Focus on Security Ausgabe 11, November 2013

Größe: px
Ab Seite anzeigen:

Download "Focus on Security Ausgabe 11, November 2013"

Transkript

1 Focus on Security Ausgabe 11, November 2013

2 2 Focus on Security Informationen zur Unternehmenssicherheit Advanced Persistant Threats (APT) Seite 3 Arbeitsschutz Seite 3 Betrug Seite 3 Biometrie Seite 4 Brandanschläge Seite 4 Brandschutz Seite 4 Cloud Computing Seite 6 Compliance Seite 7 Datenschutz Seite 8 Diebstahl Seite 8 Einbruch Seite 9 Explosionsschutz Seite 9 Falschgeld Seite 9 Flughafensicherheit Seite 10 Gebäudesicherheit Seite 10 Gefängnissicherheit Seite 10 Gefahrenmeldetechnik Seite 11 Geldautomatensicherheit Seite 12 Geld- und Werttransporte Seite 12 Hotelsicherheit Seite 12 IT-Sicherheit Seite 12 IuK-Kriminalität Seite 16 Kommunikationssicherheit Seite 17 Krisenregionen Seite 17 Logistiksicherheit Seite 18 Luftsicherheit Seite 19 Metalldiebstahl Seite 19 Mobile Endgeräte Seite 19 Notfallmanagement Seite 20 Perimeterschutz Seite 21 Piraterie Seite 21 Produktpiraterie Seite 22 Rechenzentrumssicherheit Seite 22 Risikomanagement Seite 23 Schlüsselmanagement Seite 24 Schwarzarbeit Seite 24 Sicherheitsmarkt Seite 24 Social Engineering Seite 25 Spionage Seite 25 Terrorismus Seite 26 Unternehmenssicherheit Seite 26 Videoüberwachung Seite 27 Zutrittskontrolle Seite 31

3 Focus on Security Advanced Persistant Threats (APT) Timo Steffens, BSI, behandelt in der Fachzeitschrift <kes> (Ausgabe , S ) Möglichkeiten der Abwehr von APT-Angriffen. Aus Sicht des BSI liege ein APT vor, wenn ein gut ausgebildeter Angreifer mit Rückgriff auf große Ressourcen sehr gezielt und mit großem Aufwand ein Netz oder System angreift, sich dann in dem System ausbreitet, weitere Hintertüren einbaut, und möglicherweise über längere Zeit Informationen sammelt oder Manipulationen vornimmt. Die Angreifer arbeiteten häufig in thematischen Kampagnen wie beispielsweise Luftfahrt oder Energie. APTs seien darauf ausgelegt, unter dem Radar der klassischen Antiviren-Lösungen zu bleiben. Generell zeige die Erfahrung, dass APTs nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können. Und sie zeige, dass es den Angreifern zu einfach gemacht werde, weil die eigentlichen Basis-Sicherheitsmaßnahmen nicht durchgeführt wurden. Um gegen APTs stets auf dem Laufenden zu bleiben, sei es wichtig, dass sich Unter- nehmen gegenseitig über gezielte Angriffe informieren. Um die Anonymität der Unternehmen zu bewahren, baue das BSI derzeit eine Austauschplattform auf. Und auf Seiten der Allianz für Cybersicherheit stehe ein anonymes Meldeportal zur Verfügung. Andres Wild, Redwood Shores (US/CA), geht in derselben Ausgabe (S. 10/11) der Frage nach: Wie soll man APTs begegnen? Für die Implementierung eines starken risikobasierten Ansatzes gebe es eine ganze Menge passender Rahmenwerke: ISO 27000, NIST SP & Co. seien keine Unbekannten. Ein möglicher Weg sei die Nutzung einer Methodik mit Überwachungs- und Steuerelementen, die sich bei der Minderung von Risiken realer Bedrohungen als effektiv erwiesen haben. Die zwanzig Critical Controls for Effective Cyber Defense seien ein Ansatz, der dieser Methodik entspreche. Sie würden nach Bedarf aktualisiert und lägen aktuell im vierten Release (Version 4.1) vor. Arbeitsschutz Der Sicherheitsberater befasst sich am 1. Oktober mit der Arbeitsergonomie in Leitstellen (S ). In Notruf- oder Serviceleitstellen, in denen sich üblicherweise mehrere Arbeitnehmer einen Arbeitsplatz teilen, sollten die Arbeitsmittel dynamisch und flexibel an die jeweiligen Bedürfnisse der Mitarbeiter anpassen lassen. Insgesamt seien die körpergerechten Abmessungen bei der Möblierung im Auge zu behalten. Arbeits- und Anzeigegeräte wie Monitore sollten ergonomisch justiert werden können. Beleuchtungs-/Reflexionsvorgaben seien einzuhalten. Die Temperatur solle bei mindestens 20 und maximal 26 Grad liegen. Für die Einhaltung der zulässigen Umgebungslautstärke müsse gesorgt werden. Vorzugsweise sollte die Belegschaft maximal % der Arbeitszeit im Sitzen verbringen, den Rest abwechselnd im Stehen und in Bewegung. Betrug Nach einer Meldung der FAZ vom 18. Oktober warnt die Bundesagentur für Arbeit vor einer dreisten Masche im Internet: Demnach stellt ein fremder Anbieter Rechnungen an Arbeitgeber aus, die ihre Stellenangebote auf der kostenlosen Jobbörse der Arbeitsagentur im Internet einstellen. Der Anbieter Jobdirect24 verlange für die angebliche Veröffentlichung 580 Euro. Die Behörde weise darauf hin, dass es sich bei Jobdirect24

4 4 Focus on Security nicht um einen Kooperationspartner handelt und rät allen betroffenen Arbeitgebern, die Rechnung nicht zu begleichen. Nach einer Mitteilung von Securicon vom 5. Oktober warnt die PD Aalen vor folgender Betrugsmasche: Deutsche Geschäftsleute haben Geschäftsverbindungen zu Partnern in der VR China. Bei Bestellung von Waren leisten die deutschen Unternehmen eine Anzahlung. Nach Mitteilung der Warenversendung erfolgt die Restzahlung auf ein bekanntes Konto des Partnerunternehmens. In mehreren Fällen seien für diese Restzahlung in gefälschten s von Betrügern neue Bankverbindungen in London, Dubai, Bangkok und Honkong angegeben worden. Biometrie Wie die Zeitschrift WiK in der Ausgabe , S. 10, mitteilt, haben Forscher der Universität von Leicester eine neue Methode entwickelt, um Fingerabdrücke auf metallischen Oberflächen zu identifizieren. Anders als nach der klassischen Methode nutze die neue Technik die elektrischen Isoliereigenschaften der Fingerspuren. Der Abdruck wirke dabei wie eine Maske, die dafür sorgt, dass per elektrischem Strom farbige, elektroaktive Polymere auf die Flächen zwischen den Ablagerungen des Fingerabdrucks umgelenkt werden. So entstehe ein Negativbild des Fingerabdrucks. Allerdings würden isolierende Rückstände ab Nanometerdicke die Polymerablagerung verhindern. Bisher sei das Verfahren nur im Labor angewandt worden. Heise online meldet am 17. Oktober, der Europäische Gerichtshof habe entschieden, dass die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen zulässig ist. Die gängige Praxis, biometrische Daten auf dem Ausweis zu speichern, entspreche dem europäischen Recht. Auf diese Weise könne Betrug bei der Verwendung von Reisepässen verhindert werden. Brandanschläge Das BKA berichtet in der Wochenlage am 6. Oktober, dass Unbekannte am 29. September auf dem Gelände eines Autohauses in Erfurt zur Auslieferung bereitgestellte Einsatzfahrzeuge der Polizei in Brand gesetzt haben. 15 Mannschaftswagen brannten aus, fünf weitere Fahrzeuge wurden beschädigt. Der Schaden wird auf insgesamt Euro geschätzt. In einem Selbstbezichtigungsschreiben wird die Tat von der Gruppe Abteilung bürgerlicher Ungehorsam im TRH, die sich als Mitarbeiter des Landesrechnungshofes ausgibt, in ironischer Weise dahingehend begründet, dass die Thüringer Polizei durch fehlende Ausschreibungen, Verstöße gegen Vergabe-Vorschriften, verschleierte Kreditfinanzierungen und serienmäßige Mängel bei angekauften Neufahrzeugen die Täter zu der Tat gezwungen habe. Das BKA weist auf einen ähnlichen Fall am 23. Januar 2012 in Magdeburg hin. Damals belief sich der Sachschaden auf ca Euro. Brandschutz Das VdS-Magazin s+s report enthält in seiner Ausgabe mehrere für den Brandschutz in Unternehmen interessante Beiträge: Dipl.-Ing. Roland Motz, GDV, erläutert die VDI-Richtlinien zum Brand- und Explosionsschutz an Sprühtrocknungsanlagen

5 Focus on Security (S ). Die Brandgefährdung hänge von der Produktmenge und dem Brandverhalten des herzustellenden Produktes ab. Die Hauptursache für Brände und Explosionen liege in der teils beträchtlichen Wärme- und Druckwirkung und in den Verbrennungsprodukten. Für den Explosionsschutz fordere die BSVO von Betreibern von Sprühtrocknungsanlagen beim Auftreten gefährlicher explosionsfähiger Atmosphäre ein Explosionsschutzdokument. In den Richtlinien VDI 2263 Blatt 7 würden nun erstmals auch die Anforderungen an den Brandschutz berücksichtigt, die bei der Planung, Errichtung und dem Betrieb solcher Anlagen beachtet werden sollten. Nach Blatt 7 seien insgesamt 13 mögliche Zündquellen von denen für den Brandschutz nur acht von Bedeutung seien auf ihre Wirksamkeit zum Auslösen einer Staubexplosionen zu beurteilen. Der Autor geht näher auf die möglichen Schutzmaßnahmen, eine mögliche Brandfrüherkennung und Brandbekämpfungsmaßnahmen ein. Die wichtigsten Maßnahmen, um im Brandfall ein Ausflühen von Bauteilen der Sprühtrocknungsanlage zu verhindern, seien die sofortige Außerbetriebnahme der Luftzufuhr und das gleichzeitige Löschen und Kühlen. Der Einsatz von speziell für solche Anlagen geplanten stationären Löschanlagen, die automatisch und manuell in Betrieb gesetzt werden können, sei zwingend erforderlich. Sie seien mit einem geeigneten Brandfrüherkennungssystem zu koppeln. Dr.-Ing. Mingyi Wang, GDV, gibt auf S entsprechend VdS 3149 Hinweise zur Bewertung von Abschnittsflächen, um einen technisch und wirtschaftlich optimalen Brandschutz zu ermöglichen. Gemäß dem Abschottungsprinzip sollten Gebäude nach Möglichkeit durch feuerwiderstandsfähige Wände und Decken baulich unterteilt werden, um eine Ausbreitung von Feuer und Rauch zu verhindern oder wenigstens zu begrenzen. Abgesehen von der Abtrennung von Nutzungseinheiten seien bei Industrie- und Gewerbebauten folgende Abschnittsbildungen bekannt: Komplex, Brandabschnitt (BA), Brandbekämpfungsabschnitt (BBA) und feuerbeständig abgetrennter Raum. Der Autor behandelt die typische Abschnittsbildung, Definitionen der Abschnittsflächen in der Muster-Industriebaurichtlinie, die risikotechnische Bewertung der Abschnittsflächen und Empfehlungen der Versicherer. Diese hätten anhand ausgewerteter Schadenerfahrungen Empfehlungen zur Bewertung von Abschnittsflächen veröffentlicht. Mit ihnen solle die Praxis dabei unterstützt werden, die Brandgefahren und die damit verbundenen Risiken insbesondere durch die Anordnung brandschutztechnisch abgetrennter Gebäudeabschnitte zu minimieren. Dr. Florian Irrek, VdS Schadenverhütung, befasst sich mit der Planung von Gaslöschanlagen (S ). Sie sei eine äußerst komplexe Angelegenheit, bei der viele Faktoren in Betracht gezogen werden müssten. Erschwert werde die Planung dadurch, dass oft noch während des Baus Änderungen vorgenommen werden müssen, die nur schlecht vorauszuplanen sind. Dennoch könne auch ohne ausführliche hydraulische Berechnungen eine recht genaue Vorhersage getroffen werden, wie lang das Rohrnetz der Anlage maximal sein darf. Die Frage, wie viel Platz in der Löschgaszentrale für das Löschgas benötigt wird, könne noch relativ leicht mithilfe der VdS-Richtlinien Planung und Einbau für Gaslöschanlagen, VdS 2093/2380/2381, beantwortet werden. Sofern bereits die Löschkonzentration bekannt ist, könne sehr einfach von Hand die Mindest-Vorratsmenge berechnet werden. Die Beantwortung der zweiten grundlegenden Frage, wie nah am Löschbereich die Löschgaszentrale positioniert werden muss, setze üblicherweise eine hydraulische Berechnung voraus. Der Autor zeigt aber an einem Beispiel, dass eine brauchbare und belastbare Abschätzung der maximalen Entfernung zum Löschbereich auch in der Planungsphase möglich ist, in der noch keine vollständige hydraulische Berechnung möglich ist. Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX Risk Conusltants, gibt eine aktuelle Übersicht

6 6 Focus on Security über Leistungsmerkmale und Anforderungen an den Brandschutz bei Wärmedämmverbundsystemen (WDVS). Bei WDVS mit brennbaren Dämmstoffen sei es wichtig, dass der Dämmstoff in die nichtbrennbaren Deckschichten eingepackt bzw. entsprechend geschützt ist. Den Flammen müsse möglichst lange der Zutritt zum Dämmstoff verwehrt bleiben. Das bauordnungsrechtliche Schutzziel an der Gebäudeaußenwand müsse somit darin bestehen, eine schnelle Brandausbreitung über mehr als zwei Geschosse oberhalb bzw. unterhalb der Brandausbruchstelle sowie einen Brandeintritt in die Dämmstoffebene vor dem Löschangriff der Feuerwehr zu verhindern, eine Gefährdung der Rettungskräfte zu vermeiden und die Rettung von Personen zu ermöglichen. Bei der Verwendung von Dämmstoffdicken oberhalb von 10 cm seien zusätzliche Brandbarrieren erforderlich: alternativ ein Sturzschutz über jeder Öffnung oder ein umlaufender Brandriegel in jedem zweiten Geschoss. Protector weist in seiner Ausgabe (S. 16/17) darauf hin, dass der ZVEI beim Brandschutztag am Ausblicke auf heutige und künftige Schwerpunkte des anlagentechnischen Brandschutzes gibt: Zunehmend würden Brandschutzmaßnahmen, die sich allein oder überwiegend mit bautechnischen Maßnahmen nicht optimal umsetzen ließen, als kombinierte bau- und anlagentechnische Maßnahmen realisiert. Seit am 1. Juli 2013 liege mehr Verantwortung bei Planern und Errichtern, denn sie müssten durch die neue europäische Bauproduktenverordnung bei Ausschreibungen viel intensiver als bisher prüfen, ob Bauprodukte für die Verwendung geeignet sind. Die Vernetzung und Dynamisierung gehe weiter. Aus der statischen Fluchtweglenkung werde eine dynamische. In der Brandalarmierung würden inzwischen auch vermehrt optische Signalgeber als Ergänzung zu den akustischen Signalen eingesetzt. Die Kabelindustrie habe neue Brandschutzkabel entwickelt, die sowohl die Brandausbreitung eindämmen und geringere Hitze entwickeln als auch weniger Rauch und giftige Gase entstehen lassen. Cloud Computing Dipl.-Inf. Maxim Schnjakin und Prof.Christoph Meinel, Hasso Plattner Institut für Softwaresystemtechnik GmbH (HPI), stellen in der Fachzeitschrift <kes> (Ausgabe , S )einen Lösungsansatz vor, um auch bei Cloud-Speichern Zuverlässigkeit zu gewährleisten und das Risiko abzuwenden, in eine Abhängigkeit von einem einzelnen Dienstleister zu geraten. In einer Forschungsarbeit am HPI seien ausgewählte Cloud-Speicheranbieter in einer einheitlichen Plattform integriert worden. Das System überprüfe die Einhaltung der Anwenderanforderungen und garantiere, dass kein Dienstanbieter im alleinigen Besitz der Anwenderdaten ist. Diese letzte Komponente werde von drei Diensten unterstützt: den Encoding-, Datenverteilungs- und Sicherheits-Services. Das System schaffe eine Metaebene zwischen Anwendern und Anbietern von Cloud-Speicherressourcen. Bei der Übertragung der Anwenderdaten würden die einzelnen Datensätze mittels Erasure-Codes (Erasure-Algorithmen) fragmentiert und auf verschiedene, voneinander unabhängige Dienstleister verteilt. Die hierbei beteiligten Cloud-Ressourcen könnten nach den benutzerdefinierten Anforderungen an Leistungsfähigkeit, geografische Lage sowie etwaige technische Eigenschaften ausgewählt werden. Wer sich für Security as a Service von T- Systems entscheidet, erhalte professionellen Schutz aus der Cloud zum Festpreis pro Nutzer und zugeschnitten auf den aktuellen Bedarf, erläutert Jürgen Harazim, T-Systems, in der Beilage zu <kes>, Ausgabe ,

7 Focus on Security S. 48/49. T-Systems biete mit Secure Services und Secure Web Access Services zwei neue Security as a Service- Module. Sichere Cloud-Dienste mit Active-Directory-Anbindung stellt in derselben Ausgabe (S ) Stefan Keller, noris network AG, vor. Die Vorteile von Cloud-Services ließen sich mit Compliance- und Sicherheitsgedanken nur kombinieren, wenn diese Dienste aus inländischen Hochsicherheitsrechenzentren bezogen werden. Der Komfort müsse nicht leiden und ein effizientes Rechtemanagement lasse sich über die Kopplung der Dienste mit dem unternehmenseigenen Active Directory kombinieren. Eine solche Managed Cloud-Lösung verbinde ein On Demand-Angebot mit Sicherheitsgarantien und einfacher Administrierbarkeit. Dipl.-Informatiker Michael Herfert, Fraunhofer-Institut für Sichere Informationstechnologie SIT, liefert in der Zeitschrift WiK (Ausgabe , S ) Kriterien, die hilfreich sein sollen, um Schwächen bei verschiedenen Cloud-Lösungen zu erkennen. Für Cloud-Speicherdienste seien wichtige Eigenschaften die Verschlüsselung von Daten, bevor sie den Rechner des Nutzers verlassen, und das mit Schlüsseln, die in seiner alleinigen Verfügbarkeit liegen, und die Verwendung etablierter kryptographischer Mechanismen und Protokolle. Für Cloud-Verarbeitungsdienste seien die größten Sicherheitsrisiken die Registrierung, der Transport, die Deduplikation und das Teilen von Daten. Es gebe zwar verschiedene Siegel für Cloud- Computing, aber darunter seien einige mit fraglichem Hintergrund. Ein allgemein anerkanntes Siegel wäre ein Schritt in die richtige Richtung. Bei Diensten, die Daten auch verarbeiten, werde eine individuelle Prüfung des Dienstes notwendig bleiben. Die FAZ weist am 8. Oktober darauf hin, dass die Europäische Datenschutzrichtlinie nach ihrem aktuellen Diskussionsstand die Forderung enthalte, dass Nutzer von den Betreibern eines Rechenzentrums ausdrücklich darauf hingewiesen werden, wenn ihre Daten europäischen Boden verlassen und zum Beispiel in ein Rechenzentrum in den USA übertragen werden. Eine solche Übertragung solle verboten werden, wenn die entsprechenden Bedingungen zuvor nicht erfüllt werden. Darin eingeschlossen solle der Hinweis sein, dass persönliche Daten möglicherweise von ausländischen Geheimdiensten oder Behörden dritter Staaten ausgewertet werden könnten. Von einer Datenverlagerung solle zum einen der Inhaber der Daten selbst, zum anderen aber auch eine Überwachungsbehörde unterrichtet werden. Heise online weist am 16. Oktober darauf hin, dass EU-Kommissarin Neelie Kroes fordert, Europa solle die führende vertrauenswürdige Cloud-Region werden. Es seien mehr Transparenz und hohe Standards nötig. Kroes propagiere Verschlüsselung sowohl beim Transport als auch beim Speichern von Daten und warne davor, dass Schlüssel entwendet und Algorithmen geknackt werden könnten. Compliance Wichtig sei Compliance auch für den Mittelstand, erläutert die FAZ am 26. September in einer Spezialausgabe. Kein Unternehmen könne es sich leisten, die drohenden Gefahren bei Compliance-Verstößen zu ignorieren. Es gelte, Compliance-Regelwerke und entsprechende Systeme zu individualisieren. Statt wahllos Workshops für Mitarbeiter anzubieten, sollten Geschäftsführer sich zunächst mal ihr Unternehmen ganz genau anschauen und sich fragen: Wo liegen bei meinem Geschäftsmodell die Risiken?. Maß halten, laute unisono die Devise von Experten. Für Geschäftsführer von Unternehmen

8 8 Focus on Security gelte eine sogenannte Organisations- und Aufsichtspflicht: Sie müssten dafür sorgen, dass ihre Firma als Ganzes sowie jeder einzelne Mitarbeiter gesetzliche und unternehmensinterne Vorschriften einhält. Ebenso müssten sie regelmäßig kontrollieren und dokumentieren, inwieweit zum Beispiel hauseigene Compliance-Systeme Wirkung zeigen. Außerdem könnten Geschäftsführer, Vorstände und Aufsichtsräte seit einigen Jahren persönlich haftbar gemacht werden, wenn sie sich fahrlässig verhalten oder Entscheidungen treffen, die dem Unternehmen schaden. Die Haftungspflicht könne auch dann greifen, wenn einzelne Mitarbeiter gegen gesetzliche oder hausinterne Regeln verstoßen haben, die Führungskraft davon wusste und nichts dagegen unternommen hat. Um Schadenersatzklagen zu vermeiden, sei die von Beratern empfohlene Risikoanalyse wichtig. Heise online berichtet am 10. Oktober, dass der Europäische Gerichtshof für Menschenrechte die Klage eines Nachrichtenportals zurückgewiesen hat, das von einem estnischen Gericht zu einer Geldstrafe verurteilt worden war, weil es trotz eindeutiger Warnungen an die Nutzer und automatischer Wortfilter nicht genug getan habe, um beleidigende Kommentare, von denen eine Fährgesellschaft betroffen war, schnell zu entfernen. Datenschutz In der Fachzeitschrift <kes> (Ausgabe , S ) weist Rechtsanwalt Stefan Jaeger darauf hin, dass die Informationspflicht von Unternehmen über Datenschutzverletzungen jetzt europaweit durch die VO Nr. 611/2013 der EU-Kommission vereinheitlicht wurde. Die Informationspflicht gelte in bestimmten Fällen gegenüber Aufsichtsbehörden und Betroffenen. Ungeklärt seien nach wie vor einige rechtliche Fragen. So sehe die VO selbst keinerlei Sanktion für den Fall des Verstoßes gegen die Meldepflicht vor. Zudem bleibe auch die Frage nach den Verpflichteten gemäß der EU-VO unklar. Diebstahl Das BKA hat nach einer Information von ASW-Securicon vom 12. Oktober darauf hingewiesen, dass seit etwa 2005 jährlich ca. zwei Dutzend Diebstähle von Solarmodulen bekannt werden. Die Sachschäden lägen immer im fünfstelligen, manchmal sogar im sechsstelligen Euro-Bereich (bis zu ). Die Tatorte befänden sich meist in einsam gelegenen Gebieten außerhalb bebauter Ortschaften (Lagerhallen, Gehöfte, Stallungen, Solarparks). Die Gebäude und Parks seien in der Regel offen zugänglich, wobei die Parks inzwischen zunehmend mit einem Zaun umfriedet seien. Die Photovoltaik-Module oder Stromkollektoren sowie die Wechselrichter würden fachge- recht abmontiert. Täterhinweise würden nur in ganz wenigen Fällen bekannt. Zur Abwehr solcher Diebstähle rät die Zentrale Geschäftsstelle des Programms Polizeiliche Kriminalprävention zu einer Kombination aus folgenden Komponenten: Perimeterabsicherung, Zugangstorüberwachung, Videoüberwachung mit Detektion, Bewegungsmelder zur Überwachung der Zaunanlage, Technikhaus Einbruchshemmung nach RC 3 DIN EN 1627 komplett. Die Alarmtechnik sollte auf einer ständig besetzten NSL auflaufen. Die Polizei sollte erst hinzugezogen werden, wenn von einem Echtalarm ausgegangen werden muss.

9 Focus on Security Einbruch In der Fachzeitschrift s+s report (Ausgabe , S ) zieht Julia Christiani, Programm Polizeiliche Kriminalprävention der Länder und des Bundes, nach einem Jahr der Öffentlichkeitskampagne K- Einbruch eine positive Bilanz. Die Zahl der fehlgeschlagenen Einbrüche sei von im Jahr 2010 über im Jahr 2011 auf im Jahr 2012 gestiegen. Viele Einbrüche könnten durch die richtige Sicherungstechnik verhindert werden. Eine Untersuchung des Bayerischen LKA habe ergeben, dass in Bayern im Jahre 2012 von insgesamt Fällen durch mechanische Sicherungen verhindert wurden. In 223 Fällen sei die Tat durch EMA vereitelt worden. Dies zeige zudem, dass die Einbruchmeldetechnik immer eine Ergänzung zur mechanischen Sicherungstechnik sein und nicht als Ersatz dafür angesehen werden sollte. Nach der Erhebung des Bayerischen LKA (S. 44/45) wurden 2012 im Gewerbebereich 626 Einbrüche durch mechanische Sicherungen verhindert, und zwar 506 durch Sicherungen an Türen (312 durch eine widerstandsfähige Türkonstruktion und geeignete Anbauteile, 194 durch Zusatzsicherungen) und 99 durch mechanische Sicherungen an Fenstern, Terrassen- und Balkontüren (65 durch Fensterzusatzsicherungen und 34 durch sonstige Sicherungen wie Gitter) sowie 21 durch Schaufenstersicherungen. Ebenfalls im Gewerbebereich konnten durch 181 Alarme 28 Festnahmen erzielt werden. Die Festnahmequote betrug bei stillen Alarmierungen 57 %, bei örtlichen (akustischen oder optischen) Alarmen 7 %. Explosionsschutz Eine Möglichkeit, Schutz vor Sprengstoffanschlägen auch bei Bestandsgebäuden zu erreichen, ist der Einsatz von sprengwirkungshemmenden Sicherheitsfolien. Darauf weist der Sicherheitsberater am 1. Oktober (S. 300/301) hin. Ungeschütztes Einfachund Isolierglas erreiche durch die Beschichtung mit PROFILON ER1 folgende Widerstandsklassen: 1. Sprengwirkungshemmung Klasse ER1 nach DIN EN (NS). 2. Durchwurfhemmung Klasse A1 nach DIN (alt) bzw. Klasse P2A nach EN 356 (neu). Die Sicherheitsfolie sei im Druckstoßrohr getestet und nach Aussage des Herstellers Haverkamp die weltweit einzige Folie, deren sprengwirkungshemmende Eigenschaften in diesem Härtetest nach DIN EN bestätigt wurde. Falschgeld Wie die ASW am 27. September mitteilt, hat das LKA Schleswig-Holstein seit Juni 2013 ein plötzliches und konzentriertes Anhalten von Falsifikaten in Form von 10-, 20- und 50-Eurobanknoten, überwiegend im Raum Kiel, registriert. Nach einem vorübergehenden Rückgang seien die Fallzahlen seit August 2013 wieder angestiegen. Es handele sich um professionelle, vermutlich in italienischen Fälscherwerkstätten hergestellte, Druckfälschungen. Die gefälschten 50-Euro-Banknoten seien mit einem mangelhaft aufgedruckten Wasserzeichen versehen, das unabhängig vom Lichteinfall immer gleich ausschaue. Das echte Wasserzeichen entstehe durch eine unterschiedliche Papierdichte. Es werde sichtbar, wenn die Note gegen das Licht gehalten wird. Helle und dunkle Stellen gingen sanft ineinander über. Werde die Note auf eine dunkle Oberfläche gelegt, würden die hellen Stellen dunkel. Dieses Echtheitsmerkmal fehle der falschen

10 10 Focus on Security Euro-Banknote. Auch den Farbwechsel der auf der rechten unteren Rückseite der Banknote aufgebrachten Ziffer 50 könnten die Fälscher nicht täuschend sicher nachempfinden. Beim Kippen der echten 50-Euro-Banknote wechsele die Farbe von purpurrot zu olivgrün/braun. Flughafensicherheit Protector befasst sich in der Ausgabe in einer Reihe von Beiträgen mit der Flughafensicherheit: Die verschiedenen Gefahrenquellen erforderten ganzheitliche Sicherheitskonzepte. Dabei habe jeder Bereich seine ganz speziellen Anforderungen. Außenbereiche erforderten die Absicherung mithilfe von Sicherheitszäunen, am besten mit Übersteigschutz und Freigeländeüberwachungssystemen. Durchfahrts- oder Durchgangssperren wie hydraulische oder starre Poller, Wege Barriers, aber auch Schrankenanlagen, Schnellfalttore und Schiebetore komplettierten die Konzepte (S. 28/29). In einem anderen Beitrag wird der Brandschutz für einen neuen Flugsteig mit sieben Gates für Großraumjets auf dem Frankfurter Flughafen behandelt (S. 36/37). Der Flugsteig A-Plus sei in Abschnitte unterteilt worden, die im Brandfall durch 21 automatisch schließende Schiebetore getrennt werden. Angesteuert würden die Tore durch 129 optische Rauchschalter. Wo Fluchtwege durch die Tore führen, seien diese mit Fluchttüren versehen. Gebäudesicherheit Architektur und Sicherheit bildet den Schwerpunkt der Ausgabe des Sicherheitsberaters vom 1. Oktober (S ). Bewusste und frühzeitige Planung von Sicherheit bringe dem Immobilienmanagement nur Vorteile. Durch intelligente Architektur könne man Flucht- und Rettungsversuche problemlos so planen, dass diese nicht in eine Nutzungseinheit hineinführen, sondern nur in allgemein zugängliche Bereiche. Werde das Gewerk Sicherheit schon früh in einem Projekt berücksichtigt, so sei es möglich, die typischen Schutzzonen konzeptionell so umzusetzen, dass diese sich zum einen architektonisch in das Gesamtbauwerk integrieren und zum anderen von den Nutzern nicht als den Betriebsablauf störend empfunden werden. In einem guten Sicherheitskonzept lasse sich auch eine spätere, anders gelagerte Nutzung des Gebäudes berücksichtigen. Auch im technischen Brandschutz fänden sich Möglichkeiten, die vorgeschriebene Technik der Branddetektion unauffällig in die Innenarchitektur zu integrieren. Gefängnissicherheit Ministerialrat Wolfgang Suhrbier behandelt in Ausgabe von Security insight (S ) die Sicherheit im Justiz- und Maßregelvollzug der Sicherungsverwahrung. Immer mehr Bundesländer hätten auf Wachtürme verzichtet und sie durch technische Einrichtungen ersetzt. Die Zahl der Ausbrüche sei seit Jahrzehnten dank der sicherheitstechnischen Aufrüstung auf ein Minimum gesunken. Die Vorgaben des Bundesverfassungsgerichts zum Maßregelvollzug könne der Vollzug unter Berücksichtigung der Sicherheitsbelange nur durch ausgewogene Sicherheitstechnik und höheren Personaleinsatz erfüllen. Zur Technik zählten insbesondere Kommu-

11 Focus on Security Protector befasst sich in der Ausgabe (S. 40/41) mit der Nichtauslönikationsanlagen mit Notruffunktion und Ortung, Überwachungsanlagen, Alarmmanagementsysteme, die den schnellen Einsatz weiterer Mitarbeiter im Krisenfall ermöglichen, sowie bezahlbare Systeme zur Verhinderung unerlaubter Kontaktaufnahme der Inhaftierten zur Außenwelt. In derselben Ausgabe beschreibt Jens Aperdannier, Tyco Fire & Security Holding Germany GmbH, ein hochverfügbares System integrierter Sicherheits- und Kommunikationstechnik in Justizvollzugsanstalten (S. 42/43). Ein effizientes Zusammenspiel der einzelnen integrierten Schwachstrom-Gewerke und -Technologien sei hierzu zwingend von Telekommunikations-, Intercom- und Sprachalarmierungsanlagen, Sicherheitstechnik wie Zutrittskontrolle und Videoüberwachung, Zellenruf- und Personenschutzanlagen über sichere Daten- und Kommunikationsnetzwerke sowie Gebäude- und Sicherheits-Managementsysteme bis hin zur übergreifenden Leitstelle. Erst im intelligenten Verbund via offener Plattformen gewährleisteten die Einzelgewerke die durchgängige und flexible Kommunikation und die effiziente Steuerung von Prozessabläufen. Gefahrenmeldetechnik Im s+s report (Ausgabe ) weist Dipl.-Wirtschaftsjurist (FH) Sebastian Brose, VdS Schadenverhütung darauf hin, dass VdS nunmehr auch mobile Applikationen in der Einbruchmeldetechnik anerkennt (S ). Die Anforderungen und Prüfmethoden für solche EMA-Apps seien in den Richtlinien Fernzugriff auf EMA mittels Smart Device-Applikation, VdS 3169, fixiert. Die Authentizität der Daten werde durch ein sogenanntes Pairing-Verfahren und die Ermittlung der Hashcodes sichergestellt. Im Master werde eine Liste der zulässigen Clients geführt, die z. B. anhand ihrer MAC- Adresse oder IMEI-Nummer identifiziert werden. Die Integrität der Daten werde durch verschiedene Mechanismen gewährleistet. Um die Vertraulichkeit der Daten zu wahren, müsse eine AES-Verschlüsselung mit 128 Bit mit Cipher Block Chaining Mode eingesetzt werden. Der Verbindungsaufbau gehe vom Client aus und durchlaufe die vier Stufen Nutzercode, Schlüsselprüfung, Pairing-Prüfung, Codeabfrage. Sobald die EMA extern scharf geschaltet ist, sei die Bedienung EMA-relevanter Funktionen nicht möglich. Sebastian Brose und Wilfried Drzensky, VdS Schadenverhütung, befassen sich in der Zeitschrift WiK (Ausgabe , S ) mit Problemen bei der Attestierung von EMA. Das Installationsattest dokumentiere, dass es sich tatsächlich um eine VdS-anerkannte EMA handelt und stehe damit für die Vorteile die eine solche EMA bietet: Einhaltung der VdS-Richtlinien, Behebung von Mängeln auf Kosten des Errichters, jederzeit erreichbarer Instandhaltungsdienst, Vorhaltung eines Ersatzteillagers, Reparatur-/Instandhaltungsausrüstung beim Errichter und Störungsbeseitung innerhalb von 24 h bei regelmäßiger Instandhaltung. Die Autoren behandeln einige der Fragestellungen rund um die Attestierung von EMA in den Bereichen: Dokumentation von Änderungen, Gültigkeit des VdS-Attests bei Wartungsverweigerungen, Instandhaltung durch Dritte, Scannung des Attests und Vernichtung des Originals durch Versicherer, Bestandsschutz von EMA. Wie Michael von Foerster, Bosch-Sicherheitssysteme, in derselben Ausgabe (S. 57/58) berichtet, fordert Euroalarm von der EU-Kommission zusätzliche Aktivitäten zur Erhöhung der Wettbewerbsfähigkeit der europäischen Industrie für Gefahrenmeldetechnik. Es sollte Aufgabe der Politik sein, ein unabhängiges Prüfzentrum mit einem einheitlichen Prüfzeichen zu schaffen.

12 12 Focus on Security sung von Bewegungsmeldern. Für die unterschiedlich schwierigen Anforderungsbedingungen an Bewegungsmelder gebe es eine Auswahl von Kombinationen in der Sensortechnologie. Komplett dichte Erfassungsvorhänge bildeten gegenüber einer Standarderfassung immer einen maximalen Detektionsbereich. Bei größeren Überwachungsflächen, bei denen sich auch die räumliche Einrichtung ändern kann, böten sich Deckenmelder zur Flächenüberwachung an. Diese könnten mehrere Bewegungsmelder mit einer einzigen Deckenmelderinstallation ersetzen und somit auch zur wirtschaftlichen Lösung beitragen. Die kompletten Vorhänge mit einer 360 Grad-Erfassung detektierten bis zu 20 Meter Raumdiagonale bei bis zu fünf Metern Montagehöhe. Geldautomatensicherheit Wie das PP Nordhessen am 18. Oktober meldet, versuchten bislang unbekannte Täter, in einer Bankfiliale in Nieste nachts einen Geldautomaten aufzuschweißen. Vom Tatbeginn an habe die installierte Videoan- lage keine Bilder mehr geliefert. Alle Scheibenflächen des Automatenraumes seien von den Tätern aufwändig tapeziert worden, damit sie ungestört arbeiten konnten. Geld- und Werttransporte Zwei schwere Raubüberfälle am 6. September vor einer Kreissparkassenfiliale auf zwei Mitarbeiterinnen, die für die Kreissparkasse ungepanzerte Geldtransporte in PKWs durchführten, und im August in Hamburg Wilhelmsburg auf einen Geldboten, der in einem ungepanzerten Firmenfahrzeug eines Sicherheitsunternehmens Geld transportierte, veranlassten den HGF der BDGW, Dr. Olschok, zu einem Appell an Kreditinstitute, Handelsunternehmen und Veranstalter, Geldtransporte nur in dafür vorgesehenen Spezialgeldtransportfahrzeugen durchzuführen. Verletzten Arbeitgeber ihre Sorgfaltspflicht, so drohten Nachforschungen durch die gesetzliche Unfallversicherung und durch Strafverfolgungsbehörden (WiK, Special Sicherheitslösungen für Banken, Oktober 2013, S. 4). Hotelsicherheit Die Zeitschrift WiK (Ausgabe , S. 7) meldet, heise Security habe ausprobiert, wie leicht Hotelsafes mit Codeschlössern geknackt werden können. Diese Tresore ließen sich meist mit einem selbst einzugebenden Code sichern. Sollte dieser vergessen werden, hätten die Hotels sowohl mechanische Schlüssel als auch Mastercodes, um die Tresore wieder zu öffnen. Doch oft werde schon beim Einbau geschlampt : Viele Hotels würden vergessen, den vom Hersteller vorgegebenen Mastercode zu ändern. Diese Codes ließen sich aber über eine Suchmaschine herausfinden. IT-Sicherheit Die Fachzeitschrift <kes> enthält in ihrer Ausgabe interessante Beiträge zur IT-Sicherheit: Als Schatten-IT bezeichnet Sebastian Broecker, Deutsche

13 Focus on Security Flugsicherung (S ) generell alle Assets inklusive Hardware, Software und Projekten, die an den offiziellen Beschaffungs- und Implementierungswegen einer Firma vorbei in diese eingebracht werden. Die Schatten-IT könne entweder mit eigentlich guten Absichten implementiert werden oder von vornherein egoistischen oder kriminellen Zielen dienen. Der Autor behandelt Schatten-Hardware, Schatten- Software, Schatten-Dienste und Schatten- Projekte. Ansatzpunkte für eine Reduzierung solcher Vorgänge sieht er in folgenden Empfehlungen: 1. Halten Sie in Ihrer Rolle als Securityverantwortlicher Augen und Ohren offen! 2. Behalten Sie die üblichen Verdächtigen im Auge und suchen Sie den Dialog zu solchen Mitarbeitern! 3. Wecken Sie Security-Awareness! 4. Bieten Sie Lösungen an! 5. Versuchen Sie, neben aller notwendigen Kontrolle in Fragen zur IT auch als kooperativer Partner zu gelten, um die Bildung geschlossener Zirkel möglichst zu vermeiden! Dr. Frederico Crazzolara, krügernetwork GmbH, befasst sich mit der Sicherheitsinfrastruktur für smarte Versorgungsnetze (S ). Intelligente Versorgungsnetze, so genannte Smart Grids, sollen flexibler auf Energieeinspeisungen und auftretende Spitzenlasten reagieren können. Dabei kämen für eine bessere Koordinierbarkeit von Stromerzeugung und -bedarf intelligente Messsysteme zum Einsatz Smart Meters. Solche Systeme führten personenbezogene Daten zusammen, verarbeiteten und leiteten aufbereitete Daten weiter. Für sie würden daher hohe Anforderungen an Datenschutz und Datensicherheit gelten. Der Autor behandelt das Prinzip Security by Design, digitale Zertifikate, mehrseitige Hardware und ECC als Security-Grundlage, hoheitliche Vertrauensanker (die Stammzertifizierungsstelle der Smart-Meter-PKI wird vom BSI implementiert und zentral zur Verfügung gestellt) und die Verantwortung der Gateway-Administratoren. Die Gateway-Administration sei die bedeutendste technische Smart-Metering-Dienstleistung. Es bleibe noch viel zu klären und zu tun, bis ein intelligentes Versorgungsnetz zur Verfügung steht. In derselben Ausgabe (S. 59/60) befasst sich Jens Mehrfeld, BSI, mit eingebetteten Systemen, die in unterschiedlichen Geräten, Maschinen und Anlagen zum Einsatz kommen, häufig an ein Netz angeschlossen sind und Zugang zum Internet besitzen. Ein großes Problem bilde neben den technischen Angriffspunkten das fehlende Sicherheitsbewusstsein. Was sei zu tun? Die Sicherheitshinweise des Herstellers müssten beachtet werden. Die Standardkonfiguration der Geräte sei anzupassen. Die Verbindung mit dem Internet sollte möglichst nur anlassbezogen und für kurze Zeit hergestellt werden. Für den Fall der Internetverbindung sollten die Sicherheitsmechanismen des Routers genutzt werden. Thomas Kerbl und Amir Salkic, SEC Consult, erläutern einen vom BSI zusammen mit SEC Consult veröffentlichten Leitfaden zur Entwicklung sicherer Web-Anwendungen. Den Kerninhalt des Leitfadens für Auftragnehmer bildeten Vorgaben an den Entwicklungsprozess und an die Implementierung. Der vielleicht wichtigste Nutzen des Leitfadens liege jedoch in der Unterstützung des Auftraggebers bei der Überprüfung der Vorgaben an den Entwicklungsprozess (S ). In derselben Ausgabe kritisiert <kes> das Fehlen von IT-Sicherheitsrichtlinien in vielen Unternehmen. Nach einer von Kaspersky und B2B durchgeführten Studie beklagen 57 % der deutschen IT-Entscheider das Fehlen von Zeit und Budget. Eine Studie des IT-Dienstleisters Iron Mountain habe gezeigt, dass viele Arbeitgeber Verhaltensweisen ihrer Mitarbeiter bei der Arbeit im Homeoffice tolerieren, die ihre Unternehmensinformationen einem erheblichen Risiko aussetzten. 60 % der befragten Deutschen hätten angegeben, ihre privaten -Accounts zum Senden

14 14 Focus on Security und Empfangen von Arbeitsdokumenten zu verwenden. 35 % ließen ihre Arbeitsdokumente zu Hause liegen und 21 % entsorgten Geschäftsdokumente im Haushaltsabfall. 7 % benutzten eine unsichere WLAN-Verbindung, um Arbeitsdokumente per zu senden und zu empfangen. Eine Hauptursache seien die Unternehmen selbst. So würden lediglich 25 % der deutschen Unternehmen ihren Mitarbeitern Vorgaben machen, welche Papierakten und elektronischen Daten sie mit nach Hause nehmen dürfen. In 73 % der Fälle fehlten entsprechende Richtlinien, die das Arbeiten im Homeoffice regeln. Ein weiteres Problem sei die Infrastruktur: Bei 54 % der Arbeitgeber scheitere ein sicheres Arbeiten im Homeoffice an fehlender IT-Ausstattung, und 67 % stellten keinen sicheren Zugang zum Intranet zur Verfügung (S. 98/99). Die European Network and Information Security Agency (ENISA) hat ihren Jahresbericht über IT- und Netzausfälle für 2012 vorgelegt, meldet <kes> in der Ausgabe (S. 99). In 18 EU-Ländern sei es zu 79 signifikanten Vorfällen der vier Dienstekategorien Festnetz- und Mobilfunk, Internet und mobiles Internet gekommen. Die häufigsten Ursachen für die Ausfälle seien Hard- und Software-Fehler gewesen. Cyberattacken seien nur sechsmal ursächlich gewesen, und nach durchschnittlich drei Stunden seien die Dienste wieder gelaufen. Naturereignisse seien ebenfalls nur selten ursächlich gewesen. Allerdings habe die Beseitigung solcher Ausfälle besonders lange gedauert. In derselben Ausgabe (S. 100) weist <kes> darauf hin, dass fast jeder fünfte Mitarbeiter in KMUs schon einmal Firmendaten mit Absicht zerstört habe. Das sei das Ergebnis der Studie Datenzerstörung im Mittelstand, für die Mozy 100 Manager und Mitarbeiter von KMUs befragt habe. Der Grund für die absichtliche Zerstörung sei überwiegend harmlos: in 78 % handelten die Angestellten gemäß den Weisungen eines Vorgesetzten. Heise online listet am 27. September 10 Regeln für mehr Sicherheit im Netz auf, die das BSI als Sicherheitskompass in Zusammenarbeit mit der Polizeilichen Kriminalprävention der Länder und des Bundes aufgestellt hat: 1. Verwenden Sie sichere Passwörter! 2. Schränken Sie Rechte von PC-Mitbenutzern ein! 3. Halten Sie Ihre Software immer auf dem aktuellen Stand! 4. Verwenden Sie eine Firewall! 5. Gehen Sie mit s und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um! 6. Erhöhen Sie die Sicherheit ihres Internet-Browsers! 7. Vorsicht beim Download von Software aus dem Internet! 8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung! 9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet! 10. Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff! Auch in einem special der Fachzeitschrift <kes> vom Oktober 2013 finden sich mehrere Beiträge zur IT-Sicherheit: Arved Graf von Stackelberg, HP Software Deutschland, empfiehlt das System SIEM (Security Incident and Event Management) als intelligentes Sicherheitsradar (S ). SIEM-Lösungen könnten die disparaten Log-Files sammeln und in Echtzeit miteinander abgleichen. Aus dem Kontext heraus würden sie verborgene Angriffsmuster erkennen, sortieren und die Ergebnisse zu übersichtlichen Warnhinweisen und Reports

15 Focus on Security zusammenstellen. Der Autor beschreibt die Leistungsmerkmale von SIEM. Das Produkt müsse geschickt implementiert werden. Die Implementierung sei als Prozess zu verstehen, der Schritt für Schritt immer mehr kritische Sicherheitsmanagement-Aufgaben durch intelligente Software unterstützt. Michael Klatte, ESET Deutschland, fordert mehr Sicherheit am SharePoint (eine Webanwendung von Microsoft, die folgende Anwendungsbereiche abdeckt: Intranetportal, Soziale Netzwerke, Content- Management, Koordinierungs- und Verwaltungsfunktionen sowie Geschäftsanwendungen). Ein lascher Umgang in puncto Sicherheit könne den Sharepoint schnell in eine Virenschleuder verwandeln. Malware stelle für den SharePoint die aktuell größte Gefahr dar. Microsoft werde seine Antivirus-Lösung Forefront Protection for SharePoint nicht mehr weiterführen. ESET zähle zu den wenigen Anbietern, die Malware-Schutz für Microsoft SharePoint 2013 anbieten. Der Autor hat eine Checkliste für mehr Sicherheit am SharePoint aufgestellt (S. 26/27). Kathrin Beckert, G Data, stellt neue Netzwerklösungen für Unternehmen vor. Neben technologischen Neuerungen hätten Administratoren künftig auch alle Android-Devices fest im Griff. Die Lösung habe folgende Produkteigenschaften: Hybridschutz, Mobile Device-Management, einfache Administration und mobilen Zugriff (S. 343/35). Andreas Müller, Lumension, erläutert das professionelle Patchmanagement für sichere Geschäftsprozesse. Es führe durch die hohen Aufwände an Mehrarbeit, die nötig sei, um schnell auf Gefahrenpunkte reagieren zu können, zu höheren Kosten. Das Unternehmen Lumension biete eine gute Alternative, die die Umsetzung einer holistischen Schwachstellen-Managementstrategie ermögliche. Der geringere Bedarf an punktorientierten Produkten und an Mitarbeiterressourcen ermöglichten eine Reduzierung der Betriebskosten (S ). Klaus Gheri, Barracuda Networks, fordert, dass Sicherheitslösungen für KMUs den gleichen Schutz bieten, wie bei Großunternehmen, aber sie müssten intuitiv und einfach einzusetzen sein. Wenn KMUs Security- und Backup-Lösungen einsetzen, die konkret auf den unkomplizierten Betrieb ausgelegt sind, gleichzeitig aber den kompletten Schutz einer vollen Enterprise- Lösung böten und noch dazu mit datenschutzkonformen Cloud-Technologien die Infrastruktur des Unternehmens entlasten, könnten sie sich gegen Angriffe oder Datenverlust absichern (S ). Armin Simon, SafeNet, beklagt, man sei trotz der Berichte über Datendiebstahl beim Schutz der Daten bisher nicht wirklich weiter gekommen. Daten ließen sich inzwischen mit modernen Verschlüsselungs- und IAM-Lösungen zuverlässig schützen. Es gebe eine Methodik, die sich auf einfache Hauptpunkte reduzieren lasse: Identifiziere die wichtigen Daten, verschlüssele sie, pass auf die Schlüssel auf und regele zuverlässig den Zugriff durch Identity- and Access-Management. Ein Mindeststandard müsse nicht das sein, was der Begriff nahelegt. Wenn das BSI eine Norm definiert, dann handele es sich zunächst um eine unverbindliche Empfehlung. Das gelte auch von dem jetzt vom BSI verlangten Einsatz von TLS 1.2 als Transportverschlüsselung im Internet (heise online v. 8. Oktober). In der Fachzeitschrift IT-Security (Ausgabe , S ) erläutert Urs Biggeli, United Security Providers AG, warum Network Access Control (NAC) mehr und mehr zu einem zentralen Element der IT-Infrastruktur wird. Neben der Sicherheit, dass keine fremden Endgeräte am Netzwerk angeschlossen werden, liege der Hauptnutzen einer NAC-Lösung darin, den Überblick im Netzwerk zu wahren und dessen Verwaltung in einem hohen Maße zu erleichtern. Dadurch reduzierten sich erwiesenermaßen auch die Betriebsaufwände. Heutige NAC-Lösungen würden bei der Umsetzung von Mobile-Securitystrategien und BYOD-Konzepten helfen. In demselben Heft befasst sich Jochen Koehler, Cyber-Ark,

16 16 Focus on Security mit der Datenbank-Sicherheit (S ). Etliche Unternehmen versuchten, sie mit der Implementierung von Lösungen in den Bereichen Data Loss Prevention (DLP) oder Database Activity Monitoring (DAM) zu erreichen. Diese Ansätze seien zwar richtig, aber keineswegs ausreichend. Die Implementierung zuverlässiger Lösungen für die automatische Verwaltung von privilegierten Benutzerkonten sollte für jedes Unternehmen selbstverständlich sein, zumal das Gefahrenpotenzial kontinuierlich steige. Die Unsicherheit von s werde unterschätzt, ist Marian Spohn überzeugt (S ). Eine sichere Lösung stelle Managed File Transfer (MFT) dar, weil sie sicherstelle, dass alle Nachrichten codiert sowie kontrolliert am Zielort ankommen und nur berechtigte Empfänger darauf zugreifen können. Dabei bleibe die Datei sicher im MFT-System hinterlegt. Es würden nur in einer ersten die dazugehörige Download-Berechtigung und in einer zweiten ein Passwort für den Download- Link versendet. In Verbindung mit einer zentralen Datendrehscheide ermögliche die Lösung ein umfassendes Monitoring sämtlicher unternehmensinterner und externer Datentransferaktivitäten, mit dem sich Nachrichten von der Anfangs- bis zur Zieladresse überwachen und vollständig bis auf die IP-Adresse genau zurückverfolgen ließen. Eine MFT-Lösung müsse so beschaffen sein, dass ein Anwender die Bequemlichkeit und Schnelligkeit eines normalen -Versands nicht vermisst. Heise online meldet am 15. Oktober, der Industrieausschuss des EU-Parlaments habe den Weg frei gemacht für einen Verordnungsentwurf der EU-Kommission, mit dem die Nutzung elektronischer Signaturen und vergleichbarer Identifikationssysteme vereinfacht und harmonisiert werden solle. Die Abgeordneten möchten damit Unternehmen, Behörden und Bürgern die Möglichkeit geben, Dokumente elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedstaaten sollten verpflichtet werden, eid-systeme anderer EU-Länder offiziell anzuerkennen. Das neue deutsche E Government-Gesetz lasse neben der qualifizierten elektronischen Signatur alternative Technologien für den elektronischen Ersatz der Schriftform zu und wolle so weitere Einsatzmöglichkeiten für die eid-funktion des neuen Personalausweises und D schaffen. IuK-Kriminalität Die Zeitschrift <kes> weist in ihrer Ausgabe (S. 100) darauf hin, BITKOM habe berichtet, dass die Zahl der gemeldeten Phishing-Fälle 2012 deutlich abgenommen habe. Nach Angaben des BKA habe sich die Zahl 2012 nahezu halbiert (-46 %). Die verursachten Schäden seien 2012 ebenfalls um 46 % auf 13,8 Millionen Euro gesunken. Allerdings würden die Betrüger zunehmend raffinierter vorgehen und verstärkt auf Phishing-Malware setzen. Die Zahl der Sicherheitsvorfälle insgesamt sei in den letzten 12 Monaten um 25 % gestiegen, meldet das Handelsblatt am 1. Oktober unter Hinweis auf die Beratungsgesellschaft PwC. Im Durchschnitt hätten die befragten Sicherheits- und IT-Manager globaler Unternehmen über Attacken pro Firma und Jahr verzeichnet. Jeder dritte Manager vermute Hacker hinter den Angriffen, 14 % verdächtigten Wettbewerber als Drahtzieher, und 4 % nähmen an, dass ausländische Staaten versuchen, auf die Daten des Unternehmens zuzugreifen. Budgets für IT-Sicherheit seien binnen Jahresfrist massiv aufgestockt worden, von durchschnittlich 2,8 auf heute 4,3 Millionen EU-Dollar pro Unternehmen. Dennoch mangele es an Abwehrkraft. Das Hauptproblem: Die Zahl der möglichen Einfallstore steige rasch. Mobile Geräte eröffneten neue Zugangspunkte auf die Firmen-IT, private

17 Focus on Security Geräte entsprächen nicht dem Sicherheitsstandard des Konzerns und Cloud Computing-Lösungen stellten die IT parallel vor zahlreiche neue Herausforderungen. Der Diebstahl von Kundendaten oder Geschäftsgeheimnissen Dritter sowie die Weiterverbreitung von Viren oder Schadprogrammen können zu Schadenersatzklagen führen, erläutern Rechtsanwälte Stefan Schuppert und Markus Burckhardt in der FAZ am 2. Oktober Kunden oder Mitarbeiter eines Unternehmens, die durch dessen IT-Systeme geschädigt werden, könnten grundsätzlich vertragliche Schadenersatzansprüche geltend machen. Auch Dritten gegenüber sei eine Deliktshaftung nicht ausgeschlossen. Dies gelte auch für mögliche Sammelklagen. Ferner drohten bei bestimmten Verstößen erhebliche Geldbußen. Ein umfassendes IT-Sicherheitskonzept müsse neben technischen Maßnahmen auch die betriebliche Organisation, die Überprüfung von Mitarbeitern und Dienstleistern sowie die Vertragsgestaltung miteinbeziehen. Zudem sollten Notfallpläne mit klaren Handlungsanweisungen und Verantwortlichkeiten erstellt und kommuniziert werden. Die Einhaltung von Sicherheitsstandards habe auch für eine mögliche Haftung gegenüber Dritten große Bedeutung. Die Einhaltung vorhandener Normen führe zwar nicht zu einem gesetzlichen Haftungsausschluss. In aller Regel werde man in diesem Fall aber eine Pflichtverletzung verneinen können. Die Durchsetzung von Regressansprüchen gegen die Cyberkriminellen sei schwierig, denn die Angriffe erfolgten oft aus dem Ausland. Bei effektiver Einbindung von IT-Forensikern und Behörden in den Zielländern ließen sich Ansprüche unter Umständen vorläufig sichern und Vermögenswerte einfrieren. Der Sicherheitsberater weist am 15. Oktober auf Versicherungen hin, die Policen zur Absicherung von Cyberrisiken und IT- Schäden anbieten. Neben dem Angebot der Axa-Versicherung seien dies folgende Produkte: ITSafeCare 2.0 der Zurich Gruppe, Allianz Cyber Protect der Allianz Global Corporate & Speciality sowie Cyber+ von HDI Gerling (S. 311/312). Kommunikationssicherheit Der Sicherheitsberater weist am 1. Oktober darauf hin, dass das BSI offiziell die Zulassung des Handys SiMKo 3 für die Geheimhaltungsstufe Verschlusssache Nur für den Dienstgebrauch (VS-NfD) erteilt hat. Im Unterschied zu einem herkömmlichen Android-Handy sitze im SiMKo3 ein alternatives Betriebssystem, der sogenannte L4-Hochsicherheits-Mikrokern. Dieser bietet laut Telekom den Hackern kein Versteck mehr für Überraschungen. An der Entwicklung seien durchgängig deutsche Firmen beteiligt gewesen. Die Entwicklung des SiMKo3 gehe weiter. Es solle in den nächsten Monaten zusätzliche Produktmerkmale bieten: verschlüsselte Voice over IP-Telefonie mit hochsicheren Verschlüsselungsverfahren, sichere netzübergreifende Sprachverschlüsselung, SiMKo-Produktfamilie mit Tablets und Notebooks für den Heimarbeitsplatz und Unterstützung des schnellen LTE-Funkstandards (S. 299/300). Krisenregionen Logistiksicherheit PD Dr. Markus Ritter, Bundespolizei, beschreibt in einem Beitrag in Security Insight (Ausgabe , S ) das minimale Grundgerüst für die Entsendung von Mitarbeitern in Risiko- und Krisengebiete. Das Gastland

18 18 Focus on Security Protector beschreibt in der Ausgabe (S. 36/37) den Brandschutz im größten Distributionszentrum Norddeutschlands. Beim Schutzkonzept der Hochregallager habe sich Minimax an dem Regelwerk VdS CEA 4001 orientiert, das neben einer klassischen Deckensprinklerung auch eine Sprinklerung in den Regalen vorschreibt. In diesem Projekt seien die insgesamt Palettenstellplätze in 15 Sprinklerebenen unterteilt und mit über Sprinklern geschützt worden. Dagegen seien im Bereich des Blocklagers nach den FM-Richtlinien sogenannte SFR (Early Suppression Fast Response)- Sprinkler eingesetzt worden. Sie würden, an der Decke montiert, dem Betreiber eine flexible Lagerung ermöglichen. Sensible Bereiche (Serverraum, elektrische Schalt- und Betriebsräume) seien mit Oxeo Inertgas- Löschanlagen versehen worden. Acht Brandmeldezentralen vom Typ FMZ 5000 seien mit den 255 Meldepunkten durch vier Kilometer Kabel verbunden worden. Protector beschreibt in der Ausgabe (S. 38/39) das Gefahrenmanagement beim Versender Netrada. Am Standort Lehrte komme das Siemens-Gefahrenmahabe auf jeden Fall eine Garantenstellung, aus der sich eine Schutzpflicht gegenüber den ausländischen Unternehmen im Lande ergibt. Bei der diplomatischen oder konsularischen Vertretung Deutschlands sollten sich die entsandten Mitarbeiter registrieren lassen. Der Schutz von UZNB-, EU- oder NATO-Vertretungen im Gastland werde nicht automatisch gestellt, sondern müsse durch ein Technical Agreement oder ein Memorandum of Understanding vorab vereinbart werden. Familienangehörige seien als weiche Ziele oft mehr gefährdet als der eigentliche Expatriate. In Risiko- und Krisengebieten müsse ein hauptamtlicher Sicherheitsverantwortlicher eingesetzt werden, der über einschlägige Erfahrungen verfügt. In Ländern mit Entführungsrisiko sei das Vorhalten vorbereiteter Proof of life- Fragen und -Antworten wichtig. Fahrzeuge sollten mit GPS, Track 24 und gegebenenfalls auch mit Funk und einem Jammer ausgestattet sein. Wenn man sich auf die örtliche Stromversorgung nicht verlassen kann, sollten Dieselgeneratoren und zur Vermeidung von Computerabsturz und Datenverlust unbedingt Uninterruptable Power Supply-Einheiten beschafft werden. Wichtig sei auch der garantierte Zugang zu Kliniken mit westlichem Standard oder die Möglichkeit einer umgehenden medizinischen Evakuierung aus dem Land. Zur Vorbereitung für den Krisenfall gehöre auch die Bildung eines Critical Incident Management Team. Logistiksicherheit nagementsystem (GMS) SiNVR-Command mit dem netzwerkbasierten Videosystem SiNVR zum Einsatz. Die GMS-Softwarte führe verschiedene Subsysteme für Sicherheit und Gebäudebetrieb auf einer einheitlichen Plattform zusammen (BMA und EMA, Videosystem, Sprinklerzentrale, automatische Evakuierungsanlage sowie den BOS-Gebäudefunk. Daten aus den Inhouse-Logistiksystemen seien über TCP/ IP direkt im System verfügbar. Ein wichtiges Element der Gesamtlösung sei eine Client/ Server-basierte Software zur Verarbeitung von digitalen Videobildern. Sie erlaube eine vielseitige Darstellung von Videobildern und unterstütze Recherchemöglichkeiten. In einem weiteren Beitrag (S. 42/43) beschreibt Protector die Eignung von Videosicherheitssystemen zur Prozessdokumentation und -optimierung für Unternehmen innerhalb jeder Lieferkette. Die Dokumentation des Haftungsübergangs werde zur Wahrung von Rechtsansprüchen gegenüber Dritten durch die Verknüpfung von Prozessdaten und Videosystem erheblich vereinfacht. Idealerweise würden Kameras entlang der gesamten Prozesskette platziert, meist ab der Anlieferung. Während der

19 Focus on Security Videoaufzeichnung verknüpfe das System die Videodaten erstmalig automatisch und in Echtzeit mit den Barcode- oder RFID- Daten. Werden kleine Artikel von Hand ausund eingepackt oder sortiert, sei die Dokumentation mit Überkopfkameras hilfreich. Hier seien hochauflösende IP-Kameras zweckmäßig, da sie auch Details über den Zustand der bearbeiteten Artikel liefern. Gleichzeitig werde mit Übersichtskameras die Umgebung erfasst. Eine leistungsstarke Datenbank garantiere den schnellen Zugriff auf die relevanten Videoaufzeichnungen anhand der Prozessdaten oder von Datum und Uhrzeit als Suchkriterium. Die Güterverkehrs- und Logistiksicherheit als Aufgabe für die Sicherheitswirtschaft beschreibt Manfred Buhl, Securitas. In einem ersten Teil (S. 50/51) geht er auf die vom Bundesministerium für Verkehr, Bau und Standentwicklung entwickelte Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft ein. Dann benennt er die relevanten technischen und organisatorischen Standards, einschließlich der Norm des Authorised Economic Operator (AEO), die auf EU-Verordnungen beruht und die Sicherheit in der internationalen Lieferkette zum Ziel hat. Schließlich behandelt er das noch weithin ungelöste Problem des Mangels an sicheren LKW-Stellplätzen an Autobahnen und die maritime Sicherheit als Grundvoraussetzung für funktionsfähige internationale Transportketten. Luftsicherheit Während das Luftfahrtbundesamt im Februar 2012 von Unternehmen ausgegangen sei, die ihre Produkte über Luftfrachtversand an die jeweiligen Empfänger bringen, seien bis heute von diesen Unternehmen nur ca als bekannte Versender zertifiziert, stellt Philip Buse, Geschäftsführer des VSWN, fest. Da viele Produkte der Luftfracht nicht oder nur sicher gemacht werden könnten, komme es beim Versand zu hohen Zeitverlusten. Das Luftfahrtbundesamt habe 267 Stellen besetzt, die Unternehmen als bekannte Versender auditieren und zertifizieren sollten. Am wahrscheinlichsten sei, dass sie nun vor allem die reglementierten Beauftragten häufiger kontrollieren (WiK, Ausgabe , S. 38/39). Metalldiebstahl Die FAZ berichtet am 8. Oktober, dass vor allem in östlichen Regionen Metalldiebe Bahntrassen plünderten. Ursachen seien unter anderem Täter aus Osteuropa und viele Baustellen. Obwohl die Deutsche Bahn im ersten Halbjahr 2013 mit rund 820 Diebstählen etwa 40 % weniger Taten als im Vorjahreszeitraum gezählt habe, sei das Problem immer noch erheblich. Die Deutsche Bahn gehe mit verdeckten Einsätzen, künstlicher DNA und Informationsaktionen gegen Metalldiebe vor. Während andere Betroffene wie der Stromkonzern Vattenfall unter anderem mit Flugrobotern Langfingern das Handwerk legen wollten, setze die Bahn auf Polizeiarbeit und Vorbeugung. Mobile Endgeräte Die FAZ befasst sich am 24. September mit dem Scanner für Fingerabdrücke beim iphone 5S. Man lege den Finger nur auf und ziehe ihn nicht, wie bei Notebooks,

20 20 Focus on Security über eine Fläche. Vermessen würden untere Hautschichten. Auf diese Weise sei auch eine Lebenderkennung implementiert. Apple speichere so die biometrischen Daten in einem separaten Bereich des Geräts, der von außen nicht lesbar sei, nicht in eine itunes-synchronisation übernommen werde und nicht auf Apple-Server übertragen werde. Das alles verspreche einzigartige Sicherheit, zumal auch kein Abbild des Fingerabdrucks gespeichert werde, sondern eine Art Kondensat ( Hash ), aus dem sich das Original nicht wiederherstellen lasse. Damit verspreche Apple mehr Schutz der Privatsphäre, der Fingerscan sei einfacher als die Kennworteingabe. Wer diese lieber meide, werde jenen mögen. Zum anderen Diebstahlschutz: In Verbindung mit dem neuen Betriebssystem ios 7 könne ein gestohlenes Gerät nicht mehr in den Auslieferungszustand versetzt werden. Das Diebesgut werde wertlos. Das werde sich herumsprechen. In der Zeitschrift <kes> (Ausgabe , S ) sieht Rüdiger Trost, F-Secure, in der mobilen Malware eine Bedrohung mit Zukunftspotential. Wenn immer mehr professionelle Anwendungen über mobile Geräte laufen, würden sie auch interessanter für Entwickler mobiler Malware. Dabei sei das Betriebssystem mit dem größten Marktanteil auch das Angriffsziel Nummer 1: Malware werde vor allem für Android entwickelt. Ein weiterer wichtiger Trend sei die Zunahme von Malware, die eine Verbindung zu Command and Control (C & C)-Servern erstellt: 123 der 149 von Januar bis März 2013 von F-Secure neu entdeckten Bedrohungen sendeten über eine solche Verbindung Kommandos an das mobile Gerät, ohne dass der rechtmäßige Besitzer etwas davon merke. Habe man erst einmal die Kontrolle über ein Handy übernommen, so lasse sich ohne Weiteres damit Profit generieren etwa durch die Veranlassung von Long Distance-Calls, während der Handy-Besitzer schläft. Mit dem Online- Bankraub sei auch schon eine noch lukrativere Disziplin der profitmotivierten Malware belegt. Malware werde zwar komplexer, lasse sich aber durch ein Angebot an Malware- Kits dennoch schnell entwickeln. Botnets würden mittlerweile auch zur Verbreitung mobiler Malware benutzt. Zugleich würden Aktivitäten immer zielgerichteter: Targeted Attacks seien im Windows-Bereich schon lange verbreitet, spielten aber nun auch im mobilen Malware-Markt eine große Rolle. Der Trend gehe zu immer leistungsfähigeren und kleineren mobilen Geräten, stellt Armin Leinfelder, baramundi software AG, im special von <kes> im Oktober 2013 fest (S. 38/39). Die Grenzen zwischen den Geräteklassen würden unscharf. An diese Entwicklung müsse sich die IT-Administration anpassen. Auch das Arbeitsverhalten ändere sich. So würden Dokumente unterwegs auf einem Mobilgerät begonnen und später auf dem PC fertiggestellt, E- Mails und Kalender sollten überall verfügbar sein. Die Folge für die IT-Administration: Es müssten alle Geräte mit den nötigen Programmen, Daten und Rechten versorgt werden und es müssten alle Geräte zuverlässig abgesichert werden. Notfallmanagement In der Zeitschrift <kes> (Ausgabe , S ) befassen sich Manuela Reiss und Marco Sportelli, dokuit, mit der Notfallorganisation der IT. Aus den Ausführungen des BSI in dem 2008 veröffentlichten BSI-Standard Notfallmanagement lasse sich klar ableiten, dass die Erstellung eines Notfallhandbuchs keine alleinige Aufgabe der IT-Organisation sein könne, sondern sich in ein übergeordnetes Notfallmanagement einbinden müsse. Die Autoren behandeln das Zusammenspiel im

DAS BESTE SICHERHEITSPAKET. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot.

DAS BESTE SICHERHEITSPAKET. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot. DAS BESTE SICHERHEITSPAKET. Für Sie und Ihr Büro. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot.de Entspannt arbeiten. WIR SCHÜTZEN IHRE

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

NETZkultur GmbH Hansastrasse 23 59557 Lippstadt Tel: 02941 27263-0 kontakt@netzkultur.de. Sicherheitsrelevante Fakten zum Rechenzentrum

NETZkultur GmbH Hansastrasse 23 59557 Lippstadt Tel: 02941 27263-0 kontakt@netzkultur.de. Sicherheitsrelevante Fakten zum Rechenzentrum NETZkultur GmbH Hansastrasse 23 59557 Lippstadt Tel: 02941 27263-0 kontakt@netzkultur.de Sicherheitsrelevante Fakten zum Rechenzentrum Fakten Rechenzentrum Nachstehend finden Sie Informationen und Fakten

Mehr

DAS BESTE SICHERHEITSPAKET. Jetzt Ihre vier Wände sichern! Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. www.telenot.de

DAS BESTE SICHERHEITSPAKET. Jetzt Ihre vier Wände sichern! Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. www.telenot.de DAS BESTE SICHERHEITSPAKET. FÜR SIE UND IHR Zuhause. Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. Jetzt Ihre vier Wände sichern! www.telenot.de mit Sicherheit Wohlfühlen. Wir schützen Ihr Zuhause.

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Physical Security. Wenn Türen zu Firewalls werden

Physical Security. Wenn Türen zu Firewalls werden Wenn Türen zu Firewalls werden Jens Liebchen (jens.liebchen@redteam-pentesting.de) RedTeam Pentesting GmbH http://www.redteam-pentesting.de 18. DFN-Cert Workshop Sicherheit in vernetzten Systemen 15./16.

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen Information als Erfolgsfaktor Ihres Unternehmens Der Erfolg eines Unternehmens hängt von der Schnelligkeit ab, mit der es seine Kunden erreicht. Eine flexible, zukunftsorientierte und effiziente Infrastruktur

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN DISCLAIMER / HAFTUNGSAUSSCHLUSS Haftung für Inhalte Die auf Seiten dargestellten Beiträge dienen nur der allgemeinen Information und nicht der Beratung in konkreten Fällen. Wir sind bemüht, für die Richtigkeit

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Datenkonvertierung & EDI

Datenkonvertierung & EDI Cloud Services Datenkonvertierung & EDI Geschäftsprozesse optimieren Ressourcen entlasten Kosten reduzieren www.signamus.de Geschäftsprozesse optimieren Mit der wachsenden Komplexität moderner Infrastrukturen

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Rechtliche Anforderungen an die IT-Sicherheit

Rechtliche Anforderungen an die IT-Sicherheit Rechtliche Anforderungen an die IT-Sicherheit Tag der IT-Sicherheit 05.02.2015 NELL-BREUNING-ALLEE 6 D-66115 SAARBRÜCKEN TELEFON: +49(0)681 /9 26 75-0 TELFAX: +49(0)681 /9 26 75-80 WWW.JURE.DE Überblick

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

RITOP CLOUD. Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert

RITOP CLOUD. Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert RITOP CLOUD Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert «RITOP CLOUD STELLT IMMER DIE RICHTIGE INFRASTRUKTUR FÜR DIE LEITTECHNIK BEREIT. DAS BEWAHRT DIE FLEXIBILITÄT UND SPART

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Physische Sicherheit im IT-Security Umfeld

Physische Sicherheit im IT-Security Umfeld Physische Sicherheit im IT-Security Umfeld Vorstellung Thomas Hackner MSc IT Security Penetration Testing Lockpicking Physical Security 2 / 79 IT Penetration Tests Physical Penetration Tests Social Engineering

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT IT-Service IT-Security IT-Infrastruktur Internet Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT Woran haben wir heute gedacht? Quelle: www. badische-zeitung.de Vorstellung der heutigen Themen

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Eine native 100%ige Cloud-Lösung.

Eine native 100%ige Cloud-Lösung. Eine native 100%ige Cloud-Lösung. Flexibel. Skalierbar. Sicher. Verlässlich. Autotask Endpoint Management bietet Ihnen entscheidende geschäftliche Vorteile. Hier sind fünf davon. Autotask Endpoint Management

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Sicherheit für Ihre Daten. Security Made in Germany

Sicherheit für Ihre Daten. Security Made in Germany Sicherheit für Ihre Daten Security Made in Germany Auf einen Blick. Die Sicherheitslösung, auf die Sie gewartet haben. Sicherheitslösungen müssen transparent sein; einfach, aber flexibel. DriveLock bietet

Mehr

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Berlin, 30. Januar 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Wenn wir unsere Mitglieder nach den wichtigsten IT-Trends fragen,

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt Stellvertrender

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

Ihre Sicherheit ist unser Anliegen

Ihre Sicherheit ist unser Anliegen Ihre Sicherheit ist unser Anliegen Der Schutz Ihrer Person und Ihres Eigentums ist eine individuelle Aufgabe für uns. Die Wünsche unserer Kunden reichen vom Schutz vor Einbruch und Überfall über Zugangskontrolle

Mehr

LANCOM Systems. Standortvernetzung NEU

LANCOM Systems. Standortvernetzung NEU LANCOM Systems Hochsichere Standortvernetzung NEU Hochsichere Standortvernetzung [...] Geheimdienste werten in ungeahntem Ausmaß deutsche Mails, Telefongespräche und Kurznachrichten aus. Unternehmen befürchten

Mehr

Überwachen von Monitoring-Stationen mit R&S ARGUS SIS

Überwachen von Monitoring-Stationen mit R&S ARGUS SIS Überwachen von Monitoring-en mit R&S ARGUS SIS Ist bei den unbemannten Monitoring-en alles in Ordnung? Diese Frage, die sich den Verantwortlichen für Monitoring-Netze immer wieder stellt, beantwortet das

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Höhere Sicherheit und geringere Kosten?

Höhere Sicherheit und geringere Kosten? Herzlich Willkommen zum Vortrag der TMR - Telekommunikation Mittleres Ruhrgebiet Höhere Sicherheit und geringere Kosten? Dr. Andreas Jabs Oliver Thörner eco Verband der deutschen Internetwirtschaft e.

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

DATENSICHERUNG IM UNTERNEHMEN. Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell.

DATENSICHERUNG IM UNTERNEHMEN. Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell. DATENSICHERUNG IM UNTERNEHMEN Mit highspeed Online-Backup sichern Sie Ihre Daten verlässlich und schnell. DATENVERFÜGBARKEIT IST GESCHÄFTSKRITISCH Wenn Kundendaten oder Rechnungsinformationen auf einmal

Mehr

24 Stunden im Einsatz für Ihre Notebook-Sicherheit HP Notebook Tracking und Recovery Service. (Lokalisierung und Wiederbeschaffung)

24 Stunden im Einsatz für Ihre Notebook-Sicherheit HP Notebook Tracking und Recovery Service. (Lokalisierung und Wiederbeschaffung) 24 Stunden im Einsatz für Ihre Notebook-Sicherheit HP Notebook Tracking und Recovery Service (Lokalisierung und Wiederbeschaffung) September 2009 Alle Informationen auf einen Blick: Vorteile Bestellung

Mehr

Sicherheit von multifunktionalen Druckern

Sicherheit von multifunktionalen Druckern Sicherheit von multifunktionalen Druckern sichere Netzwerkintegration & sicheres Drucken Dr. Hans-Werner Stottmeister, ToshibaTec BITKOM AK Document & Print Management Solutions Frankfurt, 27.November

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Cloud Security geht das?

Cloud Security geht das? Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cloud Security geht das? @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 Sicherheit in der Cloud geht das? im Prinzip ja aber @-yet GmbH,

Mehr

Mindtime Online Backup

Mindtime Online Backup Mindtime Online Backup S e r v i c e L e v e l A g r e e m e n t Inhaltsangabe Service Definition... 3 1) Datenverschlüsselung... 3 2) Gesicherte Internetverbindung... 3 3) Datencenter... 4 4) Co- Standort...

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6 Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6 Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Security of Internet Payments

Security of Internet Payments Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum

Mehr

EffiLink Remote Service System Vernetzen Sie sich mit perfektem Service

EffiLink Remote Service System Vernetzen Sie sich mit perfektem Service EffiLink Remote Service System Vernetzen Sie sich mit perfektem Service 2 Vernetzte Sicherheit EffiLink von Bosch Profitieren Sie von effektiven Serviceleistungen aus der Ferne Sicherheit ist nicht nur

Mehr

Corporate Security Portal

Corporate Security Portal Corporate Security Portal > IT Sicherheit für Unternehmen Marktler Straße 50 84489 Burghausen Germany Fon +49 8677 9747-0 Fax +49 8677 9747-199 www.coc-ag.de kontakt@coc-ag.de Optimierte Unternehmenssicherheit

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Mindtime Online Backup

Mindtime Online Backup Mindtime Online Backup S e r v i c e L e v e l A g r e e m e n t P l u s Inhaltsangabe Service Definition... 3 1) Datenverschlüsselung... 3 2) Gesicherte Internetverbindung... 3 3) Datencenter... 4 4)

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Die goldenen Regeln der Data Loss Prevention

Die goldenen Regeln der Data Loss Prevention Die goldenen Regeln der Data Loss Prevention ISSS Zürcher Tagung 2010 1.6.2010, WIDDER Hotel, Zürich Johann Petschenka Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH Information

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James Sicherheitskonzept für externe Datenbank Erstellt von Alt Roman und Schüpbach James Inhaltsverzeichnis 1 Risikoanalyse...3 1.1 Intern...3 1.2 Extern...3 1.3 Physisch...3 2 Risiko Klassifizierung...4 3

Mehr

Bei Feuerschutztüren können Minuten entscheidend sein.

Bei Feuerschutztüren können Minuten entscheidend sein. Oensingen, November 2015 Bei Feuerschutztüren können Minuten entscheidend sein. Im Zuge der neuen Produktnorm EN 16034 müssen sich Hersteller von Feuerschutztüren auf die neuen Anforderungen einstellen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 PROAKTIVER SCHUTZ FÜR IHRE DATEN Nur eine Firewall, die kontinuierlich

Mehr

Was tun, wenns brennt. Prävention Brandschutz

Was tun, wenns brennt. Prävention Brandschutz Was tun, wenns brennt Prävention Brandschutz Richtig vorbereitet sein Ein Feuer kann überall ausbrechen. Merken Sie sich die Fluchtwege und Standorte der Löschgeräte. Im Notfall ist es dafür zu spät. Wenn

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr