SPLITTER SPLITTER. IT-Nachrichten für die Berliner Verwaltung Nr. 3/ Jahrgang. Schwerpunkt: Datensicherheit 3/08 1

Größe: px
Ab Seite anzeigen:

Download "SPLITTER SPLITTER. IT-Nachrichten für die Berliner Verwaltung Nr. 3/2008-18. Jahrgang. Schwerpunkt: Datensicherheit 3/08 1"

Transkript

1 IT-Nachrichten für die Berliner Verwaltung Nr. 3/ Jahrgang Schwerpunkt: Datensicherheit 3/08 1

2 Editorial Liebe Leserinnen und Leser, die Medienberichterstattung über den Handel mit persönlichen Daten hat das Thema Datensicherheit in den Mittelpunkt des öffentlichen Interesses gerückt. Wir begrüßen die wachsende Aufmerksamkeit der Bürgerinnen und Bürger, was den Missbrauch ihrer Mailadressen und anderer persönlicher Daten betrifft. Das hohe Maß an krimineller Energie bei der Beschaffung sensibler Daten verdeutlichen die täglichen Angriffe auf die Firewall des Berliner Landesnetzes. Als IT-Dienstleister für die Berliner Verwaltung hat der Schutz des von uns bereitgestellten Landesnetzes sowie der Server in unserem Rechenzentrum (Data-Center) höchste Priorität. Den unbefugten Zugriff auf das Berliner Landesnetz und die Server verhindern ein mehrstufiges Firewallsystem und unser professionelles Expertenteam (Siehe Artikel ab Seite 4). Verantwortlich sind wir jedoch nur für die Sicherheit des Berliner Landesnetzes als MAN (Metropolitan Area Network) oder für die LAN (Local Area Network) unserer Kunden in der Berliner Verwaltung. Denn laut dem Berliner Landesgesetz ist jede Behörde dazu verpflichtet, für einen ausreichenden Schutz des hauseigenen Datennetzes zu sorgen. Das aktuelle Schwerpunktthema Datensicherheit möchte ich daher nutzen, um an alle Berliner Behörden zu appellieren, sich der ausreichenden Schutzmaßnahmen ihres LAN zu versichern. Das ITDZ Berlin kann die Institutionen der Hauptstadtverwaltung mit der Analyse ihrer IT-Sicherheitssysteme unterstützen, indem wir den Schutzbedarf der Daten detailliert aufzeigen und Lösungsvorschläge zur Sicherung des lokalen Netzes bieten. Die individuellen Zugänge zum Berliner Landesnetz sichern wir mit einer Public Key Infrastructure (PKI). Der Anschluss der Mail-Server in den Verwaltungen an das SMTP-Gateway des Berliner Landesnetzes sichert die -Anbindung an das Internet ab. Diese und weitere IT-Sicherheitsprodukte unseres Hauses können einen umfassenden Schutz der Daten gewährleisten. Nicht nur sicher, sondern auch effektiv ist das Dokumenten-Management-System (DMS), das mit dem Projekt SIDOK (Senatsinformations- und Dokumentationssystem) in die Berliner Verwaltungsprozesse implementiert wurde. SIDOK vereinfacht und beschleunigt die Kommunikation zwischen den Geschäftsstellen des Senats und ermöglicht die zentrale elektronische Verwaltung der Beratungsunterlagen und Beschlüsse des Gremiums. Als Pilotprojekt ist SIDOK für die flächendeckende Einführung eines DMS in der Berliner Verwaltung ein wichtiger Baustein der egovernment-suite des ITDZ Berlin. (Artikel Seite 23) Zum Abschluss möchte ich Sie auf einen Artikel hinweisen, der über Rechte und mögliche Ansprüche an Bildern auf Internetseiten informiert. Eine frühzeitige Auseinandersetzung mit diesem Thema und die Beachtung der rechtlichen Hinweise bewahrt vor finanziellen Forderungen und rechtlichen Konsequenzen. (Artikel Seite 38) Eine informative und unterhaltsame Lektüre wünscht Ihnen Konrad Kandziora Vorstand 3/08 2

3 Editorial Editorial 2 Schwerpunktthema Die IT-Sicherheits-Administratoren im ITDZ Berlin 4 ITDZ Berlin modernisiert PKI 6 Neuer BSI Standard vom Bundesamt für Sicherheit in der Informationstechnik (BSI) 7 Sicherheit als Teamaufgabe 9 Ergebnisse der Studie IT Security 2OO8 11 IT-Angriffe aus dem Müll 11 Fast vier Millionen Opfer von Computer- und Internet-Kriminalität 12 Zahl der Phishing-Opfer erreicht Höhepunkt 13 Warnung vor Passwortklau beim Online-Einkauf 15 Europäische Kommission fördert Symantec-Projekt zum Schutz kritischer Infrastrukturen vor Cyber-Kriminalität 16 Nationale Wirtschaft laut EU-Agentur für Computersicherheit durch Internet-kriminalität bedroht 17 Klassische Firewall schützt nicht die Webanwendungen 18 Sicherheit aus der Hauptstadtregion 19 Parlament und Senat Datenschutz hat festen Platz in den Berliner Behörden 2O Verwaltungsmodernisierung auf gutem Weg 2O Berlin beteiligt sich am Vorhaben Deutschland-Online Infrastruktur 21 E-Government und Verwaltung Projekt SIDOK erfolgreich abgeschlossen 23 Projekt Prüfungsanmeldung Online im LAGeSo 26 Elektronischer Entgeltnachweis 28 Elektronische Bürgerdienste immer beliebter 3O BVDW gründet Arbeitskreis E-Government 3O Berlin 2OO9: Ein Ansprechpartner für Behördenkontakte 31 Bayreuth und AKDB vereinfachen Anmeldungen mit VAMS 32 EU-Projekt zur elektronischen Beschaffung mit Bremer Beteiligung 32 Der ITIS-Arbeitsplatz: Frischer Wind für ein etabliertes Produkt 33 Berichte und Infos Kabinett beschließt neuen Personalausweis mit Internetfunktion 35 Das PDF-Format wird ISO-Standard 36 Neues Finanzmanagement für Brandenburg gestartet 37 Rechte an Bildern 38 Landeshauptstadt Stuttgart setzt auf elektronisches Dokumentenmanagement 41 Mehr Komfort für Nutzer, mehr Service für Fachanwendungen 41 Microsoft konkretisiert Interoperabilitäts-Projekt in der OSBF 42 Diktieren mit BlackBerry-Smartphone 42 SAP-Kunden aus der öffentlichen Verwaltung erhalten Auszeichnung des Computerworld Honors Program 43 Die Wirtschaft setzt auf Web 2.O 44 Berlin, Hamburg und Köln Vorreiter beim Handy-Parken 45 Grüne IT für die Berliner Verwaltung 46 Ende des Lebenszyklus von Windows XP 47 Neuentwicklung einer IT-Bestands- und Planungsübersicht der Berliner Verwaltung 48 Deutschland-Online-Lenkungsgruppe mit neuer Führung 48 Online Dienstliche -Adresse wird zum Standard 49 Neues Internetportal hilft Behörden beim Computer-Kauf 49 BITKOM begrüßt Startschuss für neue Internet-Namen 5O Micro-Blogging - mehr als ein Modetrend 5O Stadt Bonn startet Online-Terminreservierung 51 Internet ist unverzichtbares Alltagsmedium 52 Deutschlands Senioren besitzen meist weder Handy noch Computer 52 Gemeinsames Krebsregister mit erweitertem Internetangebot 53 Bundesrat mit neuem Intranet-Auftritt 53 Tipps und Tricks Deutsche sitzen lange vor dem Computer 54 Daten und Fotos mehrfach speichern 54 Veranstaltungen TDZ Berlin: Eine wirtschaftliche und umweltfreundliche IT-Infrastrukturlösung für die Verwaltung 56 Microsoft informiert über Technologien und Trends in Web- und Software-Entwicklung 56 Zukunftsfähig durch Innovation 57 Literatur Suchmaschinen-Buch für Webmaster - Tipps zur Suchmaschinenoptimierung 58 Moderne Verwaltung in der Bürgergesellschaft 58 Energieverbrauch in Rechenzentren senken 59 1O Jahre Google Dies und Das Impressum 6O 6O 3/08 3

4 Wir sprechen Firewall Die IT-Sicherheits- Administratoren im ITDZ Berlin Berlin - Angriffe, Grenznetze, Brandschutzmauern und demilitarisierte Zonen. Die Begriffswelt der Firewall-Administratoren lässt auf Helmpflicht am Arbeitsplatz schließen. Darum könnte der erste Eindruck in den Räumen der Sicherheitsspezialisten des IT-Dienstleistungszentrums Berlin (ITDZ Berlin) durchaus enttäuschen: Denn Poster mit Obst- und Gemüsestillleben, Fußballmotive und Fanartikel des WM-Sommermärchens 2006 sowie zahlreiche Grünpflanzen prägen die Räumlichkeiten. Die kriegerischen Ausdrücke zeugen eher von den Anfängen des Internet, als das Militär die ersten Netzwerkverbindungen schuf und schützte. Vom Arbeitsalltag eines Rekruten ist der eines IT-Administrators heute zum Glück weit entfernt. Man fühlt sich nicht wie beim Militär, bestätigt auch Tobias Krampe (27), Grenznetz- und Firewall-Administrator im ITDZ Berlin, das friedliebende Bild. Das Team teilt sich dabei in die Expertengruppen Firewall, VPN (VPN: Virtual Private Network, es sichert individuelle Zugänge zum Berliner Landesnetz), MAN/MSN (Metropolitan Area Network und das neue Multi Service Netz), LAN (Local Area Network) und Grenznetz. In vorderster Front steht das Grenznetz-Team, das jene Server überwacht, die zwischen die äußere und innere Firewall des Berliner Landesnetzes geschaltet sind,. Im Prinzip kann man sagen, dass sich nahezu täglich Unbefugte für unsere IT- Infrastruktur interessieren, stellt Tobias Krampe fest. Dabei gibt es verschiedene Angriffsvarianten. Ein Beispiel ist die Denial of Service -Attacke (DoS, zu Deutsch etwa: Dienstverweigerung). Hier wird ein Server in einem geplanten Angriff mit einer hohen Zahl von Anfragen belastet, die er nicht mehr verarbeiten klann. Er stellt daraufhin den Dienst ein oder beantwortet reguläre Anfragen so langsam, dass diese abgebrochen werden. In der Praxis kann das heißen, dass Verwaltungsmitarbeiter keine s mehr verschicken und das Internet nicht mehr nutzen können. Ende 2007 fand ein solcher Angriff auf die Mailserver des ITDZ Berlin und damit auf den gesamten Mailverkehr der Berliner Verwaltung über mehrere Tage statt. Das Expertenteam des ITDZ Berlin ließ ihn erfolgreich ins Leere laufen. Eine elektronische Verteidigungslinie Dennoch schützen die Firewall sprechenden Administratoren eine der wesentlichen Verteidigungslinien des Landes Berlin. Ohne sie müssten die Berliner Bürger bangen, dass nicht nur mit jenen Daten, die sie selbst im Internet preisgeben, sondern auch mit den Datensätzen von Finanzämtern und Polizei gehandelt wird. Wir stehen ständig vor der Entscheidung, ob und welche Verbindungen zwischen den Teilnehmern des Berliner Landesnetzes und dem Internet zustande kommen und schützen die Verwaltung somit vor unerlaubten und unerwünschten Zugriffen von außen, beschreibt der Betriebsmanager und stellvertretender Leiter des Datenkommunikationsteams im ITDZ Berlin, die Tätigkeit seiner fast 30 Mitarbeiter. Foto: Archiv Die Waffen im virtuellen Kampf Die Waffen in dem auf Verteidigung ausgelegten Kampf heißen Switch, Router oder Proxy. Als Netzwerksicherheitskomponenten bilden sie das technische Rückgrat der schützenden Firewall. Die richtige Konfiguration der Geräte erfordert Fingerspitzengefühl. Firewalls sind wie eine schöne Frau, verrät der stellvertretender Leiter des Datenkommunikationsteam augenzwinkernd sie wollen gehegt und gepflegt werden dann sind sie aber auch einfach toll. Dabei ist sein Mercedes unter den Firewalls nicht einmal die neueste technische Errungenschaft des ITDZ Berlin. Das hohe technische Niveau der Verteidigungslinie demonstrieren die sowohl Firewall- als auch VPN-Dienste integrierenden speziellen Lösungen, sowie die modernste Verschlüsselung von Voice over IP mit eigens vom Hersteller der Systeme für das ITDZ Berlin programmierten Patches. Regelmäßige Schulungen sichern das notwendige Hintergrundwissen des Teams. 3/08 4

5 Jeder Tag mit neuen Herausforderungen Den Arbeitsalltag der Firewall-Administratoren zu beschreiben ist nahezu unmöglich. Denn einen Alltag gibt es nicht! Jeder Tag stellt einen vor neue Probleme oder neue Anforderungen, versichert Tobias Krampe. Aber genau diese Abwechslung schätzt er an seinem Job am meisten. An jedem Arbeitsplatz des Teams stehen mindestens zwei Bildschirme und zwei PC. Einer der beiden zeigt das Störungsdienst Monitoringsystem, das die Mitarbeiter bei Problemen warnt: Rot = Alarm! Die Mitarbeiter kennen ihre Maschinen und Netze und sind während der Hauptbetriebszeit zwischen 7 und 18 Uhr nahezu immer für ihre Kunden erreichbar. Denn jeder Firewall- Kunde des ITDZ Berlin hat feste Ansprechpartner, die seine technischen Voraussetzungen genau kennen. Eine kleine Sensation in Zeiten zentraler, telefonmenügesteuerter Hotlines und Call-Center. Aber genau dieser Service trägt erheblich zur Qualität der Dienstleistungen der Firewall-Admins bei. Und wenn der stellvertretender Leiter des Datenkommunikationsteam den Umgang mit Menschen - Kollegen oder Kunden - als den größten Pluspunkt an seinem Job beschreibt, ahnt man, dass diese Administratoren mehr als technisches Verständnis für ihre Aufgabe brauchen. Denn die altbewährte Administratorenweisheit nach der 99 Prozent der Fehlerquelle vor der Tastatur sitzen gilt nicht selten auch in jenen Fällen, in denen es heißt: das Internet funktioniert nicht. Doch nicht immer ist die Lösung harmlos. Und betrachtet man die stetig steigende Flut an Spammails, mit denen die Briefkästen der Verwaltungsmitarbeiter überflutet und die Server der Verwaltung belastet werden, wird der Ernst der Lage deutlich. Insgesamt gelangen täglich mehr als zehn Millionen eingehende, als auch ausgehende Mails an die Mailserver des ITDZ Berlin. Im August 2008 gingen im Durchschnitt pro Tag 10,2 Millionen Mails am zentralen Server ein. Davon wurden an der ersten Filterstufe bereits 99,6 Prozent abgewiesen. An der zweiten Stufe wurden weitere als Spams erkannt und markiert oder wegen Virenbefalls verworfen. Insgesamt waren also etwa vier Promille der eingehenden Mails nicht als Spam erkennbar, und konnten den Empfängern zugestellt werden. Die Arbeit der Administratoren ist ein ständiger Wettlauf mit Spammern und Hackern, den sie ob ihrer guten Hard- und Software sowie ihrem gut ausgebildeten Support meist gewinnen. Den Kunden des ITDZ Berlin werden die Kosten für diesen rundum Service als Betriebskosten in Rechnung gestellt. Bei Bedarf, wie beispielsweise während der sechs Wochen der WM 2006, auch 24 Stunden am Tag. Ein Aufwand der sich durchaus lohnt. Verteidigungsregeln Ohne die Mitarbeit der an das Landesnetz angeschlossenen Behörden Berlins blieben letztendlich auch 24-Stunden-Schichten wirkungslos. Denn das ITDZ Berlin sichert das Berliner Landesnetz lediglich gegen Angriffe aus dem Internet ab. Darüber hinaus ist aber jede Behörde rechtlich dazu verpflichtet, ihre Daten zu schützen und ihr eigenes lokales Netzwerk gegenüber dem Landesnetz abzusichern. Doch der Schutz der Bürgerdaten vor elektronischen Angriffen genießt leider noch nicht in allen Behörden oberste Priorität. Dabei kann das ITDZ Berlin die Institutionen der Hauptstadtverwaltung auch in diesen Fällen mit seiner Systemanalyse IT- Sicherheit unterstützen. Sie zeigen den Schutzbedarf der Daten detailliert auf und bieten Lösungsvorschläge zur Sicherung des lokalen Netzes. Foto: ktsdesign Aber auch bei einem perfekten Zusammenwirken aller angeschlossenen Institutionen bleibt der tägliche Kampf um die Sicherung des Landesnetzes spannend. Denn das Interesse von Spam-Mailern und Hackern am Netzzugang wird nicht erlahmen sondern zunehmen. Die Sicherheitsspezialisten im ITDZ Berlin sind sich dessen bewusst. Diesen Guerillakrieg können wir nur gewinnen, wenn wir gut ausgebildet, täglich trainiert und mit den besten Systemen ausgestattet sind. Aber das Wichtigste dabei ist: Ruhe bewahren! Betriebsmanager Thomas Schütze bekam jüngst zum Geburtstag eine technisch ausgefeilte Armbanduhr geschenkt: natürlich mit integriertem Pulsmesser. KATRIN DIRKSEN ITDZ Berlin, Pressestelle 3/08 5

6 ITDZ Berlin modernisiert PKI Berlin - Eine Public Key Infrastructure, kurz PKI, ist eine Sicherheitsinfrastruktur, die dazu beiträgt, die elektronische Kommunikation durch den Einsatz von Zertifikaten zu schützen. Mit einer PKI werden digitale Zertifikate ausgestellt, verteilt und geprüft. Mit diesen Zertifikaten - auch digitale Ausweise genannt - werden IT- Anwendungen wie s, Client-Server-Verbindungen oder VPN-Verschlüsselung auf einem äußerst hohen Niveau abgesichert. Nach dem Prinzip we-use-what-wesell ist die PKI seit vielen Jahren die Basis für eine sichere hausinterne Kommunikation im ITDZ Berlin. Die Produkte SNZ, BeLa-Zugang Einzelplatz, BeLa- Zugang DSL sowie viele Verfahren stützen sich auf eine PKI. Sicherer, besser und mehr Funktionen durch neue PKI Ausgehend von gestiegenen PKI-Anforderungen gerade aus dem Microsoft- Bereich zeigte sich, dass derzeitige im Einsatz befindliche PKI nicht zukunftssicher sind. Daher wurde im ITDZ Berlin eine Gegenüberstellung von PKI-Werkzeugen zur Erzeugung von Zertifikaten vorgenommen. Ergebnis der Gegenüberstellung war, dass mit einer neuen PKI mehr Funktionen abgedeckt werden können als mit einer herkömmlichen PKI. Dies gilt insbesondere für den Bereich des Active Directories (AD), wie das Windows Logon, PKI für mehrere Forests, Smart Card Anmeldung am AD oder die Integration einer Kunden- Zertifizierungsstelle innerhalb der Windows-PKI. Außerdem ist mit einer moderneren PKI das Roll-Out von Zertifikaten im ITIS-Umfeld erheblich leichter zu realisieren. Risiko von Sicherheitslücken drastisch reduziert Die PKI ermöglicht den Einsatz einer digitalen Signatur und schützt die computergestützte Kommunikation mittels Zertifikaten vor unberechtigter Einsichtnahme und Veränderung. Die Authentizität des angegebenen Kommunikationspartners kann geprüft und die Echtheit der Dokumente zweifelsfrei nachgewiesen werden. Die Möglichkeit nachzuvollziehen, wer ein Dokument unterzeichnet hat, ist gleichbedeutend mit einer persönlich geleisteten Unterschrift im 4-Augen-Prinzip und schafft die uneingeschränkte Vertrauensbasis in der fast papierlosen Dokumentation. Darüber hinaus kann der Zugriff auf vertrauliche, sensible Informationen innerhalb des IT-Betriebs sicher kontrolliert werden. Die damit verbundenen beschleunigten Prozesse erhöhen die Service-Qualität und sparen den Anwendern Zeit. Sowohl in der kostenintensiven Recherche als auch in der Abwicklung von Vorgängen. PKI seit vielen Jahren Standard bei ITDZ Berlin-Produkten Projekt Erneuerung PKI startete im zweiten Quartal 2008 Um die aktuellen BSI-Sicherheitsanforderungen erfüllen und weitere Funktion anbieten zu können, wurde die Entscheidung zur Weiterentwicklung durch Einsatz einer modernisierten PKI im ITDZ Berlin getroffen. Ziel ist es, in Zukunft die Sicherung aller gewünschten und notwendigen Funktionen über eine bestmögliche PKI anzubieten und die spätere Ablösung der gegenwärtigen PKI einzuleiten. Zu Beginn des kommenden Jahres sollen alle Zertifikate mit der neu geschaffenen PKI ausgestellt werden. Diese Wandlung ermöglicht langfristig den gestiegenen und strengen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schnell nachzukommen und gerecht zu werden. Einsatzgebiete Foto: JerryL4 IPSec SSL X.509 SmartCards Token Management Systeme Kerberos PPTP L2TP/IPSec TLS EFS S/MIME RÜDIGER SNIEHOTTA / SUSANNE HELDT / BEATRICE BENDIG Produktmanagement ITDZ Berlin 3/08 6

7 Neuer Standard vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Behörden und Verwaltungen sowie Wirtschaftsunternehmen sind hochgradig abhängig vom Funktionieren von Versorgungsnetzen. Dazu gehören nicht nur Energie-, Wasser- und sonstige Infrastrukturnetze sondern auch Informations- und Kommunikationsnetze. Durch immer stärkere Zentralisierung von Aufgaben, Geschäftsprozessen und Standorten steigt die Abhängigkeit von einzelnen spezialisierten Standorten. Die Einführung von Notfallmanagement-Prozessen ist deshalb von großer Bedeutung für die Wiederherstellung kritischer Geschäftsprozesse nach einem Notfall (Krise). Mit dem neuen BSI-Standard (Notfallmanagement) soll Verantwortlichen ein Instrumentarium zur Hand gegeben werden, um die Einführung von Notfallmanagement-Prozessen zu vereinfachen. Grundschutz. Die Neuauflage verschiebt den Blickwinkel von der reinen IT- Sicherheit zur Informationssicherheit; außerdem wurden die Standards um Datenschutzaspekte erweitert. Was wird... Neuer BSI-Standard (Notfallmanagement) Noch in der Entwurfsphase befindet sich ein neues Dokument. Mit dem BSI- Standard (Notfallmanagement) soll ein systematischer Weg aufgezeigt werden, um bei Notfällen der verschiedensten Art adäquat und effizient reagieren und die wichtigsten Geschäftsprozesse schnell wieder aufnehmen zu können. Aktuell findet sich die Version 0.9 für alle Interessenten zum Download auf den Seiten des BSI (http://www.bsi.bund.de/literat/bsi_standard/bsi-standard_100-4_v090.pdf). Bis zum 15. September 2008 waren Anwender aufgerufen, zur Optimierung beizutragen und fachliche Kommentare und Anregungen zum neuen Standard an das BSI zu senden. Außerdem will das BSI der Öffentlichkeit praxisgerechte Hilfsmittel kostenlos bereitstellen und sucht dazu Vorlagen und Beispiele, die beim Aufbau eines Notfallmanagements genutzt werden können (beispielsweise Templates für die Durchführung einer Business Impact Analyse, Risikoanalysen oder auch Leitlinien für das Notfallmanagement). Was war. Neben den Grundschutzkatalogen hat das BSI einige Standards definiert, die sich vor allem mit der Umsetzung von IT-Sicherheitsplanungen und der Methodik zu den Grundschutzkatalogen befassen. Dies waren bislang: BSI-Standard (Managementsysteme für Informationssicherheit (ISMS) BSI-Standard (IT-Grundschutz-Vorgehensweise) BSI-Standard (Risikoanalyse auf der Basis von IT- Grundschutz) Diese drei Standards wurden am in zweiter Auflage veröffentlicht und bilden die Grundlage für den nach ISO ausgerichteten IT- Wichtige Anlaufstelle zum Thema Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI) - Nach Ablauf der Eingabefrist werden diese Eingaben geprüft und ggf. eingearbeitet, so daß in absehbarer Zeit die finale Version herausgegeben werden dürfte. Voraussichtlich jedoch wird sich an dieser Version nichts Grundlegendes mehr ändern. Grund genug, den neuen Standard vorzustellen und sich näher mit seinen Inhalten zu beschäftigen. Handlungsbedarf im Normendschungel Bisher wurde das Thema Notfallmanagement im rein technisch ausgerichteten Grundschutzbaustein 1.3 Notfallvorsorge-Konzept behandelt. Damit war 3/08 7

8 aber keine Betrachtung eines Prozessregelkreises verbunden. Deshalb sah es das BSI als erforderlich an, für diesen Bereich mit dem Standard angemessene Vorgaben zu entwickeln, die sich in die Standards und integrieren. Ein weiterer Grund dürfte die Tatsache sein, das nach Untersuchungen des TÜV und auch anderer Organisationen nur ca. 15% aller befragten Unternehmen überhaupt über einen Notfallplan - geschweige denn ein Notfallmanagement - verfügen. Vergleichbare Standards gibt es bislang nur in den USA (FEMA NFPA 1600: nims/fs_standards_ pdf) und Großbritannien (BS Business Continuity Management : Erwähnung findet das Thema außerdem in ITIL, den Public Available Specification 77 und NIST Der britische Standard BS25999 diente für die Ausgestaltung des Notfallmanagements zwar als Basis, aber das BSI versuchte, die Stärken der verschiedenen bereits bestehenden Standards zu übernehmen und Synergien zu nutzen. Man erreichte dabei eine vollständige Kompatibilität mit dem britischen Standard BS Allerdings beschreiben die Briten lediglich abstrakte Vorgehensweisen - der BSI-Standard jedoch gibt konkrete Hinweise zur Umsetzung und scheint dadurch als Hilfsmittel geeigneter. Inhalte Für die Gestaltung eines Notfallmanagements ist ein systematisches Vorgehen aufbauend auf dem IT- Sicherheitsprozeß notwendig. Dazu beschreibt der BSI-Standard folgende Phasen zum Aufbau und Betreiben des Notfallmanagements: Planung und Konzeption der Notfallvorsorge Erstellung eines Notfallhandbuchs zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung des Notfallmanagements Planung/Konzeption Zur Einführung sollte eine Leitlinie (Policy) zum Notfallmanagement erstellt werden, die von der Unternehmensleitung initiiert und freigegeben wird. Die Geschäftsführung sollte für Etablierung und Aufrechterhaltung des Notfallmanagements verantwortlich sein. Dann müssen weitere organisatorische Voraussetzungen geschaffen werden, indem Rollenbeschreibungen erstellt und Verantwortliche benannt werden. Voraussetzung für die weitere Einführung des Notfallmanagements ist außerdem eine Business-Impact-Analyse (BIA), die weit über die Schutzbedarfsfeststellung des BSI hinaus geht. Ziel dabei ist es, kritische Geschäftsprozesse und zugehörige Ressourcen und single points of failure zu identifizieren. Damit sind Ressourcen gemeint, deren Ausfall dazu führt, daß Geschäftsprozesse nicht mehr durchgeführt werden können. Einer der wichtigsten Punkte dabei ist die Ermittlung der maximal tolerierbaren Ausfallzeiten, die sich aus den zu erwartenden monetär zu beziffernden Schäden ergeben. Auch vertragliche Anforderungen (SLAs) oder zu erwartender Image-Verlust können als Faktoren bei der Berechnung hinzu gezogen werden. An die BIA schließt sich eine Risikoanalyse an. Festgehalten wird dabei, welche Risiken bzw. Schwachstellen und Bedrohungen auf die als kritisch erkannten Ressourcen einwirken. Ihnen muß mit Notfallvorsorgestrategien und maßnahmen soweit begegnet werden, dass Risiken und Bedrohungen als tragbar gelten können. Zur Umsetzung der Strategie werden konkrete Maßnahmen in einem Notfallvorsorgekonzept beschrieben und umgesetzt. Notfallhandbuch Foto: Sean Gladwell Ein Notfallhandbuch ist zur schnellen Bewältigung von Krisen zu erstellen. Im BSI- Standard findet sich ein Beispiel für die Strukturierung eines Notfallhandbuchs und Angaben darüber, welche Inhalte mindestens zu beschreiben sind. Im folgenden die Kerninhalte: 3/08 8

9 Krisenmanagement: Welche Aufgaben hat ein Krisenstab? Alarmierungsplan und Meldewege: Welches Mitglied eines Notfallteams kann über welche Medien alarmiert werden? Wiederanlauf: Welche Maßnahmen müssen umgesetzt werden, um in den Notbetrieb zu gelangen? Notbetrieb: Wie wird der Notbetrieb kritischer Geschäftsprozesse gesichert? Wiederherstellung: Welche Maßnahmen müssen umgesetzt werden, um wieder in den Normalbetrieb zu kommen? Rückkehr in den Normalbetrieb: Ab welchem Zeitpunkt kann mit welchen Schritten wieder in den Normalbetrieb zurückgekehrt werden? Notfallmanagement-Kultur Wie andere unternehmensübergreifende Themen auch (z.b. Arbeits- oder IT- Sicherheit) sollte das Notfallmanagement fester Bestandteil der Unternehmenskultur werden. Der BSI-Standard zeigt dazu Maßnahmen zur Umsetzung wie beispielsweise Sensibilisierung und Schulung der Mitarbeitenden auf. Übungen und Tests Übungen und Tests sollten durchgeführt werden, um die Wirksamkeit der festgelegten Maßnahmen und Verfahren zur Notfallbewältigung festzustellen. Dies gilt sowohl für technische als auch für organisatorische Maßnahmen. Auch das Notfallmanagementteam wird durch das Üben von Abläufen geschult. Im BSI- Standard finden sich Angaben darüber, wie Übungspläne- und Konzepte strukturiert sein sollten. Auch die verschiedenen Testarten und deren inhaltliche Ausgestaltung werden beschrieben. Aufrechterhaltung des Notfallmanagements Das Notfallmanagement wird nach dem PDCA-Zyklus (Plan-Do-Check-Act) einer regelmäßigen Revision unterzogen. Dazu zählt die Aktualisierung der Dokumente ebenso wie die Überprüfung und Pflege von Notfallvorsorgemaßnahmen. Zusätzlich sollte eine regelmäßige Bewertung der Angemessenheit des Notfallmanagements erfolgen, um Verbesserungspotential erkennen und umsetzen zu können. Auch Wirtschaftlichkeitsbetrachtungen dürfen nicht fehlen. Auf die Plätze Das BSI konkretisiert und differenziert mit dem neuen Standard die sich aus der Grundschutz-Vorgehensweise ergebenden Aussagen zum Thema Notfallmanagement. So kann jede Institution in die Lage versetzt werden, bei vollständiger Umsetzung des Standards und der korrespondierenden Bausteine der Grundschutzkataloge ein effizientes Notfallmanagement aufzubauen. KAI OSTERHAGE IT-Sicherheitsbeauftragter ITDZ Berlin Sicherheit als Teamaufgabe Düsseldorf - In allen Unternehmen haben die Sicherheits beauftragten die gleiche Mission: die geschäftskritischen Posten wie Daten und Vermögen und anderes zu schützen. Ob es nun darum geht, dass nur autorisierte Mitarbeiter ein Gebäude betreten oder auf ein Netzwerk zugreifen, sowohl beim physischen als auch beim logischen (System-)Zugang dreht sich alles darum, die richtigen Personen reinzulassen. Und nur die Richtigen. Beide Bereiche verfolgen dasselbe Ziel, nähern sich diesem aber auf unterschiedlichem Weg und in den meisten Unternehmen auch von unterschiedlichen Stockwerken, sprich Abteilungen, aus an. Marina Walser, Director Identity & Security Management bei Novell Central Europe, untersucht, ob die strikte Trennung noch zeitgemäß ist. Das externe Beraterteam, das drei Monate lang beim Kunden ein- und ausgegangen ist, hat das Projekt erfolgreich abgeschlossen. Der Projektleiter gibt dem IT-Verantwortlichen im Unternehmen Bescheid, dieser löscht umgehend die Zugriffe der Berater auf das firmeninterne Netzwerk und andere vertrauliche Daten. Foto: Thomas Perkins Eigentlich ist alles bestens und zu einem sauberen Abschluss gebracht. Aber was ist eigentlich mit den Keykarten? Sind die alle zurückgegeben bzw. gesperrt worden? Mitnichten. Die Abteilung, die für die Netzwerkzugänge, das heißt den logischen Zugriff, zuständig ist, hat nicht automatisch der Abteilung für physischen Zugriff Bescheid gegeben. Der Beraterfirma wird natürlich keinerlei böse Absicht unterstellt, wenn nicht alle Keykarten am letzten Projekttag auftauchen. Schließlich sind sie für ihre Arbeit gut bezahlt worden und werden die Kundenbeziehung auf keinen Fall gefährden. Eine mitgenommene Keykarte lässt ohnehin noch längst nicht auf 3/08 9

10 Hintergedanken schließen - gerade Berater haben nicht selten eine wahre Sammlung an Hotelzimmer-Keykarten, die sie aus Versehen eingepackt haben. Kein Grund zur Besorgnis, die sind ohnehin wert- und nutzlos und werden dann einfach bei nächster Gelegenheit entsorgt. Beim Verlassen eines Hotels beziehungsweise der Begleichung der Rechnung wird die Keykarte sofort gelöscht. Das kann zwar unpraktisch sein, wenn der Gast etwas im Zimmer vergessen haben sollte und noch einmal dorthin zurück möchte, ist aber sicherheitstechnisch äußerst lobenswert. So einfach geht das in einem Unternehmen leider nicht. Eine Keykarte ist oftmals mit den Daten des Nutzers verknüpft, damit auch nachgewiesen werden kann, wann dieser sich wo aufgehalten hat und warum er zum Beispiel gerne mal nachts das Büro aufsucht. Die aus Versehen eingesteckte Zutrittskarte für das Unternehmen ist beim seriösen Dienstleister natürlich eigentlich in guten Händen. Was aber, wenn einer der Berater auf einmal die Firma wechselt und noch eine Rechnung offen hat - ob nun mit dem Kunden oder dem eigenen Arbeitgeber. Auf jeden Fall ist eine Sicherheitslücke entstanden. Diese Art von Lecks entstehen nicht nur durch die Einbeziehung Externer. Mal angenommen, ein Mitarbeiter verlässt das Unternehmen, gibt seine physische Zutrittskarte ordnungsgemäß ab und probiert aus Spaß aus, ob er vom privaten Rechner von zuhause aus noch immer auf das Unternehmensnetzwerk zugreifen kann - in vielen Fällen kann er. Das sollte nicht mal im Spaß möglich sein. In den meisten Unternehmen gibt es nach wie vor unterschiedliche Systeme, in denen der Status eines Mitarbeiters festgehalten ist und die darauf aufbauend Aktionen auslösen wie Karte sperren, Zugang löschen, Zahlungen einstellen etc. Diese Trennung der physischen und der IT-Sicherheitsabteilungen in Unternehmen ist traditionell gewachsen. Zunehmende Risiken und Gefahren sowie staatliche Vorschriften verlangen aber heute die enge Zusammenarbeit der beiden Abteilungen. Vorreiter bei der Zusammenführung sind Institutionen und Organisationen aus dem öffentlichen Bereich, die Industrie zieht langsam nach. Die Kombination der physischen und der digitalen Sicherheitswelt hat viele Vorteile: Der physische Zugang zu einem Gebäude kann eng mit dem logischen Zugriff auf Computer und Netzwerkressourcen gekoppelt werden. Unternehmen können so Sicherheitsrisiken minimieren und gleichzeitig Geld und Zeit sparen. Grundlage dafür ist ein Identitätsmanagement-System, das mit einer Plattform für die Kontrolle von physischem Zugriff integriert ist. Damit können Rollen verwaltet werden und die richtigen Personen für die jeweiligen Zugriffe und Zugänge identifiziert werden. Auf diese Weise kann eine einheitliche Sicherheitsrichtlinie für das gesamte Unternehmen ausgerollt werden. Sicherheitssilos gehören damit der Vergangenheit an. Identitätsinformationen müssen zudem nicht mehr manuell in verschiedenen Systemen gepflegt werden. Nicht zuletzt bei Firmenzusammenschlüssen und -übernahmen, die meist mit schnellen Mitarbeiterveränderungen einhergehen, wird dadurch Zeit gewonnen. Für die manuelle Pflege in verschiedene Systeme bleibt da keine Zeit. Und zudem haben alle Sicherheitsmitarbeiter auf diese Weise eine zentrale Anlaufstelle für Nutzerinformationen aller Art und Abteilungen. Foto: doug Olson Es ist natürlich nicht damit getan, die beiden Abteilungen im Gebäude auf eine Etage ziehen zu lassen und darauf zu hoffen, dass so die Zusammenarbeit verbessert wird. Grundlage ist eine Kombination der Plattform für Zugriffskontrolle mit einer Identitätsmanagement-Lösung. So kann sichergestellt werden, dass der Zugriff sowohl auf physische als auch auf logische Ressourcen mit der Nutzeridentität verknüpft ist und nur autorisierte Personen tatsächlich Zugriff erhalten. Weit vorne auf der Agenda sollte die Automatisierung der Nutzer-Provisionierung stehen. Die Abteilungen werden dadurch von der manuellen Pflege entlastet, sparen Zeit und Geld ein. Dabei ist es nicht erforderlich, beide Abteilungen komplett ineinander zu integrieren. Jede Abteilung hat ihre Berechtigung im Unternehmen. Die Gebäudesicherheit ist schließlich nicht nur für die Zutrittssysteme verantwortlich und die IT- Security nicht nur für die Provisionierung der Mitarbeiter. Im Team kann aber mit weniger Aufwand gewährleistet werden, dass wirklich nur die richtigen Personen reinkommen - von der Eingangstür bis zur Computertastatur. (PB) 3/08 10

11 IT-Sicherheit oft von innen bedroht Ergebnisse der Studie IT-Security 2008 München - In der IT-Security 2008 haben InformationWeek und research+consulting, die Marktforschungsabteilung des Verlags CMP-WEKA, unter anderem die Herkunft von Sicherheitsverstößen in Unternehmen untersucht. Eine oft unterschätzte Art der Bedrohung zählt zu den größten Gefahrenquellen: die Mitarbeiter. Dabei zeigen die Ergebnisse bei der Frage nach der Herkunft von Sicherheitsverstößen ein gewohntes Bild. Die befragten IT-Verantwortlichen sehen in der Bedrohung von außen die größte Gefahr. Sie schätzen, dass die Angriffe auf Unternehmen zu 24,9 Prozent von innen und zu 75,1 Prozent von außen kommen. Doch bei der Frage nach der Art der Sicherheitsverstöße und den Angriffsmethoden ergibt sich Erstaunliches: Unbeabsichtigte Fehlkonfiguration/ menschliches Versehen ist hier die zweithäufigste Antwort. Fast die Hälfte der Befragten (44,9 Prozent) gab an, solche Verstöße von innen registriert zu haben. Von der äußeren Bedrohung durch Computerviren, Würmer, Trojanische Pferde und Spam sind 63,4 Prozent (häufigste Antwort) betroffen. Es folgen missbrauchte -Adressen (von 35,9 Prozent genannt), Phishing (20,2 Prozent) und externe Denial-of- Service-Attacken (15,4 Prozent). Menschliche Fehleinschätzungen, so zeigen die Daten, sind auch die häufigste Ursache für das Scheitern von Sicherheitsinvestitionen und -projekten in Unternehmen. Allerdings steht hier nicht mehr wie im Jahr zuvor das mangelnde Risikobewusstsein der Geschäftsführung beziehungsweise der Budgetentscheider als häufigste Antwort an der Spitze (von 29,3 Prozent der Befragten genannt), sondern das der Mitarbeiter und Anwender (von 33,1 Prozent genannt). Im Jahr 2007 hatten noch 33,4 Prozent der Befragten das mangelnde Risikobewusstsein der Unternehmensführung als Grund für das Scheitern von Sicherheitsmaßnahmen angegeben und nur 27,4 Prozent das der Mitarbeiter. Vielen Unternehmen fehlt es offenbar nach wie vor an finanziellen Mitteln für eine bessere Datensicherheit: 28,8 Prozent der Befragten gaben an, schlicht über kein Budget für Sicherheitsinvestitionen und -projekte zu verfügen. In der Studie IT-Security untersuchen Information Week und research+ consulting jährlich Sicherheitsverstöße und die Entwicklung der IT-Sicherheit in Unternehmen. An der IT-Security 2008 haben 468 IT-Manager und Sicherheitsverantwortliche von kleinen, mittelständischen und Großunternehmen teilgenommen. (OTS) Professionelle Datenspione wühlen zuerst im Müllcontainer, ehe sie in die IT-Anlage einbrechen IT-Angriffe aus dem Müll Bonn - Müll ist für professionelle Datenspione pures Gold. In den Müll containern von Unternehmen finden sie nicht selten die Eintrittskarten zur Datenverarbeitung des Betriebs, warnt der IT-Informationsdienst mit Sicherheit des Fachverlags für Computerwissen. Aufkleber auf achtlos weggeworfenen Hardwareverpackungen verraten Serien- und Servicenummern, mit denen beim Hersteller problemlos Geräte- und Konfigurationseinzelheiten abgerufen werden können. Handbücher aus dem Müll sprechen Bände darüber, welche Hardund Software eingesetzt wird. Angreifer finden so gezielt Komponenten mit bekannten Schwachstellen, ohne auf die Systeme selber zuzugreifen. Zudem sind CDs, defekte USB-Sticks und ausrangierte Festplatten wahre Fundgruben für Wirtschaftsspione, die hier binnen Minuten auch gelöschte Dateien wieder sichtbar machen. Foto: Stephen VanHorn Das systematische Durchforsten von Müll Trashing oder Dumpster Diving genannt ist nach Erkenntnissen von mit Sicherheit (www.mit-sicherheit.de) Bestandteil der Informationsrecherche eines professionell vorbereiteten Angriffs 3/08 11

12 auf eine IT-Anlage. Anfällig für Trashing-Angriffe sei praktisch jedes Unternehmen, das keine eindeutigen Regeln für den Umgang mit vermeintlichem Müll erlässt. Geschieht dies nicht, könne sogar ein kleiner Post-It-Zettel mit entsprechenden Notizen die IT-Sicherheit gefährden, vorbei an Firewalls und anderen technischen Abschottungsmaßnahmen. (PB) Fast vier Millionen Opfer von Computerund Internet- Kriminalität Laut der Befragung nutzen knapp 80 Prozent aller 72 Millionen Deutschen über 14 Jahre privat oder beruflich einen Computer. Zwei Prozent der Befragten gaben an, Viren hätten ihren Computer beschädigt. Je ein Prozent aller Nutzer wurden Opfer bei einer Online-Auktion oder beim Online-Banking. Drei Prozent gaben Schäden durch sonstige Umstände an, also beispielsweise durch unseriöse Internet-Dialer. Eine gute Sicherheitsausstattung ist besonders wichtig beim Umgang mit persönlichen Daten, etwa beim Internet-Banking oder Online- Shopping. Ein modernes Anti-Viren-Programm und eine so genannte Firewall, die den Rechner vor schädlichen Dateien aus dem Netz schützen, müssen vor der ersten Web-Sitzung installiert werden, sagte Kempf. Auch die Verschlüsselung wichtiger privater Daten auf der Festplatte wie auch die von s mit vertraulichen Inhalten sollten gängige Praxis sein. Die Befragung ergab jedoch, dass Sicherheitsprogramme noch immer nicht zum Standard gehören. Zwar gaben 83 Prozent aller User an, ein Virenschutzprogramm auf ihrem privaten Rechner installiert zu haben. Aber nur 67 Prozent nutzten eine Firewall, lediglich 28 Prozent ein Verschlüsselungsprogramm. 7 Prozent der Nutzer gaben an, keines dieser Programme zu verwenden, 4 Prozent machten keine Angaben. Berlin - Fast vier Millionen Deutsche sind schon einmal Opfer von Computer-Kriminalität geworden. Sieben Prozent aller Computernutzer ab 14 Jahre haben bereits einen finanziellen Schaden beispielsweise durch Viren, bei Online-Auktionen oder Online-Banking erlitten. Das teilte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) im Juli 2008 in Berlin mit. Grundlage der Angaben ist eine repräsentative Umfrage des Meinungsforschungsinstituts Forsa im Auftrag des BITKOM. Bei gut 90 Prozent aller Computernutzer ist noch nie ein Schaden entstanden. Dennoch dürfen wir mit dieser scheinbar geringen Schadensquote nicht zufrieden sein. Die absolute Zahl der Geschädigten ist einfach viel zu hoch, sagte Prof. Dieter Kempf, Mitglied im BITKOM-Präsidium. Wir müssen weiterhin regelmäßig die Anwender über technische Schutzmöglichkeiten und richtiges Verhalten im Netz aufklären. Auffällig: Frauen nutzen diese Programme deutlich seltener als Männer. Surfer ohne Sicherheitsprogramme bringen sich und andere in Gefahr. Ist der eigene Rechner mit Viren infiziert, sind besonders die Computer von Freunden und Bekannten einem erhöhten Risiko ausgesetzt, sagte Kempf, der auch Vorstandsvorsitzender des Vereins Deutschland sicher im Netz ist (www.sicher-im-netz.de). Dort haben sich große Unternehmen, Vereine und Branchenverbände zusammengeschlossen, um einen messbaren und praktischen Beitrag für mehr IT-Sicherheit für Verbraucher und mittelständische Unternehmen zu leisten. Schirmherr ist Bundesminister Dr. Wolfgang Schäuble. (PM) Moderne Perspektiven für die Verwaltung. Informationstechnik (IT) und Telekommunikation (TK) aus einer Hand, Lösungen auf höchstem Niveau: Das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) ist der innovative Spezialist für die öffentliche Verwaltung. 3/08 12

13 Zahl der Phishing-Opfer erreicht Höhepunkt Berlin - Deutlich mehr Internetnutzer sind im vergangenen Jahr Opfer von Passwort-Betrügern geworden. Die Zahl der Phishing-Fälle beim Online-Banking ist erneut stark gestiegen um 25 Prozent. Das geht aus einer Hochrechnung des Hightech-Verbandes BITKOM hervor, die sich auf die neuesten Daten der Landeskriminalämter stützt. Bundesweit hoben Kriminelle in mehr als Fällen rund 19 Millionen Euro von Konten der Geschädigten ab. Die Schadenssumme liegt um ein Viertel höher als Der Geheimzahlen- Klau hat durch immer raffiniertere Betrugsmethoden seinen bisherigen Höhepunkt erreicht, sagte BITKOM- Präsidiumsmitglied Prof. Dieter Kempf bei der Vorstellung der Erhebung. Die meisten Opfer melden Bayern, Baden- Württemberg und Berlin ist erstmals seit Jahren ein Rückgang der Phishing-Zahlen möglich. Die Daten für das erste Halbjahr lassen erwarten, dass die Opferzahlen deutlich sinken, gab Kempf bekannt. Da noch nicht alle teilnehmenden Bundesländer Zahlen für dieses Jahr genannt haben, handelt es sich aber um eine vorläufige Prognose. Statistisch gesehen ist sogar eine Halbierung der Fallzahlen denkbar. Auch die durchschnittliche Schadenshöhe nimmt demnach ab: Waren es 2006 und im vergangenen Jahr noch rund Euro, so fehlen dieses Jahr nach jeder illegalen Überweisung im Schnitt etwa Euro. In manchen Fällen gelingt es, betrügerische Überweisungen zu stoppen oder das Geld zurückzubuchen. Im Wettrüsten mit den Kriminellen stehen Verbraucher, Banken und die IT Branche wieder etwas günstiger da, kommentiert Prof. Kempf die positive Entwicklung. Es trägt offensichtlich Früchte, dass die Wirtschaft immer bessere Sicherheitsmaßnahmen anbietet und die Nutzer umfassend informiert. Dem BITKOM reichen allerdings die rechtlichen Mittel gegen den Online-Betrug nicht: Bisher ist der Kontodaten-Klau nicht eindeutig verboten die Polizei kann meist erst aktiv werden, wenn bereits ein Schaden vorliegt. Schon der Versuch muss hart bestraft werden, fordert BITKOM-Präsidiumsmitglied Kempf. Wir brauchen dringend ein belastbares Gesetz gegen Phishing. Die Zahl der Betrugsversuche hat auch international zugenommen: Die Anti- Phishing-Initiative APWG registrierte in ihrer jüngsten Statistik vom Dezember 2007 weltweit über Attacken pro Monat. Die Betrüger unterhielten rund falsche Bank-Webseiten; die meisten davon in den USA (33 Prozent), China (22 Prozent) und Russland (9 Prozent). Lediglich drei Prozent der gefälschten Homepages waren in Deutschland registriert. Schärfere Gesetze sind deshalb nur eines von mehreren Mitteln gegen Phishing, erklärt Prof. Kempf. Am wichtigsten ist es, die Maschen der Kriminellen zu kennen und die jeweils neuesten Schutzmethoden zu nutzen. Foto: Archiv Ein Grund für die bislang steigende Zahl der Phishing-Opfer sind immer effizientere Betrugsmethoden. Die meisten Betrüger setzen nicht mehr auf einfache s mit Links zu gefälschten Bank-Seiten, wo arglose Nutzer selbst ihre Kontodaten eingeben. In mindestens drei von vier Fällen, so eine BITKOM-Schätzung, schicken Kriminelle per ein Trojanisches Pferd ein Schadprogramm, das Geheimzahlen im Hintergrund ausspäht und weiterleitet. Eine andere Art von Schadprogrammen leitet die Nutzer beim Online-Banking heimlich auf gefälschte Seiten weiter. Nicht nur die Betrüger, auch die Banken haben indes aufgerüstet: Transaktionsnummern (TANs) sind zumeist nicht mehr beliebig einsetzbar, sondern an weitere Sicherheits-Hürden gekoppelt. Manche Kreditinstitute erhöhen den Schutz mit Kartenlesegeräten. Zukünftig könnten Überweisungen durch den elektronischen Personalausweis abgesichert werden. Er ist für 2010 geplant und soll dank eines Chips auch Web-Dienste sicherer machen. 55 Prozent der Internet-Nutzer würden den digitalen Ausweis beim Online-Banking einsetzen, ergab eine repräsentative Umfrage von forsa und BITKOM. Zwar erstatten viele Banken einen Phishing-Schaden, wenn der Nutzer nicht grob fahrlässig gehandelt hat. Ob die Kunden einen Anspruch darauf haben, ist in 3/08 13

14 Der direkte Draht Berlin-Telefon 900 MIT 900 DIREKTE INFORMATIONEN ZU ALLEN LEBENSLAGEN Eine höhere Kundenzufriedenheit bei den Bürgern und den Mitarbeitern der Berliner Verwaltung das ist das Ziel der Call-Center-Lösung Berlin-Telefon. Mit einem einfachen telefonischen Zugang zu umfassenden Informationen und Dienstleistungen werden Anfragen über die Rufnummer 900 schnell und kompetent beantwortet. Das ITDZ Berlin ist dabei für den telefonischen Erstkontakt mit dem Bürger über sein Call-Center verantwortlich. Weitere Informationen zum IT-Dienstleistungszentrum Berlin: Internet Intranet Moderne Perspektiven für die Verwaltung. 3/08 14

15 der Rechtsprechung aber nicht eindeutig. Vorsorge ist deshalb unverzichtbar. Mit ein paar Grundregeln lässt sich das Risiko leicht minimieren, so Prof. Kempf. Dann ist Online-Banking eine sehr sichere Dienstleistung, die zu Recht hohe Akzeptanz genießt. Insgesamt nutzen rund 22 Millionen Deutsche die Internet-Kontodienste ihrer Bank. Das geht aus Daten der europäischen Statistikbehörde Eurostat hervor und entspricht 35 Prozent der Einwohner zwischen 16 und 74 Jahren. Im EU-Vergleich liegen die Deutschen beim Internet-Banking auf Platz 7. Weit vorn sind Finnland und die Niederlande dort nutzen jeweils zwei Drittel der Bevölkerung Online-Bankdienste. Der BITKOM nennt die wichtigsten Anti-Phishing-Tipps: 1. Gesundes Misstrauen bei s Banken bitten ihre Kunden nie per E- Mail, vertrauliche Daten im Netz einzugeben. Diese Mails sind immer gefälscht: Am besten sofort löschen. Das gleiche gilt für dubiose s von Unbekannten vor allem, wenn eine Datei angehängt ist. Dahinter könnte ein Schadprogramm stecken, zum Beispiel ein Phishing-Trojaner. Solche verdächtigen Dateien auf keinen Fall öffnen! Auch dann nicht, wenn in der mit einer Kontosperre gedroht wird. Solche Einschüchterungen zählen zum Arsenal von Betrügern, um Bankkunden unter Druck zu setzen. PC-Nutzer sollten Drohungen ignorieren und Phishing- Mails nie beantworten. 2. Den Computer vor Schädlingen schützen Eine gute Sicherheitsausstattung ist entscheidend. Ein Anti-Viren-Programm und eine so genannte Firewall, die den PC vor schädlichen Dateien aus dem Netz schützen, müssen vor der ersten Web-Sitzung installiert werden. Für diese Programme und das Betriebssystem des PCs werden regelmäßig Aktualisierungen angeboten. Nutzer sind gut beraten, die Updates umgehend zu installieren am besten automatisch. Öffentliche Computer oder Internet- Cafés sind für Bankgeschäfte wenig geeignet. 3. Vorsicht beim Aufruf der Bank- Webseite Beim Online-Banking sollte man die offizielle Adresse der Bank immer direkt eingeben oder über eigene Lesezeichen (Favoriten) aufrufen. Maßgeblich ist die Adresse, die die Bank in ihren offiziellen Unterlagen angibt. Die Verbindung zum Bankcomputer muss verschlüsselt sein. Das ist erkennbar an den Buchstaben https in der Web-Adresse und einem Schloss- oder Schlüssel-Symbol im Internet-Programm (Browser). Zukünftig erkennen Verbraucher sichere Webseiten auch an einer grün hinterlegten Adresszeile, wenn sich der Betreiber vorab einer unabhängigen Prüfung unterzogen hat. 4. Moderne Transaktions-Verfahren nutzen Für Überweisungen und andere Kundenaufträge sind Transaktionsnummern (TANs) nötig. In den Anfängen des Online-Bankings konnten die Nutzer einen solchen Code aus einer Liste frei wählen. Sicherer ist das itan-verfahren, bei dem die Codes nummeriert sind. Ein Zufallsgenerator der Bank bestimmt, welche TAN aus der Liste eingegeben werden muss. Noch weniger Chancen haben Kriminelle beim mtan-verfahren: Die Transaktionsnummer wird dem Kunden aufs Handy geschickt und ist nur wenige Minuten gültig. Weitere aktuelle Schutzverfahren sind etan und HBCI, bei denen der Kunde als Zusatzgeräte einen TAN-Generator oder ein Kartenlesegerät nutzt. PC-Nutzer sollten ihre Bank fragen und möglichst auf die modernsten Verfahren umstellen. 5. Mit Geheimzahlen richtig umgehen Passwort (PIN) und Transaktionsnummern nicht auf dem PC speichern. Auch eine automatische Speicherung im Internet-Programm (Browser) ist riskant. Ein frei wählbares Passwort fürs Online- Banking sollte mindestens acht Zeichen lang sein und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Fürs Online-Banking unbedingt ein separates Passwort wählen keines, das auch für andere Dienste im Web genutzt wird. Empfehlenswert ist auch, die PIN regelmäßig zu ändern. 6. Falls es zu spät ist Schadensbegrenzung Nicht immer ist das Geld sofort weg, wenn Kriminelle eine Sicherheitslücke ausgenutzt haben. Opfer sollten zuerst die Bank alarmieren: Wenn eine Phishing-Überweisung nicht lange zurückliegt, kann sie manchmal noch gestoppt oder rückgängig gemacht werden. Entsteht doch ein finanzieller Schaden, unbedingt Anzeige bei der Polizei erstatten. Das ist nötig, um Geld von der Bank zurückzubekommen. Falls der Kunde nicht grob fahrlässig gehandelt hat, zeigen sich viele Banken kulant. Zur Methodik der BITKOM-Erhebung: Erfragt wurden die Zahlen der Phishing-Fälle, in denen illegale Banktransfers stattgefunden haben, sowie die dabei geflossenen Summen. Quelle sind alle teilnehmenden Landeskriminalämter. Es sind Daten zu insgesamt elf Bundesländern vorhanden, die für rund 90 Prozent der deutschen Bevölkerung stehen, sowie eine Hochrechnung für ganz Deutschland. (PM) Warnung vor Passwortklau beim Online-Einkauf Hannover - Tausende von Ser vern machen es Kriminellen leicht, wichtige Daten wie Passwörter oder Kreditkartennummern mitzulesen. Dazu gehörte bis vor einiger Zeit auch das Telekom-Bezahlsystem T-Pay. Mit dem kleinen Programm SSL- Wächter kann man das Risiko beim Online-Einkauf aber wieder minimieren, so das Computermagazin c t. Die Redaktion hat das Tool selbst entwickelt und stellt es in der Ausgabe 15/08 vor. 3/08 15

16 Der c t-ssl-wächter warnt den Nutzer, wenn er eine vermeintlich sichere Webseite ansurft, die mit einem schwachen Zertifikat ausgestattet ist. Diese Seite könnte gehackt sein. Das Programm bietet an, die Verbindung im Zweifelsfall zu kappen. Zertifikate sind eine Art Identitätsnachweise, die normalerweise sicherstellen, dass man sich tatsächlich auf der gewünschten Seite befindet und eine verschlüsselte, also sichere Verbindung besteht. Profis sind durchaus in der Lage, den Schlüssel schwacher Zertifikate zu ermitteln und die Anwender anschließend auf gefälschte Webseiten zu lotsen, die auch das für Sicherheit stehende Schloss im Browser anzeigen. Bis in den Juni 2008 war selbst die Telekom-Webseite betroffen: Betrüger hätten einen Server aufsetzen können, der sich als T- Pay-System ausgibt und diese Identität dem Browser über sein Zertifikat beweist. Inzwischen hat T-Pay das Zertifikat widerrufen und ein neues eingesetzt. Wer das widerrufene Zertifikat allerdings hat, kann noch immer sein Unwesen damit treiben, denn es läuft erst am 11. November ab. Im Mai und Juni 2008 waren bei einem Test von rund Servern zehn Prozent mit unsicheren Zertifikaten ausgestattet. Schuld an der Misere sind bestimmte Linux-Systeme, die über anderthalb Jahre hinweg schwache Schlüssel für Zertifikate erstellt haben. Will man das Problem in den Griff bekommen, muss man am Browser ansetzen, so c t-redakteur Jürgen Schmidt. Genau das tut der SSL-Wächter. Er gleicht das Zertifikat mit einer Liste von schwachen Zertifikaten ab. Dabei kann es unter Umständen zu kurzen Verzögerungen beim Aufbau einer Webseite kommen. Der SSL-Wächter eignet sich für den Internet Explorer, Outlook Express und andere Windows-Programme. Für den Firefox gibt es bereits eine ähnliche Erweiterung, entstanden aus einer Privatinitiative. Der c t-ssl-wächter findet sich online unter ct/projekte/sslwaechter/. (PM) Europäische Kommission fördert Symantec-Projekt zum Schutz kritischer Infrastrukturen vor Cyber-Kriminalität München - Symantec erhält von der Europäischen Kommission Projektgelder für die Entwicklung eines Standards zum Austausch von Sicherheitsinformationen auf nationalem und europäischem Level. Der Information Assurance Messaging Standard soll von Mitgliedsstaaten und nationalen Sicherheitseinrichtungen für den sicheren Austausch sensibler Informationen genutzt werden. Der von Symantec in enger Zusammenarbeit mit den EU-Mitgliedsstaaten und nationalen Computer Emergency Response/Readiness Teams (CERTs) definierte Standard wird den sicheren Austausch von Nachrichten über Schwachstellen, Bedrohungen, Störfälle und erfolgreiche Praxisbeispiele ermöglichen. Daneben sind auch kritische Infrastrukturen in die Entwicklung des Sicherheitsstandards involviert. Als kritische Infrastrukturen bezeichnet man Institutionen und Einrichtungen, bei denen ein Ausfall oder eine Beeinträchtigung zu Störungen der öffentlichen Sicherheit, Versorgungsengpässen oder anderen empfindlichen Auswirkungen führen würde. Sichere elektronische Infrastrukturen bilden heute die Basis moderner Gesellschaften und einer stabilen Wirtschaft, sagt Andreas Zeitler, Vice President und Regional Manager Zentraleuropa bei Symantec. Diese Netzwerke reichen über die Grenzen einzelner Unternehmen und Organisationen, aber auch über nationale und europäische Grenzen hinaus. Daher ist die Absicherung kritischer Infrastrukturen von signifikanter Bedeutung. Das Projekt umfasst drei Phasen: Analyse existierender Standards, Interviews mit ausgewählten CERTs und nationalen Behörden Definition eines Standards Verbreitung der Ergebnisse: Auf einer eigenen Konferenz wird Symantec die Ergebnisse der Europäischen Kommission, Delegierten der Mitgliedsstaaten, nationalen Sicherheitsbehörden sowie nationalen CERTs vorstellen Das Projekt ist Teil des Europäischen Programms für den Schutz kritischer Infrastrukturen (EPCIP) im Rahmen der Kampf gegen Kriminalität und Terrorismus -Kampagne der Europäischen Kommission. Jedes Jahr bietet die Kommission Zuschüsse für die Gründung von Pilotprojekten, um die Kooperation von kritischen Infrastrukturen europaweit zu fördern. Außerdem soll die Aufmerksamkeit für Sicherheitslücken, Risiken und adäquaten Gegenmaßnahmen gestärkt werden. Symantec hat einen einzigartigen Überblick über die globale Bedrohungslandschaft, da das Unternehmen die Daten von Sensoren aus 180 Ländern sammelt. Außerdem verfügt Symantec über eine Datenbank, die Informationen zu mehr als Sicherheitslücken im Zusammenhang mit Technologien von Anbietern enthält. Zusätzlich wertet das Unternehmen über 2 Millionen Honeypot -Accounts aus, die - Nachrichten aus 20 verschiedenen Ländern empfangen. Auf diese Weise können Spam- und Phishing-Aktivitäten weltweit gemessen werden. Laut Symantecs aktuellem Internet Security Threat Report (Ausgabe XIII, April 2008) waren im öffentlichen Sektor Denial-of-Service-Attacken mit 46 Prozent die vorherrschende Angriffsform. Den kompletten 3/08 16

17 Sicherheitsbericht für den öffentlichen Sektor finden Sie hier:http:// enterprise/white_papers/ ISTR_13_government.pdf Symantec ist ein weltweit führender Anbieter von Infrastuktur-Software, mit der sich Unternehmen und Privatpersonen sicher und vertrauensvoll in einer vernetzen Welt bewegen können. Das Unternehmen unterstützt Kunden beim Schutz ihrer Infrastrukturen, Informationen und Interaktionen durch Software und Dienstleistungen, die Risiken der IT-Sicherheit, Verfügbarkeit, Compliance und Leistungsfähigkeit adressieren. Symantec hat seinen Hauptsitz in Cupertino, Kalifornien und betreibt Niederlassungen in mehr als 40 Ländern. Mehr Informationen unter (PB) Internet-Security-Software für Endkunden sowie kleine und mittelständische Unternehmen, veröffentlichte ebenfalls diese Woche die Ergebnisse einer in seinem Auftrag im März 2008 durch das Marktforschungsunternehmen Ipsos durchgeführten Studie, die sich mit den Auswirkungen der Internetkriminalität auf EU-Bürger beschäftigt. Von den 7000 befragten Benutzern hatten 22 Prozent bereits einmal unfreiwillige Bekanntschaft mit Internetkriminalität gemacht, wobei Italien mit 32 Prozent am häufigsten betroffen war, knapp gefolgt von Großbritannien mit 31 Prozent. Diese Ergebnisse gehen mit zwei beobachteten Verhaltenstendenzen einher: Nationale Wirtschaft laut EU-Agentur für Computersicherheit durch Internetkriminalität bedroht Brno - Die Europäische Agentur für Netz- und Informations sicherheit (ENISA) warnte Ende Mai in einer Pressekonferenz vor der Bedrohung wirtschaftlicher Interessen der EU durch steigende Internetkriminalität. Obwohl die Agentur die Schwierigkeit betonte, das Ausmaß des Problems in Zahlen auszudrücken, bestätigen die während der Konferenz vorgelegten Daten die Ernsthaftigkeit der Bedrohung: Sechs Millionen Computer in der EU sind mit so genannten Bots infiziert und in illegale Botnets (fernsteuerbare Netzwerke) integriert. Die durch Spam verursachten Kosten belaufen sich für die Unternehmen auf 65 Milliarden Euro. AVG Technologies, einer der nach eigenen Angaben führenden Anbieter von Foto: doug Olson Extensive Nutzung des Internets für immer sensiblere Transaktionen 72 Prozent der Benutzer betreiben Internet-Shopping 69 Prozent der Benutzer nutzen Online-Banking 55 Prozent der Benutzer bezahlen ihre Rechnungen online Beim Online-Banking liegen Schweden (84 Prozent) und Deutschland (78 Prozent) an erster bzw. zweiter Stelle. Niedriger Grad angewandter Schutzmaßnahmen und gering ausgeprägtes Bewusstsein der Endanwender, auf welche Weise Cybercrime zu verhindern ist 18 Prozent der befragten Benutzer hatten keinen Virenschutz installiert 38 Prozent der Benutzer finden, es gibt nicht genug Informationen über Internetkriminalität und auf welche Weise man sich davor schützen kann. 3/08 17

18 Die schlechte Informationslage verunsichert die Menschen. So befürchten mehr Europäer, Opfer von Internetkriminalität (34 Prozent) zu werden, als Opfer eines Einbruchs (22 Prozent), körperlichen Angriffs (19 Prozent) oder Raubüberfalls (25 Prozent). Fast die Hälfte der Deutschen (47 Prozent) rechnet damit, Opfer von Internetkriminalität zu werden, während das Risiko für alle anderen Verbrechensarten bei unter 20 Prozent angesiedelt wurde. Sowohl aus dem ENISA-Bericht als auch aus unserer Studie geht ganz klar hervor, dass immer noch viel Arbeit vor uns liegt, um die Benutzer vor Cybercrime zu schützen, so JR Smith, Chief Executive Officer von AVG Technologies. Innerhalb weniger Jahre hat sich die Art der Bedrohung vom Hobby einiger weniger zu einem professionellen Verbrechenszweig entwickelt. Unsere Aufgabe besteht darin, benutzerfreundliche Sicherheitssoftware zu entwickeln, die innovatives Arbeiten zulässt.mit den schwindenden Grenzen im World Wide Web wird es für Unternehmen und Endanwender immer wichtiger, sich auf sichere Online-Transaktionen verlassen zu können. Wir unterstützen den Appell von ENISA und rufen unsere Branche zur Zusammenarbeit auf, um das Internet zu einem sicheren Ort für globale Geschäfte zu machen. Genauso wie Umweltpolitik nur dann greift, wenn alle Menschen und Unternehmen an einem Strang ziehen, ist auch die Internetsicherheit eine gemeinsame Verpflichtung aller. Aus diesem Grund steht die Benutzermeinung in unserer AVG-Studie im Mittelpunkt. Nur wenn Benutzer und IT-Experten zusammenarbeiten, können wir einen umfassenden Schutz gewährleisten. ENISA Die Europäische Agentur für Netz- und Informationssicherheit (European Network Information Security Agency: ENISA) wurde von der Europäischen Union mit dem Ziel gegründet, gemeinsam die Sicherheitsbedrohungen für die digitale Infrastruktur der Mitgliedsstaaten zu untersuchen. ENISA hat in verschiedenen EU-Mitgliedsstaaten in Zusammenarbeit mit den einzelnen Ländern so genannte Computer Emergency Response Teams (CERTs) eingerichtet. Waren es 2005 noch acht Regierungs-CERTs, sind es heute 14 und in den kommenden Jahren ist die Einrichtung zehn weiterer CERTs geplant hat die Europäische Agentur für Netz- und Informationssicherheit eine Machbarkeitsstudie in Auftrag gegeben, um die Einrichtung eines Frühwarnsystems zu prüfen, über das Unternehmen und Endanwender vor aufkommenden Sicherheitsbedrohungen (wie Virusattacken) informiert werden sollen. Weitere Informationen erhalten Sie unter agencies/community_agencies/enisa/index_de.htm (PB) Klassische Firewall schützt nicht die Webanwendungen Hannover - Klassische Netzwerk-Firewalls bieten keinen Schutz bei Angriffen auf der Anwendungsebene. Wer seine Webanwendungen auf Sicherheitslücken überprüfen will, sollte sogenannte Applikationsscanner einsetzen, rät das IT-Profimagazin ix in der Ausgabe 8/08. Zwar ersetzen diese Hilfsmittel nicht die abschließende manuelle Überprüfung, einfache Schwachstellen finden sie jedoch äußerst effizient. Foto: Sergey Ilin Die Nutzung von Webanwendungen ist heutzutage für Unternehmen wie Privatpersonen eine Selbstverständlichkeit - was ihre Attraktivität für Hacker enorm erhöht. Der Diebstahl von Kreditkarten- und anderen vertraulichen Informationen zum Beispiel über Cross-Site Scripting, einer Manipulation des Browsers, ist ein rentables Geschäft. Da die Angriffe auf der Anwendungsebene, also innerhalb zugelassener Protokolle, stattfinden, können klassische Netzwerk-Firewalls die Webanwendungen nicht schützen. Dieser Gefahr, auch als Port-80-Problem bekannt, kann man mit sogenannten Webapplikations-Firewalls (WAF) begegnen. Sie analysieren auf der Anwendungsebene sowohl die eingehenden Anfragepakete an den Webserverdienst, als auch dessen ausgehende Antworten. Auf die Art sollen sie sicherstellen, dass 3/08 18

19 keine bösartigen Anfragen an den Dienst gelangen und er keine vertraulichen Daten zurückliefert. Im Unterschied zu normalen Schwachstellenscannern suchen die Applikationsscannern nach individuellen Lücken einzelner Webanwendungen. Sie setzen eine Ebene höher an und durchforsten nicht das Betriebssystem und die Dienste, sondern die statischen und dynamischen Inhalte. Allerdings können diese Hilfsmittel nicht die manuelle Überprüfung durch einen Sicherheitsexperten ersetzen. Vor allem wenn es um komplexe Schwachstellen geht, sind den automatisierten Werkzeugen Grenzen gesetzt. Auch Logikfehler, die meist aufgrund fehlender Plausibilitätsprüfung entstehen, können nicht aufgedeckt werden. Auf welches Produkt letztendlich die Wahl fällt, hängt in der Praxis oftmals nicht alleine vom reinen Scan-Ergebnis ab, sondern auch davon, wie sich der Scanner in bestehende Umgebungen und organisatorische Prozesse einbinden lässt. (PM) Sicherheit aus der Hauptstadtregion Berlin - Die Sicherheitsbranche in der Hauptstadtregion entwickelt sich dynamisch, das zeigen die Wachstumszahlen für die Branche. Sie liegen deutlich über den Durchschnittswerten anderer Wirtschaftszweige in der Region. Einen Überblick über international erfolgreiche Projekte aus der Zusammenarbeit der regionalen Wirtschaft mit Forschung und Wissenschaft gibt die unter Federführung der Berliner Landesinitiative Projekt Zukunft entstandene Broschüre der Länder Berlin und Brandenburg Sicherheit in der Hauptstadtregion. Neben aktuellen Zahlen und Fakten zum Standort werden Lösungen und Projekte aus den Themenbereichen Sichere Identität, Gesicherte Strukturen sowie Aus- und Weiterbildung vorgestellt. Eine Übersicht zeigt die wichtigsten Netzwerke in der Region. Berlin-Brandenburg mit Sicherheit auf Wachstumskurs Nach einer aktuellen Umfrage von Projekt Zukunft sind gegenwärtig rund 220 Unternehmen der Sicherheitsbranche in der Region ansässig. Im Zeitraum 1997 bis 2007 verdoppelte sich die Zahl der Unternehmen in der Sicherheitsbranche. Die Zahl der Mitarbeiter stieg in den letzten fünf Jahren um knapp 50 Prozent, der Umsatz verdoppelte sich um fast 190 Prozent. Sicherheitstechnologien und -dienstleistungen aus Berlin und Brandenburg werden nicht nur aus der Region nachgefragt (29 Prozent), sondern aus dem ganzen Bundesgebiet (50 Prozent). Der internationale Markt mit sieben Prozent Anteil am Umsatzvolumen will aber noch erobert werden. Wirtschaft, Wissenschaft und Netzwerke kooperieren In Berlin-Brandenburg engagieren sich sechs Firmennetzwerke in unterschiedlichen Branchenschwerpunkten, von der biometrischen Identifikation bis hin zum Katastrophenschutz. Bei der Entwicklung innovativer Sicherheitslösungen kann sich die Region dabei auch auf eine hervorragende Wissenschafts- und Forschungslandschaft stützen: Mehr als 40 universitäre und externe Forschungseinrichtungen befassen sich mit Sicherheitsfragen. Die enge Verknüpfung mit der Industrie und den Nachfragern wird durch die Einrichtung von Stiftungslehrstühlen (Deutsche Telekom, Bundesdruckerei), durch die neuen Security- Labs und durch die Zusammenarbeit innerhalb des Fraunhofer-Clusters Sichere Identität deutlich. Sicherheit aus der Hauptstadtregion Die Broschüre stellt einen Querschnitt marktfähiger Sicherheitslösungen und -anwendungen vor und zeigt die Innovationskraft und Dynamik der Sicherheitsbranche in Berlin-Brandenburg. Zu den Referenzprojekten gehört u. a. der von der Bundesdruckerei entwickelte elektronische Pass (epass). Im Netzwerk Tunnelsicherheit (tusec) haben sich Unternehmen und Forschungseinrichtungen der Region zusammengeschlossen, um Lösungen zur Vorbeugung und Schadensbegrenzung bei Unglücken oder bei Anschlägen auf Verkehrstunnel zu finden. Aus der Forschung kommen weitere innovative Entwicklungen, die weltweit nachgefragt werden. So zum Beispiel die Lösung zur digitalen Dokumentenrekonstruktion, entwickelt vom Berliner Fraunhofer- Institut für Produktionsanlagen und Konstruktionstechnik. Sicherheit ist Bestandteil der Strategie für den IT-Standort Berlin Das Thema Sicherheit ist ein bedeutendes Handlungsfeld in der IT-Standortstrategie und des länderübergreifenden Innovationskonzepts Berlin-Brandenburg. Eine Übersicht der am Standort vorhandenen Anbieter, Bildungs- und Forschungseinrichtungen, Netzwerke sowie Lösungen und Referenzen bietet das neue Internetportal Die neue Broschüre steht sowohl auf den Internetseiten von Projekt Zukunft als auch auf den Webseiten von Sicherheit.Berlin-Brandenburg.de zum Download bereit. (PM) 3/08 19

20 Datenschutz hat festen Platz in den Berliner Behörden Die positive Tendenz der vergangenen Jahre hat sich fortgesetzt: Der Datenschutz hat einen festen Platz in den Behörden gefunden. Zwischen den Berliner Behörden und dem Berliner Beauftragten für Datenschutz und Informationsfreiheit besteht ein ständiger Dialog. Durch diese Partnerschaft kann den zunehmend komplexeren Anforderungen an den Datenschutz zumeist schon frühzeitig entsprochen werden. Dementsprechend übt der Berliner Beauftragte für Datenschutz und Informationsfreiheit nur an wenigen Stellen seines Berichts ausdrücklich Kritik am Handeln des Senats. Der Senat hat in seiner Sitzung am 24. Juni 2008 auf Vorlage des Senators für Inneres und Sport, Dr. Ehrhart Körting, die Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2007 beschlossen. Online-Durchsuchung identisch. Die technischen Vorgaben sowie die zu erreichenden Ziele erfordern dies. Daher teilt der Senat nicht die Auffassung des Berliner Beauftragten für Datenschutz und Informationsfreiheit, dass der Einsatz solcher Software durch die Sicherheitsbehörden in diesem Zusammenhang widersinnig sei. Der Appell des Berliner Beauftragten für Datenschutz und Informationsfreiheit, eine verfassungskonform ausgestaltete Befugnisnorm nicht zu schaffen, ist politischer Natur. Der Senat beabsichtigt nicht, die Schaffung einer Ermächtigungsgrundlage zur Online-Durchsuchung auf Landesebene vorzuschlagen. Auf Bundesgesetze hat Berlin keinen maßgeblichen Einfluss. Telefonieren im Internet (Voice over Internet Protocol - VoIP) Den spezifischen Risiken bezüglich der Nutzung von VoiP muss mit angemessenen Sicherheitsmaßnahmen begegnet werden. Bestandteil der laufenden Aktivitäten des IT-Dienstleistungszentrums Berlin (ITDZ) zur Einführung von VoiP ist daher auch die Erstellung und Umsetzung eines entsprechenden IT-Sicherheitskonzeptes. Dies erfolgt in enger Abstimmung mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit. Thematisiert wurden im Bericht des Datenschutzbeauftragten weiterhin u.a.: Videoüberwachungen, Zuverlässigkeitsüberprüfungen bei der Deutschen Bundesbank, Steuerdaten im Internet. (LPD) Verwaltungsmodernisierung auf gutem Weg Die Berliner Verwaltung entwickelt sich zunehmend zu einem modernen Dienstleistungsanbieter. Das geht aus dem ersten Fortschrittsbericht zum Modernisierungsprogramm ServiceStadt Berlin hervor, den der Senat auf seiner Sitzung am 17. Juni 2008 auf Vorlage des Senators für Inneres und Sport, Dr. Ehrhart Körting, zustimmend zur Kenntnis genommen hat. 15 der 105 Projekte und Vorhaben des Programms konnten bereits ein Jahr nach Programmstart abgeschlossen werden. Auch die restlichen Maßnahmen liegen überwiegend im Zeitplan, sodass mit ihrer Umsetzung bis zum Abschluss der Legislaturperiode zu rechnen ist. Der Senat stimmt den Ausführungen des Berliner Beauftragten für Datenschutz und Informationsfreiheit grundsätzlich zu. Abgelehnt wird allerdings die Aussage, dass sich die deutschen Sicherheitsbehörden zur Beschaffung notwendiger Software (Exploits) möglicherweise nicht legaler Wege bedienen würden. Der Senat bezweifelt, dass die Einführung der Online-Durchsuchung insbesondere in der Wirtschaft immense Schäden anrichten würde. Software, vergleichbar mit der zur Durchführung einer Online-Durchsuchung, ist seit Jahren prinzipiell verfügbar und wird auch jetzt schon zur Industriespionage eingesetzt. Tatsächlich ist die eingesetzte Software zur Wirtschaftsspionage sowie zur Online-Durchsuchung in weiten Teilen Foto: Archiv - mobiler Arbeitsplatz Die Verbesserung von Service und Qualität ist das übergeordnete Ziel der Verwaltungsmodernisierung in der aktuellen Legislaturperiode. Unternehmen, 3/08 20

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

Phishing. Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken.

Phishing. Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken. Phishing Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken. Sicherheitsvorkehrungen am eigenen PC 1 2 3 4 5 Versuchen Sie, so wenig Personen wie möglich an dem

Mehr

Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihrer Raiffeisenbank Thurnauer Land eg

Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihrer Raiffeisenbank Thurnauer Land eg Sicherheitsvorkehrungen am eigenen PC 1 Versuchen Sie, so wenig Personen wie möglich an dem PC arbeiten zu lassen, den Sie für das Online-Banking nutzen. Dadurch werden die Risiken reduziert, die durch

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Sicherheitshinweise zum Online-Banking

Sicherheitshinweise zum Online-Banking Sicherheitshinweise zum Online-Banking Damit Sie Ihre Bankgeschäfte nicht nur bequem, sondern auch sicher erledigen können, haben wir für Sie einige Sicherheitshinweise zusammengestellt. Bitte berücksichtigen

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

IZ SICHERHEIT. Sicherheitsforum Online-Banking. Matthias Stoffel. Dietzenbach, 28. April 2015 INFORMATIK ZENTRALE SERVICES.

IZ SICHERHEIT. Sicherheitsforum Online-Banking. Matthias Stoffel. Dietzenbach, 28. April 2015 INFORMATIK ZENTRALE SERVICES. SICHERHEIT INFORMATIK ZENTRALE SERVICES Sicherheitsforum Online-Banking Matthias Stoffel Dietzenbach, 28. April 2015 Finanzgruppe S GmbH 2015 SICHERHEIT INFORMATIK ZENTRALE SERVICES 1. Sicherheitsmerkmale

Mehr

IT-Kriminalität in Deutschland

IT-Kriminalität in Deutschland IT-Kriminalität in Deutschland Prof. Dieter Kempf BITKOM-Präsident Vorsitzender Deutschland sicher im Netz e. V. Pressekonferenz 30. Juni 2011 Datenspionage: Angst und Gefahr nehmen zu Wodurch fühlen Sie

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe Mit Sicherheit: giropay. Online-Bezahlverfahren müssen einfach, schnell und sicher sein. Und genau diese Kriterien erfüllt

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger. Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen

Mehr

Der Weg zu Ihrem Online-Konto mit PIN/TAN

Der Weg zu Ihrem Online-Konto mit PIN/TAN Der Weg zu Ihrem Online-Konto mit PIN/TAN Allgemeines zur Kontensicherheit/Sicherheitshinweis Wir machen Sie darauf aufmerksam, dass die Sparkasse keine vertraulichen Daten (z.b. PIN und/oder TAN) per

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Inhaltsverzeichnis 1. Computersicherheit 2 2. Passwörter 4 3. Shopping 6 4. Onlinezahlung 7 5. Internet Abzocke 8 6. Phishing 10 Seite 1 1. Computersicherheit Viren, auch Trojaner

Mehr

Schutz vor Phishing und Trojanern

Schutz vor Phishing und Trojanern Schutz vor Phishing und Trojanern So erkennen Sie die Tricks! Jeder hat das Wort schon einmal gehört: Phishing. Dahinter steckt der Versuch von Internetbetrügern, Bankkunden zu Überweisungen auf ein falsches

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Die Sicherheit Ihres Praxisverwaltungssystems

Die Sicherheit Ihres Praxisverwaltungssystems Die Sicherheit Ihres Praxisverwaltungssystems Was Sie im Umgang mit EDV-Anlagen und Onlinediensten beachten sollten Gefahren bei Sicherheitslücken Ihr Praxisbetrieb ist in hohem Maße abhängig von Ihrem

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Tipps zur Verbesserung der Sicherheit im Online-Banking

Tipps zur Verbesserung der Sicherheit im Online-Banking Tipps zur Verbesserung der Sicherheit im Online-Banking Seite 1 von 7 Vorwort Die Fiducia IT AG stellt Ihren Kunden einen Überblick mit Tipps zur Verbesserung der Sicherheit im Online-Banking zur Verfügung.

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

Seminar: Sicheres Online Banking Teil 1

Seminar: Sicheres Online Banking Teil 1 Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Seminar: Sicheres Online Banking Teil 1 WS 2008/2009 Hung Truong manhhung@mytum.de Betreuer: Heiko Niedermayer

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall 1. Gebot: http://www.8com.de Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall / DSL-Router mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall / Ihres DSL-Routers

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Sicherheit von Homebanking:

Sicherheit von Homebanking: Netzwerke Linux und Windows Software / Hardware / Server IT-Service / Programmierung Individuelle Beratung Boxhorn-EDV GbR Baierbrunner Str. 3 D-81379 München Boxhorn-EDV GbR Baierbrunner Str. 3 D-81379

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Teil 1: Sicheres Surfen im Internet Grundregeln

Teil 1: Sicheres Surfen im Internet Grundregeln Sicher im Internet unterwegs sein Eine Schulungsreihe veranstaltet in Kooperation von: Teil 1: Sicheres Surfen im Internet Grundregeln 1 Grundregeln E Mailnutzung & Lockangebote im Web Hinter kostenlosen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Datensicherheit. Datensicherung Datenschutz bei der Internet-Nutzung (bezieht sich auf Windows-Rechner)

Datensicherheit. Datensicherung Datenschutz bei der Internet-Nutzung (bezieht sich auf Windows-Rechner) Datensicherheit Datensicherung Datenschutz bei der Internet-Nutzung (bezieht sich auf Windows-Rechner) Was bedeutet Datensicherheit für uns heute? Ohne digital gespeicherte Daten geht heute nichts mehr

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Herzlich Willkommen zum Live Hacking. Die Hacker: Ralf Wildvang Thomas Pusch

Herzlich Willkommen zum Live Hacking. Die Hacker: Ralf Wildvang Thomas Pusch Herzlich Willkommen zum Live Hacking Die Hacker: Ralf Wildvang Thomas Pusch 1 Vorstellung Ralf Wildvang Senior Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt des Bundes Erstellung

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Tipps und Tricks zur Sicherheit im Online-Banking

Tipps und Tricks zur Sicherheit im Online-Banking Tipps und Tricks zur Sicherheit im Online-Banking Seite 1 von 6 Inhaltsverzeichnis 1. Sicherheitsvorkehrungen für Ihre Hardware 3 2. Besondere Augenmerk auf Ihren Internet-Browser 3 3. Vorsichtiger Umgang

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

BAYERISCHES STAATSMINISTERIUM DES INNERN

BAYERISCHES STAATSMINISTERIUM DES INNERN BAYERISCHES STAATSMINISTERIUM DES INNERN Bayer. Staatsministerium des Innern 80524 München Einsatznachbearbeitung und vermeintlicher Zertifikatfehler unter Internet Explorer bzw. Mozilla Firefox Bei sicheren

Mehr

Leiden Sie auch unter Digitaler Schizophrenie?

Leiden Sie auch unter Digitaler Schizophrenie? Aufgepasst: Cybercrime! Computer- und Internetsicherheit Cybercrime die unterschätzte tzte Gefahr für f r die Unternehmen?! Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC)

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

Gefahren und Bedrohungen bei E-Mail-Kommunikation

Gefahren und Bedrohungen bei E-Mail-Kommunikation Gefahren und Bedrohungen bei E-Mail-Kommunikation IHK Magdeburg, Arbeitskreis Dienstleister, 18.06.2007 Andreas Hesse, ICOS Datentechnik und Informationssysteme GmbH Schutzmöglichkeiten durch den richtigen

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Vorsicht beim Surfen über Hotspots

Vorsicht beim Surfen über Hotspots WLAN im Krankenhaus? Vorsicht beim Surfen über Hotspots - Unbefugte können leicht auf Rechner zugreifen - Sicherheitstipps für Nutzer öffentlicher WLAN-Netze Berlin (9. Juli 2013) - Das mobile Surfen im

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Online Messe 10 Sicherheitstipps

Online Messe 10 Sicherheitstipps Online Messe 10 Sicherheitstipps Jens Rogowski und Alexander Thiele Sparkasse Celle Passwörter Ist mein Passwort sicher? je länger das Passwort, desto höher die Sicherheit Groß- und Kleinbuchstaben, Ziffern,

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Pharming, Phishing, Spam. aktuelle Bedrohungen aus dem Internet

Pharming, Phishing, Spam. aktuelle Bedrohungen aus dem Internet Pharming, Phishing, Spam aktuelle Bedrohungen aus dem Internet Grüner, S. Orthopädische Praxis Dr. S. Grüner Kalker Hauptstr. 217, D 51103 Köln www.dr-gruener.de www.online-orthopaedie.de www.orthomedien.de

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

E-Banking. Login und Sicherheit. Vontobel Private Banking

E-Banking. Login und Sicherheit. Vontobel Private Banking E-Banking Login und Sicherheit Vontobel Private Banking Vontobel E-Banking Das E-Banking-Angebot der Bank Vontobel AG ermöglicht Ihnen, jederzeit auf Ihre aktuellen Konto- und Depotdaten zuzugreifen. Mit

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die elektronische Post

Mehr

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Welchen IT-Risiken ist meine Institution ausgesetzt? Praktische Anleitung zur Erstellung von IT-Risikostrategien 24. 25. März 2014,

Mehr

Aufgepasst: Cybercrime! Computer- und Internetsicherheit

Aufgepasst: Cybercrime! Computer- und Internetsicherheit Aufgepasst: Cybercrime! Computer- und Internetsicherheit Cybercrime die unterschätzte Gefahr für die Unternehmen?! Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC) KHK Michael

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Computeria Kurs vom 27.3.13

Computeria Kurs vom 27.3.13 Computeria Kurs vom 27.3.13 Allgemeines zu Email E- mail = electronic mail = Elektronische Post = eine auf elektronischem Weg in Computernetzwerken übertragene, briefähnliche Nachricht Vorteile von E-

Mehr

CLX.Sentinel Kurzanleitung

CLX.Sentinel Kurzanleitung CLX.Sentinel Kurzanleitung Wichtig! Beachten Sie die in der Kurzanleitung beschriebenen e zur Personalisierung Ihres CLX.Sentinels. Ziehen Sie den CLX.Sentinel während des Vorgangs nicht aus dem USB-Port.

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Fachschule für Heilerziehungspflege Bamberg

Fachschule für Heilerziehungspflege Bamberg Fachschule für Heilerziehungspflege Bamberg BSI für Bürger Gruppe 2 Quellen: www.bsi fuer buerger.de www.wikipedia.de Verschlüsselung von Daten bei Smartphones: Für Smartphones, Tablets und ähnliche Geräte

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Crypto-Party Wie schütze ich mir vor Spinnern und Spannern, Spam und Werbung, NSA und Überwachung?

Crypto-Party Wie schütze ich mir vor Spinnern und Spannern, Spam und Werbung, NSA und Überwachung? Crypto Party Seite 1 CryptoParty Wie schütze ich mir vor Spinnern und Spannern, Spam und Werbung, NSA und Überwachung? Donnerstag, 29. Mai 2014 20:45 Alternativen zu Google Alternative EMailProvider Passwörter

Mehr

Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr

Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr Forum Public Sector Parc Prof. Dieter Kempf 02.03.2011 Anteil der Internetnutzer in Deutschland 70 Prozent sind

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Gefahren im Internet

Gefahren im Internet by Christian Roth April 2014 Gefahren im Internet - Spam oder Junk-Mails Seite 2 Es wird immer fieser vorgegangen. Nehmen Sie sich genügend Zeit um Ihre Mails zu bearbeiten. In der Eile geht man schnell

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

ECOS Technology GmbH Moderne Telearbeitsplätze

ECOS Technology GmbH Moderne Telearbeitsplätze ECOS Technology GmbH Moderne Telearbeitsplätze Machen Sie es einfach - aber sicher! von René Rühl Teamleiter Vertrieb ECOS Technology GmbH in Zusammenarbeit mit Über ECOS Technology Bestehen Seit 1983

Mehr

Treff@ktiv 55+ Online-Banking. wie funktioniert s. und. worauf muss ich besonders achten??? Was bietet Online-Banking?

Treff@ktiv 55+ Online-Banking. wie funktioniert s. und. worauf muss ich besonders achten??? Was bietet Online-Banking? Online- Banking wie funktioniert s und worauf muss ich besonders achten??? Was bietet? Abwicklung aller Bankgeschäfte (Kontoeröffnung, Kontoführung, Online-Broking, Beratung) über Internet (Browser oder

Mehr

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Berlin, 30. Januar 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Wenn wir unsere Mitglieder nach den wichtigsten IT-Trends fragen,

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Workshop 'Sicheres Arbeiten am PC'.:. 2006 Michael Ziemke 1

Workshop 'Sicheres Arbeiten am PC'.:. 2006 Michael Ziemke 1 LLG-Workshops Mai/Juni 2006 Sicheres Arbeiten am PC Hinweis: Alle gezeigten Folien sind hier veröffentlicht: www.ziemke-koeln.de / Viren, Würmer& Trojaner 1. Säule: Virenschutz einmalige Installation;

Mehr

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Metadaten: Version:

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

GEFAHREN MODERNER INFORMATIONS-

GEFAHREN MODERNER INFORMATIONS- INFORMATIONSVERANSTALTUNG GEFAHREN MODERNER INFORMATIONS- UND KOMMUNIKATIONSTECHNOLOGIE - WIRTSCHAFTSSPIONAGE, DATENSCHUTZ, INFORMATIONSSICHERHEIT Cyberkriminalität und Datendiebstahl: Wie schütze ich

Mehr

Grundlegende Systemadministration unter Apple OSX

Grundlegende Systemadministration unter Apple OSX Grundlegende Systemadministration unter Apple OSX Jour Fixe für IT Verantwortliche SS 2012 Systemadministration umfasst 1. Benutzerkonten / Berechtigungen 2. Netzanbindung 3. IT Sicherheit 4. Netzdienste

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr