastatur oder dem Handy ermöglicht es, schnell an die gewünschten Informationen zu gelangen. Doch das vermeintlich anonyme Netzwerk ist es bei weitem nicht, jede Bewegung hinterlässt ihre Spuren.

Das Thema Cloud Computing ist zu einem ständigen Begleiter geworden. Viele Firmen sind sich bereits am Überlegen, ob Sie ihre Daten auslagern möchten. Dieser INFONEWS geht näher auf die Sicherheitsaspekte der Cloud ein und beantwortet dabei folgende Fragen:

• Welche Arten von Cloud-Diensten gibt es?
• Welche Gefährdungen existieren in der Cloud?
• Wie kann den Risiken begegnet werden?

Seit einigen Jahren wird diskutiert, wann der Adressvorrat von IPv4 (Internet Protokoll, Version 4) zu Ende geht. Vor allem im asiatischen Raum ist die Situation sehr prekär. Schon lange steht der Nachfolger IPv6 in den Startlöchern. Jedoch konnte sich dieses Protokoll noch immer nicht auf breiter Front durchsetzen. Da aber dieses Kommunikationsprotokoll von immer mehr Soft- und Hardware unterstützt wird, ist es nur noch eine Frage der Zeit, bis es endlich den Durchbruch feiern kann. Dieser Artikel zeigt bereits jetzt, was IPv6 ist und wie es genutzt wird.

Die IT-Sicherheit nimmt einen immer wichtigeren Wert in einem Unternehmen ein. Dabei ist es wichtig, das Rad nicht neu zu erfinden, sondern auf bestehende Standards aufzubauen. Dieser INFONEWS bietet eine Übersicht über die IT-Sicherheitsstandards und beantwortet dabei folgende Fragen:

• Welche IT-Sicherheitsstandards gibt es?
• Welche Merkmale bieten diese?
• Wie können diese Standards angewendet werden?

Das Active Directory ist der zentrale Verzeichnisdienst in einem Windows-Netzwerk. Mit der Einführung von Windows Server 2008 wurde die Kernkomponente in «Active Directory Domain Services» (ADDS) umbenannt. Das Active Directory (AD) ermöglicht es, ein Netzwerk analog einer realen Struktur oder der räumlichen Verteilung zu gliedern. Im AD können verschiedene Objekte gegliedert und verwaltet werden. Dazu gehören beispielsweise Benutzer, Gruppen, Computer, Dienste, Freigaben und viele weitere Elemente.

Am 22. Oktober war es so weit: Die mit Spannung erwartete Version Windows 7 kam auf dem Markt. Die Werbetrommeln laufen bereits seit einigen Wochen auf Hochtouren. Nach Wunsch von Microsoft soll Windows 7 (endlich) das beliebte Windows XP ablösen. Dieser Beitrag geht nicht auf alle neuen Merkmale ein, sondern soll nur die neuen oder verbesserten Sicherheitsfunktionen zeigen.

Im letzten Teil der IT-Normen widmen wir uns dem CobiT, IT Governance Institute, Control Objectives for Information and related Technology.

Das Herzstück des Leitfadens, der Kompass der IT-Sicherheitsstandards, klassifiziert bekannte Standards sowie Standards für spezielle Sicherheitsfunktionen, so dass der Leser diese für sein Unternehmen bewerten und gegebenenfalls als relevant einschätzen kann. Im Kompass sind auch ausgewählte Vorschriften und Gesetze aufgeführt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wieder erwähnt werden. Auch diese
sind klassifiziert und können so auf ihre Relevanz überprüft werden. Nicht jeder Standard ist für jedes Unternehmen sinnvoll. Nähere Erläuterungen und Informationen zu den aufgeführten Standards und Vorschriften sind in den darauf folgenden Kapiteln zu finden.

Ich durfte hier den ISO 270xx Teil dazu beitragen.

Im letzten Teil der Serie über IT-Normen widmen wir uns CobiT (Control Objectives for Information and related Technology). CobiT wurde zur internen Kontrolle von verschiedenen Aspekten entwickelt. Mehrheitlich richtet es sich an Geschäftsführer, jedoch werden auch IT-Elemente stark fokussiert. Ohne IT ist eine Firma heute kaum mehr zu führen. Diesem Umstand wird Rechnung getragen.

Der Zugriff auf das eigene Netzwerk sollte nur bestimmten Personen möglich sein. Zudem soll das Clientgerät aktuell und frei von schädlicher Software sein. Dieser INFONEWS zeigt, wie dies mit Windows Server 2008 gelöst werden kann und beantwortet dabei folgende Fragen:

• Was ist NAP/NAC?
• Wie kann damit das Netzwerk geschützt werden?
• Wie kann das Client-Gerät überprüft werden?

Im letzten Beitrag haben wir uns dem ISO-Standard 27001 gewidmet. Diese Ausgabe bringt die IT Infrastructure Library, kurz ITIL etwas näher.

Im letzten Beitrag haben wir uns dem ISO Standard 27001 gewidmet, nun folgt die IT Infrastructure Library, kurz ITIL. Es handelt sich hierbei um eine Sammlung von Good Practices, die in einer Reihe von Publikationen eine mögliche Umsetzung eines IT Service Managements (ITSM) beschreibt und inzwischen als Defacto-Standard für Gestaltung, Implementierung sowie Management wesentlicher Steuerungsprozesse in der IT gilt.

Informationssicherheit hat allgemein den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein.

Das Active Directory ist die zentrale Steuer- und Konfigurationsschnittstelle in einem Windows-Netzwerk. Praktisch alles kann darüber verwalten und konfiguriert werden. Daher ist die korrekte und sinnvolle Konfiguration sehr wichtig. Dieser INFONEWS geht dabei auf die verschiedenen Aspekte ein und beantwortet unter anderem die folgenden Fragen:

• Aus welchen Bestandteilen besteht das AD?
• Welche Konfigurationen sind möglich?
• Wie funktionieren Gruppenrichtlinien?

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu.

Informationssicherheit hat allgemein den Schutz von Informationen als Ziel.

Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Vordringliches Ziel der Informationssicherheit ist der Schutz elektronisch gespeicherter Informationen und deren Verarbeitung, wobei stets die Vertraulichkeit, Integrität und Verfügbarkeit der unternehmenskritischen Daten zu gewährleisten ist.

Über ein Jahr ist es her, seit per 1. Januar 2008 die Gesetzgebung geändert wurde. IKS erhielt eine gewichtigere Bedeutung.Was bedeutet das für kleinere und mittlere Unternehmungen? Gibt es einen Einfluss auf die IT aus dem IKS oder beeinflusst die IT gar das IKS? Dieser Beitrag zeigt, was ein IKS ist und warum es hilft, die IT-Sicherheit zu erhöhen.

Immer mehr telefonieren übers Internet.

Was für die Internettelefonie nötig ist, wie sie funktioniert und wo mögliche Gefahren liegen, zeigt dieser Beitrag.

Schützen Sie ihre Unternehmensdaten mit einem Security Management auf Basis der ISO 2700x Standards. Dieser INFONEWS zeigt, was ISO 27001 ist und wie die Norm angewendet werden kann. 

• Wie kann ISO 27001 die IT-Sicherheit erhöhen? 
• Welche Schritte umfasst ISO 27001?
• Wie hilft die Software |Q|SEC bei der Umsetzung?

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu.

Die IT Mitteln sind zu einem unverzichtbaren Hilfsmittel geworden. Fällt zum Beispiel das E-Mail aus, ist die Aufregung oft sehr gross. Für den Administrator ist es dabei nicht einfach, immer den Überblick über den Zustand der vorhandenen Mittel zu behalten.

Über ein Jahr ist es her, seit per 1. Januar 2008 die Gesetzgebung geändert wurde. Das interne Kontrollsystem (IKS) erhielt eine gewichtigere Bedeutung. Was bedeutet das für kleinere und mittlere Unternehmungen? Beeinflusst das IKS die IT – oder gar umgekehrt?

Basierend auf dem Artikel aus der letzten Ausgabe des Maschinenbaus: «Der Penetration Test» wollen wir uns diesmal mit den möglichen Schwachstellen von Betriebssystemen und Web-Anwendungen auseinandersetzen. Sobald die vorgängig ausgeführten Untersuchungen Schwachstellen anzeigen, gilt es, diese genauer zu untersuchen.

Die Sicherheit von Information ist heute zentral. Ein Weg dazu ist ein Security Management auf Basis der ISO 2700x Standards.

Der Penetration-Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können.

Das mobile Gerät ist zu einem ständigen Begleiter geworden. Sei es nun ein Handy, ein Smartphone oder ein Notebook, die wichtigsten Daten sind immer mit dabei. Oft sind hier sehr vertrauliche Informationen gespeichert, die in den falschen Händen einen grossen Schaden verursachen könnten. Umso wichtiger ist der Schutz dieser Geräte.

Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man zwar ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag zeigt, wie ein wirkungsvolles IT-Sicherheitskonzept geplant und erstellt wird.

Die Dichte an öffentlich zugänglichen WLAN-Netzwerken, sogenannten Hotspots, nimmt stetig zu. Neben den vielen Vorteilen birgt der lokale kabellose Internetzugang aber auch einige Gefahren.

Auf den 1. Januar 2008 wurde die Gesetzgebung geändert. IKS erhielt eine gewichtigere Bedeutung. Was bedeutet das für kleinere und mittlere Unternehmungen? Gibt es einen Einfluss auf die IT aus dem IKS oder beeinflusst die IT gar das IKS? Der vorliegende INFONEWS soll diese und weitere Fragen klären. Dabei wird insbesondere auf den Zusammenhang zwischen IKS und IT eingegangen.

• Was ist ein IKS und wer muss ein IKS umsetzen?
• Welchen EInfluss hat das IKS auf die IT?
• Welcher Zusammenhang besteht zwischen IKS und IT-Risiko?

eden Tag werden neue Lücken in Software entdeckt. Nicht nur Microsoft ist davon betroffen, sondern auch viele anderen Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage, muss das sein?

Der Penetration Test ist ein Mittel, um mögliche Fehler zu erkennen und damit die IT-Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

In jedem Unternehmen fallen tagtäglich eine Vielzahl von Daten an. Der Verlust dieser kann weit reichende Konsequenzen haben. Aus diesem Grund gilt es, diese Daten sicher aufzubewahren und bei Bedarf wiederherzustellen.

Der Serverraum stellt ein Schlüsselelement eines Netzwerkes dar. Darin werden die Server mit den oft sehr wichtigen und vertraulichen Daten untergebracht. Daher ist es wichtig, dass dieser auch optimal aufgebaut wird. 

Wie der neueste Bericht der Melde- und Analysestelle Informationssicherheit MELANI des Bundes zeigt (http://www.melani.admin.ch), bleibt Industriespionage ein aktuelles Thema. Die Schweiz gilt immer noch als sehr innovatives Land mit vielen technologisch hochstehenden Entwicklungen. Diese Informationen sind auch für ausländische Firmen von grossem Interesse. Die vergangenen beiden Artikel haben gezeigt, wie Hacker vorgehen, um in ein Netzwerk einzudringen. Diese Ausgabe beleuchtet, wie die Schnittstellen eines Computers geschützt werden können, damit nicht via CD/DVD-Brenner oder den allgegenwärtigen USB-Ports Daten das eigene Unternehmen verlassen.

Vista ist nun mehr als ein Jahr auf dem Markt. Das erste Service Pack ist kürzlich erschienen. Gemäss Aussage von Microsoft wurden über 150 Mio. Exemplare davon verkauft. Grund genug, sich auch mit den Sicherheitsaspekten dieses Betriebssystems auseinander zu setzen.

Penetration Tests sind ein Mittel, um Fehlerquellen zu erkennen und die IT-Sicherheit zu erhöhen. Ein strukturiertes Vorgehen ist dabei wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten.

In Blickpunkt:KMU 3/2008 erklärte SicherheitsExperte Andreas Wisler das Prinzips des »kontrollierten Einbruchs« in ITSysteme zur Aufdeckung möglicher Schwachstellen von Betriebssystemen und Web-Anwendungen Doch was ist genau zu unternehmen, wenn solche Schwachstellen entdeckt wurden? Alles Notwendige finden Sie in diesem aktuellen Beitrag.

E-Mail ist in der heutigen Zeit nicht mehr wegdenkbar. Es ist zu einem unverzichtbaren Hilfsmittel geworden. Schnell noch letzte geschäftliche Informationen austauschen, einen Termin abmachen, einen Tisch im Restaurant reservieren, mit Kollegen, Bekannten und Verwandten kommunizieren, usw

Dass dabei die Nachricht wie eine Postkarte versandt wird, ist oft nicht bekannt. Somit kann die E-Mail von allen Stationen zwischen Sender und Empfänger gelesen oder gar manipuliert werden!

Dieser Beitrag soll aufzeigen, wie E-Mails sicher übermittelt werden können.

IT-Sicherheit muss ganzheitlich gelöst und durchgängig in sämtliche IT-Prozesse integriert werden. Ganz besonders, seit immer mehr Menschen von überall her und rund um die Uhr auf ein Firmennetzwerk zugreifen und immer mehr Firmen über das Internet sensitive Daten austauschen oder Web-Applikationen einsetzen.

Die Sicherheit ist für ein Unternehmen von existentieller Bedeutung. Ohne den Schutzder eigenen Infrastruktur und der sensitivenDaten kann ein Unternehmen nicht mehrüberleben. Doch wie weiss eine Firma, obihre Sicherheitsvorkehrungen korrekt sind?

Der Penetration Test ist ein Mittel, um mögliche Fehler in der IT-Infrastruktur zu erkennen und damit die Sicherheit zu erhöhen. Der richtige Partner und ein strukturiertes Vorgehen sind dabei sehr wichtig, um eine qualifizierte Aussage über den Stand der IT-Mittel zu erhalten und diese in Vergleich setzen zu können. Dieser Beitrag zeigt ein mögliches Vorgehen für ein optimales Ergebnis.

Vista ist bereits über ein Jahr auf dem Markt, bald soll Windows Server 2008 folgen. Grund genug, sich auch mit den Sicherheitsaspekten der beiden Betriebssysteme auseinanderzusetzen. Obwohl die Verbreitung von Vista sehr schleppend vorwärtsgeht, kann sich das Zusammenspiel mit Windows Server 2008 lohnen. Dieser INFONEWS beschreibt kurz die neuen Funktionen, welche die Sicherheit erhöhen können.

• Was bietet Windows Vista neu?
• Was bringt Windows Server 2008?
• Wie lässt sich mit diesen Produkten die Sicherheit erhöhen?

Die Anzahl von Wireless LAN Access Points nimmt ständig zu. Nicht nur in privaten Haushalten, sondern immer mehr auch in kleinen und mittleren Unternehmen können die kleinen Geräte entdecken werden. Sie ermöglichen schnell eine Verbindung ins eigene Netzwerk aufzubauen, ohne viele Kabel installieren zu müssen.

Durch verbesserte und automatisierte Abläufe schaffte Fischer Panda die Voraussetzungen, um die raschen Änderungen und die Komplexität in der Produktentwicklung zu beherrschen und das rasante Wachstum des Unternehmens zu bewältigen. Wichtig war dabei die Verbindung der technischen Systeme und der Warenwirtschaft.

Vista ist nun bereits ein Jahr auf dem Markt. Gemäss Aussage von Microsoft wurden bereits über 150 Millionen Exemplare davon verkauft. Grund genug, sich auch mit den Sicherheitsaspekten dieses Betriebssystems auseinander zu setzen.

Die Antiviren-Software allein genügt nicht: Wer das Internet nutzt, muss Regeln beachten, um sich vor Viren und Hackern zu schützen.

Die Nachrichten über Phishing-Attacken sind zu einem ständigen Begleiter geworden. Beinahe jede Woche liest man neue Meldungen über E-Mail-Aufforderungen, seine Bank-, Ebay-, E-Mail- oder sonstige persönliche Angaben preiszugeben. Ein Klick auf den beiliegenden Link genügt und ein Formular ermöglicht die Eingabe dieser Daten. Der Richtlinientext 2006/42/EG kann unter http://eur-lex.europa.eu/ aufgerufen und in allen EU-Amtssprachen kostenlos heruntergeladen werden.

Eine Studie von KPMG aus dem Juni 2002 zeigt, dass es nicht gut um das Management von Software-Lizenzen steht. 40 Prozent der IT-Leiter schätzen das eigene Lizenzmanagement als verbesserungswürdig ein, 28 Prozent davon bewerten es sogar als schlecht. Auch heute ist dieses Thema in vielen Firmen weder gelöst noch angepackt. Alleine Microsoft geht davon aus, dass bei 95 Prozent der KMU die Anzahl der genutzten Lizenzen nicht mit den tatsächlich erworbenen Nutzungsrechten übereinstimmt.

Das mobile Gerät ist zu einem ständigen Begleiter geworden. Sei es nun ein Handy, ein Smartphone oder ein Notebook, die wichtigsten Daten sind immer mit dabei. Oft sind hier sehr vertrauliche Informationen gespeichert, die in den falschen Händen einen grossen Schaden verursachen könnten. Umso wichtiger ist der Schutz dieser Geräte.

Die IT-Sicherheit ist zu einem ständigen Thema geworden. Die Meinungen, wie etwas umzusetzen ist, gehen jedoch weit auseinander. Normen und Empfehlungen sollen helfen, im Dschungel der Möglichkeiten einen Wegweiser zu geben. Doch welche Norm ist denn nun die richtige? Dieser Artikel soll aufzeigen, welche Normen existieren und wie diese anzuwenden sind.

Was passiert in Ihrem Netzwerk? Wissen Sie aber alle Aktivitäten Bescheid? In Anbetracht des riesigen Datenaufkommens ist dies von Hand nicht mehr zu bewältigen. Intrusion Detection Systeme, kurz IDS genannt, untersuchen alle Datenpakete auf Manipulationen und geben bei Veränderungen Alarm.

Die IT-Sicherheit ist zu einem ständigen Thema geworden. Die Meinungen, wie etwas umzusetzen ist, gehen jedoch weit auseinander. Normen und Empfehlungen sollen helfen, im Dschungel der Möglichkeiten einen Wegweiser zu geben. Doch welche Norm ist denn nun die richtige? Dieser Artikel soll Ihnen aufzeigen, welche Normen existieren und wie diese anzuwenden sind.

E-Mail ist in der heutigen Zeit nicht mehr wegdenkbar. Es ist zu einem unverzichtbaren Hilfsmittel geworden. Schnell noch letzte geschäftliche Informationen austauschen, einen Termin abmachen, einen Tisch im Restaurant reservieren, mit Kollegen, Bekannten und Verwandten kommunizieren: Die elektronische Post ist geschäftlich wie privat ein täglicher Begleiter.

Ein neues Jahr ist immer wieder ein beliebter Anlass zurückzublicken oder neue Pläne aufzustellen. In der IT ist dies nicht anders. Seit zwei Jahren finden Sie in jeder Blickpunkt:KMU-Ausgabe einen Fachbericht im Bereich der IT-Sicherheit. Haben Sie einen verpasst, können Sie diesen kostenlos auf der Website www.blickpunktkmu.ch herunterladen. Von „einfachen" Dingen wie der Aktualisierung der Systeme, der (über-) lebenswichtigen Sicherung der Daten bis hin zu organisatorischen Aspekten wie Basel II oder der Erstellung des IT-Sicherheitskonzeptes können Sie Grundlagen sowie Tipps und Tricks nachlesen.

Die richtigen Informationen zur richtigen Zeit ist ein sehr wertvolles Gut. Doch die Beschaffung dieser Informationen ist nicht einfach. Eine illegale Variante um an diese Informationen zu gelangen, ist Spyware.

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu.

Die IT-Sicherheit wird immer mehr zu einem Thema. Auch kleinere und mittlere Unternehmen setzen sich mit diesen Fragen rund um die Sicherheit der IT auseinander. Der erste Schritt ist, sich in einem Konzept Gedanken zu machen, was wie und warum geschützt werden muss. Dieser Beitrag basiert auf dem Artikel „Das IT-Sicherheitskonzept" aus der Ausgabe 4/06 und soll Ihnen anhand eines Beispiels zeigen, wie ein solches Konzept für ein mittleres Unternehmen aussehen könnte.

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag soll Ihnen zeigen, wie Sie ein IT-Sicherheitskonzept planen und erstellen.

Bald sind sie wieder da, die warmen Tage mit viel Sonnenschein. Schnell den Laptop unter den Arm gepackt und ab an die Sonne. Mit VPN ist es ja kein Problem, auch vom Schwimmbad aus weiterzuarbeiten. Dass sich hier aber viele Gefahren tummeln, wird oft vernachlässigt.

VoIP ist zu einem Dauerthema geworden. Grund genug, sich mit der Sicherheit auseinanderzusetzen. Auf den nachfolgenden Seiten erfahren Sie alles über die Technik von VoIP (H.323, SIP) und alles was bei einem Missbrauch geschehen kann. Dabei werden die unterschiedlichsten Risiken und Sicherheitsaspekte wie Soziale Angriffe, Lauschangriffe, Gesprächskontrolle und Störungen beleuchtet.

• Wie funktioniert VoIP?
• Welche Gefahren birgt VoIP?
• Wie kann VoIP gesichert werden?

Voice over IP ist zu einem ständigen Begleiter geworden. Überall liest und hört man von der neuen kostengünstigen Technik mit den vielen Möglichkeiten. Doch mit der neuen Errungenschaft kommen auch neue Gefahren auf uns zu, gegen die es sich zu schützen gilt.

In diesen Tagen ist das Thema Basel II wieder aktueller als je zuvor. Per Ende 2006 werden die überarbeiteten Regelungen in Kraft treten. Grund genug, sich frühzeitig mit den Konsequenzen auseinander zu setzen.

Jeden Tag werden neue Lücken in Software entdeckt. Nicht nur Microsoft ist davon betroffen, sondern auch viele anderen Pro-dukte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage, muss das sein?

• Welche Schäden können entstehen?
• Wie werden Patches unterschieden?
• Wie geht man vor?
• Wie kann ich den Sicherheitsstand kontrollieren?
• Wo kann ich mich informieren?

Jeden Tag werden neue Lücken in Software entdeckt und durch Patches behoben. Nicht nur Microsoft ist davon betroffen, sondern auch viele andere Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage, muss das sein?

In jedem Unternehmen fallen tagtäglich eine Vielzahl von Daten an. Der Verlust dieser kann weit reichende Konsequenzen haben. Aus diesem Grund gilt es, diese Daten sicher aufzubewahren und bei Bedarf wiederherzustellen.

Ein festgelegtes Bewertungsverfahren (Raiting) bestimmt die Bonität eines Unternehmens. Dabei wird das Unternehmen in eine so genante Risikogruppen eingeteilt. Je höher das individuelle Risiko eines Unternehmens ist, umso mehr Eigenkapital muss das Unternehmen vorweisen, um die damit verbundene Kreditverzinsung kompensieren zu können. Schlimmstenfalls kann ein negatives Raiting sogar zur Verweigerung eines Kredites führen.

Sicherlich fragen Sie sich, was das alles mit der Informatik und Sicherheit zu tun hat? Ganz einfach, die IT ist heute ein wichtiger Bestandteil zur Informationsverwaltung und Prozesssteuerung. Es beginnt bei einer einfachen Adressverwaltung und endet in einer komplexen Workflow mit CRM, Lagerverwaltung und ERP.
In den kommenden Kapiteln erhalten Sie einen vereinfachten Einblick in den Aufbau von Basel II und dem Einfluss der IT in Basel II.

• Was ist Basel II?
• Wie funktioniert das Bewertungsverfahren?
• Was muss beim Outsourcing beachtet werden?
• Fazit für die IT?

Die IT-Sicherheit wird immer mehr zu einem Thema. Auch kleinere und mittlere Unternehmen setzen sich mit Fragen rund um die Sicherheit der IT auseinander. Der erste Schritt ist, sich in einem Konzept Gedanken zu machen, was wie und warum geschützt werden muss. Dieser Beitrag basiert auf dem Artikel «Das IT-Sicherheitskonzept » aus der Ausgabe 1/05 und soll anhand eines Beispieles zeigen, wie ein solches Konzept für ein mittleres Unternehmen aussehen könnte.

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag soll zeigen, wie ein IT-Sicherheitskonzept geplant und erstellt werden kann.

Die Nachrichten über Phishing-Attacken sind zu einem ständigen Begleiter geworden. Beinahe jede Woche liest man neue Meldungen über E-Mail- Aufforderungen, Bank-, Ebay-, E-Mail- oder sonstige persönliche Angaben preiszugeben. Ein Klick auf den beiliegenden Link genügt und ein Formular ermöglicht die Eingabe dieser Daten.

Das unkomplizierte Arbeiten von zuhause wird immer beliebter. Kleinere wie auch grössere Firmen nutzen die  Möglichkeit, ihreMitarbeiter von zuhause oder von unterwegs auf ihre Systeme zugreifen und Arbeiten erledigen  zu lassen. Die Verbindung geschieht dabei oft mittels VPN, da es schnell umgesetzt und kostengünstig ist. Doch der schnelle Zugang birgt einige Gefahren, die es nicht zu unterschätzen gilt. 

Die Anzahl von Wireless LAN Access Points nimmt ständig zu. Nicht nur in privaten Haushalten, sondern immer mehr auch in kleinen und mittleren Unternehmen kann man die kleinen Geräte entdecken. Sie ermöglichen schnell eine Verbindung ins eigene Netzwerk aufzubauen, ohne viele Kabel installieren zu müssen.

Daten und Informationen sind die wichtigsten Elemente, um ein Unternehmen betreiben zu können. Seien dies nun Briefe, Offerten oder gar Verträge, alle diese Dokumente müssen Gesetzeswegen aufbewahrt werden oder aber für den Betrieb verfügbar sein. Neben den Interessen der Firma existieren auch diverse Vorschriften von Behörden. Die Buchhaltung zum Beispiel muss während zehn Jahren in unveränderbarem Zustand archiviert sein. Obwohl Speicher (Harddisk, SAN, NAS, etc.) immer billiger werden, lohnt es sich, ein Backup in traditioneller Weise zu machen. Neben der Systemsicherung sind auch die Daten der Laptops und der Handheld zu sichern.
Grund genug, sich mit diesem Thema Konzept und Vorgehen etwas genauer zu beschäftigen.

• Welche Daten müssen gesichert werden?
• Wie soll ein Backup durchgeführt werden?
• Wann soll ein Backup durchgeführt werden?
• Wie sollen Datenträger gelagert werden?
• Wie wird ein Disaster-Recovery getestet?
• Welche Kontrollen sind durchzuführen?

Durch ihre Vernetzung steigt die Verwundbarkeit von IT-Systemen sprunghaft an. Diesem Umstand gilt es auch im Hinblick auf die strengeren rechtlichen Rahmenbedingungen Rechnung zu tragen. Damit werden regelmässige Security Audits zur Pflicht.

Zu Beginn des Jahres ist ein neues und weithin beachtetes Gesetz in Kraft getreten, das „Bundesgesetz über die elektronische Signatur, ZertEs". Nun ist es beileibe keine bahnbrechende Neuerung, die digitale Kommunikation mittels elektronischer Signatur zu sichern – was genau ändert sich also durch das neue Gesetz?

Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. In vielen Firmen findet man ein IT-Konzept, doch das ebenso wichtige Sicherheitspapier fehlt. Dieser Beitrag soll Ihnen zeigen, wie Sie ein IT-Sicherheitskonzept planen und erstellen.

Der aktuelle INFONEWS befasst sich mit Thema „Wireless LAN“. Mit einem vertieften Einblick in den Aufbau und die Geschichte von WLAN zeigen wir Ihnen, wo und wieso Wireless LAN beim Thema Sicherheit anspruchvoll ist.

Der aktuelle INFONEWS kümmert sich um das Thema „elektronische Signatur". Das Parlament hat das „Bundesgesetz über die elektronische Signatur, ZertES" bestätigt. Dieses Gesetz tritt auf den 1. Januar 2005 in Kraft. Grund genug, sich mit diesem Thema etwas genauer zu beschäftigen.

• Bedeutung der elektronischen Signatur
• Einführung in die Funktionsweise der elektronischen Signatur
• Sichere elektronische Signatur
• Technische Funktionsweise der elektronischen Signatur
• Die technischen Details
• Situation in der Schweiz
• Schlussbemerkung
• Eigene Zertifizierungsstelle

Tagtäglich werden wir durch unerwünschte Emails gestört und verlieren Zeit für die wichtigen Emails. Unser INFONEWS 2/04 zeigt, woher Spam kommt und was Sie dagegen tun können.

Schwerpunkte:

• Was müssen Sie über Spam wissen?
• Was kann man gegen Spam tun?
• Was tun, wenn man Spam erhält?
• Wie sieht der Aufbau eines Emails aus?

Was passiert in Ihrem Netzwerk? Wissen Sie über alle Aktivitäten bescheid? In Anbetracht des riesigen Datenaufkommens ist dies von Hand nicht mehr zu bewältigen. Intrusion Detection Systeme, kurz IDS genannt, untersuchen alle Datenpakete auf Manipulationen und geben bei Veränderungen Alarm. Unser INFONEWS zeigt Ihnen Grundlagen und Möglichkeiten zum Einsatz von IDS auf.

Die Firewall ist das zentrale Netzwerkelement, um die Sicherheit für ein Unternehmen aus Sicht der IT sicherzustellen. Dabei wird diesem Element aber oft zu wenig Aufmerksamkeit geschenkt. Der Schutz ist nur so gut wie die Firewall bzw. deren Einrichtung. Die Firewall muss alles „böse" filtern und nur die „guten" Pakete in das Netzwerk hereinlassen. Dazu gibt es auf dem Markt eine Viel-zahl von Produkten, die die Wahl zur Qual machen. Diese INFONEWS helfen Ihnen, sich in diesem Dschungel zu Recht zu finden und eine optimale Konfiguration vorzunehmen

Schwerpunkte:

• Die richtige Firewall?
• Was macht eine Firewall?
• Wie erstelle ich ein Firewall-Konzept?
• Kontrolle und Penetration Test?

Dreissig Prozent der Schweizer Unternehmen führen keine Überprüfung ihrer Netzwerke durch. Ein weiterer drittel prüft die Infrastruktur nur sporadisch. Diese Marktlücke erschlossen haben sich drei ehemalige Studenten der Hochschule Winterthur - mit Erfolg.

In der Netzwoche Nr. 25 konnte ein ausführlicher Gastbeitrag lanciert werden.

In diesem Newsletter finden Sie Antworten zu den folgenden Fragen:

• Wie funktioniert der E-Mail-Transport?
• Welche Risiken nehme ich in Kauf?
• Wie mache ich E-Mails sicher?
  • PGP
  • Zertifikate (X.509)

Dass die Informatik für Alltagsanwender ab und zu ihre Tücken hat, ist eine Binsenwahrheit. Das es heute aber angezeigt ist, bezüglich IT Sicherheit von betrieblichen Informatikanwendungen von eigentlichen Bedrohungsszenarien auszugehenden, dafür fehlt oft noch das Verständnis.

In diesem Newsletter finden Sie Antworten zu den folgenden Fragen:

• IT-Sicherheit: Was bedeutet dies für mein Unternehmen
• Was sind Patches?
• Wieso werden immer neue Software-Lücken bekannt?
• Woher bekomme ich Sicherheits-Informationen?
• Was muss ich im Zusammenhang mit Patches beachten?