Focus on Security Ausgabe 11, November 2013

Größe: px
Ab Seite anzeigen:

Download "Focus on Security Ausgabe 11, November 2013"

Transkript

1 Focus on Security Ausgabe 11, November 2013

2 2 Focus on Security Informationen zur Unternehmenssicherheit Advanced Persistant Threats (APT) Seite 3 Arbeitsschutz Seite 3 Betrug Seite 3 Biometrie Seite 4 Brandanschläge Seite 4 Brandschutz Seite 4 Cloud Computing Seite 6 Compliance Seite 7 Datenschutz Seite 8 Diebstahl Seite 8 Einbruch Seite 9 Explosionsschutz Seite 9 Falschgeld Seite 9 Flughafensicherheit Seite 10 Gebäudesicherheit Seite 10 Gefängnissicherheit Seite 10 Gefahrenmeldetechnik Seite 11 Geldautomatensicherheit Seite 12 Geld- und Werttransporte Seite 12 Hotelsicherheit Seite 12 IT-Sicherheit Seite 12 IuK-Kriminalität Seite 16 Kommunikationssicherheit Seite 17 Krisenregionen Seite 17 Logistiksicherheit Seite 18 Luftsicherheit Seite 19 Metalldiebstahl Seite 19 Mobile Endgeräte Seite 19 Notfallmanagement Seite 20 Perimeterschutz Seite 21 Piraterie Seite 21 Produktpiraterie Seite 22 Rechenzentrumssicherheit Seite 22 Risikomanagement Seite 23 Schlüsselmanagement Seite 24 Schwarzarbeit Seite 24 Sicherheitsmarkt Seite 24 Social Engineering Seite 25 Spionage Seite 25 Terrorismus Seite 26 Unternehmenssicherheit Seite 26 Videoüberwachung Seite 27 Zutrittskontrolle Seite 31

3 Focus on Security Advanced Persistant Threats (APT) Timo Steffens, BSI, behandelt in der Fachzeitschrift <kes> (Ausgabe , S ) Möglichkeiten der Abwehr von APT-Angriffen. Aus Sicht des BSI liege ein APT vor, wenn ein gut ausgebildeter Angreifer mit Rückgriff auf große Ressourcen sehr gezielt und mit großem Aufwand ein Netz oder System angreift, sich dann in dem System ausbreitet, weitere Hintertüren einbaut, und möglicherweise über längere Zeit Informationen sammelt oder Manipulationen vornimmt. Die Angreifer arbeiteten häufig in thematischen Kampagnen wie beispielsweise Luftfahrt oder Energie. APTs seien darauf ausgelegt, unter dem Radar der klassischen Antiviren-Lösungen zu bleiben. Generell zeige die Erfahrung, dass APTs nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können. Und sie zeige, dass es den Angreifern zu einfach gemacht werde, weil die eigentlichen Basis-Sicherheitsmaßnahmen nicht durchgeführt wurden. Um gegen APTs stets auf dem Laufenden zu bleiben, sei es wichtig, dass sich Unter- nehmen gegenseitig über gezielte Angriffe informieren. Um die Anonymität der Unternehmen zu bewahren, baue das BSI derzeit eine Austauschplattform auf. Und auf Seiten der Allianz für Cybersicherheit stehe ein anonymes Meldeportal zur Verfügung. Andres Wild, Redwood Shores (US/CA), geht in derselben Ausgabe (S. 10/11) der Frage nach: Wie soll man APTs begegnen? Für die Implementierung eines starken risikobasierten Ansatzes gebe es eine ganze Menge passender Rahmenwerke: ISO 27000, NIST SP & Co. seien keine Unbekannten. Ein möglicher Weg sei die Nutzung einer Methodik mit Überwachungs- und Steuerelementen, die sich bei der Minderung von Risiken realer Bedrohungen als effektiv erwiesen haben. Die zwanzig Critical Controls for Effective Cyber Defense seien ein Ansatz, der dieser Methodik entspreche. Sie würden nach Bedarf aktualisiert und lägen aktuell im vierten Release (Version 4.1) vor. Arbeitsschutz Der Sicherheitsberater befasst sich am 1. Oktober mit der Arbeitsergonomie in Leitstellen (S ). In Notruf- oder Serviceleitstellen, in denen sich üblicherweise mehrere Arbeitnehmer einen Arbeitsplatz teilen, sollten die Arbeitsmittel dynamisch und flexibel an die jeweiligen Bedürfnisse der Mitarbeiter anpassen lassen. Insgesamt seien die körpergerechten Abmessungen bei der Möblierung im Auge zu behalten. Arbeits- und Anzeigegeräte wie Monitore sollten ergonomisch justiert werden können. Beleuchtungs-/Reflexionsvorgaben seien einzuhalten. Die Temperatur solle bei mindestens 20 und maximal 26 Grad liegen. Für die Einhaltung der zulässigen Umgebungslautstärke müsse gesorgt werden. Vorzugsweise sollte die Belegschaft maximal % der Arbeitszeit im Sitzen verbringen, den Rest abwechselnd im Stehen und in Bewegung. Betrug Nach einer Meldung der FAZ vom 18. Oktober warnt die Bundesagentur für Arbeit vor einer dreisten Masche im Internet: Demnach stellt ein fremder Anbieter Rechnungen an Arbeitgeber aus, die ihre Stellenangebote auf der kostenlosen Jobbörse der Arbeitsagentur im Internet einstellen. Der Anbieter Jobdirect24 verlange für die angebliche Veröffentlichung 580 Euro. Die Behörde weise darauf hin, dass es sich bei Jobdirect24

4 4 Focus on Security nicht um einen Kooperationspartner handelt und rät allen betroffenen Arbeitgebern, die Rechnung nicht zu begleichen. Nach einer Mitteilung von Securicon vom 5. Oktober warnt die PD Aalen vor folgender Betrugsmasche: Deutsche Geschäftsleute haben Geschäftsverbindungen zu Partnern in der VR China. Bei Bestellung von Waren leisten die deutschen Unternehmen eine Anzahlung. Nach Mitteilung der Warenversendung erfolgt die Restzahlung auf ein bekanntes Konto des Partnerunternehmens. In mehreren Fällen seien für diese Restzahlung in gefälschten s von Betrügern neue Bankverbindungen in London, Dubai, Bangkok und Honkong angegeben worden. Biometrie Wie die Zeitschrift WiK in der Ausgabe , S. 10, mitteilt, haben Forscher der Universität von Leicester eine neue Methode entwickelt, um Fingerabdrücke auf metallischen Oberflächen zu identifizieren. Anders als nach der klassischen Methode nutze die neue Technik die elektrischen Isoliereigenschaften der Fingerspuren. Der Abdruck wirke dabei wie eine Maske, die dafür sorgt, dass per elektrischem Strom farbige, elektroaktive Polymere auf die Flächen zwischen den Ablagerungen des Fingerabdrucks umgelenkt werden. So entstehe ein Negativbild des Fingerabdrucks. Allerdings würden isolierende Rückstände ab Nanometerdicke die Polymerablagerung verhindern. Bisher sei das Verfahren nur im Labor angewandt worden. Heise online meldet am 17. Oktober, der Europäische Gerichtshof habe entschieden, dass die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen zulässig ist. Die gängige Praxis, biometrische Daten auf dem Ausweis zu speichern, entspreche dem europäischen Recht. Auf diese Weise könne Betrug bei der Verwendung von Reisepässen verhindert werden. Brandanschläge Das BKA berichtet in der Wochenlage am 6. Oktober, dass Unbekannte am 29. September auf dem Gelände eines Autohauses in Erfurt zur Auslieferung bereitgestellte Einsatzfahrzeuge der Polizei in Brand gesetzt haben. 15 Mannschaftswagen brannten aus, fünf weitere Fahrzeuge wurden beschädigt. Der Schaden wird auf insgesamt Euro geschätzt. In einem Selbstbezichtigungsschreiben wird die Tat von der Gruppe Abteilung bürgerlicher Ungehorsam im TRH, die sich als Mitarbeiter des Landesrechnungshofes ausgibt, in ironischer Weise dahingehend begründet, dass die Thüringer Polizei durch fehlende Ausschreibungen, Verstöße gegen Vergabe-Vorschriften, verschleierte Kreditfinanzierungen und serienmäßige Mängel bei angekauften Neufahrzeugen die Täter zu der Tat gezwungen habe. Das BKA weist auf einen ähnlichen Fall am 23. Januar 2012 in Magdeburg hin. Damals belief sich der Sachschaden auf ca Euro. Brandschutz Das VdS-Magazin s+s report enthält in seiner Ausgabe mehrere für den Brandschutz in Unternehmen interessante Beiträge: Dipl.-Ing. Roland Motz, GDV, erläutert die VDI-Richtlinien zum Brand- und Explosionsschutz an Sprühtrocknungsanlagen

5 Focus on Security (S ). Die Brandgefährdung hänge von der Produktmenge und dem Brandverhalten des herzustellenden Produktes ab. Die Hauptursache für Brände und Explosionen liege in der teils beträchtlichen Wärme- und Druckwirkung und in den Verbrennungsprodukten. Für den Explosionsschutz fordere die BSVO von Betreibern von Sprühtrocknungsanlagen beim Auftreten gefährlicher explosionsfähiger Atmosphäre ein Explosionsschutzdokument. In den Richtlinien VDI 2263 Blatt 7 würden nun erstmals auch die Anforderungen an den Brandschutz berücksichtigt, die bei der Planung, Errichtung und dem Betrieb solcher Anlagen beachtet werden sollten. Nach Blatt 7 seien insgesamt 13 mögliche Zündquellen von denen für den Brandschutz nur acht von Bedeutung seien auf ihre Wirksamkeit zum Auslösen einer Staubexplosionen zu beurteilen. Der Autor geht näher auf die möglichen Schutzmaßnahmen, eine mögliche Brandfrüherkennung und Brandbekämpfungsmaßnahmen ein. Die wichtigsten Maßnahmen, um im Brandfall ein Ausflühen von Bauteilen der Sprühtrocknungsanlage zu verhindern, seien die sofortige Außerbetriebnahme der Luftzufuhr und das gleichzeitige Löschen und Kühlen. Der Einsatz von speziell für solche Anlagen geplanten stationären Löschanlagen, die automatisch und manuell in Betrieb gesetzt werden können, sei zwingend erforderlich. Sie seien mit einem geeigneten Brandfrüherkennungssystem zu koppeln. Dr.-Ing. Mingyi Wang, GDV, gibt auf S entsprechend VdS 3149 Hinweise zur Bewertung von Abschnittsflächen, um einen technisch und wirtschaftlich optimalen Brandschutz zu ermöglichen. Gemäß dem Abschottungsprinzip sollten Gebäude nach Möglichkeit durch feuerwiderstandsfähige Wände und Decken baulich unterteilt werden, um eine Ausbreitung von Feuer und Rauch zu verhindern oder wenigstens zu begrenzen. Abgesehen von der Abtrennung von Nutzungseinheiten seien bei Industrie- und Gewerbebauten folgende Abschnittsbildungen bekannt: Komplex, Brandabschnitt (BA), Brandbekämpfungsabschnitt (BBA) und feuerbeständig abgetrennter Raum. Der Autor behandelt die typische Abschnittsbildung, Definitionen der Abschnittsflächen in der Muster-Industriebaurichtlinie, die risikotechnische Bewertung der Abschnittsflächen und Empfehlungen der Versicherer. Diese hätten anhand ausgewerteter Schadenerfahrungen Empfehlungen zur Bewertung von Abschnittsflächen veröffentlicht. Mit ihnen solle die Praxis dabei unterstützt werden, die Brandgefahren und die damit verbundenen Risiken insbesondere durch die Anordnung brandschutztechnisch abgetrennter Gebäudeabschnitte zu minimieren. Dr. Florian Irrek, VdS Schadenverhütung, befasst sich mit der Planung von Gaslöschanlagen (S ). Sie sei eine äußerst komplexe Angelegenheit, bei der viele Faktoren in Betracht gezogen werden müssten. Erschwert werde die Planung dadurch, dass oft noch während des Baus Änderungen vorgenommen werden müssen, die nur schlecht vorauszuplanen sind. Dennoch könne auch ohne ausführliche hydraulische Berechnungen eine recht genaue Vorhersage getroffen werden, wie lang das Rohrnetz der Anlage maximal sein darf. Die Frage, wie viel Platz in der Löschgaszentrale für das Löschgas benötigt wird, könne noch relativ leicht mithilfe der VdS-Richtlinien Planung und Einbau für Gaslöschanlagen, VdS 2093/2380/2381, beantwortet werden. Sofern bereits die Löschkonzentration bekannt ist, könne sehr einfach von Hand die Mindest-Vorratsmenge berechnet werden. Die Beantwortung der zweiten grundlegenden Frage, wie nah am Löschbereich die Löschgaszentrale positioniert werden muss, setze üblicherweise eine hydraulische Berechnung voraus. Der Autor zeigt aber an einem Beispiel, dass eine brauchbare und belastbare Abschätzung der maximalen Entfernung zum Löschbereich auch in der Planungsphase möglich ist, in der noch keine vollständige hydraulische Berechnung möglich ist. Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX Risk Conusltants, gibt eine aktuelle Übersicht

6 6 Focus on Security über Leistungsmerkmale und Anforderungen an den Brandschutz bei Wärmedämmverbundsystemen (WDVS). Bei WDVS mit brennbaren Dämmstoffen sei es wichtig, dass der Dämmstoff in die nichtbrennbaren Deckschichten eingepackt bzw. entsprechend geschützt ist. Den Flammen müsse möglichst lange der Zutritt zum Dämmstoff verwehrt bleiben. Das bauordnungsrechtliche Schutzziel an der Gebäudeaußenwand müsse somit darin bestehen, eine schnelle Brandausbreitung über mehr als zwei Geschosse oberhalb bzw. unterhalb der Brandausbruchstelle sowie einen Brandeintritt in die Dämmstoffebene vor dem Löschangriff der Feuerwehr zu verhindern, eine Gefährdung der Rettungskräfte zu vermeiden und die Rettung von Personen zu ermöglichen. Bei der Verwendung von Dämmstoffdicken oberhalb von 10 cm seien zusätzliche Brandbarrieren erforderlich: alternativ ein Sturzschutz über jeder Öffnung oder ein umlaufender Brandriegel in jedem zweiten Geschoss. Protector weist in seiner Ausgabe (S. 16/17) darauf hin, dass der ZVEI beim Brandschutztag am Ausblicke auf heutige und künftige Schwerpunkte des anlagentechnischen Brandschutzes gibt: Zunehmend würden Brandschutzmaßnahmen, die sich allein oder überwiegend mit bautechnischen Maßnahmen nicht optimal umsetzen ließen, als kombinierte bau- und anlagentechnische Maßnahmen realisiert. Seit am 1. Juli 2013 liege mehr Verantwortung bei Planern und Errichtern, denn sie müssten durch die neue europäische Bauproduktenverordnung bei Ausschreibungen viel intensiver als bisher prüfen, ob Bauprodukte für die Verwendung geeignet sind. Die Vernetzung und Dynamisierung gehe weiter. Aus der statischen Fluchtweglenkung werde eine dynamische. In der Brandalarmierung würden inzwischen auch vermehrt optische Signalgeber als Ergänzung zu den akustischen Signalen eingesetzt. Die Kabelindustrie habe neue Brandschutzkabel entwickelt, die sowohl die Brandausbreitung eindämmen und geringere Hitze entwickeln als auch weniger Rauch und giftige Gase entstehen lassen. Cloud Computing Dipl.-Inf. Maxim Schnjakin und Prof.Christoph Meinel, Hasso Plattner Institut für Softwaresystemtechnik GmbH (HPI), stellen in der Fachzeitschrift <kes> (Ausgabe , S )einen Lösungsansatz vor, um auch bei Cloud-Speichern Zuverlässigkeit zu gewährleisten und das Risiko abzuwenden, in eine Abhängigkeit von einem einzelnen Dienstleister zu geraten. In einer Forschungsarbeit am HPI seien ausgewählte Cloud-Speicheranbieter in einer einheitlichen Plattform integriert worden. Das System überprüfe die Einhaltung der Anwenderanforderungen und garantiere, dass kein Dienstanbieter im alleinigen Besitz der Anwenderdaten ist. Diese letzte Komponente werde von drei Diensten unterstützt: den Encoding-, Datenverteilungs- und Sicherheits-Services. Das System schaffe eine Metaebene zwischen Anwendern und Anbietern von Cloud-Speicherressourcen. Bei der Übertragung der Anwenderdaten würden die einzelnen Datensätze mittels Erasure-Codes (Erasure-Algorithmen) fragmentiert und auf verschiedene, voneinander unabhängige Dienstleister verteilt. Die hierbei beteiligten Cloud-Ressourcen könnten nach den benutzerdefinierten Anforderungen an Leistungsfähigkeit, geografische Lage sowie etwaige technische Eigenschaften ausgewählt werden. Wer sich für Security as a Service von T- Systems entscheidet, erhalte professionellen Schutz aus der Cloud zum Festpreis pro Nutzer und zugeschnitten auf den aktuellen Bedarf, erläutert Jürgen Harazim, T-Systems, in der Beilage zu <kes>, Ausgabe ,

7 Focus on Security S. 48/49. T-Systems biete mit Secure Services und Secure Web Access Services zwei neue Security as a Service- Module. Sichere Cloud-Dienste mit Active-Directory-Anbindung stellt in derselben Ausgabe (S ) Stefan Keller, noris network AG, vor. Die Vorteile von Cloud-Services ließen sich mit Compliance- und Sicherheitsgedanken nur kombinieren, wenn diese Dienste aus inländischen Hochsicherheitsrechenzentren bezogen werden. Der Komfort müsse nicht leiden und ein effizientes Rechtemanagement lasse sich über die Kopplung der Dienste mit dem unternehmenseigenen Active Directory kombinieren. Eine solche Managed Cloud-Lösung verbinde ein On Demand-Angebot mit Sicherheitsgarantien und einfacher Administrierbarkeit. Dipl.-Informatiker Michael Herfert, Fraunhofer-Institut für Sichere Informationstechnologie SIT, liefert in der Zeitschrift WiK (Ausgabe , S ) Kriterien, die hilfreich sein sollen, um Schwächen bei verschiedenen Cloud-Lösungen zu erkennen. Für Cloud-Speicherdienste seien wichtige Eigenschaften die Verschlüsselung von Daten, bevor sie den Rechner des Nutzers verlassen, und das mit Schlüsseln, die in seiner alleinigen Verfügbarkeit liegen, und die Verwendung etablierter kryptographischer Mechanismen und Protokolle. Für Cloud-Verarbeitungsdienste seien die größten Sicherheitsrisiken die Registrierung, der Transport, die Deduplikation und das Teilen von Daten. Es gebe zwar verschiedene Siegel für Cloud- Computing, aber darunter seien einige mit fraglichem Hintergrund. Ein allgemein anerkanntes Siegel wäre ein Schritt in die richtige Richtung. Bei Diensten, die Daten auch verarbeiten, werde eine individuelle Prüfung des Dienstes notwendig bleiben. Die FAZ weist am 8. Oktober darauf hin, dass die Europäische Datenschutzrichtlinie nach ihrem aktuellen Diskussionsstand die Forderung enthalte, dass Nutzer von den Betreibern eines Rechenzentrums ausdrücklich darauf hingewiesen werden, wenn ihre Daten europäischen Boden verlassen und zum Beispiel in ein Rechenzentrum in den USA übertragen werden. Eine solche Übertragung solle verboten werden, wenn die entsprechenden Bedingungen zuvor nicht erfüllt werden. Darin eingeschlossen solle der Hinweis sein, dass persönliche Daten möglicherweise von ausländischen Geheimdiensten oder Behörden dritter Staaten ausgewertet werden könnten. Von einer Datenverlagerung solle zum einen der Inhaber der Daten selbst, zum anderen aber auch eine Überwachungsbehörde unterrichtet werden. Heise online weist am 16. Oktober darauf hin, dass EU-Kommissarin Neelie Kroes fordert, Europa solle die führende vertrauenswürdige Cloud-Region werden. Es seien mehr Transparenz und hohe Standards nötig. Kroes propagiere Verschlüsselung sowohl beim Transport als auch beim Speichern von Daten und warne davor, dass Schlüssel entwendet und Algorithmen geknackt werden könnten. Compliance Wichtig sei Compliance auch für den Mittelstand, erläutert die FAZ am 26. September in einer Spezialausgabe. Kein Unternehmen könne es sich leisten, die drohenden Gefahren bei Compliance-Verstößen zu ignorieren. Es gelte, Compliance-Regelwerke und entsprechende Systeme zu individualisieren. Statt wahllos Workshops für Mitarbeiter anzubieten, sollten Geschäftsführer sich zunächst mal ihr Unternehmen ganz genau anschauen und sich fragen: Wo liegen bei meinem Geschäftsmodell die Risiken?. Maß halten, laute unisono die Devise von Experten. Für Geschäftsführer von Unternehmen

8 8 Focus on Security gelte eine sogenannte Organisations- und Aufsichtspflicht: Sie müssten dafür sorgen, dass ihre Firma als Ganzes sowie jeder einzelne Mitarbeiter gesetzliche und unternehmensinterne Vorschriften einhält. Ebenso müssten sie regelmäßig kontrollieren und dokumentieren, inwieweit zum Beispiel hauseigene Compliance-Systeme Wirkung zeigen. Außerdem könnten Geschäftsführer, Vorstände und Aufsichtsräte seit einigen Jahren persönlich haftbar gemacht werden, wenn sie sich fahrlässig verhalten oder Entscheidungen treffen, die dem Unternehmen schaden. Die Haftungspflicht könne auch dann greifen, wenn einzelne Mitarbeiter gegen gesetzliche oder hausinterne Regeln verstoßen haben, die Führungskraft davon wusste und nichts dagegen unternommen hat. Um Schadenersatzklagen zu vermeiden, sei die von Beratern empfohlene Risikoanalyse wichtig. Heise online berichtet am 10. Oktober, dass der Europäische Gerichtshof für Menschenrechte die Klage eines Nachrichtenportals zurückgewiesen hat, das von einem estnischen Gericht zu einer Geldstrafe verurteilt worden war, weil es trotz eindeutiger Warnungen an die Nutzer und automatischer Wortfilter nicht genug getan habe, um beleidigende Kommentare, von denen eine Fährgesellschaft betroffen war, schnell zu entfernen. Datenschutz In der Fachzeitschrift <kes> (Ausgabe , S ) weist Rechtsanwalt Stefan Jaeger darauf hin, dass die Informationspflicht von Unternehmen über Datenschutzverletzungen jetzt europaweit durch die VO Nr. 611/2013 der EU-Kommission vereinheitlicht wurde. Die Informationspflicht gelte in bestimmten Fällen gegenüber Aufsichtsbehörden und Betroffenen. Ungeklärt seien nach wie vor einige rechtliche Fragen. So sehe die VO selbst keinerlei Sanktion für den Fall des Verstoßes gegen die Meldepflicht vor. Zudem bleibe auch die Frage nach den Verpflichteten gemäß der EU-VO unklar. Diebstahl Das BKA hat nach einer Information von ASW-Securicon vom 12. Oktober darauf hingewiesen, dass seit etwa 2005 jährlich ca. zwei Dutzend Diebstähle von Solarmodulen bekannt werden. Die Sachschäden lägen immer im fünfstelligen, manchmal sogar im sechsstelligen Euro-Bereich (bis zu ). Die Tatorte befänden sich meist in einsam gelegenen Gebieten außerhalb bebauter Ortschaften (Lagerhallen, Gehöfte, Stallungen, Solarparks). Die Gebäude und Parks seien in der Regel offen zugänglich, wobei die Parks inzwischen zunehmend mit einem Zaun umfriedet seien. Die Photovoltaik-Module oder Stromkollektoren sowie die Wechselrichter würden fachge- recht abmontiert. Täterhinweise würden nur in ganz wenigen Fällen bekannt. Zur Abwehr solcher Diebstähle rät die Zentrale Geschäftsstelle des Programms Polizeiliche Kriminalprävention zu einer Kombination aus folgenden Komponenten: Perimeterabsicherung, Zugangstorüberwachung, Videoüberwachung mit Detektion, Bewegungsmelder zur Überwachung der Zaunanlage, Technikhaus Einbruchshemmung nach RC 3 DIN EN 1627 komplett. Die Alarmtechnik sollte auf einer ständig besetzten NSL auflaufen. Die Polizei sollte erst hinzugezogen werden, wenn von einem Echtalarm ausgegangen werden muss.

9 Focus on Security Einbruch In der Fachzeitschrift s+s report (Ausgabe , S ) zieht Julia Christiani, Programm Polizeiliche Kriminalprävention der Länder und des Bundes, nach einem Jahr der Öffentlichkeitskampagne K- Einbruch eine positive Bilanz. Die Zahl der fehlgeschlagenen Einbrüche sei von im Jahr 2010 über im Jahr 2011 auf im Jahr 2012 gestiegen. Viele Einbrüche könnten durch die richtige Sicherungstechnik verhindert werden. Eine Untersuchung des Bayerischen LKA habe ergeben, dass in Bayern im Jahre 2012 von insgesamt Fällen durch mechanische Sicherungen verhindert wurden. In 223 Fällen sei die Tat durch EMA vereitelt worden. Dies zeige zudem, dass die Einbruchmeldetechnik immer eine Ergänzung zur mechanischen Sicherungstechnik sein und nicht als Ersatz dafür angesehen werden sollte. Nach der Erhebung des Bayerischen LKA (S. 44/45) wurden 2012 im Gewerbebereich 626 Einbrüche durch mechanische Sicherungen verhindert, und zwar 506 durch Sicherungen an Türen (312 durch eine widerstandsfähige Türkonstruktion und geeignete Anbauteile, 194 durch Zusatzsicherungen) und 99 durch mechanische Sicherungen an Fenstern, Terrassen- und Balkontüren (65 durch Fensterzusatzsicherungen und 34 durch sonstige Sicherungen wie Gitter) sowie 21 durch Schaufenstersicherungen. Ebenfalls im Gewerbebereich konnten durch 181 Alarme 28 Festnahmen erzielt werden. Die Festnahmequote betrug bei stillen Alarmierungen 57 %, bei örtlichen (akustischen oder optischen) Alarmen 7 %. Explosionsschutz Eine Möglichkeit, Schutz vor Sprengstoffanschlägen auch bei Bestandsgebäuden zu erreichen, ist der Einsatz von sprengwirkungshemmenden Sicherheitsfolien. Darauf weist der Sicherheitsberater am 1. Oktober (S. 300/301) hin. Ungeschütztes Einfachund Isolierglas erreiche durch die Beschichtung mit PROFILON ER1 folgende Widerstandsklassen: 1. Sprengwirkungshemmung Klasse ER1 nach DIN EN (NS). 2. Durchwurfhemmung Klasse A1 nach DIN (alt) bzw. Klasse P2A nach EN 356 (neu). Die Sicherheitsfolie sei im Druckstoßrohr getestet und nach Aussage des Herstellers Haverkamp die weltweit einzige Folie, deren sprengwirkungshemmende Eigenschaften in diesem Härtetest nach DIN EN bestätigt wurde. Falschgeld Wie die ASW am 27. September mitteilt, hat das LKA Schleswig-Holstein seit Juni 2013 ein plötzliches und konzentriertes Anhalten von Falsifikaten in Form von 10-, 20- und 50-Eurobanknoten, überwiegend im Raum Kiel, registriert. Nach einem vorübergehenden Rückgang seien die Fallzahlen seit August 2013 wieder angestiegen. Es handele sich um professionelle, vermutlich in italienischen Fälscherwerkstätten hergestellte, Druckfälschungen. Die gefälschten 50-Euro-Banknoten seien mit einem mangelhaft aufgedruckten Wasserzeichen versehen, das unabhängig vom Lichteinfall immer gleich ausschaue. Das echte Wasserzeichen entstehe durch eine unterschiedliche Papierdichte. Es werde sichtbar, wenn die Note gegen das Licht gehalten wird. Helle und dunkle Stellen gingen sanft ineinander über. Werde die Note auf eine dunkle Oberfläche gelegt, würden die hellen Stellen dunkel. Dieses Echtheitsmerkmal fehle der falschen

10 10 Focus on Security Euro-Banknote. Auch den Farbwechsel der auf der rechten unteren Rückseite der Banknote aufgebrachten Ziffer 50 könnten die Fälscher nicht täuschend sicher nachempfinden. Beim Kippen der echten 50-Euro-Banknote wechsele die Farbe von purpurrot zu olivgrün/braun. Flughafensicherheit Protector befasst sich in der Ausgabe in einer Reihe von Beiträgen mit der Flughafensicherheit: Die verschiedenen Gefahrenquellen erforderten ganzheitliche Sicherheitskonzepte. Dabei habe jeder Bereich seine ganz speziellen Anforderungen. Außenbereiche erforderten die Absicherung mithilfe von Sicherheitszäunen, am besten mit Übersteigschutz und Freigeländeüberwachungssystemen. Durchfahrts- oder Durchgangssperren wie hydraulische oder starre Poller, Wege Barriers, aber auch Schrankenanlagen, Schnellfalttore und Schiebetore komplettierten die Konzepte (S. 28/29). In einem anderen Beitrag wird der Brandschutz für einen neuen Flugsteig mit sieben Gates für Großraumjets auf dem Frankfurter Flughafen behandelt (S. 36/37). Der Flugsteig A-Plus sei in Abschnitte unterteilt worden, die im Brandfall durch 21 automatisch schließende Schiebetore getrennt werden. Angesteuert würden die Tore durch 129 optische Rauchschalter. Wo Fluchtwege durch die Tore führen, seien diese mit Fluchttüren versehen. Gebäudesicherheit Architektur und Sicherheit bildet den Schwerpunkt der Ausgabe des Sicherheitsberaters vom 1. Oktober (S ). Bewusste und frühzeitige Planung von Sicherheit bringe dem Immobilienmanagement nur Vorteile. Durch intelligente Architektur könne man Flucht- und Rettungsversuche problemlos so planen, dass diese nicht in eine Nutzungseinheit hineinführen, sondern nur in allgemein zugängliche Bereiche. Werde das Gewerk Sicherheit schon früh in einem Projekt berücksichtigt, so sei es möglich, die typischen Schutzzonen konzeptionell so umzusetzen, dass diese sich zum einen architektonisch in das Gesamtbauwerk integrieren und zum anderen von den Nutzern nicht als den Betriebsablauf störend empfunden werden. In einem guten Sicherheitskonzept lasse sich auch eine spätere, anders gelagerte Nutzung des Gebäudes berücksichtigen. Auch im technischen Brandschutz fänden sich Möglichkeiten, die vorgeschriebene Technik der Branddetektion unauffällig in die Innenarchitektur zu integrieren. Gefängnissicherheit Ministerialrat Wolfgang Suhrbier behandelt in Ausgabe von Security insight (S ) die Sicherheit im Justiz- und Maßregelvollzug der Sicherungsverwahrung. Immer mehr Bundesländer hätten auf Wachtürme verzichtet und sie durch technische Einrichtungen ersetzt. Die Zahl der Ausbrüche sei seit Jahrzehnten dank der sicherheitstechnischen Aufrüstung auf ein Minimum gesunken. Die Vorgaben des Bundesverfassungsgerichts zum Maßregelvollzug könne der Vollzug unter Berücksichtigung der Sicherheitsbelange nur durch ausgewogene Sicherheitstechnik und höheren Personaleinsatz erfüllen. Zur Technik zählten insbesondere Kommu-

11 Focus on Security Protector befasst sich in der Ausgabe (S. 40/41) mit der Nichtauslönikationsanlagen mit Notruffunktion und Ortung, Überwachungsanlagen, Alarmmanagementsysteme, die den schnellen Einsatz weiterer Mitarbeiter im Krisenfall ermöglichen, sowie bezahlbare Systeme zur Verhinderung unerlaubter Kontaktaufnahme der Inhaftierten zur Außenwelt. In derselben Ausgabe beschreibt Jens Aperdannier, Tyco Fire & Security Holding Germany GmbH, ein hochverfügbares System integrierter Sicherheits- und Kommunikationstechnik in Justizvollzugsanstalten (S. 42/43). Ein effizientes Zusammenspiel der einzelnen integrierten Schwachstrom-Gewerke und -Technologien sei hierzu zwingend von Telekommunikations-, Intercom- und Sprachalarmierungsanlagen, Sicherheitstechnik wie Zutrittskontrolle und Videoüberwachung, Zellenruf- und Personenschutzanlagen über sichere Daten- und Kommunikationsnetzwerke sowie Gebäude- und Sicherheits-Managementsysteme bis hin zur übergreifenden Leitstelle. Erst im intelligenten Verbund via offener Plattformen gewährleisteten die Einzelgewerke die durchgängige und flexible Kommunikation und die effiziente Steuerung von Prozessabläufen. Gefahrenmeldetechnik Im s+s report (Ausgabe ) weist Dipl.-Wirtschaftsjurist (FH) Sebastian Brose, VdS Schadenverhütung darauf hin, dass VdS nunmehr auch mobile Applikationen in der Einbruchmeldetechnik anerkennt (S ). Die Anforderungen und Prüfmethoden für solche EMA-Apps seien in den Richtlinien Fernzugriff auf EMA mittels Smart Device-Applikation, VdS 3169, fixiert. Die Authentizität der Daten werde durch ein sogenanntes Pairing-Verfahren und die Ermittlung der Hashcodes sichergestellt. Im Master werde eine Liste der zulässigen Clients geführt, die z. B. anhand ihrer MAC- Adresse oder IMEI-Nummer identifiziert werden. Die Integrität der Daten werde durch verschiedene Mechanismen gewährleistet. Um die Vertraulichkeit der Daten zu wahren, müsse eine AES-Verschlüsselung mit 128 Bit mit Cipher Block Chaining Mode eingesetzt werden. Der Verbindungsaufbau gehe vom Client aus und durchlaufe die vier Stufen Nutzercode, Schlüsselprüfung, Pairing-Prüfung, Codeabfrage. Sobald die EMA extern scharf geschaltet ist, sei die Bedienung EMA-relevanter Funktionen nicht möglich. Sebastian Brose und Wilfried Drzensky, VdS Schadenverhütung, befassen sich in der Zeitschrift WiK (Ausgabe , S ) mit Problemen bei der Attestierung von EMA. Das Installationsattest dokumentiere, dass es sich tatsächlich um eine VdS-anerkannte EMA handelt und stehe damit für die Vorteile die eine solche EMA bietet: Einhaltung der VdS-Richtlinien, Behebung von Mängeln auf Kosten des Errichters, jederzeit erreichbarer Instandhaltungsdienst, Vorhaltung eines Ersatzteillagers, Reparatur-/Instandhaltungsausrüstung beim Errichter und Störungsbeseitung innerhalb von 24 h bei regelmäßiger Instandhaltung. Die Autoren behandeln einige der Fragestellungen rund um die Attestierung von EMA in den Bereichen: Dokumentation von Änderungen, Gültigkeit des VdS-Attests bei Wartungsverweigerungen, Instandhaltung durch Dritte, Scannung des Attests und Vernichtung des Originals durch Versicherer, Bestandsschutz von EMA. Wie Michael von Foerster, Bosch-Sicherheitssysteme, in derselben Ausgabe (S. 57/58) berichtet, fordert Euroalarm von der EU-Kommission zusätzliche Aktivitäten zur Erhöhung der Wettbewerbsfähigkeit der europäischen Industrie für Gefahrenmeldetechnik. Es sollte Aufgabe der Politik sein, ein unabhängiges Prüfzentrum mit einem einheitlichen Prüfzeichen zu schaffen.

12 12 Focus on Security sung von Bewegungsmeldern. Für die unterschiedlich schwierigen Anforderungsbedingungen an Bewegungsmelder gebe es eine Auswahl von Kombinationen in der Sensortechnologie. Komplett dichte Erfassungsvorhänge bildeten gegenüber einer Standarderfassung immer einen maximalen Detektionsbereich. Bei größeren Überwachungsflächen, bei denen sich auch die räumliche Einrichtung ändern kann, böten sich Deckenmelder zur Flächenüberwachung an. Diese könnten mehrere Bewegungsmelder mit einer einzigen Deckenmelderinstallation ersetzen und somit auch zur wirtschaftlichen Lösung beitragen. Die kompletten Vorhänge mit einer 360 Grad-Erfassung detektierten bis zu 20 Meter Raumdiagonale bei bis zu fünf Metern Montagehöhe. Geldautomatensicherheit Wie das PP Nordhessen am 18. Oktober meldet, versuchten bislang unbekannte Täter, in einer Bankfiliale in Nieste nachts einen Geldautomaten aufzuschweißen. Vom Tatbeginn an habe die installierte Videoan- lage keine Bilder mehr geliefert. Alle Scheibenflächen des Automatenraumes seien von den Tätern aufwändig tapeziert worden, damit sie ungestört arbeiten konnten. Geld- und Werttransporte Zwei schwere Raubüberfälle am 6. September vor einer Kreissparkassenfiliale auf zwei Mitarbeiterinnen, die für die Kreissparkasse ungepanzerte Geldtransporte in PKWs durchführten, und im August in Hamburg Wilhelmsburg auf einen Geldboten, der in einem ungepanzerten Firmenfahrzeug eines Sicherheitsunternehmens Geld transportierte, veranlassten den HGF der BDGW, Dr. Olschok, zu einem Appell an Kreditinstitute, Handelsunternehmen und Veranstalter, Geldtransporte nur in dafür vorgesehenen Spezialgeldtransportfahrzeugen durchzuführen. Verletzten Arbeitgeber ihre Sorgfaltspflicht, so drohten Nachforschungen durch die gesetzliche Unfallversicherung und durch Strafverfolgungsbehörden (WiK, Special Sicherheitslösungen für Banken, Oktober 2013, S. 4). Hotelsicherheit Die Zeitschrift WiK (Ausgabe , S. 7) meldet, heise Security habe ausprobiert, wie leicht Hotelsafes mit Codeschlössern geknackt werden können. Diese Tresore ließen sich meist mit einem selbst einzugebenden Code sichern. Sollte dieser vergessen werden, hätten die Hotels sowohl mechanische Schlüssel als auch Mastercodes, um die Tresore wieder zu öffnen. Doch oft werde schon beim Einbau geschlampt : Viele Hotels würden vergessen, den vom Hersteller vorgegebenen Mastercode zu ändern. Diese Codes ließen sich aber über eine Suchmaschine herausfinden. IT-Sicherheit Die Fachzeitschrift <kes> enthält in ihrer Ausgabe interessante Beiträge zur IT-Sicherheit: Als Schatten-IT bezeichnet Sebastian Broecker, Deutsche

13 Focus on Security Flugsicherung (S ) generell alle Assets inklusive Hardware, Software und Projekten, die an den offiziellen Beschaffungs- und Implementierungswegen einer Firma vorbei in diese eingebracht werden. Die Schatten-IT könne entweder mit eigentlich guten Absichten implementiert werden oder von vornherein egoistischen oder kriminellen Zielen dienen. Der Autor behandelt Schatten-Hardware, Schatten- Software, Schatten-Dienste und Schatten- Projekte. Ansatzpunkte für eine Reduzierung solcher Vorgänge sieht er in folgenden Empfehlungen: 1. Halten Sie in Ihrer Rolle als Securityverantwortlicher Augen und Ohren offen! 2. Behalten Sie die üblichen Verdächtigen im Auge und suchen Sie den Dialog zu solchen Mitarbeitern! 3. Wecken Sie Security-Awareness! 4. Bieten Sie Lösungen an! 5. Versuchen Sie, neben aller notwendigen Kontrolle in Fragen zur IT auch als kooperativer Partner zu gelten, um die Bildung geschlossener Zirkel möglichst zu vermeiden! Dr. Frederico Crazzolara, krügernetwork GmbH, befasst sich mit der Sicherheitsinfrastruktur für smarte Versorgungsnetze (S ). Intelligente Versorgungsnetze, so genannte Smart Grids, sollen flexibler auf Energieeinspeisungen und auftretende Spitzenlasten reagieren können. Dabei kämen für eine bessere Koordinierbarkeit von Stromerzeugung und -bedarf intelligente Messsysteme zum Einsatz Smart Meters. Solche Systeme führten personenbezogene Daten zusammen, verarbeiteten und leiteten aufbereitete Daten weiter. Für sie würden daher hohe Anforderungen an Datenschutz und Datensicherheit gelten. Der Autor behandelt das Prinzip Security by Design, digitale Zertifikate, mehrseitige Hardware und ECC als Security-Grundlage, hoheitliche Vertrauensanker (die Stammzertifizierungsstelle der Smart-Meter-PKI wird vom BSI implementiert und zentral zur Verfügung gestellt) und die Verantwortung der Gateway-Administratoren. Die Gateway-Administration sei die bedeutendste technische Smart-Metering-Dienstleistung. Es bleibe noch viel zu klären und zu tun, bis ein intelligentes Versorgungsnetz zur Verfügung steht. In derselben Ausgabe (S. 59/60) befasst sich Jens Mehrfeld, BSI, mit eingebetteten Systemen, die in unterschiedlichen Geräten, Maschinen und Anlagen zum Einsatz kommen, häufig an ein Netz angeschlossen sind und Zugang zum Internet besitzen. Ein großes Problem bilde neben den technischen Angriffspunkten das fehlende Sicherheitsbewusstsein. Was sei zu tun? Die Sicherheitshinweise des Herstellers müssten beachtet werden. Die Standardkonfiguration der Geräte sei anzupassen. Die Verbindung mit dem Internet sollte möglichst nur anlassbezogen und für kurze Zeit hergestellt werden. Für den Fall der Internetverbindung sollten die Sicherheitsmechanismen des Routers genutzt werden. Thomas Kerbl und Amir Salkic, SEC Consult, erläutern einen vom BSI zusammen mit SEC Consult veröffentlichten Leitfaden zur Entwicklung sicherer Web-Anwendungen. Den Kerninhalt des Leitfadens für Auftragnehmer bildeten Vorgaben an den Entwicklungsprozess und an die Implementierung. Der vielleicht wichtigste Nutzen des Leitfadens liege jedoch in der Unterstützung des Auftraggebers bei der Überprüfung der Vorgaben an den Entwicklungsprozess (S ). In derselben Ausgabe kritisiert <kes> das Fehlen von IT-Sicherheitsrichtlinien in vielen Unternehmen. Nach einer von Kaspersky und B2B durchgeführten Studie beklagen 57 % der deutschen IT-Entscheider das Fehlen von Zeit und Budget. Eine Studie des IT-Dienstleisters Iron Mountain habe gezeigt, dass viele Arbeitgeber Verhaltensweisen ihrer Mitarbeiter bei der Arbeit im Homeoffice tolerieren, die ihre Unternehmensinformationen einem erheblichen Risiko aussetzten. 60 % der befragten Deutschen hätten angegeben, ihre privaten -Accounts zum Senden

14 14 Focus on Security und Empfangen von Arbeitsdokumenten zu verwenden. 35 % ließen ihre Arbeitsdokumente zu Hause liegen und 21 % entsorgten Geschäftsdokumente im Haushaltsabfall. 7 % benutzten eine unsichere WLAN-Verbindung, um Arbeitsdokumente per zu senden und zu empfangen. Eine Hauptursache seien die Unternehmen selbst. So würden lediglich 25 % der deutschen Unternehmen ihren Mitarbeitern Vorgaben machen, welche Papierakten und elektronischen Daten sie mit nach Hause nehmen dürfen. In 73 % der Fälle fehlten entsprechende Richtlinien, die das Arbeiten im Homeoffice regeln. Ein weiteres Problem sei die Infrastruktur: Bei 54 % der Arbeitgeber scheitere ein sicheres Arbeiten im Homeoffice an fehlender IT-Ausstattung, und 67 % stellten keinen sicheren Zugang zum Intranet zur Verfügung (S. 98/99). Die European Network and Information Security Agency (ENISA) hat ihren Jahresbericht über IT- und Netzausfälle für 2012 vorgelegt, meldet <kes> in der Ausgabe (S. 99). In 18 EU-Ländern sei es zu 79 signifikanten Vorfällen der vier Dienstekategorien Festnetz- und Mobilfunk, Internet und mobiles Internet gekommen. Die häufigsten Ursachen für die Ausfälle seien Hard- und Software-Fehler gewesen. Cyberattacken seien nur sechsmal ursächlich gewesen, und nach durchschnittlich drei Stunden seien die Dienste wieder gelaufen. Naturereignisse seien ebenfalls nur selten ursächlich gewesen. Allerdings habe die Beseitigung solcher Ausfälle besonders lange gedauert. In derselben Ausgabe (S. 100) weist <kes> darauf hin, dass fast jeder fünfte Mitarbeiter in KMUs schon einmal Firmendaten mit Absicht zerstört habe. Das sei das Ergebnis der Studie Datenzerstörung im Mittelstand, für die Mozy 100 Manager und Mitarbeiter von KMUs befragt habe. Der Grund für die absichtliche Zerstörung sei überwiegend harmlos: in 78 % handelten die Angestellten gemäß den Weisungen eines Vorgesetzten. Heise online listet am 27. September 10 Regeln für mehr Sicherheit im Netz auf, die das BSI als Sicherheitskompass in Zusammenarbeit mit der Polizeilichen Kriminalprävention der Länder und des Bundes aufgestellt hat: 1. Verwenden Sie sichere Passwörter! 2. Schränken Sie Rechte von PC-Mitbenutzern ein! 3. Halten Sie Ihre Software immer auf dem aktuellen Stand! 4. Verwenden Sie eine Firewall! 5. Gehen Sie mit s und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um! 6. Erhöhen Sie die Sicherheit ihres Internet-Browsers! 7. Vorsicht beim Download von Software aus dem Internet! 8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung! 9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet! 10. Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff! Auch in einem special der Fachzeitschrift <kes> vom Oktober 2013 finden sich mehrere Beiträge zur IT-Sicherheit: Arved Graf von Stackelberg, HP Software Deutschland, empfiehlt das System SIEM (Security Incident and Event Management) als intelligentes Sicherheitsradar (S ). SIEM-Lösungen könnten die disparaten Log-Files sammeln und in Echtzeit miteinander abgleichen. Aus dem Kontext heraus würden sie verborgene Angriffsmuster erkennen, sortieren und die Ergebnisse zu übersichtlichen Warnhinweisen und Reports

15 Focus on Security zusammenstellen. Der Autor beschreibt die Leistungsmerkmale von SIEM. Das Produkt müsse geschickt implementiert werden. Die Implementierung sei als Prozess zu verstehen, der Schritt für Schritt immer mehr kritische Sicherheitsmanagement-Aufgaben durch intelligente Software unterstützt. Michael Klatte, ESET Deutschland, fordert mehr Sicherheit am SharePoint (eine Webanwendung von Microsoft, die folgende Anwendungsbereiche abdeckt: Intranetportal, Soziale Netzwerke, Content- Management, Koordinierungs- und Verwaltungsfunktionen sowie Geschäftsanwendungen). Ein lascher Umgang in puncto Sicherheit könne den Sharepoint schnell in eine Virenschleuder verwandeln. Malware stelle für den SharePoint die aktuell größte Gefahr dar. Microsoft werde seine Antivirus-Lösung Forefront Protection for SharePoint nicht mehr weiterführen. ESET zähle zu den wenigen Anbietern, die Malware-Schutz für Microsoft SharePoint 2013 anbieten. Der Autor hat eine Checkliste für mehr Sicherheit am SharePoint aufgestellt (S. 26/27). Kathrin Beckert, G Data, stellt neue Netzwerklösungen für Unternehmen vor. Neben technologischen Neuerungen hätten Administratoren künftig auch alle Android-Devices fest im Griff. Die Lösung habe folgende Produkteigenschaften: Hybridschutz, Mobile Device-Management, einfache Administration und mobilen Zugriff (S. 343/35). Andreas Müller, Lumension, erläutert das professionelle Patchmanagement für sichere Geschäftsprozesse. Es führe durch die hohen Aufwände an Mehrarbeit, die nötig sei, um schnell auf Gefahrenpunkte reagieren zu können, zu höheren Kosten. Das Unternehmen Lumension biete eine gute Alternative, die die Umsetzung einer holistischen Schwachstellen-Managementstrategie ermögliche. Der geringere Bedarf an punktorientierten Produkten und an Mitarbeiterressourcen ermöglichten eine Reduzierung der Betriebskosten (S ). Klaus Gheri, Barracuda Networks, fordert, dass Sicherheitslösungen für KMUs den gleichen Schutz bieten, wie bei Großunternehmen, aber sie müssten intuitiv und einfach einzusetzen sein. Wenn KMUs Security- und Backup-Lösungen einsetzen, die konkret auf den unkomplizierten Betrieb ausgelegt sind, gleichzeitig aber den kompletten Schutz einer vollen Enterprise- Lösung böten und noch dazu mit datenschutzkonformen Cloud-Technologien die Infrastruktur des Unternehmens entlasten, könnten sie sich gegen Angriffe oder Datenverlust absichern (S ). Armin Simon, SafeNet, beklagt, man sei trotz der Berichte über Datendiebstahl beim Schutz der Daten bisher nicht wirklich weiter gekommen. Daten ließen sich inzwischen mit modernen Verschlüsselungs- und IAM-Lösungen zuverlässig schützen. Es gebe eine Methodik, die sich auf einfache Hauptpunkte reduzieren lasse: Identifiziere die wichtigen Daten, verschlüssele sie, pass auf die Schlüssel auf und regele zuverlässig den Zugriff durch Identity- and Access-Management. Ein Mindeststandard müsse nicht das sein, was der Begriff nahelegt. Wenn das BSI eine Norm definiert, dann handele es sich zunächst um eine unverbindliche Empfehlung. Das gelte auch von dem jetzt vom BSI verlangten Einsatz von TLS 1.2 als Transportverschlüsselung im Internet (heise online v. 8. Oktober). In der Fachzeitschrift IT-Security (Ausgabe , S ) erläutert Urs Biggeli, United Security Providers AG, warum Network Access Control (NAC) mehr und mehr zu einem zentralen Element der IT-Infrastruktur wird. Neben der Sicherheit, dass keine fremden Endgeräte am Netzwerk angeschlossen werden, liege der Hauptnutzen einer NAC-Lösung darin, den Überblick im Netzwerk zu wahren und dessen Verwaltung in einem hohen Maße zu erleichtern. Dadurch reduzierten sich erwiesenermaßen auch die Betriebsaufwände. Heutige NAC-Lösungen würden bei der Umsetzung von Mobile-Securitystrategien und BYOD-Konzepten helfen. In demselben Heft befasst sich Jochen Koehler, Cyber-Ark,

16 16 Focus on Security mit der Datenbank-Sicherheit (S ). Etliche Unternehmen versuchten, sie mit der Implementierung von Lösungen in den Bereichen Data Loss Prevention (DLP) oder Database Activity Monitoring (DAM) zu erreichen. Diese Ansätze seien zwar richtig, aber keineswegs ausreichend. Die Implementierung zuverlässiger Lösungen für die automatische Verwaltung von privilegierten Benutzerkonten sollte für jedes Unternehmen selbstverständlich sein, zumal das Gefahrenpotenzial kontinuierlich steige. Die Unsicherheit von s werde unterschätzt, ist Marian Spohn überzeugt (S ). Eine sichere Lösung stelle Managed File Transfer (MFT) dar, weil sie sicherstelle, dass alle Nachrichten codiert sowie kontrolliert am Zielort ankommen und nur berechtigte Empfänger darauf zugreifen können. Dabei bleibe die Datei sicher im MFT-System hinterlegt. Es würden nur in einer ersten die dazugehörige Download-Berechtigung und in einer zweiten ein Passwort für den Download- Link versendet. In Verbindung mit einer zentralen Datendrehscheide ermögliche die Lösung ein umfassendes Monitoring sämtlicher unternehmensinterner und externer Datentransferaktivitäten, mit dem sich Nachrichten von der Anfangs- bis zur Zieladresse überwachen und vollständig bis auf die IP-Adresse genau zurückverfolgen ließen. Eine MFT-Lösung müsse so beschaffen sein, dass ein Anwender die Bequemlichkeit und Schnelligkeit eines normalen -Versands nicht vermisst. Heise online meldet am 15. Oktober, der Industrieausschuss des EU-Parlaments habe den Weg frei gemacht für einen Verordnungsentwurf der EU-Kommission, mit dem die Nutzung elektronischer Signaturen und vergleichbarer Identifikationssysteme vereinfacht und harmonisiert werden solle. Die Abgeordneten möchten damit Unternehmen, Behörden und Bürgern die Möglichkeit geben, Dokumente elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedstaaten sollten verpflichtet werden, eid-systeme anderer EU-Länder offiziell anzuerkennen. Das neue deutsche E Government-Gesetz lasse neben der qualifizierten elektronischen Signatur alternative Technologien für den elektronischen Ersatz der Schriftform zu und wolle so weitere Einsatzmöglichkeiten für die eid-funktion des neuen Personalausweises und D schaffen. IuK-Kriminalität Die Zeitschrift <kes> weist in ihrer Ausgabe (S. 100) darauf hin, BITKOM habe berichtet, dass die Zahl der gemeldeten Phishing-Fälle 2012 deutlich abgenommen habe. Nach Angaben des BKA habe sich die Zahl 2012 nahezu halbiert (-46 %). Die verursachten Schäden seien 2012 ebenfalls um 46 % auf 13,8 Millionen Euro gesunken. Allerdings würden die Betrüger zunehmend raffinierter vorgehen und verstärkt auf Phishing-Malware setzen. Die Zahl der Sicherheitsvorfälle insgesamt sei in den letzten 12 Monaten um 25 % gestiegen, meldet das Handelsblatt am 1. Oktober unter Hinweis auf die Beratungsgesellschaft PwC. Im Durchschnitt hätten die befragten Sicherheits- und IT-Manager globaler Unternehmen über Attacken pro Firma und Jahr verzeichnet. Jeder dritte Manager vermute Hacker hinter den Angriffen, 14 % verdächtigten Wettbewerber als Drahtzieher, und 4 % nähmen an, dass ausländische Staaten versuchen, auf die Daten des Unternehmens zuzugreifen. Budgets für IT-Sicherheit seien binnen Jahresfrist massiv aufgestockt worden, von durchschnittlich 2,8 auf heute 4,3 Millionen EU-Dollar pro Unternehmen. Dennoch mangele es an Abwehrkraft. Das Hauptproblem: Die Zahl der möglichen Einfallstore steige rasch. Mobile Geräte eröffneten neue Zugangspunkte auf die Firmen-IT, private

17 Focus on Security Geräte entsprächen nicht dem Sicherheitsstandard des Konzerns und Cloud Computing-Lösungen stellten die IT parallel vor zahlreiche neue Herausforderungen. Der Diebstahl von Kundendaten oder Geschäftsgeheimnissen Dritter sowie die Weiterverbreitung von Viren oder Schadprogrammen können zu Schadenersatzklagen führen, erläutern Rechtsanwälte Stefan Schuppert und Markus Burckhardt in der FAZ am 2. Oktober Kunden oder Mitarbeiter eines Unternehmens, die durch dessen IT-Systeme geschädigt werden, könnten grundsätzlich vertragliche Schadenersatzansprüche geltend machen. Auch Dritten gegenüber sei eine Deliktshaftung nicht ausgeschlossen. Dies gelte auch für mögliche Sammelklagen. Ferner drohten bei bestimmten Verstößen erhebliche Geldbußen. Ein umfassendes IT-Sicherheitskonzept müsse neben technischen Maßnahmen auch die betriebliche Organisation, die Überprüfung von Mitarbeitern und Dienstleistern sowie die Vertragsgestaltung miteinbeziehen. Zudem sollten Notfallpläne mit klaren Handlungsanweisungen und Verantwortlichkeiten erstellt und kommuniziert werden. Die Einhaltung von Sicherheitsstandards habe auch für eine mögliche Haftung gegenüber Dritten große Bedeutung. Die Einhaltung vorhandener Normen führe zwar nicht zu einem gesetzlichen Haftungsausschluss. In aller Regel werde man in diesem Fall aber eine Pflichtverletzung verneinen können. Die Durchsetzung von Regressansprüchen gegen die Cyberkriminellen sei schwierig, denn die Angriffe erfolgten oft aus dem Ausland. Bei effektiver Einbindung von IT-Forensikern und Behörden in den Zielländern ließen sich Ansprüche unter Umständen vorläufig sichern und Vermögenswerte einfrieren. Der Sicherheitsberater weist am 15. Oktober auf Versicherungen hin, die Policen zur Absicherung von Cyberrisiken und IT- Schäden anbieten. Neben dem Angebot der Axa-Versicherung seien dies folgende Produkte: ITSafeCare 2.0 der Zurich Gruppe, Allianz Cyber Protect der Allianz Global Corporate & Speciality sowie Cyber+ von HDI Gerling (S. 311/312). Kommunikationssicherheit Der Sicherheitsberater weist am 1. Oktober darauf hin, dass das BSI offiziell die Zulassung des Handys SiMKo 3 für die Geheimhaltungsstufe Verschlusssache Nur für den Dienstgebrauch (VS-NfD) erteilt hat. Im Unterschied zu einem herkömmlichen Android-Handy sitze im SiMKo3 ein alternatives Betriebssystem, der sogenannte L4-Hochsicherheits-Mikrokern. Dieser bietet laut Telekom den Hackern kein Versteck mehr für Überraschungen. An der Entwicklung seien durchgängig deutsche Firmen beteiligt gewesen. Die Entwicklung des SiMKo3 gehe weiter. Es solle in den nächsten Monaten zusätzliche Produktmerkmale bieten: verschlüsselte Voice over IP-Telefonie mit hochsicheren Verschlüsselungsverfahren, sichere netzübergreifende Sprachverschlüsselung, SiMKo-Produktfamilie mit Tablets und Notebooks für den Heimarbeitsplatz und Unterstützung des schnellen LTE-Funkstandards (S. 299/300). Krisenregionen Logistiksicherheit PD Dr. Markus Ritter, Bundespolizei, beschreibt in einem Beitrag in Security Insight (Ausgabe , S ) das minimale Grundgerüst für die Entsendung von Mitarbeitern in Risiko- und Krisengebiete. Das Gastland

18 18 Focus on Security Protector beschreibt in der Ausgabe (S. 36/37) den Brandschutz im größten Distributionszentrum Norddeutschlands. Beim Schutzkonzept der Hochregallager habe sich Minimax an dem Regelwerk VdS CEA 4001 orientiert, das neben einer klassischen Deckensprinklerung auch eine Sprinklerung in den Regalen vorschreibt. In diesem Projekt seien die insgesamt Palettenstellplätze in 15 Sprinklerebenen unterteilt und mit über Sprinklern geschützt worden. Dagegen seien im Bereich des Blocklagers nach den FM-Richtlinien sogenannte SFR (Early Suppression Fast Response)- Sprinkler eingesetzt worden. Sie würden, an der Decke montiert, dem Betreiber eine flexible Lagerung ermöglichen. Sensible Bereiche (Serverraum, elektrische Schalt- und Betriebsräume) seien mit Oxeo Inertgas- Löschanlagen versehen worden. Acht Brandmeldezentralen vom Typ FMZ 5000 seien mit den 255 Meldepunkten durch vier Kilometer Kabel verbunden worden. Protector beschreibt in der Ausgabe (S. 38/39) das Gefahrenmanagement beim Versender Netrada. Am Standort Lehrte komme das Siemens-Gefahrenmahabe auf jeden Fall eine Garantenstellung, aus der sich eine Schutzpflicht gegenüber den ausländischen Unternehmen im Lande ergibt. Bei der diplomatischen oder konsularischen Vertretung Deutschlands sollten sich die entsandten Mitarbeiter registrieren lassen. Der Schutz von UZNB-, EU- oder NATO-Vertretungen im Gastland werde nicht automatisch gestellt, sondern müsse durch ein Technical Agreement oder ein Memorandum of Understanding vorab vereinbart werden. Familienangehörige seien als weiche Ziele oft mehr gefährdet als der eigentliche Expatriate. In Risiko- und Krisengebieten müsse ein hauptamtlicher Sicherheitsverantwortlicher eingesetzt werden, der über einschlägige Erfahrungen verfügt. In Ländern mit Entführungsrisiko sei das Vorhalten vorbereiteter Proof of life- Fragen und -Antworten wichtig. Fahrzeuge sollten mit GPS, Track 24 und gegebenenfalls auch mit Funk und einem Jammer ausgestattet sein. Wenn man sich auf die örtliche Stromversorgung nicht verlassen kann, sollten Dieselgeneratoren und zur Vermeidung von Computerabsturz und Datenverlust unbedingt Uninterruptable Power Supply-Einheiten beschafft werden. Wichtig sei auch der garantierte Zugang zu Kliniken mit westlichem Standard oder die Möglichkeit einer umgehenden medizinischen Evakuierung aus dem Land. Zur Vorbereitung für den Krisenfall gehöre auch die Bildung eines Critical Incident Management Team. Logistiksicherheit nagementsystem (GMS) SiNVR-Command mit dem netzwerkbasierten Videosystem SiNVR zum Einsatz. Die GMS-Softwarte führe verschiedene Subsysteme für Sicherheit und Gebäudebetrieb auf einer einheitlichen Plattform zusammen (BMA und EMA, Videosystem, Sprinklerzentrale, automatische Evakuierungsanlage sowie den BOS-Gebäudefunk. Daten aus den Inhouse-Logistiksystemen seien über TCP/ IP direkt im System verfügbar. Ein wichtiges Element der Gesamtlösung sei eine Client/ Server-basierte Software zur Verarbeitung von digitalen Videobildern. Sie erlaube eine vielseitige Darstellung von Videobildern und unterstütze Recherchemöglichkeiten. In einem weiteren Beitrag (S. 42/43) beschreibt Protector die Eignung von Videosicherheitssystemen zur Prozessdokumentation und -optimierung für Unternehmen innerhalb jeder Lieferkette. Die Dokumentation des Haftungsübergangs werde zur Wahrung von Rechtsansprüchen gegenüber Dritten durch die Verknüpfung von Prozessdaten und Videosystem erheblich vereinfacht. Idealerweise würden Kameras entlang der gesamten Prozesskette platziert, meist ab der Anlieferung. Während der

19 Focus on Security Videoaufzeichnung verknüpfe das System die Videodaten erstmalig automatisch und in Echtzeit mit den Barcode- oder RFID- Daten. Werden kleine Artikel von Hand ausund eingepackt oder sortiert, sei die Dokumentation mit Überkopfkameras hilfreich. Hier seien hochauflösende IP-Kameras zweckmäßig, da sie auch Details über den Zustand der bearbeiteten Artikel liefern. Gleichzeitig werde mit Übersichtskameras die Umgebung erfasst. Eine leistungsstarke Datenbank garantiere den schnellen Zugriff auf die relevanten Videoaufzeichnungen anhand der Prozessdaten oder von Datum und Uhrzeit als Suchkriterium. Die Güterverkehrs- und Logistiksicherheit als Aufgabe für die Sicherheitswirtschaft beschreibt Manfred Buhl, Securitas. In einem ersten Teil (S. 50/51) geht er auf die vom Bundesministerium für Verkehr, Bau und Standentwicklung entwickelte Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft ein. Dann benennt er die relevanten technischen und organisatorischen Standards, einschließlich der Norm des Authorised Economic Operator (AEO), die auf EU-Verordnungen beruht und die Sicherheit in der internationalen Lieferkette zum Ziel hat. Schließlich behandelt er das noch weithin ungelöste Problem des Mangels an sicheren LKW-Stellplätzen an Autobahnen und die maritime Sicherheit als Grundvoraussetzung für funktionsfähige internationale Transportketten. Luftsicherheit Während das Luftfahrtbundesamt im Februar 2012 von Unternehmen ausgegangen sei, die ihre Produkte über Luftfrachtversand an die jeweiligen Empfänger bringen, seien bis heute von diesen Unternehmen nur ca als bekannte Versender zertifiziert, stellt Philip Buse, Geschäftsführer des VSWN, fest. Da viele Produkte der Luftfracht nicht oder nur sicher gemacht werden könnten, komme es beim Versand zu hohen Zeitverlusten. Das Luftfahrtbundesamt habe 267 Stellen besetzt, die Unternehmen als bekannte Versender auditieren und zertifizieren sollten. Am wahrscheinlichsten sei, dass sie nun vor allem die reglementierten Beauftragten häufiger kontrollieren (WiK, Ausgabe , S. 38/39). Metalldiebstahl Die FAZ berichtet am 8. Oktober, dass vor allem in östlichen Regionen Metalldiebe Bahntrassen plünderten. Ursachen seien unter anderem Täter aus Osteuropa und viele Baustellen. Obwohl die Deutsche Bahn im ersten Halbjahr 2013 mit rund 820 Diebstählen etwa 40 % weniger Taten als im Vorjahreszeitraum gezählt habe, sei das Problem immer noch erheblich. Die Deutsche Bahn gehe mit verdeckten Einsätzen, künstlicher DNA und Informationsaktionen gegen Metalldiebe vor. Während andere Betroffene wie der Stromkonzern Vattenfall unter anderem mit Flugrobotern Langfingern das Handwerk legen wollten, setze die Bahn auf Polizeiarbeit und Vorbeugung. Mobile Endgeräte Die FAZ befasst sich am 24. September mit dem Scanner für Fingerabdrücke beim iphone 5S. Man lege den Finger nur auf und ziehe ihn nicht, wie bei Notebooks,

20 20 Focus on Security über eine Fläche. Vermessen würden untere Hautschichten. Auf diese Weise sei auch eine Lebenderkennung implementiert. Apple speichere so die biometrischen Daten in einem separaten Bereich des Geräts, der von außen nicht lesbar sei, nicht in eine itunes-synchronisation übernommen werde und nicht auf Apple-Server übertragen werde. Das alles verspreche einzigartige Sicherheit, zumal auch kein Abbild des Fingerabdrucks gespeichert werde, sondern eine Art Kondensat ( Hash ), aus dem sich das Original nicht wiederherstellen lasse. Damit verspreche Apple mehr Schutz der Privatsphäre, der Fingerscan sei einfacher als die Kennworteingabe. Wer diese lieber meide, werde jenen mögen. Zum anderen Diebstahlschutz: In Verbindung mit dem neuen Betriebssystem ios 7 könne ein gestohlenes Gerät nicht mehr in den Auslieferungszustand versetzt werden. Das Diebesgut werde wertlos. Das werde sich herumsprechen. In der Zeitschrift <kes> (Ausgabe , S ) sieht Rüdiger Trost, F-Secure, in der mobilen Malware eine Bedrohung mit Zukunftspotential. Wenn immer mehr professionelle Anwendungen über mobile Geräte laufen, würden sie auch interessanter für Entwickler mobiler Malware. Dabei sei das Betriebssystem mit dem größten Marktanteil auch das Angriffsziel Nummer 1: Malware werde vor allem für Android entwickelt. Ein weiterer wichtiger Trend sei die Zunahme von Malware, die eine Verbindung zu Command and Control (C & C)-Servern erstellt: 123 der 149 von Januar bis März 2013 von F-Secure neu entdeckten Bedrohungen sendeten über eine solche Verbindung Kommandos an das mobile Gerät, ohne dass der rechtmäßige Besitzer etwas davon merke. Habe man erst einmal die Kontrolle über ein Handy übernommen, so lasse sich ohne Weiteres damit Profit generieren etwa durch die Veranlassung von Long Distance-Calls, während der Handy-Besitzer schläft. Mit dem Online- Bankraub sei auch schon eine noch lukrativere Disziplin der profitmotivierten Malware belegt. Malware werde zwar komplexer, lasse sich aber durch ein Angebot an Malware- Kits dennoch schnell entwickeln. Botnets würden mittlerweile auch zur Verbreitung mobiler Malware benutzt. Zugleich würden Aktivitäten immer zielgerichteter: Targeted Attacks seien im Windows-Bereich schon lange verbreitet, spielten aber nun auch im mobilen Malware-Markt eine große Rolle. Der Trend gehe zu immer leistungsfähigeren und kleineren mobilen Geräten, stellt Armin Leinfelder, baramundi software AG, im special von <kes> im Oktober 2013 fest (S. 38/39). Die Grenzen zwischen den Geräteklassen würden unscharf. An diese Entwicklung müsse sich die IT-Administration anpassen. Auch das Arbeitsverhalten ändere sich. So würden Dokumente unterwegs auf einem Mobilgerät begonnen und später auf dem PC fertiggestellt, E- Mails und Kalender sollten überall verfügbar sein. Die Folge für die IT-Administration: Es müssten alle Geräte mit den nötigen Programmen, Daten und Rechten versorgt werden und es müssten alle Geräte zuverlässig abgesichert werden. Notfallmanagement In der Zeitschrift <kes> (Ausgabe , S ) befassen sich Manuela Reiss und Marco Sportelli, dokuit, mit der Notfallorganisation der IT. Aus den Ausführungen des BSI in dem 2008 veröffentlichten BSI-Standard Notfallmanagement lasse sich klar ableiten, dass die Erstellung eines Notfallhandbuchs keine alleinige Aufgabe der IT-Organisation sein könne, sondern sich in ein übergeordnetes Notfallmanagement einbinden müsse. Die Autoren behandeln das Zusammenspiel im

DAS BESTE SICHERHEITSPAKET. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot.

DAS BESTE SICHERHEITSPAKET. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot. DAS BESTE SICHERHEITSPAKET. Für Sie und Ihr Büro. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot.de Entspannt arbeiten. WIR SCHÜTZEN IHRE

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

DAS BESTE SICHERHEITSPAKET.

DAS BESTE SICHERHEITSPAKET. DAS BESTE SICHERHEITSPAKET. Für Sie und IHR Geschäft. Jetzt Ihre Verkaufsräume sichern! Sicherheit in ihrer schönsten Form. Unauffällig geschützt vor Einbruch. www.telenot.de ENTSPANNT ARBEITEN. WIR SCHÜTZEN

Mehr

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 PROAKTIVER SCHUTZ FÜR IHRE DATEN Nur eine Firewall, die kontinuierlich

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

DAS BESTE SICHERHEITSPAKET. Jetzt Ihre vier Wände sichern! Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. www.telenot.de

DAS BESTE SICHERHEITSPAKET. Jetzt Ihre vier Wände sichern! Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. www.telenot.de DAS BESTE SICHERHEITSPAKET. FÜR SIE UND IHR Zuhause. Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. Jetzt Ihre vier Wände sichern! www.telenot.de mit Sicherheit Wohlfühlen. Wir schützen Ihr Zuhause.

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr

Corporate Security Portal

Corporate Security Portal Corporate Security Portal > IT Sicherheit für Unternehmen Marktler Straße 50 84489 Burghausen Germany Fon +49 8677 9747-0 Fax +49 8677 9747-199 www.coc-ag.de kontakt@coc-ag.de Optimierte Unternehmenssicherheit

Mehr

Dienstleistungen Service

Dienstleistungen Service Dienstleistungen Service Wir sind für Sie da! Telefon +49 (0) 5181 85525-0 Fax +49 (0) 5181 85525-29 info@tbelectronic.de www.tbelectronic.de Individuelle Serviceleistung zeichnet uns aus Für T & B electronic

Mehr

Eine native 100%ige Cloud-Lösung.

Eine native 100%ige Cloud-Lösung. Eine native 100%ige Cloud-Lösung. Flexibel. Skalierbar. Sicher. Verlässlich. Autotask Endpoint Management bietet Ihnen entscheidende geschäftliche Vorteile. Hier sind fünf davon. Autotask Endpoint Management

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Die Bedeutung des NSA Prism Programms für deutsche Unternehmen Leitfaden für Entscheider und Führungskräfte

Die Bedeutung des NSA Prism Programms für deutsche Unternehmen Leitfaden für Entscheider und Führungskräfte Information Security Management Die Bedeutung des NSA Prism Programms für deutsche Unternehmen Leitfaden für Entscheider und Führungskräfte 10. Juni 2013 Security by Culture AGENDA 1 NSA Prism im Überblick

Mehr

DATENSICHERUNG IM UNTERNEHMEN. Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell.

DATENSICHERUNG IM UNTERNEHMEN. Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell. DATENSICHERUNG IM UNTERNEHMEN Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell. DATENVERFÜGBARKEIT IST GESCHÄFTSKRITISCH Wenn Kundendaten oder Rechnungsinformationen auf einmal

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Rechtssichere E-Mail-Archivierung. Jetzt einfach und sicher als Managed Service nutzen

Rechtssichere E-Mail-Archivierung. Jetzt einfach und sicher als Managed Service nutzen Rechtssichere E-Mail-Archivierung Jetzt einfach und sicher als Managed Service nutzen Rechtliche Sicherheit für Ihr Unternehmen Absolute Sicherheit und Vertraulichkeit Geltende rechtliche Anforderungen

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Neu verfügbar. Virtuelles Netzwerk. Xesar 2.0. Die vielfältige Sicherheitslösung mit neuer Software-Release

Neu verfügbar. Virtuelles Netzwerk. Xesar 2.0. Die vielfältige Sicherheitslösung mit neuer Software-Release Neu verfügbar Virtuelles Netzwerk Xesar 2.0 Die vielfältige Sicherheitslösung mit er Software-Release Die e Release Zahlreiche Neuerungen auf einen Blick NEU Xesar-Virtuelles Netzwerk Im Umlauf befindliche

Mehr

Sicherheit in der Cloud aus Sicht eines Hosting-Providers

Sicherheit in der Cloud aus Sicht eines Hosting-Providers Sicherheit in der Cloud aus Sicht eines Hosting-Providers Veranstaltung Wirtschaftsspione haben auch Ihre Firmendaten im Visier der Nürnberger Initiative für die Kommunikationswirtschaft NIK e.v. vom 07.04.2014

Mehr

12. 13. Februar, München 2. 3. Juli, Berlin 3. 4. September, Bonn 17. 18. Dezember, Nürnberg

12. 13. Februar, München 2. 3. Juli, Berlin 3. 4. September, Bonn 17. 18. Dezember, Nürnberg Vergabe von Webanwendungen: IT-Sicherheitsanforderungen als Auftragnehmer erfüllen Seminar für Auftragnehmer der öffentlichen Verwaltung: Wie kann man IT-Sicherheitsanforderungen nach BSI-Leitfaden in

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION.

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. RECHENZENTREN EASY COLOCATE OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. Eine optimale IT-Infrastruktur ist heute ein zentraler Faktor für den Erfolg eines Unternehmens. Wenn

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Mehr als Cloud Computing. force : cloud

Mehr als Cloud Computing. force : cloud Mehr als Cloud Computing force : cloud Force Net Mehr als ein IT-Unternehmen Force Net ist ein Infrastruktur- und Cloud-Service-Provider, der die Lücke zwischen interner und externer IT schließt. Force

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Die goldenen Regeln der Data Loss Prevention

Die goldenen Regeln der Data Loss Prevention Die goldenen Regeln der Data Loss Prevention ISSS Zürcher Tagung 2010 1.6.2010, WIDDER Hotel, Zürich Johann Petschenka Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH Information

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Cloud Computing Realitätscheck und Optionen für KMUs

Cloud Computing Realitätscheck und Optionen für KMUs Cloud Computing Realitätscheck und Optionen für KMUs 6. Stuttgarter Sicherheitskongress Michael Wilfer, Fichtner IT Consulting AG Vorsitzender ITK Ausschuss, IHK Region Stuttgart Oktober 04 Cloud Computing

Mehr

Vorsicht beim Surfen über Hotspots

Vorsicht beim Surfen über Hotspots WLAN im Krankenhaus? Vorsicht beim Surfen über Hotspots - Unbefugte können leicht auf Rechner zugreifen - Sicherheitstipps für Nutzer öffentlicher WLAN-Netze Berlin (9. Juli 2013) - Das mobile Surfen im

Mehr

IT-Service Unsere Leistungen im Überblick

IT-Service Unsere Leistungen im Überblick IT-Service Unsere Leistungen im Überblick Bei uns arbeiten keine Fachleute sondern nur Experten. Täglich stellen wir fest, dass sich Menschen mit schlecht funktionierenden IT-Systemen abfinden und der

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Manuelles Testmanagement. Einfach testen.

Manuelles Testmanagement. Einfach testen. Manuelles Testmanagement. Einfach testen. Testmanagement als Erfolgsfaktor. Ziel des Testprozesses ist die Minimierung des Restrisikos verbleibender Fehler und somit eine Bewertung der realen Qualität

Mehr

Security Kann es Sicherheit im Netz geben?

Security Kann es Sicherheit im Netz geben? Security Kann es Sicherheit im Netz geben? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de Internet und

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Jump Project. Softwarelösungen für professionelles Projektmanagement

Jump Project. Softwarelösungen für professionelles Projektmanagement Jump Project Softwarelösungen für professionelles Projektmanagement Jump Project Office Übersichtliche Dokumentenstruktur und schneller Zugriff auf alle wichtigen Funktionen. Steuern Sie Ihre Projekte

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

4Brain IT-Netzwerke IT-Sicherheit

4Brain IT-Netzwerke IT-Sicherheit 4Brain IT-Netzwerke IT-Sicherheit Markus Hannemann Geschäftsführer IT-Counsultant 4Brain IT-Netzwerke IT-Sicherheit Essener Straße 59 46047 Oberhausen 0208 307791-81 info@4brain.de 1 Firmenportrait März

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG 12. Mai 2016 www.kpmg.de/cloud Cloud-Monitor 2016 Ihre

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Cloud-Monitor 2016. Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz. www.kpmg.de/cloud

Cloud-Monitor 2016. Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz. www.kpmg.de/cloud Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG 12. Mai 2016 www.kpmg.de/cloud Cloud-Monitor 2016 Ihre

Mehr

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte.

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte. Microsoft SharePoint Microsoft SharePoint ist die Business Plattform für Zusammenarbeit im Unternehmen und im Web. Der MS SharePoint vereinfacht die Zusammenarbeit Ihrer Mitarbeiter. Durch die Verbindung

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Frühstück zum Thema. Basel. Bern. Security und Mobile Device Management E-Mail in Unternehmen. 25. Oktober 2011 08:15-10:15 Uhr Hotel Victoria

Frühstück zum Thema. Basel. Bern. Security und Mobile Device Management E-Mail in Unternehmen. 25. Oktober 2011 08:15-10:15 Uhr Hotel Victoria Frühstück zum Thema Mobile Security und Mobile Device Management Secure E-Mail in Unternehmen Interoperabilität Mobile Security und Secure E-Mail In Zusammenarbeit mit Basel Bern 25. Oktober 2011 08:15-10:15

Mehr

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Embedded Systems Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Intelligente Embedded Systems revolutionieren unser Leben Embedded Systems spielen heute in unserer vernetzten

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Interviewrunde: Name: Funktion/Bereich: Organisation: Homepage Orga: Hosted Security & Security

Mehr

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen Information als Erfolgsfaktor Ihres Unternehmens Der Erfolg eines Unternehmens hängt von der Schnelligkeit ab, mit der es seine Kunden erreicht. Eine flexible, zukunftsorientierte und effiziente Infrastruktur

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Sicherer Datenaustausch über öffentliche Netze S. 44. VdS-anerkanntes Schutzkonzept für KLT-Lager S. 19

Sicherer Datenaustausch über öffentliche Netze S. 44. VdS-anerkanntes Schutzkonzept für KLT-Lager S. 19 NUMMER 1 MÄRZ 2015 22. JAHRGANG VdS-Magazin Schadenverhütung + Sicherheitstechnik Neue VdS-Dienstleistung im Bereich Cyber-Security S. 10 Mit Sprinkleranlage gemäß VDS CEA 4001 VdS-anerkanntes Schutzkonzept

Mehr

Cloud Security geht das?

Cloud Security geht das? Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cloud Security geht das? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 Sicherheit in der Cloud geht das? im Prinzip ja aber @-yet GmbH,

Mehr

Sicher kommunizieren dank Secure E-Mail der Suva

Sicher kommunizieren dank Secure E-Mail der Suva Sicher kommunizieren dank Secure E-Mail der Suva Was ist Secure E-Mail? Mit Secure E-Mail der Suva erhalten unsere Kunden und Geschäftspartner die Möglichkeit, vertrauliche Informationen sicher per E-Mail

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

CASE STRATEGY AND RESPONSE EFFEKTIVES MANAGEMENT KRITISCHER SITUATIONEN

CASE STRATEGY AND RESPONSE EFFEKTIVES MANAGEMENT KRITISCHER SITUATIONEN CASE STRATEGY AND RESPONSE EFFEKTIVES MANAGEMENT KRITISCHER SITUATIONEN Ob Hackerangriff, Großbrand, Erpressung oder staatsanwaltschaftliche Durchsuchung: In kritischen Situationen ist schnelles und koordiniertes

Mehr

Berlin, den 13.07.2015. Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D 10119 Berlin

Berlin, den 13.07.2015. Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D 10119 Berlin D Dr. iur. Rainer Frank Arbeitsgruppe Hinweisgeber Geschäftsstelle D- Tel.: (49) (30) 54 98 98 0 Tel. (dienstl.): (49) (30) 31 86 853 Fax: (49) (30) 54 98 98 22 E-Mail: rfrank@transparency.de www.transparency.de

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

FIRMENPROFIL. Virtual Software as a Service

FIRMENPROFIL. Virtual Software as a Service FIRMENPROFIL Virtual Software as a Service WER WIR SIND ECKDATEN Die ViSaaS GmbH & Co. KG ist Ihr professioneller Partner für den Bereich Virtual Software as a Service. Mit unseren modernen und flexiblen

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor

Mehr

Pressekonferenz Cloud Monitor 2015

Pressekonferenz Cloud Monitor 2015 Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

KJM-Stabsstelle 22.05.2012

KJM-Stabsstelle 22.05.2012 KJM-Stabsstelle 22.05.2012 FAQ Anerkannte Jugendschutzprogramme für Eltern und Pädagogen F: Was ist ein anerkanntes Jugendschutzprogramm? A: Jugendschutzprogramme sind Softwarelösungen, die Kinder und

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Die Integrierte Sicherheitslösung

Die Integrierte Sicherheitslösung Wir empfehlen Sie entscheiden. Auf Grundlage des Security Scan entscheiden Sie über die zeitliche Abfolge der Umsetzung der empfohlenen Sicherheitslösung. Sie bleiben damit bei der Ausgestaltung ihrer

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

AirKey. Das Handy ist der Schlüssel

AirKey. Das Handy ist der Schlüssel AirKey Das Handy ist der Schlüssel AirKey Das Schließsystem für den flexiblen Einsatz AirKey So dynamisch, wie die Bedürfnisse der Kunden AirKey ist die Innovation aus dem Hause EVVA. Entwickelt und hergestellt

Mehr

Managed File Transfer in der Kunststoffverarbeitenden Industrie

Managed File Transfer in der Kunststoffverarbeitenden Industrie Managed File Transfer in der Kunststoffverarbeitenden Industrie Sichere Alternativen zu FTP, ISDN und E-Mail Verzahnung von Büro- und Produktionsumgebung Verschlüsselter Dateitransfer in der Fertigung

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in

Mehr

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs Cybersicherheit als Wettbewerbsvorteil und Voraussetzung 9. Dezember 2014 1 Gliederung I. Digitale Risiken Reale Verluste II. Cybersicherheit als Business Enabler III. Konsequenzen für die deutsche Software

Mehr