www.grundschutz.info - RSS-Feed

BSI weist auf Schwachstelle in WLAN-Routern hin

Thu, 03 May 2012 10:00:00 +0200

Mehrere von der Deutschen Telekom AG vertriebene WLAN-Router haben nach Informationen des Unternehmens eine Schwachstelle, die den unautorisierten Zugriff auf interne Netzwerke erm�glicht. Dabei handelt es sich um die Modelle Speedport W 504V, Speedport W 723 Typ B und Speedport W 921V.
Ursache der Schwachstelle ist ein Fehler der WPS-PIN-Methode (Wi-Fi Protected Setup), �ber die sich Nutzer mit dem WLAN verbinden k�nnen.

Da in diesen Routern der gleiche WPS-PIN existiert, kann auch ein fremdes WLAN-f�higes Ger�t wie Laptop oder Smartphone von einem Angreifer unbemerkt an ein internes Netzwerk angeschlossen werden. Anschlie�end kann der Fremdnutzer �ber den Internet-Zugang der Betroffenen im Internet surfen und auf die Dateien von Netzwerkfestplatten oder freigegebenen Ordnern zugreifen. Anhand des Typenschildes auf der R�ckseite des Routers k�nnen WLAN-Nutzer �berpr�fen, ob sie eines der betroffenen Ger�te verwenden.

Anwender der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ B sollten vor�bergehend �ber die Konfigurations-Weboberfl�che des Ger�ts die WPS-Funktionalit�t deaktivieren. Bei dem Modell Speedport W 921V funktioniert diese Option nicht und auch das �ndern der PIN schlie�t die L�cke nicht. Deshalb k�nnen sich Betroffene momentan nur durch die Abschaltung des WLANs sch�tzen und kabelgebunden ins Internet gehen. Um durch zuk�nftige Firmware-Updates gesch�tzt zu werden, sollten Nutzer der entsprechenden Router sicherstellen, dass die Funktion automatischer Updates aktiviert ist.
Daf�r muss die WLAN-Funktion nicht aktiviert sein.

Cirosec TrendTage: WLAN-Hacking und APTs

Tue, 01 May 2012 10:00:00 +0200

Cirosec veranstaltet im Juni 2012 wieder seine TrendTage rund um innovative Themen im IT-Sicherheitsbereich. Zum einen werden live neue Techniken im Bereich WLAN-Hacking vorgestellt. Zum anderen sind M�glichkeiten zum Schutz vor gezielten Angriffen und neue Strategien bei der Authentisierung ein Thema.

Stationen der TrendTage sind K�ln (18. Juni 2012), Frankfurt (19. Juni 2012), Stuttgart (20. Juni 2012) und M�nchen (21. Juni 2012). Die Teilnahme ist kostenlos.

Nach einer kurzen Begr��ung stellt Sven Blumenstein, Berater bei der cirosec GmbH, den heutigen Stand der Technik beim WLAN-Hacking vor und demonstriert live einige Angriffe. Durch den massiven Druck zur Integration mobiler Ger�te in Unternehmen werden WLANs inzwischen auch dort aufgebaut, wo sie bisher verhindert wurden. Sicherheitsmechanismen von WLANs haben sich ebenso weiterentwickelt wie die Angriffstechniken. Wo man fr�her noch mit Notebooks und gro�en Antennen unterwegs war, sieht man heute spezielle Mobiltelefone, ferngesteuerte Drohnen oder Backdoor-Ger�te. Schwachstellen stecken h�ufig nicht mehr in den Verschl�sselungsprotokollen, daf�r aber in den Applikationen zu deren Verwaltung, zur G�steregistrierung und �hnlichen Services. Auf diese neuen Herausforderungen wird der Vortrag intensiv eingehen und einige Punkte durch Live-Demonstrationen verdeutlichen.

Anschlie�end werden drei Hersteller ihre innovativen Produkte pr�sentieren:

� DS3 � Neue Strategien f�r die Authentisierung

� Prolexic � Schutz vor dDoS-Angriffen

� Damballa � Schutz vor gezielten Angriffen (APTs)

Weitere Informationen, die Agenda und eine Anmeldem�glichkeit finden Interessierte unter www.cirosec.de.

DsiN-Tipp: Datenverlust durch Datensicherung verhindern

Mon, 30 Apr 2012 10:00:00 +0200

Deutschland sicher im Netz e.V. (DsiN) hat gemeinsam mit der DATEV eG Tipps zur Datensicherung f�r Unternehmer erstellt:

1.    Was wann wie oft gesichert werden soll, h�ngt von der Bedeutung der
Daten und der maximal tolerierbaren Ausfallzeit ab. �berlegen Sie, welches die f�r Sie wichtigsten Daten sind und wie hoch der Aufwand f�r die Wiederherstellung dieser Daten ist. In der Regel ist eine permanente oder t�gliche Sicherung zu empfehlen. In Frage kommen z.B. Kundendaten, Rechnungen, Angebote und Vertr�ge, Finanzbuchf�hrung, technische Daten (Anwendungen und Betriebssysteme). Auch Verfahrensdokumentationen,
Sortiments- und Preislisten k�nnen f�r das Tagesgesch�ft unerl�sslich sein.
Daneben besitzen evtl. Protokolle, Pr�sentationen oder Umsatzauflistungen eine hohe Bedeutung.

2.    Um die Vollst�ndigkeit der Datensicherung zu gew�hrleisten, sollten
Sie organisatorisch regeln, dass alle wichtigen Daten ausnahmslos in einer betriebsweit vereinbarten Struktur abgelegt werden. Ber�cksichtigen Sie auch ausgelagerte Daten auf mobilen Ger�ten (Notebook, Smartphones, Netbook, etc.).

3.    Pr�fen Sie nach der Installation von neuen Programmen, ob alle
relevanten Verzeichnisse in die Sicherung aufgenommen werden.

4.    Durch die regelm��ige Pr�fung der Datensicherungen auf ihre
Funktionsf�higkeit (vollst�ndig und lesbar = verwendbar) minimieren Sie das Risiko f�r einen Datenverlust und den Zeitaufwand f�r die Wiederherstellung der Daten auf ein Minimum.

5.    Erneuern Sie regelm��ig die Datensicherungsmedien.

6.    Bewahren Sie die Sicherungsmedien (Festplatte, Band, DVD etc.) an
einem externen Ort auf. Geeignet ist beispielsweise ein Tresor oder ein Bankschlie�fach. Die automatische �bertragung der Daten an ein Rechenzentrum erlaubt die st�ndige Verf�gbarkeit bzw. Lesbarkeit des Sicherungsmediums und spart viel Zeitaufwand. Beachten Sie bei der Auswahl des Rechenzentrums Datenschutzrichtlinien.

7.    Im Falle einer Serversicherung sollten die Server in einem separaten
Raum untergebracht werden, zu dem nur autorisierte Personen Zutritt haben.
Der Raum sollte einbruchsicher und vor Elementarsch�den gesch�tzt sein.

Weitere sinnvolle Ma�nahmen

Die h�ufigsten Ursachen f�r den Verlust von Unternehmensdaten sind SchadSoftware, menschliches Versagen, vors�tzliches Handeln, technisches Versagen und h�here Gewalt. Daher sind das Schlie�en von Sicherheitsl�cken, ein umfassender Schutz vor Malware und eine durchdachten Rechte- und Benutzerverwaltung jedem Unternehmen dringend zu empfehlen. Im Hinblick auf die Einhaltung gesetzlicher Anforderungen (Compliance) sollten die getroffenen Datensicherungsma�nahmen und die daf�r benannten Verantwortlichkeiten dokumentiert und laufend aktualisiert werden.

Eigenverantwortung beim Datenschutz

Fri, 27 Apr 2012 10:00:00 +0200

Die Mehrheit der Internetnutzer (54 Prozent) sieht die Hauptverantwortung f�r den Datenschutz bei sich selbst. Das ergibt eine repr�sentative Erhebung im Auftrag des Hightech-Verbandes BITKOM. Weitere 36 Prozent der Anwender halten in erster Linie den Staat f�r den Datenschutz im Web zust�ndig, 6 Prozent die Unternehmen, 4 Prozent machten keine Angaben. �Die meisten Verbraucher sind sich bewusst, dass der Schutz ihrer Daten stark von ihrem eigenen Verhalten abh�ngt�, sagt BITKOM-Pr�sident Prof. Dieter Kempf. �Das entl�sst Wirtschaft und Politik aber nicht aus ihrer Verantwortung. Es ist ein Signal, die Verbraucherinformationen und die technischen M�glichkeiten zur Realisierung eines starken Selbstdatenschutzes weiter zu verbessern.�

An Unternehmen aller Branchen appellierte Kempf, beim Datenschutz aktiv zu helfen. Unternehmen sollten hohe Datenschutz-Standards als Qualit�tsmerkmal sehen, sagte Kempf bei einer BITKOM-Veranstaltung in Berlin, wo 150 Experten �ber die Zukunft sozialer Netzwerke diskutieren. Kempf: �Viele wissen, dass man im Internet nicht jedes leere Feld mit pers�nlichen Daten ausf�llen sollte.� 93 Prozent der Onliner glauben, dass Datenschutz in Zukunft an Bedeutung gewinnt.

F�r die ITK-Branche k�ndigte Kempf an, das Informationsangebot rund um den Datenschutz weiter auszubauen. Auch werde es k�nftig weitere Selbstverpflichtungen der Wirtschaft geben. Zu den Angeboten des BITKOM z�hlen kostenlose Online-Kurse zum Datenschutz (unter www.bitkom-datenschutz.de). Zudem unterst�tzt der Verband Initiativen wie �Deutschland sicher im Netz�.

Zur Methodik: Basis der Daten ist eine repr�sentative Erhebung des Meinungsforschungsinstituts Aris im Auftrag des BITKOM. Dabei wurden mehr als 1.000 Internetnutzer ab 14 Jahren in Deutschland befragt.

Kampf gegen Spam zeigt Erfolg

Thu, 26 Apr 2012 10:00:00 +0200

Branchen- und regierungsseitige Bem�hungen haben Spam einen schweren Schlag versetzt, berichtete Commtouch heute in ihrem April 2012 Trendbericht �ber Bedrohungen im Internet <>http://www.commtouch.com/threat-report-april-2012. Der Bericht beruht auf der umfassenden Analyse von �ber 10 Milliarden von der Commtouch GlobalView-Cloud t�glich bearbeiteter Transaktionen.

Letztes Jahr um diese Zeit, kurz vor dem Takedown des Rustock Botnet, lag das t�gliche Spam-Aufkommen bei um 150 Milliarden. Unmittelbar nach dem Takedown sank das Spam-Aufkommen erheblich und hat seitdem stetig weiter abgenommen. Im ersten Quartal 2012 wurden t�glich durchschnittlich 94 Milliarden Spam-Mails versendet.

"Der anhaltende R�ckgang des Spam-Aufkommens im Laufe des vergangenen Jahres kann mehreren Faktoren zugeordnet werden, unter anderem: Takedowns von Botnets, verst�rkte Verfolgung von Spammern und der Ausgangsbranchen wie betr�gerische Pharma-Spam und Produkt-Nachbauten,� sagte Amir Lev, CTO bei Commtouch. "Spam-Nachrichten stellen jedoch noch immer das Vierfache des Aufkommens legitimer E-Mail-Nachrichten und Internetkriminelle steigern ihre Eink�nfte in anderen Bereichen, wie beispielsweise betr�gerische Malware f�r Online-Banking."

Nennenswerte Social-Engineering-Kampagnen in diesem Quartal drehten sich um die in diesem Zeitraum f�lligen Steuerabrechnungen in den USA und peilten sowohl Verbraucher als auch im Bereich Steuerberatung t�tige Professionelle an. Facebook bleibt weiterhin ein beliebtes Absatzfeld, mit einer Social-Engineering-Kampagne eines "nicht anzeigbaren Videos".

Weitere Angaben aus dem Trendbericht:

*   Pornografische Websites waren die Kategorie mit der h�chsten
Wahrscheinlichkeit an Malware-Inhalten
*   Pharmazie und Produktkopien bildeten im Q1 das h�ufigste Spam-Thema
*   Indien h�lt mit 19,2 % aller Zombies weltweit an seinem Titel als
Land mit den meisten Zombies fest
*   T�glich wurden 270.000 Zombies f�r b�sartige Zwecke aktiviert.

IT-Grundschutz-Tag beleuchtet Sicherheit in und um Windows

Wed, 25 Apr 2012 10:00:00 +0200

Rund 200 Teilnehmerinnen und Teilnehmer informierten sich beim 2. IT-Grundschutztag 2012 des Bundesamts f�r Sicherheit in der Informationstechnik (BSI) �ber aktuelle Sicherheitstrends in der Informations- und Kommunikationstechnik. Im Fokus der Veranstaltung, die das BSI gemeinsam mit der HiSolutions AG im Presse- und Informationsamt in Berlin ausgerichtet hat, stand die �Sicherheit in und um Windows�.

Ein Schwerpunkt des IT-Grundschutz-Tags bildete der �Windows Server 2008�, der Bestandteil der kommenden Erg�nzungslieferung der IT-Grundschutz-Kataloge sein wird. In dem neuen IT-Grundschutz-Baustein gibt das BSI Empfehlungen, wie IT-Systeme mit dem installiertem Betriebssystem Windows Server 2008 f�r einen normalen Schutzbedarf angemessen gesichert werden k�nnen. Dieser Baustein rundet die im IT-Grundschutz betrachteten Server-Betriebssysteme um ein weiteres h�ufig eingesetztes Betriebssystem ab. Eine Vorabversion des neuen IT-Grundschutz-Bausteins wird in den n�chsten Tagen auf der Homepage des BSI unter www.bsi.bund.de/IT-Grundschutz ver�ffentlicht.

Im Rahmen des IT-Grundschutz-Tages wies Andreas K�nen, Leiter der BSI-Abteilung �Beratung und Koordination�, auf die neue Version der Software GSTOOL hin. Das Programm unterst�tzt Anwender bei der Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten entsprechend dem IT-Grundschutz. Die kostenlose Public Beta-Version des GSTOOL 5.0 steht ab sofort auf der Webseite des BSI unter https://www.bsi.bund.de/GSTOOL im Bereich Download/Vorabversionen zum Download zur Verf�gung und kann von allen interessierten Anwendern getestet werden.

Das BSI veranstaltet mit seinen Kooperationspartnern regelm��ig kostenlose IT-Grundschutz-Tage, um Anwender des IT-Grundschutzes �ber aktuelle Entwicklungen und Neuerungen zu informieren. Der n�chste IT-Grundschutz-Tag findet am 13. Juni 2012 in Bremen statt.

Schaar und IPv6-Rat zum Internet der neuen Generation

Tue, 24 Apr 2012 10:00:00 +0200

Der Deutsche IPv6-Rat hat bei einer gemeinsamen Sitzung mit Peter Schaar, dem Bundesbeauftragten f�r den Datenschutz und die Informationsfreiheit, die schnelle und gro�fl�chige Umstellung auf das Internetprotokoll der neuen Generation besprochen. In diesem Zusammenhang stand Datenschutz und insbesondere der Schutze der Privatsph�re f�r die rund 30 Vertreter aus Politik, Wirtschaft und Wissenschaft im Zentrum der Diskussion. Den Umstieg auf das Protokoll IPv6 sieht die Expertenrunde als notwendig und als Chance, die vielf�ltigen Potentiale des Internets der neuen Generation nutzen zu k�nnen.

"Der sorgf�ltige und verantwortungsvolle Umgang mit seinen pers�nlichen Daten liegt grunds�tzlich und aus ureigenem Interesse in der Verantwortung des Einzelnen. Dieser Verantwortung kann er aber nicht gerecht werden, ohne die Aufkl�rung und tatkr�ftige Unterst�tzung durch die Zugangsprovider (ISP) und Service-Anbieter im Internet", erkl�rte Prof. Meinel, Vorsitzender des IPv6-Rats. Um ihre Kunden mit den Diensten und Angeboten im Internet verbinden zu k�nnen, haben auch beim neuen Internet-Protokoll IPv6 Zugangsprovider (ISP) Kenntnis �ber alle Verbindungsdaten der Kunden. Das Vertrauensverh�ltnis wird durch die Verwendung von IPv6 anstelle von IPv4 nicht beeinflusst.

Der Endnutzer erwartet von ISPs und Service-Anbietern Unterst�tzung, wenn eine dauerhafte Identifikation gegen�ber Dritten bei der Nutzung von Ressourcen und Diensten im Internet nicht erforderlich oder w�nschenswert ist. "Die dazu notwendigen Technologien, wie zum Beispiel Privacy Extensions und dynamische Adresspr�fixe, sind bekannt und werden aktuell erprobt. Sie liegen im Verantwortungsbereich der ISPs und der Ger�tehersteller, die im Umgang mit personenbezogenen Daten an das Telekommunikations- und Datenschutzgesetz gebunden sind", erkl�rte Peter Schaar.

Au�erdem muss der Nutzer die M�glichkeit haben, zwischen statisch vergebenen IPv6-Adressen, die dauerhaft identifizierbar sind sowie (teil)anonymisierten und damit nicht leicht zur�ckverfolgbaren Adressen, zu w�hlen. M�glich ist die Anonymisierung durch dynamisch vergebene Anteile im IPv6-Adresspr�fix oder mittels dynamischer neu vergebener Pr�fixe.

"Neben einer Verpflichtung f�r ISP Provider und Netzwerkger�tehersteller zum sorgf�ltigen Umgang mit Nutzerdaten muss auch eine umfassende Sensibilisierung und Aufkl�rung der Nutzer f�r einen verantwortungsbewussten Umgang mit pers�nlichen Daten stehen. Die so erlangte Medienkompetenz, macht (zu) fr�hzeitig einschr�nkende Regeln f�r die Erprobung von sinnvollen IPv6-basierten Techniken zu Datenschutz und Gew�hrleistung der Privatsph�re �berfl�ssig", fasste Prof. Meinel das Fazit der Diskussion zusammen.

Das Datenschutzpapier ist auf der Website Deutschen IPv6-Rats zu finden:
www.ipv6council.de/documents/leitlinien_ipv6_und_datenschutz.html?L=1

Studie �Industriespionage 2012� belegt dringenden Handlungsbedarf

Mon, 23 Apr 2012 14:41:00 +0200

Wie die heute ver�ffentlichte Studie von Corporate Trust �Industriespionage 2012� belegt, entsteht der deutschen Wirtschaft durch Industriespionage j�hrlich ein Gesamtschaden von ca. 4,2 Milliarden Euro. Die Daten wurden unter circa 600 vorwiegend mittelst�ndischen Unternehmen erhoben und belegen, dass das Bedrohungspotential durch kriminelle Handlungen im Internet in den vergangenen Jahren um 50 % gestiegen ist (siehe Vergleichsstudie aus dem Jahr 2007). Dabei beklagen inzwischen 82,8 Prozent der Unternehmen Umsatzeinbu�en durch den Verlust von Wettbewerbsvorteilen und finanzielle Sch�den in Millionenh�he.

Im Fokus der Informationsbegierde sind die Bereiche Forschung und Entwicklung, Mergers & Acquisitions, Produktion, Personal sowie vertrauliches Wissen der Gesch�ftsleitung angesiedelt. Dabei spielt die gezielte Informationsweitergabe durch eigene Mitarbeiter oder externe Gesch�ftspartner eine entscheidende Rolle. H�ufige Folgen sind Rechtsstreitigkeiten und Imagesch�den, die von mehr als 60 Prozent der befragten Unternehmen beklagt werden. Diese Umst�nde haben immerhin mehr als die H�lfte der Unternehmen dazu gebracht, den Schutz vertraulicher Inhalte zur Chefsache zu erkl�ren. Gr��ere Unternehmen haben h�ufig auch einen Chief Information Security Officer (CISO) etabliert.

Zu den bereits etablierten Sicherheitsma�nahmen z�hlen bei fast der H�lfte aller Unternehmen vertragliche Vereinbarungen zur Geheimhaltung bzw. Vertraulichkeit mit externen Gesch�ftspartnern, 46,4 Prozent haben eine Sicherheits-Policy mit klaren Regeln f�r den Informationsschutz. Bisher beziehen 7,5 Prozent externe Partner �ber eine technische M�glichkeit wie Document Compliance Management-L�sungen in die Sicherheits-Policy mit ein, Tendenz steigend.

Die vollst�ndige Studie ist unter folgender Adresse bestelltbar:
www.brainloop.de/industriespionage-2012

Vorab-Versionen "Client unter Windows 7" und "Windows Server 2008"

Sat, 21 Apr 2012 08:00:00 +0200

Seit kurzem sind die Vorab-Versionen zu den Bausteinen "Client unter Windows 7" und "Windows Server 2008" auf den Webseiten des BSI ver�ffentlicht. Auch wenn sie noch kein offizieller Bestandteil der IT-Grundschutz-Kataloge sind, k�nnen sie bereits verwendet werden. Das BSI l�dt interessierte Anwender dazu ein, Anmerkungen und Kommentare zu den Bausteinen abzugeben. Somit k�nnen sich noch �nderungen zu den Versionen, die mit der 13.
Erg�nzungslieferung ver�ffentlicht werden sollen, ergeben.

Die Vorabversionen der Bausteine finden Sie unter:
https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/Download/download_node.html

Hinweis Call for Papers:

Auch an einen Call for Papers m�chte das BSI nochmals erinnern. Die GI-Fachgruppe Management von Informationssicherheit (SECMGT) bittet bis zum 20. April 2012 um die Einreichung von Beitr�gen zu einem Workshop bei der D-A-CH Security 2012, die am 25. und 26. September 2012 an der HTWG Konstanz stattfindet. Der Workshop soll dem Austausch von Konzepten und Erfahrungswerten eines ganzheitlichen Managements von Informationssicherheit dienen. Der Workshop richtet sich an Sicherheitsverantwortliche aus der Praxis und Sicherheitsexperten aus Unternehmen, Beh�rden und Hochschulen.

N�heres hierzu finden Sie unter:

http://www.gi.de/gliederungen/fachgruppen/fg-secmgt/fachgruppe-secmgt-management-von-informationssicherheit/weitere-aktivitaeten/kooperationen/d-a-ch-2012.html

Sourcefire SNORT User Group Workshop am 09. Mai 2012

Thu, 19 Apr 2012 08:00:00 +0200

Sourcefire l�dt zu einem kostenlosen Workshop �ber seine Open Source Sicherheitsl�sung SNORT ein. Erfahren Sie von Ralf Spenneberg, f�hrendem Open Source/SNORT Trainer und Autor mehr �ber SNORT als OpenSource IDS/IPS sowie �ber die OpenSource Plattform Razorback, IDS NG. Anschlie�end gibt Sourcefire einen �berblick �ber aktuelle L�sungen und stellt das Sourcefire 3D System in einer Live Demo vor.

Um sich f�r den Workshop anzumelden, schicken Sie bitte eine kurze E-Mail mit Ihren Kontaktdaten an: martin_stummer@hbi.de / stefanie_hofmann@hbi.de oder melden sich telefonisch unter +49-89-993887-34/-44 an.

Wo:
Hotel HolidayInn M�nchen
Effnerstra�e 99
81925 M�nchen

Wann:
09. Mai 2012, 14:00 � 17:30

Webinar: Das Information Security Forum stellt sich vor

Tue, 17 Apr 2012 07:48:00 +0200

Zahlreiche Unternehmen und Konzerne aus aller Welt haben sich im Information Security Forum (ISF, www.securityforum.org) zusammengeschlossen, um sich in einem informellen Rahmen �ber ihre aktuellen Probleme und Herausforderungen im Bereich Informationssicherheit auszutauschen.

In einem kostenlosen, deutschsprachigen Live-Webinar stellt sich das ISF vor und zeigt auf, wie Unternehmen vom Austausch in der Organisation profitieren k�nnen. Die Veranstaltung richtet sich insbesondere an CTOs, ISOs, CISOs, IT-Security Manager, Administratoren und IT-Verantwortliche von gro�en Unternehmen und Konzernen.

Thema: Das Information Security Forum stellt sich vor
Datum: Donnerstag, 26. April 2012
Uhrzeit: 10 � 10.45 Uhr

Das ISF ist eine weltweit t�tige Non-Profit-Organisation f�r Informations- und Cybersicherheit sowie Risikomanagement. Neben der M�glichkeit des Austauschs bietet die Organisation ihren Mitgliedern Best-Practice-Methoden, Workshops, Meetings, Foren sowie speziell auf die Anforderungen der Mitglieder zugeschnittene Tools. Dar�ber hinaus besch�ftigt das ISF 25 eigene Analysten, auf deren Recherchen, Studien und Berichte die Mitglieder uneingeschr�nkten Zugriff haben.

Weitere Informationen zur Veranstaltung finden sich unter https://www.xing.com/net/itg/veranstaltungshinweise-642387/webinar-information-security-forum-die-weltweit-fuhrende-autoritat-im-bereich-informations-sicherheit-und-risk-mangement-40359936/40359936/.

Die Zugangsdaten zum Webinar sind hier erh�ltlich
https://www2.gotomeeting.com/register/264376522.

IT-Sicherheit Infomaterialien f�r Unternehmen

Wed, 04 Apr 2012 08:00:00 +0200

Die Absicherung privat und zu Unternehmenszwecken genutzter Mobilger�te stellt zunehmend eine Herausforderung dar. Deutschland sicher im Netz e.V. und Sophos geben daher neue Informationsmaterialien f�r kleine und mittelst�ndische Unternehmen heraus. Mit Hilfe der praktischen, leicht verst�ndlichen Tipps lassen sich diese Mobilger�te vorteilhaft nutzen, anstatt sie als Risikofaktor zu bek�mpfen.

Neue Sicherheits-Leitf�den bei DsiN:

- Compliance leicht gemacht
- Best Practice f�r Ihre Datensicherheit
- Infoblatt Sichere Kennw�rter f�r Mobilger�te
- Sicherheit von Mobilger�ten � Was bringt die Zukunft?
- Was Sie �ber die Sicherung mobiler Ger�te wissen sollten

Neben den Leitf�den hilft die �Beispielrichtlinie zur mobilen Sicherheit� Gesch�ftsf�hrern und IT-Verantwortlichen bei der Implementierung bzw. Aktualisierung ihrer Sicherheitsrichtlinien. Damit Mitarbeiter Datenschutzbestimmungen im Unternehmen nicht missachten, sollte die Richtlinie in die vorhandenen Richtlinien im Unternehmen zum Schutz von Daten und der Nutzung von Computern eingegliedert werden. Die Basisvorlage l�sst sich je nach W�nschen und Anforderungen im Unternehmen anpassen und beliebig erweitern. Alle Dokumente sind online verf�gbar:
https://www.sicher-im-netz.de/unternehmen/Starthilfe_Sicherheit.aspx

Kostenlose Backup-Lizenzen zum World Backup Day

Tue, 03 Apr 2012 08:00:00 +0200

Arkeia Software feiert den World Backup Day am 31. M�rz mit zwei kostenlosen Angeboten der Arkeia Network Backup Software. Arkeia m�chte damit Privatpersonen und Organisationen ermutigen, sich vor Datenverlust durch Hardware- oder Softwarefehler, menschliche Irrt�mer, Diebstahl oder Naturkatastrophen zu sch�tzen.

�Der World Backup Day erinnert uns an die Bedeutung des Schutzes unserer wichtigen Daten�, sagt Bill Evans, CEO von Arkeia Software. �Die Arbeit gerade der Knowledge Worker manifestiert sich in wertvollen Bits, gespeichert auf magnetischen Medien und Computern. Arkeia bietet heute zwei anspruchsvolle kostenlose Softwarel�sungen f�r den Schutz der Daten von Individuen und jungen Firmen.�

Arkeias vmOneStep Virtual Appliance bietet eine umfassende Unterst�tzung f�r Backup und Wiederherstellung von VMware vSphere-Plattformen wie ESX und ESXi. Die neue virtuelle Appliance vmOneStep arbeitet weitgehend automatisch bei der Entdeckung und Konfiguration f�r den Schutz aller virtuellen Maschinen. Praktisch: Der Backup-Zeitplan kommt ohne Zuhilfenahme von Backupagenten aus. Mit Hilfe von kostenpflichtigen Lizenzen kann man weitere Hypervisor, Microsoft Hyper-V und Citrix XenServer sowie mehr als 200 physische Plattformen sch�tzen.

Arkeia Network Backup Free Edition ist eine vollst�ndige Backup Server-Anwendung f�r die Installation auf einem Linux-Server. Die Free Edition Lizenz sch�tzt Dateien auf bis zu zwei Rechnern mit Windows-, Mac-Desktopbetriebssystem sowie Linux- oder BSD-Betriebssystem. Mit Hilfe von kostenpflichtigen Lizenzen ist eine nahtlose Erweiterung auf weitere Computer m�glich sowie der Schutz von Datenbanken und Anwendungen mit Hilfe von Hot-Backupagenten oder der Schutz von virtuellen Umgebungen wie VMware vSphere oder Microsoft Hyper-V.

Anl�sslich des World Backup Day k�nnen Einzelbenutzer und Firmen ab sofort bis zum 31. M�rz 2012 die Arkeia Network Backup Free Edition via www.arkeia.com/freelinuxbackup sowie Arkeia vmOneStep Virtual Appliance Free Edition auf www.arkeia.com/freevmwarebackup herunterladen. Arkeia bietet je eine kostenlose dauerhaft nutzbare Lizenz je Person zum privaten Gebrauch sowie je Firma f�r den gesch�ftlichen Einsatz. Die Lizenz ist limitiert auf ein Speichervolumen von 250 GByte nach der Kompression. Eine Registrierung via Webseite ist erforderlich.

GSTOOL 5.0 BETA

Mon, 02 Apr 2012 08:00:00 +0200

Die erste �ffentliche Beta-Version des GSTOOLs 5.0 wird ab Donnerstag, 29.03.2012, auf den Servern des BSI zum allgemeinen Download angeboten. Es handelt sich um eine GSTOOL-Version, die keinen besonderen Qualit�tssicherungsprozess durchlaufen hat. Diese Version ist nicht f�r den Produktiveinsatz geeignet. Eine Daten�bernahme von erfassten Daten in die finale Version des GSTOOLs 5.0 kann nicht zugesichert und technischer Support kann nicht angeboten werden.

Dennoch bietet das BSI mit dieser Beta-Version die M�glichkeit des fr�hzeitigen Einblicks in die Funktionalit�ten des zuk�nftigen GSTOOLs.
�nderungen sind jedoch noch m�glich und wahrscheinlich. Es werden derzeit noch funktionale Erweiterungen sowie �nderungen des Layouts der Anwendung programmiert.

Das BSI bittet alle interessierten Tester darum, in der Anwendung und/oder im Handbuch entdeckte Fehler oder sonstigen Anmerkungen zur Software der Projektgruppe mitzuteilen. Die �bermittlung der Meldungen kann zun�chst formlos erfolgen. In K�rze wird Ihnen ein Fehlermeldungsformular zur strukturierten Meldung bereitgestellt.

Fehlermeldungen und Anmerkungen senden Sie bitte an folgende Email-Adresse:
gstool-test@bsi.bund.de

Weitere Informationen und den Download der Beta-Version finden Sie ab dem 29.03.2012 auf folgender Webseite: www.bsi.bund.de/GSTOOL-Vorabversionen

T�V Rheinland Security Breakfast: BYOD

Fri, 30 Mar 2012 08:00:00 +0200

Immer h�ufiger setzen Mitarbeiter private Smartphones, Tablets und iPads am Arbeitsplatz f�r gesch�ftliche Zwecke ein, so dass Firmendaten auf diesen gespeichert werden � und das durchaus mit dem Wissen und Einverst�ndnis ihrer Chefs. Wie die Unternehmensberatung Avanade in einer weltweiten Studie �ber 17 L�nder hinweg jetzt herausfand, ist diese Praxis bei 88 Prozent der befragten Unternehmen bereits gang und g�be. Deutsche Unternehmen stehen dem Einsatz von Privat-IT mit 93 Prozent sogar noch aufgeschlossener gegen�ber, denn Erreichbarkeit und Produktivit�t der Mitarbeiter steigen, die Kosten f�r die IT-Pflege des einzelnen Arbeitsplatzes sinken. Allerdings: �Entscheider halten das Konzept ,Bring-your-own-device‛ auch f�r eines der gr��ten Sicherheitsrisiken in der Unternehmens-IT�, wei� Olaf Siemens, Gesch�ftsf�hrer der T�V Rheinland i-sec, aus der aktuellen Beratungspraxis.

Welche erprobten L�sungen der Markt bereits heute bietet, erl�utern die Spezialisten von T�V Rheinland w�hrend des Security Breakfast. Eingeladen sind Entscheider aus gro�en und mittelst�ndischen Unternehmen. Die Experten f�r Informationssicherheit von T�V Rheinland informieren pers�nlich dar�ber, wie sich mobile Endger�te nahtlos in bestehende Unternehmens-Sicherheitsarchitekturen integrieren lassen und wie neue Sicherheitsfunktionen der unterschiedlichen mobilen Betriebssystemen genutzt werden k�nnen.

Empfehlungen und Umsetzungsbeispiele f�r Richtlinien im Umgang mit mobilen Endger�ten in Unternehmen sowie die Live-Demo eines Mobile-Device-Managements im praktischen Einsatz runden das Programm ab. Das Fr�hst�ck mit T�V Rheinland dauert rund dreieinhalb Stunden, die Teilnahme ist kostenlos.

Die Veranstaltungsorte

17.04.2012         D�sseldorf
18.04.2012         Berlin
19.04.2012         Hamburg
23.04.2012         M�nchen
24.04.2012         Stuttgart
26.04.2012         Frankfurt

Hier geht�s zur Anmeldung: http://www.tuv.com/security-breakfast

it-sa 2012: IT-Security Messe mit aktuellen Schwerpunktthemen

Thu, 29 Mar 2012 08:18:00 +0200

Die it-sa ist die gr��te Spezialmesse zur IT-Security in Europa und bietet Experten vom 16. bis 18. Oktober 2012 im Messezentrum N�rnberg wieder eine reine B2B-Plattform zum Thema. Sie ist somit die ideale Gelegenheit, sich umfassend in einem professionellen Umfeld zu IT-Sicherheitssystemen zu informieren.

Auf der it-sa 2012 stehen aktuelle Themen wie mobile Sicherheit und Cloud Security, Abwehr von Cybercrime oder Internet- und Netzwerksicherheit im Mittelpunkt. Dar�ber hinaus befasst sich die it-sa 2012 insbesondere mit Sicherheitsvorkehrungen f�r Rechenzentren, Vorkehrungen zum Datenschutz und industrieller IT-Sicherheit.

2011 nutzten 322 ausstellende Unternehmen die Fachmesse, um ihre Produkte und Dienstleistungen den Besuchern aus Wirtschaft, Forschung und Beh�rden zu pr�sentieren. Die Fachbesucher konnten sich so umfassend �ber Neuigkeiten im Bereich IT-Sicherheit informieren und erhielten im hochkar�tigen Rahmenprogramm Fachwissen aus erster Hand vermittelt. �ber 250 Fachvortr�ge, zahlreiche Workshops und begleitende Veranstaltungen sorgten f�r Wissensaustausch auf h�chstem Niveau.

Als Gratis-Videostream steht das geb�ndelte Know-how aus den Vortr�gen der letzten it-sa online zur Verf�gung. Vortr�ge namhafter Referenten aus den beiden Fachforen Management und Technik sowie dem Auditorium beleuchten alle Aspekte der IT-Security. Interessenten finden die Mitschnitte unter:
www.it-sa.de/de/portrait/veranstaltungen

KPMG-Studie zur Auftragsdatenverarbeitung

Wed, 28 Mar 2012 08:00:00 +0200

Die deutschen Unternehmen haben die Auftragsdatenverarbeitung mit Blick auf den novellierten � 11 Bundesdatenschutzgesetz (BDSG) auf die Agenda gesetzt und sich mit den Inhalten vertraut gemacht. Eine einheitliche Vorgehensweise zur risikoorientierten Bewertung der Auftragsdatenverarbeitung und der Einsatz anerkannter Pr�fungsstandards mit einer transparenten Berichterstattung finden bislang aber noch nicht im erforderlichen Umfang statt.

Das ist das Ergebnis einer Befragung von rund 150 Unternehmen aus dem Finanzdienstleistungsbereich und deren IT-Dienstleistern zum aktuellen Stand hinsichtlich Wahrnehmung, Bearbeitung und �berpr�fung der gestiegenen Anforderungen an die Auftragsdatenverarbeitung zwei Jahre nach Novellierung des �11 BDSG.

Zwar haben die meisten Unternehmen bereits Aktivit�ten entwickelt, um die gewachsenen Anforderungen an die Auftragsdatenverarbeitung zu erf�llen.
Jedoch findet bei rund 30 Prozent derzeit noch keine Risikobewertung f�r Auftragsdatenverh�ltnisse statt � eine Ma�nahme, die als Voraussetzung f�r eine effiziente Umsetzung der gesetzlichen Anforderungen angesehen werden kann. Auch in der gesetzlich geforderten �berpr�fung der beim Auftragnehmer getroffenen technischen und organisatorischen Ma�nahmen besteht gro�er Handlungsbedarf. Nur 6,5 Prozent der befragten Unternehmen setzen zur Kontrolle der Datenschutzbestimmungen Pr�fungsberichte nach anerkannten Pr�fungsstandards ein, die eine �berpr�fung und Vergleichbarkeit der Berichte erm�glichen.

Als Gesamtergebnis der Studie l�sst sich festhalten, dass die Unternehmen � unabh�ngig von den drohenden Pr�fungen durch die Datenschutzbeh�rde � das Thema Auftragsdatenverarbeitung noch gezielter angehen m�ssen. �Die zunehmende Auslagerung von Datenverarbeitungst�tigkeiten birgt erhebliche Risiken f�r die Unternehmen und insbesondere f�r Finanzdienstleister�, so G�nter Kapitza, Partner im Bereich Financial Services bei KPMG. �Vor allem nach den zahlreichen Datenskandalen mit h�ufig einhergehendem Reputationsschaden kann es sich kein Unternehmen mehr leisten, das Thema Datenschutz zu ignorieren. Nur eine transparente �berpr�fung und Berichterstattung �ber die Einhaltung der gesetzlichen Bestimmungen kann hier die notwendige Sicherheit gew�hrleisten.�

Seminarreihe: �Virtuelle Infrastruktur optimal verwalten und sichern�

Tue, 27 Mar 2012 15:14:00 +0200

Durch Virtualisierung und Cloud-Computing haben sich die Anforderungen an Rechenzentren ver�ndert, neue Sicherheitsans�tze zur Immunabwehr sind n�tig � was nicht zuletzt die gezielten Angriffe und Datendiebst�hle der vergangenen Wochen und Monate gezeigt haben. Wie kleine und mittelst�ndische Unternehmen ihre virtuellen Infrastrukturen sichern und verwalten k�nnen, zeigen Trend Micro und VMware in einer gemeinsamen Seminarreihe in Deutschland, �sterreich und der Schweiz.

Mit den insgesamt mehr als 50 halbt�gigen, kostenlosen Seminaren der VMware Dynamic Datacenter Seminar Series (DDSS) Reihe wendet sich VMware gezielt an kleine und mittelst�ndische Unternehmen. Dazu wird es neben einem Vortrag zu Verwaltbarkeit und Sicherheit in virtuellen Infrastrukturen auch eine Live-Vorf�hrung geben. Die Events werden von VMware Partnern gehostet und abgehalten. Trend Micro steuert einen eigenen Vortrag mit dem Titel �Sicherheit als Schl�ssel zum Erfolg in der Cloud� bei.

Weiterf�hrende Informationen zur Seminarreihe sowie die M�glichkeit zur Anmeldung finden sich unter http://www.trendmicro.de/newsroom/events/013255/. Die Termine in �sterreich und der Schweiz werden in K�rze bekannt gegeben.

Cloud Computing � was in den SLA nicht fehlen darf

Mon, 19 Mar 2012 08:21:00 +0100

Unternehmen m�ssen die Leistungen, die Provider beim Cloud Computing erbringen sollen, genau definieren. Easynet hat zehn wichtige Punkte zusammengestellt, die in den Vertr�gen und SLA von Cloud-Projekten nicht fehlen d�rfen.

1. Technische Parameter � Die grundlegenden technischen Parameter m�ssen genau definiert werden, vor allem die nutzbaren Bandbreiten, die garantierte Verf�gbarkeit, eventuelle Wartungs- und Reaktionszeiten, das Datenvolumen, aber auch die Datenarten, ob beispielsweise nur strukturierte Daten oder auch Multimedia-Daten abgedeckt werden.

2. Prozessbezogene Kennzahlen � �ber die technischen Basis-Parameter hinaus k�nnen sich Anwender auf prozessbezogene Kennzahlen beschr�nken und zum Beispiel f�r einen Online-Verkaufsvorgang die Reaktionszeiten, vom Einstellen eines Artikels in den Warenkorb des Shops bis zum Auftrag vereinbaren.

3. Messmethoden � F�r die verwendeten Parameter muss auch festgelegt werden, wie sie gemessen werden. So muss etwa f�r ein bestimmtes Verf�gbarkeitsniveau genau definiert sein, wann, wo und mit welchen Methoden die Verf�gbarkeit ermittelt wird.

4. Monitoring � Ein umfassendes und skalierbares Monitoring f�r die laufenden Prozesse sowie ein entsprechendes Reporting ist f�r die SLA unverzichtbar.

5. Speicherort � Es muss festgelegt sein, wo die Daten vom Provider gespeichert werden � zum Beispiel in Deutschland, in der EU oder weltweit.
Dies ist auf Grund unterschiedlicher rechtlicher Regelungen unerl�sslich.

6. Eigentum an den Daten � Es muss klar sein, wem die vom Provider verarbeiteten Daten geh�ren � dem Provider oder seinem Kunden.

7. Gerichtsstand � F�r Streitigkeiten ist der Gerichtsstand von gr��ter Bedeutung; die besten SLA n�tzen n�mlich nichts, wenn sie auf den Antillen eingeklagt werden m�ssen. Mit dem Gerichtsstand entscheidet sich auch, welches Recht im Streitfall zur Anwendung kommt.

8. Datensicherheit � Der Provider muss klar darlegen, was er zur Herstellung einer hohen Datensicherheit unternimmt, insbesondere bei kritischen und personenbezogenen Daten.

9. Nachpr�fbarkeit � Kunden m�ssen �berpr�fen k�nnen, ob die Festlegungen des Providers hinsichtlich der Datensicherheit eingehalten werden. Auch dazu m�ssen bereits in den SLA Vereinbarungen getroffen werden.

10. Verbleib der Daten � Die SLA m�ssen auch Angaben dazu enthalten, was mit den Daten nach Ende der Gesch�ftsbeziehung geschieht, ob beispielsweise der Provider bei strittigen Forderungen ein Zur�ckbehaltungsrecht hat: F�r solche F�lle sollte man bereits in den SLA eine Schiedsstelle vereinbaren.

Standard-Cloud-Angebote arbeiten in der Regel mit fertig vorgegebenen SLA, die seitens des Kunden nicht ver�ndert oder nachverhandelt werden k�nnen.
Diese Normierung ist meist die Voraussetzung f�r g�nstig angebotene Leistungen eines Cloud-Providers. Hier m�ssen Unternehmen genau pr�fen, wo und wie weit die Standard-SLA von einem eigenen Soll-SLA abweichen � sind davon substantielle Punkte betroffen, kann das jeweilige Angebot nicht genutzt werden.

Blackberry 7 OS erh�lt T�V-Testat

Fri, 16 Mar 2012 07:53:00 +0100

Research In Motion hat bekannt gegeben, dass das leistungsstarke BlackBerry� 7 Operating System (OS) auf unabh�ngiger Basis gepr�ft und mit einer Sicherheitszertifizierung der T�V Rheinland i-sec GmbH ausgezeichnet wurde. Das Testat der T�V Rheinland i-sec GmbH bescheinigt, dass die in BlackBerry 7 OS integrierten Sicherheitsfunktionalit�ten einen wirksamen Schutz der mit dem Ger�t verarbeiteten Daten erm�glicht. Ein angemessenes Sicherheitsniveau, basierend auf von der T�V Rheinland empfohlenen Konfigurationseinstellungen, ist erf�llt.

BlackBerry 7 OS bestand dabei die Pr�fpunkte �Umfang der Sicherheitsfunktionalit�t�, �Wirksamkeit der Sicherheitsfunktionalit�t gegen nicht destruktive physikalische Zugriffe�, �Wirksamkeit der Sicherheitsfunktionalit�t gegen Zugriffe �ber Kommunikationsschnittstellen� und �Wirksamkeit der Sicherheitsfunktionalit�t gegen Zugriffe durch auf dem Ger�t installierte Software (Apps)�.
Dar�ber hinaus regte der T�V Rheinland weitere Entwicklungen an, wie etwa eine fortentwickelte Funktion, mit der sich microSD-Karten sicher l�schen lassen und die die bestehenden Verschl�sselungsm�glichkeiten f�r externe Speicher auf BlackBerry Smartphones erg�nzen.

Die Testierung basiert sowohl auf Untersuchungen des T�V Rheinland als auch auf bereits bestehenden Zertifizierungen � darunter �Common Criteria EAL 4+ Maintenance Report BlackBerry� Device Software 7.0.0 v1.0, sowie referenzierte Dokumente� und �FIPS 140-2 Zertifizierung Nr. 1669�.

Security-Foren 2012 von SECUDE

Thu, 15 Mar 2012 07:51:00 +0100

wie in jedem Jahr l�dt SECUDE Entscheidungstr�ger aus Industrie und Beh�rden zu Security-Foren ein. Die Fachvortr�ge der Referenten reichen von Live-Demos �ber Referenzberichte bis hin zur Wirtschaftsspionage 2.0. Die Veranstaltungen finden an folgenden Terminen statt:

Veranstaltungsorte:

28. M�rz 2012         Ratingen

10. Mai 2012          Z�rich

21. Juni 2012         Frankfurt

15. November 2012     M�nchen

Das Programm und das Anmeldungsformular sind unter diesem Link zu finden:

http://www.secude.com/events

NetApp Data ONTAP 8.0 erh�lt Common Criteria-Zertifizierung

Wed, 14 Mar 2012 08:35:00 +0100

Das NetApp Betriebssystem Data ONTAP erhielt f�r die Versionen 8.0.0 und 8.0.1 jeweils im 7-Mode-Betrieb die EAL2+ Zertifizierung nach dem Communications Security Establishment Canada's (CSEC) Common Criteria Evaluation and Certification Scheme (CCS). Um den Zertifizierungsprozess f�r Data ONTAP 8 z�gig zum Abschluss zu bringen, arbeitete NetApp mit dem Consulting-Unternehmen Corsec Security zusammen.

Bereits 2005 setzte NetApp mit der ersten Common Criteria (CC)-Zertifizierung den Ma�stab f�r Security-Funktionen in der Storage-Branche. Bei einem Branchenf�hrer wie NetApp reicht das Thema Security jedoch dar�ber hinaus. So bietet das Unternehmen FIPS 140-2 validierte Datenverschl�sselung, wie etwa NetApp Storage Encryption mit selbstverschl�sselnden Laufwerken sowie Fibre Channel Encryption Switches und Blades von Brocade. Ein Upgrade f�r die NAS-Verschl�sselung steht kurz vor der Ank�ndigung.

Ein weiteres Beispiel ist die NetApp Architektur f�r sichere Mandantenf�higkeit, die mit Cisco und VMware entwickelt wurde. Die serviceorientierte Infrastruktur f�r Next Generation Datacenter und Cloud Service Provider vereint Server, Storage und Netzwerkhardware sowie Software zur sicheren gemeinsamen Nutzung, Wiederverwendung und dynamischen Zuweisung von Ressourcen.

NetApp erf�llt au�erdem die ISO/IEC 27001 Norm f�r Information Security Management Systeme.

BSI und BITKOM initiieren �Allianz f�r Cyber-Sicherheit�

Tue, 13 Mar 2012 08:34:00 +0100

Zur Umsetzung der Cyber-Sicherheitsstrategie f�r Deutschland initiieren das Bundesamt f�r Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gemeinsam die �Allianz f�r Cyber-Sicherheit�. Ziel der im Rahmen der CeBIT angek�ndigten Allianz ist, zusammen mit weiteren Partnern aus Wirtschaft, Wissenschaft und Verwaltung die Cyber-Sicherheit in Deutschland weiter zu verbessern und aktiv zu gestalten. BSI und BITKOM laden daher alle Akteure in Deutschland, die sich mit Cyber-Sicherheit besch�ftigen, ein, in der Allianz mitzuwirken.

Insbesondere angesprochen sind dabei Hersteller, IT- und Telekommunikationsdienstleister, Tr�ger der Internetinfrastrukturen, CERTs (Computer Emergency Response Teams), Anwenderbranchen mit intensivem IT-Einsatz sowie Multiplikatoren aus Medien und Wissenschaft.

Ausgehend von einem konsolidierten, aktuellen Lagebild werden im Rahmen der Allianz k�nftig Verwaltung, Wirtschaft und Wissenschaft mit Informationen und L�sungshinweisen zur Realisierung eines angemessenen Cyber-Sicherheitsniveaus versorgt. Dazu z�hlen eine gr��ere Transparenz �ber aktuelle Angriffsformen und Schwachstellen in relevanten IT-Produkten sowie Empfehlungen zu notwendigen Sicherheitsma�nahmen. Wesentlicher Bestandteil in dieser Kooperation ist zudem der Informations- und Erfahrungsaustausch zwischen Staat, Wirtschaft und Wissenschaft. Ein vertrauensvoller Austausch zum Thema Cyber-Sicherheit soll bewusst auch auf regionaler Ebene gest�rkt werden, um Landesbetriebe, kommunale Dienstleister und mittelst�ndische Unternehmen besser mit relevanten Informationen unterst�tzen zu k�nnen. Das BSI wird in der Allianz eine koordinierende Rolle einnehmen und � mit Zuarbeit aus dem Nationalen Cyber-Abwehrzentrum � Cyber-Sicherheitsempfehlungen, Warnungen, Analysen sowie vertrauliche Hintergrundinformationen einbringen. Dar�ber hinaus �bernimmt das BSI die Beobachtung der Gesamtlage sowie die nationale IT-Krisenreaktion.

Der Hightech-Verband BITKOM wird die Erkenntnisse zu Gef�hrdungs- und Angriffslage an die Hersteller und Dienstleister im Bereich Cyber-Sicherheit transportieren, damit zuk�nftig ad�quate L�sungen bereitgestellt werden k�nnen. Gleichzeitig soll das Know-how der h�ufig weltweit t�tigen Mitgliedsunternehmen in das aktuelle Lagebild einflie�en. Zudem wird der BITKOM den Erfahrungsaustausch mit Gro�unternehmen, Vertretern von Anwenderbranchen und regionalen Unternehmerverb�nden initiieren und intensivieren sowie mit dem BSI den Transfer der Informationen an die Zielgruppen �bernehmen. �Wir brauchen fl�chendeckend ein verl�ssliches und aktuelles Lagebild zur Cybersicherheit f�r den Standort Deutschland sowie gleichzeitig den Erfahrungsaustausch und die Hilfe im Schadensfall direkt vor Ort�, sagte BITKOM-Pr�sident Prof. Dieter Kempf.

Aktuelle Gef�hrdungslage erfordert gemeinsames Handeln

Praktisch alle Lebensbereiche des gesellschaftlichen Handelns, die Arbeitsf�higkeit der Verwaltung und die Wertsch�pfung der Wirtschaft h�ngen von funktionierenden IT- und Internetstrukturen ab. Daher ist die zunehmende Zahl an Angriffen, die �ber den Cyber-Raum auf digitale Identit�ten, vertrauliche Daten und die Verf�gbarkeit elektronischer Prozesse zielen, besorgniserregend. Technisch versierte Angreifer nutzen das Internet f�r kriminelle Aktivit�ten, um die Handlungsf�higkeit von Verwaltung und Unternehmen einzuschr�nken oder um finanzielle Ziele zu erreichen:
Identit�tsdiebstahl, Verf�gbarkeitsangriffe, Online-Spionage und -Sabotage sind t�gliche Ph�nomene geworden. Szenarien, die vor Kurzem noch reine Theorie oder Fiktion waren, werden heute im Cyber-Raum von der Wirklichkeit �berholt. Diese internationale Gef�hrdungssituation trifft auch Deutschland.

Permanent finden Cyber-Attacken statt, die die Leistungs�f�higkeit des Standortes Deutschland massiv beeintr�chtigen k�nnen. Um dieser Entwicklung gemeinsam entgegenzuwirken, ist die intensive Kooperation von Staat und Wirtschaft erforderlich. Mit der Allianz f�r Cyber-Sicherheit wird hierf�r die geeignete Plattform geschaffen.

BITKOM-Studie: Jede zweite Firma hat keinen Notfallplan f�r IT-Sicherheitsvorf�lle

Tue, 13 Mar 2012 08:33:00 +0100

Die meisten Unternehmen sorgen sich um ihre IT-Sicherheit. Angriffe auf ihre IT-Systeme sieht mehr als die H�lfte (57 Prozent) aller Unternehmen als reale Gefahr, quer durch alle Branchen und Unternehmensgr��en. 40 Prozent haben bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorf�lle erlebt, jedes zehnte Unternehmen sogar 10 Mal und h�ufiger. Doch fast jedes zweite Unternehmen (45 Prozent) hat nicht einmal einen Notfallplan f�r IT-Sicherheitsvorf�lle. Das ist das Ergebnis einer Umfrage unter 800 Unternehmen im Auftrag des Hightech-Verbandes BITKOM.

Die Befragung ist repr�sentativ f�r die deutsche Wirtschaft. �Es ist erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notf�lle nur unzureichend vorbereitet haben�, sagte BITKOM-Pr�sident Prof. Dieter Kempf auf der CeBIT in Hannover. Ein Notfallplan sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu k�nnen. Er listet beispielsweise die wichtigsten Gesch�ftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.

Immerhin w�rde nur jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hackerangriff oder einem IT-Sicherheitsleck betroffen w�re. Bei knapp drei Viertel ist die Bereitschaft zur Zusammenarbeit mit den Beh�rden dagegen nach eigenen Angaben hoch oder sehr hoch. Doch nach Erfahrungen des BITKOM scheuen noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution. Sie haben Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. �Um alle Beteiligten sch�tzen zu k�nnen, brauchen wir Informationen �ber konkrete, aktuelle IT-Angriffe�, sagte Kempf. Es sollte zur Selbstverst�ndlichkeit werden, die Beh�rden oder andere Stellen �ber IT-Sicherheitsvorf�lle zu informieren und Erfahrungen auszutauschen.
Unternehmen m�ssen auf freiwilliger Basis � und falls notwendig auch anonym � solche Vorf�lle melden k�nnen. Ein aktuelles Lagebild hilft Staat und Wirtschaft, im Krisenfall schneller und ad�quater reagieren zu k�nnen.

Lange Zeit galt IT-Sicherheit vor allem als Herausforderung f�r einzelne Unternehmen. Wer Opfer von Cyber-Kriminalit�t wurde, erlitt einen Schaden; die Auswirkungen waren f�r den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des �ffentlichen Lebens ver�ndert. �IT-Sicherheit hat heute eine makro�konomische, systemische Bedeutung gewonnen, sie ist zum Standortfaktor geworden�, sagte Kempf. Sie wird k�nftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und �u�ere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit. Daher komme auch das diesj�hrige CeBIT-Motto �Managing Trust � Vertrauen und Sicherheit in der digitalen Welt� zur richtigen Zeit. Kempf: �H�here IT-Sicherheit kostet M�he und Geld. Doch liegt darin auch eine Chance:
Sicherheit und Datenschutz k�nnen weltweit zum Markenzeichen von IT made in Germany werden.�

Webinar: �IT-Security Controls in Deutschland 2011

Mon, 12 Mar 2012 08:30:00 +0100

Sicherheitsanbieter Tripwire und die Analysten der IDC �(�) sind der Auffassung, dass automatisierte IT Security Controls ein sehr geeigneter Weg sind, den aktuellen Status der IT-Sicherheit in Unternehmen zu verbessern und Return on Investment zu generieren.�*

Unter der Leitfrage �Sind Ihre sensitiven Daten sicher?� hat IDC im Auftrag von Tripwire vor wenigen Monaten eine Studie zum Status der IT-Security-Praxis in Deutschland durchgef�hrt. Ein Ergebnis: Schwachstellen in der IT-Security bleiben h�ufig unentdeckt, denn trotz zunehmender Bedrohungen f�r die Gesch�ftsdaten und hoch entwickelter Angriffe auf die IT setzen deutsche Unternehmen f�r die Absicherung ihrer sensitiven Informationen nur selten auf die n�tigen IT Security Controls.

Michael Loger, Senior Systems Engineer DACH bei Tripwire, stellt Ihnen in einem Webinar die Ergebnisse dieser Studie vor. Er erl�utert auch, wie starke IT-Sicherheitskontrollen Ihr Unternehmen positiv beeinflussen.

Sie erfahren umfassend und kompakt:

� Welche Daten in deutschen Unternehmen gesch�tzt werden

� Welche M�glichkeiten Sie haben, eine Kompromittierung zu erkennen und einzud�mmen

� Welche IT-Security Controls in deutschen Unternehmen geplant oder tats�chlich implementiert werden

� Wie starke IT-Sicherheitskontrollen Ihr Unternehmen positiv beeinflussen und wie diese leicht implementiert werden

� Warum das Hinzuf�gen neuer Technologien allein nicht ausreicht und was die 80/20 Regel mit dem dauerhaften Schutz Ihrer IT-Infrastruktur zu tun hat.

Die Einladung zum Webinar: �IT-Security Controls in Deutschland 2011:
Ma�nahmen, Technologien und Verfahren, um IT-Security & -Compliance zu gew�hrleisten finden Sie hier:

Wann: Mittwoch, 14.03.2012, 11:00 Uhr

Wo: online Webinar:

http://www.tripwire.com/de/emea/register/it-security-controls-in-deutschland-2011-massnahmen-technologien-und-verfahren-um-it-security-compliance-zu-gewaehrleisten/?djinn=EML-IDCITSecInDE20120314

Social Media Leitfaden f�r KMUs

Wed, 07 Mar 2012 09:00:00 +0100

Egal ob jemand Handwerker ist, ein Caf� betreibt oder Dienstleistungen anbietet; egal ob er Einzelk�mpfer ist oder in einem Unternehmen mit 200 Mitarbeitern arbeitet: Jeder muss seine Produkte und Dienstleistungen unter die Leute bringen.

Dabei k�nnen heute ganz besonders die M�glichkeiten des Social Media Marketing genutzt werden. Mit Hilfe von Google, Facebook, Twitter & Co. erreicht jeder seine Kunden - alles was es daf�r braucht: Kreativit�t und wenig Geld. Kombiniert mit Qype, Groupon oder den aktuellen Location Based Services von Foursquare und anderen k�nnen innovative und attraktive Wege eingeschlagen werden, um Kunden auf sich aufmerksam zu machen und an sich zu binden.

Ein neuer Leitfaden vermittelt das R�stzeug um die richtige Social-Media-Strategie f�r das jeweilige Unternehmen zu finden, heute umzusetzen und morgen anzupassen, wenn sich etwas �ndert.

BSI ver�ffentlicht Schwachstellenampel

Mon, 05 Mar 2012 13:29:00 +0100

Mit der Schwachstellenampel (https://www.bsi.bund.de/cyber-sicherheit) bietet das Bundesamt f�r Sicherheit in der Informationstechnik (BSI) ein neues Angebot im Rahmen seiner Informationsdienste zur Cyber-Sicherheit. Die Schwachstellenampel ist ein Indikator, der die aktuelle IT-Sicherheitslage in Bezug auf Schwachstellen in ausgew�hlter, g�ngiger Standardsoftware verdeutlicht. Aufgrund des hohen Verbreitungsgrades dieser Software in Unternehmen, Beh�rden, Institutionen und bei Privatanwendern kann die Ausnutzung von darin enthaltenen Sicherheitsl�cken unter Umst�nden schwerwiegende und fl�chendeckende IT-Sicherheitsvorf�lle nach sich ziehen.

Diese Sicherheitsl�cken werden in der Schwachstellenampel statistisch erfasst und vom BSI aufbereitet. Die Bewertung basiert auf Anzahl und Schweregrad der Schwachstellen, die das jeweilige Produkt aktuell enth�lt.
Die drei Ampelfarben rot, gelb und gr�n spiegeln dabei den Schweregrad aller offenen Sicherheitsl�cken f�r das betroffene Produkt wider. Dabei wird unterschieden zwischen �geringf�gig kritischen� und �kritischen� Schwachstellen. Ziel des BSI ist es, Anwendern mit der Schwachstellenampel eine leicht verst�ndliche und schnell zu erfassende �bersicht �ber aktuelle L�cken in g�ngigen Softwareprodukten zu bieten und so auf m�glichen Handlungsbedarf aufmerksam zu machen.

Zur Beurteilung der Schwachstellen st�tzt sich die Ampel auf das Common Vulnerability Scoring System (CVSS v2). Im Bewertungsschema des BSI zeigt die Schwachstellenampel

- rot, wenn das Produkt eine beliebige Anzahl von offenen Schwachstellen mit mindestens einer �kritischen� Schwachstelle aufweist

- gelb, wenn das Produkt eine beliebige Anzahl von �geringf�gig kritischen� offenen Schwachstellen aufweist, gleichzeitig jedoch keine �kritische� offene Schwachstelle enth�lt

- gr�n, wenn das Produkt weder �kritische� noch �geringf�gig kritische� offene Schwachstellen aufweist.

F�r die Schwachstellenampel werden derzeit Sicherheitsl�cken in Produkten der folgenden Hersteller ber�cksichtigt:

- Adobe Systems mit den Produkten Adobe Reader, Adobe Acrobat und Adobe Flash Player
- Apple Inc. mit den Produkten Mac OS X, Safari und Quicktime
- Google Inc. mit dem Produkt Google Chrome
- der Linux-Kernel
- Microsoft Corporation mit den Produkten Microsoft Windows, Microsoft Office und Microsoft Internet Explorer
- Mozilla Foundation mit den Produkten Mozilla Firefox und Mozilla Thunderbird
- Oracle Corporation mit den Produkten Java Development Kit (JDK) und Java Runtime Environment (JRE)

Die Schwachstellenampel wird regelm��ig aktualisiert. Die Termine orientieren sich dabei haupts�chlich an den �Patchdays� der Hersteller, ber�cksichtigt werden jedoch auch Aktualisierungen bei neuen Schwachstellenmeldungen und au�erplanm��ig ver�ffentlichten Patches.

Consumerization: Laissez-faire trotz Risiken

Mon, 05 Mar 2012 13:23:00 +0100

Der M�nchner Marktforscher TNS Infratest hat im Auftrag von Dell 328 IT-Verantwortliche in deutschen Unternehmen unterschiedlicher Gr��e und Branchen nach den Vor- und Nachteilen der betrieblichen Verwendung privater Endger�te gefragt. Grunds�tzlich steht man dem Einsatz solcher Systeme aufgeschlossen gegen�ber: Nur in 20% der befragten Unternehmen ist ihr Einsatz explizit verboten. Bei 53% ist die Nutzung explizit erlaubt, w�hrend bei 27% �ber deren Nutzung nicht offiziell entschieden ist und damit die Ger�te zumindest nicht verboten sind.

Bei den Vorteilen des Einsatzes privater mobiler IT-Systeme im Unternehmen wurden von den Befragten am h�ufigsten Flexibilit�t, Mobilit�t und Produktivit�t genannt. Weniger Bedeutung wird offenbar dem Kostenargument beigemessen: Obwohl die Unternehmen ja Investitionen und Betriebskosten in erheblichem Umfang sparen, wenn die Besch�ftigten f�r gesch�ftliche Aufgaben anstatt unternehmenseigener ihre privaten Systeme verwenden, nennen dies lediglich 32% der Befragten als Vorteil.

Die Umfrage zeigt aber auch, dass die Risiken des Einsatzes privater mobiler IT-Systeme in den Unternehmen zwar bekannt sind, daraus aber in der Mehrzahl der F�lle keine Konsequenzen gezogen werden, da konkrete Regelungen zum Einsatz meist fehlen. So ist mangelnde Sicherheit als Nachteil des Einsatzes privater mobiler IT-Ger�te in vielen Unternehmen (71%) durchaus bekannt; 50% der befragten Unternehmen sehen au�erdem Nachteile in geringeren Kontrollm�glichkeiten durch die IT (Mehrfachantworten m�glich) � 81% der befragten Unternehmen nennen zumindest einen dieser beiden Nachteile. Keinerlei Nachteile erkennen lediglich 9% der Befragten.

Bemerkenswert ist jedoch, dass bei nicht einmal der H�lfte der Unternehmen (42%), die die typischen Nachteile kennen und in denen die betreffenden Ger�te trotzdem eingesetzt werden, auch verbindliche Regelungen f�r deren Verwendung bestehen. Anders ausgedr�ckt: Die meisten Unternehmen kennen zwar die Gefahren, sehen aber trotzdem keine Verfahren vor, um den Einsatz der betreffenden Systeme zu steuern oder zu kontrollieren.

CeBIT 2012: BSI informiert �ber Cyber-Sicherheit und De-Mail

Fri, 02 Mar 2012 12:25:00 +0100

Das Bundesamt f�r Sicherheit in der Informationstechnik (BSI) informiert vom 6. bis 10. M�rz 2012 mit eigenem Stand sowie Pressekonferenz, Vortragsveranstaltungen und Pr�sentationen auf der CeBIT in Hannover �ber aktuelle Themen und Entwicklungen in der Internet- und Informationssicherheit.

Auf dem Messestand des BSI (Halle 12, Stand B35) stehen neben Themen wie Zertifizierung, sicherer Mobilkommunikation, Cloud Computing oder IT-Grundschutz die Angebote des BSI zur Cyber-Sicherheit in Verwaltung und Wirtschaft im Fokus. Daneben informiert das BSI ausf�hrlich �ber neue Entwicklungen und technologische Grundlagen zum Thema De-Mail, dem verbindlichen und vertraulichen Versand elektronischer Dokumente und Nachrichten. Unter anderem werden im Rahmen der CeBIT die Akkreditierungsurkunden f�r die De-Mail-Diensteanbieter Mentana-Claimsoft GmbH, Telekom Deutschland GmbH und T-Systems International GmbH �bergeben.

Auch Privatanwender k�nnen sich am Stand des BSI �ber Gefahren und Schutzma�nahmen f�r PC, Notebook und Smartphone informieren sowie Tipps zum sicheren Online-Banking, sicherer mobiler Kommunikation oder zu Risiken im Umgang mit Sozialen Netzwerken erhalten.

Angesichts des Fachkr�ftemangels im Bereich der IT-Berufe nutzt das BSI die CeBIT zudem auch als Plattform, um �ber Job- und Karrierem�glichkeiten in der nationalen IT-Sicherheitsbeh�rde zu informieren. Am BSI-Stand ebenso wie am Gemeinschaftsstand des Gesch�ftsbereichs des Bundesinnenministeriums auf der Jobb�rse (Halle 26) k�nnen sich Interessierte �ber das BSI als Arbeitgeber informieren.

DIVSI Milieu-Studie zu Vertrauen und Sicherheit im Internet

Thu, 01 Mar 2012 09:00:00 +0100

Rund 27 Millionen Menschen in Deutschland leben komplett oder nahezu komplett ohne Internet. Damit sind hierzulande fast doppelt so viele Personen offline wie bislang angenommen. Das ist das zentrale Ergebnis der heute in Berlin vorgestellten �DIVSI Milieu-Studie zu Vertrauen und Sicherheit im Internet�. Im Auftrag des Deutschen Instituts f�r Vertrauen und Sicherheit im Internet (DIVSI) hat das SINUS-Institut insgesamt 2.047 Menschen bev�lkerungsrepr�sentativ in einer computergest�tzten Face-to-Face-Umfrage zu deren Einstellungen in Bezug auf Vertrauen und Sicherheit im Internet sowie zu deren individuellem Internet-Nutzungsverhalten befragt. DIVSI-Direktor Matthias Kammer: �Die Studie beschreibt den Zustand unserer Internet-Gesellschaft pr�ziser, als dies jemals zuvor geschehen ist.�

Die bundesweite Untersuchung zeigt, dass fast 40 Prozent der Menschen in Deutschland Digital Outsiders sind. Dies sind nicht allein Menschen ohne technischen Zugang zum Internet. Vielmehr geh�ren dazu auch jene, die zwar theoretisch �ber einen Internet-Anschluss verf�gen k�nnten, im Umgang mit dem Internet jedoch stark verunsichert sind und dieses daher so gut wie bzw.
�berhaupt nicht nutzen. Rund 41 Prozent (28 Millionen Menschen) bezeichnet die Studie hingegen als Digital Natives. Diese sind mit dem Internet gro� geworden und haben es voll in ihr Leben integriert. Als dritte Gruppe wurden schlie�lich Digital Immigrants identifiziert (20 Prozent bzw. rund 14 Millionen Menschen). Sie begr��en einerseits den kommunikationstechnischen Fortschritt und nutzen das Internet gezielt f�r ihre Zwecke. Andererseits nehmen sie auch die negativen Folgen des Digitalisierungsprozesses wahr, sind im Internet eher misstrauisch, skeptisch und defensiv unterwegs. Sie beobachten den Trend zunehmender Offenlegung der Privatsph�re in sozialen Netzwerken mit Sorge.

Die �DIVSI Milieu-Studie zu Vertrauen und Sicherheit im Internet� offenbart noch einen weiteren wichtigen Ergebnis-Komplex mit zwei wesentlichen
Aspekten: Zum einen geht es um unterschiedliche Verantwortungskonzepte in Bezug auf die Internet-Nutzung. Fast drei Viertel der Deutschen (74 Prozent) erwarten, dass Staat und Wirtschaft aktiv f�r Sicherheit im Internet sorgen.
26 Prozent (mehrheitlich Digital Natives) lehnen dagegen jegliche Einmischung ab. Sie sehen die Verantwortung beim Nutzer und sind �berzeugt, alles selbst im Griff zu haben.

Zum anderen gibt es in der Bev�lkerung unterschiedliche �berzeugungen bei der Frage, wie sicher das Internet �berhaupt sein kann. Etwa ein Drittel aller Internet-Nutzer glaubt, dass es im Netz v�llige Sicherheit geben kann.
Rund die H�lfte der User ist hingegen �berzeugt, dass dies nicht m�glich ist. Alle �brigen Befragten konnten zu der Frage keine klare Position beziehen.